bvmedien
Aufrufe
vor 3 Jahren

RISIKO MANAGER 10.2019

  • Text
  • Banken
  • Informationen
  • Beispielsweise
  • Parameter
  • Historical
  • Blockchain
  • Schadenanzahl
  • Unternehmen
  • Risiken
  • Risiko
RISIKO MANAGER ist das führende Medium für alle Experten des Financial Risk Managements in Banken, Sparkassen und Versicherungen. Mit Themen aus den Bereichen Kreditrisiko, Marktrisiko, OpRisk, ERM und Regulierung vermittelt RISIKO MANAGER seinen Lesern hochkarätige Einschätzungen und umfassendes Wissen für fortschrittliches Risikomanagement.

38

38 RISIKO MANAGER 10|2019 Im Gespräch mit Dr. Bernhard Kaufmann und Cyrus Delarami (Munich Re) Versicherbarkeit von CyberRisk Für Unternehmen, deren Geschäftsprozesse wesentlich von digitaler Infrastruktur abhängen, stellen Cyber-Risiken eine fundamentale Bedrohung dar. Aktuelle Untersuchungen zeigen, dass viele Unternehmen bereits digitalen Angriffen ausgesetzt waren. Die entstehenden Schäden können immens sein, sind aber nicht immer leicht zu quantifizieren. So ist bei Betriebsausfall, zerstörten IT-Systemen, Erpressung und gerichtlichen / regulatorischen Strafen eine monetäre Bewertung möglich, beim (teils unbemerkten) Diebstahl von geistigem Eigentum oder einer geschädigten Reputation ist dies dagegen sehr schwer. Dies beschreibt nur eine von verschiedenen Herausforderungen für die Versicherbarkeit von CyberRisk. Weitere Probleme für die versicherungsmathematische Tarifierung sind die (noch) sehr kurzen Schadenszeitreihen, die große Gefahr von Kumulschäden und die Schwierigkeit, das individuelle Risiko eines Unternehmens zu messen. Über obige Herausforderungen und Handlungsempfehlungen für Unternehmen sprachen wir mit Dr. B. Kaufmann (CRO) und C. Delarami (Head of Cyber Standards, Strategy and Support) der Munich Re; einem der weltweit führenden (Rück-)Versicherer für IT-Risiken. Die Fragen stellte Prof. Dr. Matthias Scherer (Technische Universität München). RISKO MANAGER: Seit wann ist CyberRisk ein wichtiges Thema für die Munich Re? BK: Cyber-Angriffe sind zunehmend ein Massenphänomen und bedrohen vor allem Unternehmen mit IT-gestützten Geschäftsprozessen bzw. digitaler Vernetzung. Laut IT-Branchenverband Bitkom sind in den vergangenen zwei Jahren mehr als die Hälfte aller deutschen Unternehmen Opfer von Computer-Kriminalität geworden. Seit 2011, als die erste Cyber-Police auf den deutschen Markt kam, ist das Angebot stetig gewachsen. Munich Re beschäftigt sich seit Beginn der Digitalisierung mit dem Aufkommen von Cyber-Kriminalität und mit deren Auswirkungen auf Gesellschaft und Wirtschaft, um potenzielle Schäden rechtzeitig zu antizipieren. Bei Cyber-Versicherungen waren wir eines der ersten Unternehmen der Versicherungsbranche, die bereits einen umfassenden Lösungsansatz für ihre Kunden boten, als andere Player in der Branche das Thema noch nicht für versicherbar hielten. Unsere Lösungen gehen weit über traditionelle Versicherungslösungen hinaus, da wir diesen Ansatz beim Thema Cyber für notwendig halten. RISKO MANAGER: Woher kommt aktuell die hauptsächliche Nachfrage – von Primärversicherern oder der Industrie? CD: Kleinere und mittlere Unternehmen (KMU) sowie Privatpersonen erkannten erst nach und nach ihre potenzielle Bedrohung. Mittlerweile ist das Risikobewusstsein auf einem ähnlichen Level. Der KMU- Markt hinkt jedoch dem Industriebereich immer noch hinterher, was das Kaufverhalten von Cyber-Versicherung angeht. Das Wachstumspotenzial ist unbestritten, weil die Nachfrage nach Schutz, Deckungen und Assistance-Leistungen kontinuierlich steigt. RISKO MANAGER: Welche Typen von Cyber-Risiken (für Unternehmen) haben Sie identifiziert, und welche davon halten Sie potenziell für versicherbar? BK: Die größten Herausforderungen bei der Cyber-Versicherung sind das Änderungsrisiko, das Kumulrisiko, aber auch die unentdeckte Cyber-Exponierung, die sich in Policen aus allen Versicherungssparten wiederfinden kann. Diese sogenannten Silent-Cyber-Risiken werden aktuell in der Branche intensiv diskutiert. Es gibt in der Tat Aspekte, die wir momentan noch nicht versichern wollen. Ein großflächiger systemischer Ausfall einer Infrastruktur bei der Strom-, Telekommunikations- oder Internetversorgung wäre hierfür ein Beispiel. Unser Ansatz basiert darauf, Risiken zu verstehen, adäquat einzuschätzen und versicherbar zu machen. Munich Re bietet für Industriekunden Cyber-Deckungen mit hohen Deckungssummen. Modulare Cyber-Lösungen für Industriekunden reichen von klassischen Deckungen für Datenschutzverletzungen über Kostenübernahme für die Einbindung von Experten bei Cyber-Erpressungen bis hin zu Betriebsunterbrechungsdeckungen, einschließlich der Übernahme der Kosten für Forensik. Abhängig vom Risikoprofil unserer Kunden integrieren wir innovative Deckungskonzepte wie etwa Reputationsschadendeckung, Schutz für Personen- und Sachschäden oder Vertragsstrafen oder Garantiezahlungen, wo diese durch ein Cyber-Event ausgelöst werden. Die konkrete Lösung muss jeweils in engem Austausch mit den notwendigen Experten aus Erst- und Rückversicherung, Endkunden und externen Partnern erarbei-

Marktrisiko 39 tet werden, um ein gemeinsames Verständnis zu entwickeln, wie mit Cyber-Risiken umzugehen ist. Neben dem Risikotransfer als solchem umfasst dies insbesondere auch Services und Sicherheitsleistungen. RISKO MANAGER: Gibt es auch Ansätze für entsprechende Versicherungsprodukte für Privatpersonen? BK: Unsere Erstversicherungstöchter HSB und ERGO bieten Cyber-Versicherung auch für Privatpersonen an. Auf der Rückversicherungsseite entwickeln wir mit unseren Zedenten ebenso Deckungskonzepte in deren Private-Line-Segmenten. Diese umfassen z. B. den Diebstahl bzw. die Wiederherstellung von Daten, den finanziellen Schaden durch Kreditkartenmissbrauch, Cyber-Erpressung, bestimmte Risiken im Online Shopping bis hin zu Deckungen rund um das Thema Cyber Bullying/Mobbing. Gerade in Sozialen Netzwerken und insbesondere beim Umgang mit Fotos und persönlichen Informationen handelt es sich dabei um ein sehr sensibles Thema, das so gut wie jeden angeht. RISKO MANAGER: Von welchen Volumina an möglichen Schäden reden wir aktuell, und von welchen Zukunftsprognosen gehen Sie aus? BK: Munich Re schätzt das weltweite Prämienvolumen für Cyber-Versicherungen 2019 auf circa 6 Mrd. USD. Mit einem Marktanteil von ca. 10 Prozent nimmt die Munich Re eine führende Position ein. RISKO MANAGER: Beim Pricing dieser recht jungen Risikoklasse sind statistische Ansätze (aufgrund der kurzen Schadenshistorie) schwer einzusetzen. Können Sie andeuten, worauf sich die Prämienkalkulation aktuell stützt? CD: Richtig, bei der Ermittlung risikoadäquater Preise für Versicherungsverträge lassen sich Standardtechniken nicht so einfach anwenden. Die Modellierung des sich stetig verändernden Risikos bei Cyber ist nicht standardisiert möglich. Der bewährte Ansatz der Versicherungswirtschaft ein kleines Portfolio aufzubauen, über viele Jahre eigene Daten zu sammeln und anhand derer die künftige Risikoexposition abzuschätzen, ist nur zu einem gewissen Teil auch für Cyber möglich. Umso wichtiger ist es daher, interne und externe Datenquellen zu erschließen und System sowie Ansätze stetig weiterzuentwickeln. Die permanente Analyse von Daten muss zudem durch sehr spezifische Expertise in Aktuariat und Underwriting ergänzt werden, um Risiken sich ständig verändernder Technologien und der möglichen, daraus resultierenden Kumulrisiken zu verstehen und zu bewerten. Dazu verfolgt Munich Re einen integrierten Ansatz. Neben der eigenständigen Entwicklung und Analyse von Daten und Datensätzen sind Experten aus dem eigenen Haus aktiver Teil eines Ökosystems von Sicherheitsorganisationen und Technologieunternehmen. RISKO MANAGER: Welche Rolle kommt dem Vertragsdesign zu? BK: Konventionelle Policen sehen den Einschluss potenzieller Cyber-Risiken nicht vor. Unter Umständen ist somit nicht klar, inwieweit im Fall eines Cyber-Ereignisses Deckung besteht oder nicht. Cyber-Risiken könnten vom Vertrag gedeckt sein, ohne dass der Versicherer darauf eingestellt oder sich bewusst ist, ein solches Risiko eingegangen zu sein. Für Versicherer bedeutet dies, dass sie sich möglicherweise ohne ein entsprechendes Underwriting- und Kumul-Management gegenüber Cyber- Risiken exponieren. Das Ziel sollte sein, die Deckung von Cyber-Risiken „non-silent“ werden zu lassen, indem man für affirmative Cyber-Versicherungslösungen oder zumindest eine bewusste Deckung sorgt. Die stand-alone Cyber-Versicherungen sehen in der Regel eine kombinierte Erst- und Drittschadendeckung vor, häufig mit einem modularen Charakter. RISKO MANAGER: Klassifizieren Sie Ihre Kunden bzw. deren IT-Systeme in Risikoklassen und falls ja, wie wird dies gemacht? CD: Ja, wir klassifizieren potenzielle Versicherungsnehmer (VN) in Risikoklassen. Das sogenannte Risk Rating setzt sich aus zwei Dimensionen zusammen. Exposure: Hier klassifizieren wir Versicherungsnehmer anhand von verschiedenen Merkmalen wie Branche, Land, Firmengröße, Anzahl und Typ von verarbeiteten Daten, Kritikalität hinsichtlich Betriebsunterbrechung etc. Information-Security: Hier schätzen wir das Informations-Sicherheits-Level des Versicherungsnehmers ein, basierend auf Fragebögen oder Meetings mit dem Versicherungsnehmer (normiert auf den ISO 27001 Standard). Ein hoch exponiertes Unternehmen (z. B. Fortune500 oder DAX-Unternehmen) muss ein entsprechend hohes Niveau bei der Informationssicherheit haben, um ein gutes oder sehr gutes Risk Rating zu erhalten. Bei einem kleinen Unternehmen oder einem Mittelständler sind die Anforderungen deutlich niedriger. RISKO MANAGER: Das Thema CyberRisk wird bei der Munich Re sicherlich von einem interdisziplinären Team bearbeitet. Wie setzt sich dieses zusammen? CD: Wir haben in den letzten Jahren ein ganzes Ökosystem neu aufgebaut. Es besteht aus hochqualifizierten Aktuaren und Underwritern in den traditionellen Geschäftssparten, aus Silent-Cyber- und Cyber-Spezialisten, aus einem Netzwerk externer Technologieunternehmen, Start-ups und Dienstleistern. Dies umfasst zusammengenommen Experten für alle Bereiche, von der Prävention über die Schadenabwicklung bis zur Wiederherstellung der technischen Infrastruktur von Betroffenen. RISKO MANAGER: Auf Ihrer Webseite wirbt die Munich Re damit, als Rückversicherer mögliche Verlustszenarien gut einschätzen zu können. Wie könnten solche Szenarien aussehen, und wie wird deren Wahrscheinlichkeit ermittelt? BK: Schadsoftware-Angriffe auf tausende Unternehmen weltweit mit weitreichenden und kostspieligen Betriebsunterbrechungen, ein großangelegter Datendiebstahl, der hunderte Unternehmen gleichzeitig trifft und Datenschutzverletzungen im großen Stil umfasst, zählen zu den Hauptschadenszenarien im Bereich Cyber. Hinzu kommen Ausfälle von IT-Service-Providern wie Cloud-Dienstleistern und Cyber-Angriffe auf kritische Infrastrukturen wie die Strom- oder Internetversorgung. Bei der Ermittlung der Wahrscheinlichkeiten solcher Cyber-Kumule stehen wir vor der Herausforderung, aus statistischen Daten nur weniger Jahre, Erkenntnisse für Extremereignisse zu extrahieren/extrapo-

Erfolgreich kopiert!

RISIKO MANAGER

 

Copyright Risiko Manager © 2004-2017. All Rights Reserved.