5 Minuten Lesezeit Mit Insights von Richard Polya Principal Business Development Manager Richard.polya@zuehlke.com Die Verbesserung der Risikobewertungsfähigkeit durch die Verwendung von Echtzeit-Cybersicherheitsdaten in der Produktentwicklung und dem Underwriting-Prozess eröffnet neue Chancen auf einem potenziell riesigen und schnell wachsenden Markt – nicht nur durch eine verbesserte Preisgestaltung, sondern auch durch Anreize für die Versicherten, Präventionsmaßnahmen zu ergreifen. Dieser Übergang erfordert eine gute Zusammenarbeit im „Cyber-Ökosystem“, insbesondere bei gemeinsamen Datenstandards. In diesem Beitrag geben wir Ihnen einen kurzen Überblick zu den Herausforderungen, die fehlende Datenreife mit sich bringt (Teil 1), und den Chancen, die sich durch eine zunehmend auf Daten gestützte Zukunft für die Cyber-Versicherung ergeben (Teil 2). 1) Die Herausforderung – Fehlende Datenreife bremst die Produktinnovation Die Cyber-Versicherung steht vor drei großen Herausforderungen: die Durchführung realitätsnaher Risikobewertungen, akzeptable Deckungsgrenzen und eine wettbewerbsfähige Preisgestaltung bei gleichzeitiger Wahrung der Rentabilität. Zudem ist es äußerst schwierig, die wirtschaftlichen Auswirkungen eines katastrophischen Cyber-Vorfalls, wie zum Beispiel eines kritischen Ausfalls eines wichtigen Cloud-Anbieters, vorherzusagen und abzufedern. Das Ökosystem der Cyber-Versicherung ist noch nicht dafür gerüstet, diese Herausforderungen zu bewältigen und auf die Bedrohung durch eine Cyber-Katastrophe angemessen zu reagieren. Die Ursachen sind eine noch in den Kinderschuhen steckende Dateninfrastruktur und eine nur begrenzt stattfindende Datenzusammenarbeit. Wir fassen das unter dem Begriff der „fehlenden Datenreife“ zusammen. Cyber-Risiken sind menschengemacht, und ihr Wirkungspotenzial wird durch die fortschreitende Digitalisierung und eine zunehmende geopolitische Volatilität verstärkt. Eine sich rasch entwickelnde Bedrohungslandschaft, eine durch neue Technologien beschleunigte Digitalisierung sowie Cloud-Konzentration sind globale Herausforderungen inmitten eines erschreckenden Mangels an Cybersicherheitsexperten und entsprechender Ausbildung. Die Versicherung als Wegbereiter Auch hier kommt der Versicherung eine wichtige wirtschaftliche Rolle zu, indem sie Anreize für risikominderndes Verhalten schafft, Volatilität glättet und die gesellschaftliche Resilienz erhöht. Dafür muss die Versicherungswirtschaft in der Lage sein, Risiken verlässlich und effizient zu quantifizieren, vorherzusagen und zu managen. Ihre diesbezüglichen Fähigkeiten im Cyberraum sind aufgrund des völlig anders gearteten, hochdynamischen Risikos und der Methoden, die Versicherer traditionell für die Risikobewertung und die Gestaltung von Versicherungsprodukten verwenden (Tabelle 1), bislang begrenzt. Cyber Versicherung heute Informationsaustausch uni-direktional & bestenfalls jährlich in Frequenz Herausforderungen bei der Gestaltung von Cyber-Versicherungsprodukten Datenverfügbarkeit Eingeschränkte Datenerhebung Pooling von Schadensdaten Fehlende Erkenntnisse Unzureichende Produktentwicklung Datenverfügbarkeit Eine verlässliche Momentaufnahme der Cyber-Gefährdungslage eines Kunden stand bisher für eine Risikobewertung nicht zur Verfügung. Das liegt vor allem an der fehlenden Infrastruktur, die für die nötigen Daten sorgt. Eingeschränkte Datenerhebung Das Zusammentragen von Informationen zur Cyber-Gefährdungslage eines Versicherten erfolgt mit Hilfe von Fragen und Antworten im Zuge des Underwriting-Prozesses (in der Regel einmal bei Antragstellung) und einer teuren Due-Diligence-Prüfung, die aus Gründen der Wirtschaftlichkeit auf hochkarätige Policen beschränkt ist. Pooling von Schadensdaten Ein umfassendes Pooling von Vorfall- oder Schadensdaten, wie es für andere Versicherungssparten (zum Beispiel die Kfz-Versicherung) bekannt ist, wurde noch nicht realisiert. Fehlende Erkenntnisse Erkenntnisse über die Risikoprognosetauglichkeit cybersicherheitsbezogener Informationen von Kunden liegen daher noch nicht hinreichend vor. Unzureichende Produktentwicklung Pricing und Deckungssummen gehen nicht auf die Kundenbedürfnisse ein, was die Kunden davon abhält, ihre Cyber-Risiken zu verbessern (sobald sie für eine Versicherung zugelassen sind). Fehlende Datenreife Diese fehlende Datenreife schadet der Qualität des Marktes: die Unternehmen sind unterversichert, die Prämien hoch, aber nicht hoch genug, um ausreichend Deckung für einen katastrophalen Cyber-Vorfall zu gewähren. Ein Ökosystem aus Cyber-MGAs, Maklern, Risikomodellierern und Cyber-Dienstleistern arbeitet daran, die oben angeführten Probleme Schritt für Schritt zu beheben. Noch aber haben sie die Lücke nicht so weit geschlossen, dass die Versicherungsprodukte den neuen Anforderungen in vollem Umfang gewachsen wären. Was muss nun geschehen, um diesen Status quo zu ändern? 2) Die Chance – Datenbasierte Innovation für nachhaltiges Wachstum Die Richtung scheint klar: Die Einbindung von Echtzeit-Cybersicherheitsdaten (neben Risiko- und Schadensdaten) in die Gestaltung von Cyber-Versicherungsprodukten soll die benötigten Risikodaten liefern, um das Preis/Deckungs-Verhältnis von Cyber-Versicherungsangeboten zu verbessern. Versicherer, die an der Spitze dieser technologischen Entwicklung stehen wollen, sollten Folgendes beachten: Modell-Updates Die Cyber-Risikomodellierung muss modernisiert und mit kundeninternen Echtzeit-Informationen zur Cyber-Gefährdungslage des Versicherten angereichert werden. Enriched Data Mit diesen umfassenden Informationen eröffnen sich völlig neue Wege der Produktentwicklung. Die neuen Policen werden dank dynamischer Preisgestaltung, flexibler Deckungsgrenzen und Anreizen zur Risikominderung das Potenzial haben, für Versicherer und Versicherte zu leistungsstarken Instrumenten des Managements von Cybersicherheitsrisiken zu werden. Vorteil für First Movers Natürlich müssen wir erst einmal dort hinkommen. Umfang und Verfügbarkeit kundeninterner Daten sind zwar noch begrenzt, aber hier wird mit Hochdruck an Verbesserungen gearbeitet. Nach und nach wird die Arbeit der vielen Akteure in diesem Ökosystem Früchte tragen und in zunehmendem Maße ihren Wert für die Versicherer erweisen. Die Versicherer können frühzeitig handeln und Wegbereiter dieser Entwicklungen sein. Standards und Taxonomie Ohne wirksame Standards und Taxonomie zwischen Cybersicherheit und Versicherung kann das allerdings nicht funktionieren. Ein gemeinsames Verständnis darüber, welche Standards gute Cybersicherheitshygiene bei der Gestaltung von Versicherungsprodukten darstellen, ist von entscheidender Bedeutung. Zusammenarbeit bei Daten Versicherungen kooperieren schon seit langem in verschiedenen Produktsparten (Kfz, Kredit usw.) beim Risiko- und Datenpooling. Der nächste Schritt ist die Schaffung von Einrichtungen und Daten-Pools, mit denen Informationen auf sichere und rechtskonforme Weise ausgetauscht werden können, um Qualität und Vertrauen innerhalb des Ökosystems zu gewährleisten. Datengestützte Cyber-Versicherung Angereichert mit Inside-out-Echtzeitdaten über die Cyber-Risikolage des Versicherten Die Erreichung dieses Grades an Datenreife wird das Risiko eines katastrophalen Cyber-Vorfalls nicht beseitigen, wird aber ganz gewiss zu Verbesserungen in folgenden Bereichen führen: Vorhersage: ein Daten-Mesh aus Echtzeit-Signalnetzwerken im gesamten Ökosystem der Cyber-Versicherungen für eine bessere Gefährdungsbeurteilung und Frühwarnung. Minderung: ein positives, sicherheitsförderndes Verhalten, das durch dynamische Cyber-Versicherungsprodukte gefördert und begünstigt wird. Resilienz: bessere Erkenntnisse zum Gesamtrisiko steigern das Vertrauen der Rückversicherer und möglicherweise auch des Staates, damit dem Markt mehr Kapazitäten zur Verfügung gestellt werden. Ansprechpartner für die Schweiz Dr. Raphael Reischuk Group Head Cybersecurity & Partner Raphael Reischuk ist Autor zahlreicher wissenschaftlicher Publikationen in verschiedenen Bereichen der IT-Sicherheit und Kryptographie, für die er mehrfach ausgezeichnet wurde. So wurde Raphael im Jahr 2021 von BILANZ und der Handelszeitung zu einem der Top 100 Digital Shapers in Switzerland ernannt. Raphael Reischuk ist Mitglied mehrerer internationaler Programmkomitees für Informationssicherheit und Vizepräsident des Cybersicherheitskomitees von digitalswitzerland; er ist Mitgründer und Vorstandsmitglied des Schweizerischen Nationalen Prüfinstituts für Cybersicherheit (NTC). Er ist seit 2017 bei Zühlke und leitet als Group Head den Bereich Cybersecurity mit Expertise in verschiedenen Branchen. Als erfahrener Informationssicherheitsexperte ist er angetrieben von Neugier, Innovation, Technologie, Engagement und einem starken Business-Fokus. Kontakt raphael.reischuk@zuehlke.com +41 43 216 6611 Schreiben Sie uns eine Nachricht You must have JavaScript enabled to use this form. Vorname Nachname E-Mail Telefonnummer Message Absenden Bitte dieses Feld leer lassen Schreiben Sie uns eine Nachricht Vielen Dank für Ihre Nachricht.
Banken & Finanzdienstleister – Digitalisieren Sie Ihre Bank nicht – eröffnen Sie eine Neue! Mehr erfahren
Handel und Konsumgüter – Digitale Erlösmodelle: Warum sich das Consumer Business neu erfinden muss Mehr erfahren