Ist die Cyberversicherung die neue Sachversicherung?
News und Insights

Ist die Cyberversicherung die neue Sachversicherung?

Naturkatastrophen wie Hurrikane und Erdbeben existieren länger als die Menschheit selbst. Die Sachversicherung, wie wir sie heute kennen, ist zwar um einiges jünger, lässt sich aber immerhin bis ins 17. Jahrhundert zurückverfolgen. Die ersten stochastischen Naturkatastrophenmodelle, mit denen Versicherer und Rückversicherer ihre Risiken besser verstehen und preisen können, wurden dagegen erst in den späten 1980er-Jahren entwickelt. 

Diesen Modellen kommt im heutigen (Rück-)Versicherungsmarkt und beim Geschäft mit Insurance Linked Strategies (ILS) eine wichtige Rolle zu und die technologische Weiterentwicklung erlaubt Wissenschaftlern immer komplexere Simulationen in immer kürzerer Zeit. Doch ausgerechnet die Computer, die der Branche diesen enormen Fortschritt ermöglicht haben, bringen nun neue Risiken mit sich: Cyberrisiken

Der erste Computervirus entstand 1983, vor gerade einmal 36 Jahren. Bereits in den 1990er-Jahren wurden die ersten Formen einer Cyberversicherung diskutiert, erhältlich war eine solche jedoch erst im Jahr 2000, beim Branchenpionier Lloyd’s of London. Etwa acht Jahre später lag das jährliche Prämienvolumen des Marktes bereits bei etwa USD 500 Mio. und stieg bis 2019 auf beachtliche USD 5 Mia. Obwohl dies ein äusserst starkes Wachstum darstellt, bleibt der Markt insgesamt sehr klein. Zum Vergleich: Das weltweite jährliche Prämienvolumen in der Sach- und Haftpflicht-Erstversicherung betrug 2018 schätzungsweise rund USD 1500 Mia.

Gemessen am Wachstum der potenziellen Risiken fällt das Wachstum der Cyberversicherung also deutlich zurück. Gründe dafür sind unter anderem:

  • Versicherungsmathematiker haben nicht genügend Daten, um Versicherungslösungen optimal zu preisen.
  • Es fehlt an einer einheitlichen Markteinschätzung der möglichen Szenarien – würde ein 48-stündiger Ausfall von Amazon Web Services die Branche USD 1 Mia. oder USD 20 Mia. kosten?
  • Eine Vielzahl von möglichen «Gefahren» wie Sach- und Haftpflichtschäden müssen abgedeckt werden.
  • Risikomanager in Unternehmen haben ein geringes Bewusstsein für das Produkt.
  • Cyberversicherung wird als unnötig oder zu teuer empfunden. Vor dem Hintergrund der Tatsache, dass nur 10 % der Hausbesitzer in Kalifornien über eine Erdbebenversicherung verfügen, lässt sich erahnen, wie schwierig der Vertrieb von Cyberversicherungen ist.

Auf der anderen Seite gibt es im Hinblick auf Cyberprodukte im (Rück-)Versicherungssektor viele Gründe für Optimismus. Die Welt des «Internet der Dinge» (IoT) boomt. Bis 2025 werden weltweit schätzungsweise 75 Milliarden IoT-Geräte in Betrieb sein. Bereits 2020 dürften auf eine Person durchschnittlich 6,6 mit dem Internet verbundene Geräte kommen. Das mobile Internet der fünften Generation (5G) wird bei dieser Entwicklung eine zentrale Rolle spielen und Geräte mit deutlich verbesserter Geschwindigkeit und Latenz miteinander vernetzen. Auch die Cloud-Dienste weiten ihren Einfluss aus, zumal immer mehr Unternehmen ihre Aktivitäten zumindest teilweise in die Datenwolke verlagern.

Dies zieht jedoch auch unerwünschte Aufmerksamkeit auf sich: In einem kürzlich veröffentlichten Bericht schätzt Kaspersky, dass sich die Zahl der Angriffe auf IoT-Geräte allein im vergangenen Jahr verneunfacht hat. Das Bewusstsein und die Sorge auf Führungs- und Managementebene nehmen zu, nicht zuletzt seit dem Ransomware-Angriff NotPetya, dem bis dato teuersten Cyberkatastrophenereignis überhaupt. Von NotPetya betroffen waren Unternehmen wie Merck, FedEx, Maersk, Mondelez und Reckitt-Benckiser. Es gibt zwar keine zuverlässigen Aussagen über den wirtschaftlichen Schaden durch diesen Cyberangriff, aber der versicherte Schaden belief sich auf schätzungsweise mehr als USD 3 Mia. Im Jahr 2018 machten die Vereinigten Staaten Russland für NotPetya verantwortlich, woraufhin viele Cyberversicherer die Rechtmässigkeit der Versicherungsansprüche unter der Standardausschlussklausel «Krieg» bestritten. Die Zeit und die laufenden Gerichtsverfahren werden zeigen, ob Cyberversicherungen bei staatlich unterstützten Angriffen auszahlen sollten oder nicht.

NotPetya belegt eindrücklich, wie schwierig es ist, Cyberrisiken zu verstehen und zu versichern. Eine Cyberversicherung muss nicht zwingend nur den Angriff selbst abdecken, sondern kann sich auch auf Schäden infolge von Stromausfällen, Cybererpressung, Rufschädigung, Betriebsunterbruch durch Hacker, Softwareprobleme oder menschliches Versagen sowie Kosten im Zuge von Datenschutzverletzungen erstrecken. Durch die zunehmende Häufigkeit dieser Vorfälle wachsen bei den Unternehmen das Bewusstsein für und die Sorge vor Reputations- und Bilanzrisiken. Auch regulatorische Entwicklungen wie die Datenschutz-Grundverordnung (DSGVO) in Europa haben dazu beigetragen, dass Cyberbedrohungen mehr Aufmerksamkeit geschenkt wird. Einige der Vorteile der Globalisierung haben sich inzwischen als genauso grosse Schwächen herausgestellt, zumal Unternehmen überall auf der Welt innerhalb kürzester Zeit mit Malware angegriffen werden können.

Obwohl es sich um ein relativ neues Risiko handelt, wächst die Cyberversicherung deutlich schneller als der Markt für Sach- und Haftpflichtversicherung. Risikomodellierungsfirmen stellen heute nicht mehr primär Klimaforscher neu ein, sondern setzen verstärkt auf ausgebildete Cyberingenieure, um die Modellierung dieser komplexen Risiken zu optimieren. Die Versicherungsgesellschaften bemühen sich nach wie vor um ein besseres Verständnis der Kumulierung der Cyberrisiken, die sie in ihren Bilanzen führen. Tag für Tag erkennen Kunden, dass ihr gesamtes Geschäft durch einen unglücklichen Klick auf dem Spiel stehen könnte, und investieren mehr und mehr in die Sicherheit ihrer Systeme. Zwar lernt diese relativ kleine, aber wachsende Gruppe, dieses Risiko zu begreifen, aber es dürfte realistisch betrachtet noch eine Weile dauern, bis es ausreichend verstanden und modelliert wird. Wissenschaftler arbeiten mit Hochdruck an der Entwicklung immer leistungsfähigerer und intelligenterer Computer und Geräte – genauso ernst nehmen es aber auch die Hacker, die immer raffiniertere Viren hervorbringen. Fakt ist: Mit Cyberrisiken ist langfristig zu rechnen und gleiches gilt auch für die Cyberversicherung.

Spielen Cyberrisiken auf dem Markt für Rückversicherungen und ILS eine Rolle?

Es gibt Cyberrückversicherungen, auch wenn ihre Kapazität begrenzt ist. Grund dafür ist die verhältnismässig geringe Risikobereitschaft der Führungsteams und Verwaltungsräte durch die Unsicherheiten bei der Modellierung und Kumulation von Cyberrisiken sowie die mangelnde Diversifizierung innerhalb dieser Geschäftssparte. Im Hinblick auf ILS ist die Kapazität noch stärker begrenzt. Hier gelten im Wesentlichen dieselben Gründe, wobei auch die Vermischung von Sach- und Haftpflichtversicherung, die mit der dynamischen Art des Risikos verbundene Schwierigkeit, sich für mehrere Jahre zu verpflichten, und letztendlich der Mangel an Geldgebern, die ihre Cyberversicherungsrisiken bzw. ihre operativen Risiken an die Kapitalmärkte abtreten wollen, sowie die Zurückhaltung der Märkte, derart komplexe und wenig bekannte Risiken zu übernehmen, eine Rolle spielen. Hinzu kommt, dass ILS und Katastrophenanleihen bei Investoren am Kapitalmarkt deshalb so beliebt sind, zumindest teilweise, weil sie eine geringe Korrelation zu den Finanzmärkten aufweisen. Bei Cyberrisiken dürfte dagegen eine grössere Korrelation herrschen. Wird die Versicherung von Cyberrisiken also zum «nächsten grossen Ding» im ILS-Markt, sozusagen zur «neuen Sachversicherung» (Stichwort: Naturkatastrophen)? Wir halten dieses Szenario in naher Zukunft für unwahrscheinlich. Dennoch hat die Cyberversicherung das Potenzial, sich irgendwann als alternativer Markt mit der Grösse des heutigen Marktes für Naturkatastrophenversicherungen zu etablieren. Während seiner ersten zehn Jahre entwickelte sich das Geschäft mit «Katastrophen-ILS» eher verhalten und war von kontinuierlichen Innovationen und Weiterentwicklungen im Hinblick auf Risikotransferstrukturen und -lösungen geprägt. Ebenso werden direkte Übertragungen von Cyberrisiken an die Kapitalmärkte wahrscheinlich nicht über Nacht erfolgen oder besonders schnell zunehmen. Vielmehr dürfte diese Entwicklung langsam, aber stetig verlaufen und sich dabei am Interesse der Investoren und der Nachfrage der Geldgeber nach Cyberversicherungen bzw. ILS orientieren.