Die Verbesserung der Risikobewertungsfähigkeit durch die Verwendung von Echtzeit-Cybersicherheitsdaten in der Produktentwicklung und dem Underwriting-Prozess eröffnet neue Chancen auf einem potenziell riesigen und schnell wachsenden Markt – nicht nur durch eine verbesserte Preisgestaltung, sondern auch durch Anreize für die Versicherten, Präventionsmaßnahmen zu ergreifen. Dieser Übergang erfordert eine gute Zusammenarbeit im „Cyber-Ökosystem“, insbesondere bei gemeinsamen Datenstandards. 

In diesem Beitrag geben wir Ihnen einen kurzen Überblick zu den Herausforderungen, die fehlende Datenreife mit sich bringt (Teil 1), und den Chancen, die sich durch eine zunehmend auf Daten gestützte Zukunft für die Cyber-Versicherung ergeben (Teil 2). 

Die Cyber-Versicherung steht vor drei großen Herausforderungen: die Durchführung realitätsnaher Risikobewertungen, akzeptable Deckungsgrenzen und eine wettbewerbsfähige Preisgestaltung bei gleichzeitiger Wahrung der Rentabilität. Zudem ist es äußerst schwierig, die wirtschaftlichen Auswirkungen eines katastrophischen Cyber-Vorfalls, wie zum Beispiel eines kritischen Ausfalls eines wichtigen Cloud-Anbieters, vorherzusagen und abzufedern. 

Das Ökosystem der Cyber-Versicherung ist noch nicht dafür gerüstet, diese Herausforderungen zu bewältigen und auf die Bedrohung durch eine Cyber-Katastrophe angemessen zu reagieren. Die Ursachen sind eine noch in den Kinderschuhen steckende Dateninfrastruktur und eine nur begrenzt stattfindende Datenzusammenarbeit. Wir fassen das unter dem Begriff der „fehlenden Datenreife“ zusammen. 

Cyber-Risiken sind menschengemacht, und ihr Wirkungspotenzial wird durch die fortschreitende Digitalisierung und eine zunehmende geopolitische Volatilität verstärkt. Eine sich rasch entwickelnde Bedrohungslandschaft, eine durch neue Technologien beschleunigte Digitalisierung sowie Cloud-Konzentration sind globale Herausforderungen inmitten eines erschreckenden Mangels an Cybersicherheitsexperten und entsprechender Ausbildung.  

Die Versicherung als Wegbereiter 

Auch hier kommt der Versicherung eine wichtige wirtschaftliche Rolle zu, indem sie Anreize für risikominderndes Verhalten schafft, Volatilität glättet und die gesellschaftliche Resilienz erhöht. Dafür muss die Versicherungswirtschaft in der Lage sein, Risiken verlässlich und effizient zu quantifizieren, vorherzusagen und zu managen. Ihre diesbezüglichen Fähigkeiten im Cyberraum sind aufgrund des völlig anders gearteten, hochdynamischen Risikos und der Methoden, die Versicherer traditionell für die Risikobewertung und die Gestaltung von Versicherungsprodukten verwenden (Tabelle 1), bislang begrenzt. 

Cyber Versicherung heute

Informationsaustausch uni-direktional & bestenfalls jährlich in Frequenz:

Fehlende Datenreife 

Diese fehlende Datenreife schadet der Qualität des Marktes: die Unternehmen sind unterversichert, die Prämien hoch, aber nicht hoch genug, um ausreichend Deckung für einen katastrophalen Cyber-Vorfall zu gewähren. 

Ein Ökosystem aus Cyber-MGAs, Maklern, Risikomodellierern und Cyber-Dienstleistern arbeitet daran, die oben angeführten Probleme Schritt für Schritt zu beheben. Noch aber haben sie die Lücke nicht so weit geschlossen, dass die Versicherungsprodukte den neuen Anforderungen in vollem Umfang gewachsen wären. Was muss nun geschehen, um diesen Status quo zu ändern? 

2) Die Chance – Datenbasierte Innovation für nachhaltiges Wachstum 

Die Richtung scheint klar: Die Einbindung von Echtzeit-Cybersicherheitsdaten (neben Risiko- und Schadensdaten) in die Gestaltung von Cyber-Versicherungsprodukten soll die benötigten Risikodaten liefern, um das Preis/Deckungs-Verhältnis von Cyber-Versicherungsangeboten zu verbessern. 

Versicherer, die an der Spitze dieser technologischen Entwicklung stehen wollen, sollten Folgendes beachten:

1. Modell-Updates
   Die Cyber-Risikomodellierung muss modernisiert und mit kundeninternen Echtzeit-Informationen zur Cyber-Gefährdungslage des Versicherten angereichert werden.
2. Enriched Data
   Mit diesen umfassenden Informationen eröffnen sich völlig neue Wege der Produktentwicklung. Die neuen Policen werden dank dynamischer Preisgestaltung, flexibler Deckungsgrenzen und Anreizen zur Risikominderung das Potenzial haben, für Versicherer und Versicherte zu leistungsstarken Instrumenten des Managements von Cybersicherheitsrisiken zu werden.
3. Vorteil für First Movers
   Natürlich müssen wir erst einmal dort hinkommen. Umfang und Verfügbarkeit kundeninterner Daten sind zwar noch begrenzt, aber hier wird mit Hochdruck an Verbesserungen gearbeitet. Nach und nach wird die Arbeit der vielen Akteure in diesem Ökosystem Früchte tragen und in zunehmendem Maße ihren Wert für die Versicherer erweisen. Die Versicherer können frühzeitig handeln und Wegbereiter dieser Entwicklungen sein.
4. Standards und Taxonomie
   Ohne wirksame Standards und Taxonomie zwischen Cybersicherheit und Versicherung kann das allerdings nicht funktionieren. Ein gemeinsames Verständnis darüber, welche Standards gute Cybersicherheitshygiene bei der Gestaltung von Versicherungsprodukten darstellen, ist von entscheidender Bedeutung.
5. Zusammenarbeit bei Daten
   Versicherungen kooperieren schon seit langem in verschiedenen Produktsparten (Kfz, Kredit usw.) beim Risiko- und Datenpooling. Der nächste Schritt ist die Schaffung von Einrichtungen und Daten-Pools, mit denen Informationen auf sichere und rechtskonforme Weise ausgetauscht werden können, um Qualität und Vertrauen innerhalb des Ökosystems zu gewährleisten.

Datengestützte Cyber-Versicherung

Angereichert mit Inside-out-Echtzeitdaten über die Cyber-Risikolage des Versicherten

Die Erreichung dieses Grades an Datenreife wird das Risiko eines katastrophalen Cyber-Vorfalls nicht beseitigen, wird aber ganz gewiss zu Verbesserungen in folgenden Bereichen führen: 

• Vorhersage: ein Daten-Mesh aus Echtzeit-Signalnetzwerken im gesamten Ökosystem der Cyber-Versicherungen für eine bessere Gefährdungsbeurteilung und Frühwarnung.
• Minderung: ein positives, sicherheitsförderndes Verhalten, das durch dynamische Cyber-Versicherungsprodukte gefördert und begünstigt wird.
• Resilienz: bessere Erkenntnisse zum Gesamtrisiko steigern das Vertrauen der Rückversicherer und möglicherweise auch des Staates, damit dem Markt mehr Kapazitäten zur Verfügung gestellt werden.