Versicherungen

Entwicklung von Cyber-Versicherungsprodukten – Herausforderungen und Chancen

Cyber-Risiken lassen sich nur schwer bewerten und modellieren. Das schränkt die Versicherbarkeit erheblich ein, da die Versicherer ihre Prämien um drastische Sicherheitsmargen erhöhen und den Deckungsumfang so weit einschränken müssen, dass sich eine Versicherung für die Kunden nicht mehr lohnt.

5 Minuten Lesezeit
Mit Insights von

Die Verbesserung der Risikobewertungsfähigkeit durch die Verwendung von Echtzeit-Cybersicherheitsdaten in der Produktentwicklung und dem Underwriting-Prozess eröffnet neue Chancen auf einem potenziell riesigen und schnell wachsenden Markt – nicht nur durch eine verbesserte Preisgestaltung, sondern auch durch Anreize für die Versicherten, Präventionsmaßnahmen zu ergreifen. Dieser Übergang erfordert eine gute Zusammenarbeit im „Cyber-Ökosystem“, insbesondere bei gemeinsamen Datenstandards. 

In diesem Beitrag geben wir Ihnen einen kurzen Überblick zu den Herausforderungen, die fehlende Datenreife mit sich bringt (Teil 1), und den Chancen, die sich durch eine zunehmend auf Daten gestützte Zukunft für die Cyber-Versicherung ergeben (Teil 2). 

1) Die Herausforderung – Fehlende Datenreife bremst die Produktinnovation 

Die Cyber-Versicherung steht vor drei großen Herausforderungen: die Durchführung realitätsnaher Risikobewertungen, akzeptable Deckungsgrenzen und eine wettbewerbsfähige Preisgestaltung bei gleichzeitiger Wahrung der Rentabilität. Zudem ist es äußerst schwierig, die wirtschaftlichen Auswirkungen eines katastrophischen Cyber-Vorfalls, wie zum Beispiel eines kritischen Ausfalls eines wichtigen Cloud-Anbieters, vorherzusagen und abzufedern. 

Das Ökosystem der Cyber-Versicherung ist noch nicht dafür gerüstet, diese Herausforderungen zu bewältigen und auf die Bedrohung durch eine Cyber-Katastrophe angemessen zu reagieren. Die Ursachen sind eine noch in den Kinderschuhen steckende Dateninfrastruktur und eine nur begrenzt stattfindende Datenzusammenarbeit. Wir fassen das unter dem Begriff der „fehlenden Datenreife“ zusammen. 

Cyber-Risiken sind menschengemacht, und ihr Wirkungspotenzial wird durch die fortschreitende Digitalisierung und eine zunehmende geopolitische Volatilität verstärkt. Eine sich rasch entwickelnde Bedrohungslandschaft, eine durch neue Technologien beschleunigte Digitalisierung sowie Cloud-Konzentration sind globale Herausforderungen inmitten eines erschreckenden Mangels an Cybersicherheitsexperten und entsprechender Ausbildung.  

Die Versicherung als Wegbereiter 

Auch hier kommt der Versicherung eine wichtige wirtschaftliche Rolle zu, indem sie Anreize für risikominderndes Verhalten schafft, Volatilität glättet und die gesellschaftliche Resilienz erhöht. Dafür muss die Versicherungswirtschaft in der Lage sein, Risiken verlässlich und effizient zu quantifizieren, vorherzusagen und zu managen. Ihre diesbezüglichen Fähigkeiten im Cyberraum sind aufgrund des völlig anders gearteten, hochdynamischen Risikos und der Methoden, die Versicherer traditionell für die Risikobewertung und die Gestaltung von Versicherungsprodukten verwenden (Tabelle 1), bislang begrenzt. 

Cyber Versicherung heute

Informationsaustausch uni-direktional & bestenfalls jährlich in Frequenz

Cyber insurance today

Herausforderungen bei der Gestaltung von Cyber-Versicherungsprodukten

Eine verlässliche Momentaufnahme der Cyber-Gefährdungslage eines Kunden stand bisher für eine Risikobewertung nicht zur Verfügung. Das liegt vor allem an der fehlenden Infrastruktur, die für die nötigen Daten sorgt.

Das Zusammentragen von Informationen zur Cyber-Gefährdungslage eines Versicherten erfolgt mit Hilfe von Fragen und Antworten im Zuge des Underwriting-Prozesses (in der Regel einmal bei Antragstellung) und einer teuren Due-Diligence-Prüfung, die aus Gründen der Wirtschaftlichkeit auf hochkarätige Policen beschränkt ist.

Ein umfassendes Pooling von Vorfall- oder Schadensdaten, wie es für andere Versicherungssparten (zum Beispiel die Kfz-Versicherung) bekannt ist, wurde noch nicht realisiert.

Erkenntnisse über die Risikoprognosetauglichkeit cybersicherheitsbezogener Informationen von Kunden liegen daher noch nicht hinreichend vor.

Pricing und Deckungssummen gehen nicht auf die Kundenbedürfnisse ein, was die Kunden davon abhält, ihre Cyber-Risiken zu verbessern (sobald sie für eine Versicherung zugelassen sind).

Fehlende Datenreife 

Diese fehlende Datenreife schadet der Qualität des Marktes: die Unternehmen sind unterversichert, die Prämien hoch, aber nicht hoch genug, um ausreichend Deckung für einen katastrophalen Cyber-Vorfall zu gewähren. 

Ein Ökosystem aus Cyber-MGAs, Maklern, Risikomodellierern und Cyber-Dienstleistern arbeitet daran, die oben angeführten Probleme Schritt für Schritt zu beheben. Noch aber haben sie die Lücke nicht so weit geschlossen, dass die Versicherungsprodukte den neuen Anforderungen in vollem Umfang gewachsen wären. Was muss nun geschehen, um diesen Status quo zu ändern? 

2) Die Chance – Datenbasierte Innovation für nachhaltiges Wachstum 

Die Richtung scheint klar: Die Einbindung von Echtzeit-Cybersicherheitsdaten (neben Risiko- und Schadensdaten) in die Gestaltung von Cyber-Versicherungsprodukten soll die benötigten Risikodaten liefern, um das Preis/Deckungs-Verhältnis von Cyber-Versicherungsangeboten zu verbessern. 

Versicherer, die an der Spitze dieser technologischen Entwicklung stehen wollen, sollten Folgendes beachten:

  1. Modell-Updates
    Die Cyber-Risikomodellierung muss modernisiert und mit kundeninternen Echtzeit-Informationen zur Cyber-Gefährdungslage des Versicherten angereichert werden. 
  2. Enriched Data
    Mit diesen umfassenden Informationen eröffnen sich völlig neue Wege der Produktentwicklung. Die neuen Policen werden dank dynamischer Preisgestaltung, flexibler Deckungsgrenzen und Anreizen zur Risikominderung das Potenzial haben, für Versicherer und Versicherte zu leistungsstarken Instrumenten des Managements von Cybersicherheitsrisiken zu werden. 
  3. Vorteil für First Movers
    Natürlich müssen wir erst einmal dort hinkommen. Umfang und Verfügbarkeit kundeninterner Daten sind zwar noch begrenzt, aber hier wird mit Hochdruck an Verbesserungen gearbeitet. Nach und nach wird die Arbeit der vielen Akteure in diesem Ökosystem Früchte tragen und in zunehmendem Maße ihren Wert für die Versicherer erweisen. Die Versicherer können frühzeitig handeln und Wegbereiter dieser Entwicklungen sein. 
  4. Standards und Taxonomie
    Ohne wirksame Standards und Taxonomie zwischen Cybersicherheit und Versicherung kann das allerdings nicht funktionieren. Ein gemeinsames Verständnis darüber, welche Standards gute Cybersicherheitshygiene bei der Gestaltung von Versicherungsprodukten darstellen, ist von entscheidender Bedeutung. 
  5. Zusammenarbeit bei Daten
    Versicherungen kooperieren schon seit langem in verschiedenen Produktsparten (Kfz, Kredit usw.) beim Risiko- und Datenpooling. Der nächste Schritt ist die Schaffung von Einrichtungen und Daten-Pools, mit denen Informationen auf sichere und rechtskonforme Weise ausgetauscht werden können, um Qualität und Vertrauen innerhalb des Ökosystems zu gewährleisten. 

Datengestützte Cyber-Versicherung

Angereichert mit Inside-out-Echtzeitdaten über die Cyber-Risikolage des Versicherten

Data-driven cyber insurance

Die Erreichung dieses Grades an Datenreife wird das Risiko eines katastrophalen Cyber-Vorfalls nicht beseitigen, wird aber ganz gewiss zu Verbesserungen in folgenden Bereichen führen: 

  • Vorhersage: ein Daten-Mesh aus Echtzeit-Signalnetzwerken im gesamten Ökosystem der Cyber-Versicherungen für eine bessere Gefährdungsbeurteilung und Frühwarnung. 
  • Minderung: ein positives, sicherheitsförderndes Verhalten, das durch dynamische Cyber-Versicherungsprodukte gefördert und begünstigt wird. 
  • Resilienz: bessere Erkenntnisse zum Gesamtrisiko steigern das Vertrauen der Rückversicherer und möglicherweise auch des Staates, damit dem Markt mehr Kapazitäten zur Verfügung gestellt werden. 
Ansprechpartner für die Schweiz

Dr. Raphael Reischuk

Group Head Cybersecurity & Partner

Raphael Reischuk ist Autor zahlreicher wissenschaftlicher Publikationen in verschiedenen Bereichen der IT-Sicherheit und Kryptographie, für die er mehrfach ausgezeichnet wurde. So wurde Raphael im Jahr 2021 von BILANZ und der Handelszeitung zu einem der Top 100 Digital Shapers in Switzerland ernannt.

Raphael Reischuk ist Mitglied mehrerer internationaler Programmkomitees für Informationssicherheit und Vizepräsident des Cybersicherheitskomitees von digitalswitzerland; er ist Mitgründer und Vorstandsmitglied des Schweizerischen Nationalen Prüfinstituts für Cybersicherheit (NTC).

Er ist seit 2017 bei Zühlke und leitet als Group Head den Bereich Cybersecurity mit Expertise in verschiedenen Branchen. Als erfahrener Informationssicherheitsexperte ist er angetrieben von Neugier, Innovation, Technologie, Engagement und einem starken Business-Fokus. 

Kontakt
Vielen Dank für Ihre Nachricht.