Cyber-Risiken werden bisher nur ausschnittsweise und begrenzt über die bestehenden Haftpflicht-, Sach- oder Vertrauensschadenversicherungen abgedeckt. Der Versicherungsschutz für Cyber-Risiken in diesen Sparten ist unzureichend, da
■ die Versicherungsfalldefinition Cyber-Vorfälle nicht erfasst
■ oder Ausschlüsse einschlägig sind und
■ im Schadenfall stets mehrere Versicherer zu involvieren wären.
Im Folgenden wird als Teil 3 unserer Serie zur Cyber-Versicherung das Verhältnis zu den Sach-Versicherungssparten beschrieben:
Sach-Versicherungen (d.h. Feuer, Elektronik- oder Maschinenversicherungen) gehören zu den Standard-Versicherungen, die in jedem Unternehmen vorhanden sind. Insbesondere ohne eine Feuer-Versicherung wird kein Unternehmen auskommen. In allen Sachversicherungen wird der Versicherungsfall als ein Sachschaden definiert, d.h. der Versicherer entschädigt nur, wenn Sachen durch Eingriff in die Sachsubstanz zerstört oder beschädigt werden und zwar auch, wenn diese eine Folge eines Cyber-Angriffes wäre.
Ein Cyber-Vorfall und die damit verbundenen Kosten lösen unmittelbar in der Regel keine Eingriffe in die Sachsubstanz aus. Diese Vorfälle sind zumeist nur Vermögens- und keine Sachschäden. Unter den Sachversicherungen besteht daher in aller Regel kein Versicherungsschutz für Cyber-Schäden.
Damit ist die Abgrenzung zwischen der Cyber-Versicherung und den Sach-Versicherungen eigentlich einfach: Beide Versicherungen überschneiden sich nicht. Der Vollständigkeit halber sei erwähnt, dass es ohne versicherten Sachschaden auch keine Deckung für einen BU-Schaden gibt!
Allerdings gibt es Bestrebungen der Versicherer in den Sach-Versicherungen klarzustellen, inwieweit Sachschäden, die durch Cyber-Angriffe entstehen tatsächlich auch in den Sach-Versicherungs-Deckungen abgesichert sind. Auf Seiten der Versicherer herrscht Unsicherheit darüber, ob Versicherungsverträge außerhalb der Sparte Cyber über die bisherigen Bedingungswerke und Gefahrendefinitionen – aus Sicht der Versicherer möglicherweise unbemerkt und ungewollt – Schäden durch Hacker & Co decken. „Silent“ ist hier nicht im Sinne von „still“ zu verstehen, sondern als ein Sachverhalt, der sich implizit ohne ausdrückliche Erwähnung oder Erläuterung ergibt, also „undeclared“. Betroffen sind zum einen sämtliche Versicherungssparten, die in ihrer Definition des Versicherungsfalles auf ein Allgefahrenkonzept aufbauen und keinen ausdrücklichen Ausschluss für Cyber-Gefahren beinhalten.
Doch auch in den Deckungen auf der Basis sog. „benannter Gefahren“ kann das Cyber- Risiko schlummern. Beispiel: Feuerversicherung - Brand ist ein Feuer, das ohne einen bestimmungsgemäßen Herd entstanden ist oder diesen verlassen hat und sich aus eigener Kraft auszubreiten vermag. Durch einen Hackerangriff oder das Einspielen von Schadsoftware in beispielsweise maschinelle Steuerungsanlage können Steuerungsbefehle so manipuliert werden, dass es etwa zu Kurzschlüssen oder Überhitzungen kommt, die ein Feuer auslösen. Der Brandbegriff dürfte als erfüllt anzusehen sein.
Denn die altbekannten Gefahrendefinitionen sind noch nicht angepasst an die neuen Risiken aus der vierten industriellen Revolution. Cyber-Risiken wurden bisher allenfalls in Verbindung mit der Kommunikations-IT gesehen. Doch das Internet der Dinge (sog. „Internet of Things“, „IoT“, auch „Allesnetz“) ist da: wir haben und nutzten die Technologie einer globalen Infrastruktur, die es ermöglicht, physische und virtuelle Einheiten miteinander zu vernetzen. Roboter werden in allen erdenklichen Bereichen eingesetzt, sie operieren nicht länger in isolierten und zweckindividuell konzipierten Schutzräumen, auf Distanz zu der realen Welt. In Zeiten von Industrie 4.0 arbeiten Mensch und Roboter Hand in „Hand“. In der Fabrik der Zukunft wird sich die Trennung zwischen automatisierten und manuellen Arbeitsplätze immer weiter verwischen, Menschen und Roboter arbeiten als „hybride Teams“ kollaborativ zusammen. Cyber-Risiken sind damit nun endgültig aus der virtuellen Welt in die Welt der Sachen und Personen übergetreten, die ihnen charakteristischen Schadenszenarien schließen Sach- und Personenschäden nun mit ein.
Die aktuelle Herausforderung für die Versicherungswirtschaft: die Grundlagen der Risikoeinschätzung und Prämienkalkulation bei den Versicherern dürften diese neuen Risiken in der Regel noch nicht angemessen berücksichtigen. Fragebögen, Tarifmerkmale, kurzum: die Underwriting-Tools sind noch nicht auf die neue Welt eingestellt. Konkrete Schadenerfahrungen liegen noch nicht in ausreichender Anzahl vor; Schäden werden möglicherweise nicht bewusst als Verwirklichung einer Cyber-Gefahr erkannt oder können, falls dies doch gelingt, wegen fehlender Schadenursachenschlüssel noch nicht zielführend aggregiert und ausgewertet werden.
Das Thema ist für Versicherer nun deshalb besonders sensibel, weil Cyber-Risiken sehr leicht einen Hang zum Kumul aufweisen. Und die in den Beständen der Versicherer möglicherweise schlummernden Cyber-Risiken ohne adäquate Steuerungsmechanismen noch keiner Kumulkontrolle unterliegen. Erschwerend kommt hinzu: Cyber kumuliert global. Während sich beispielsweise in den Sachversicherungssparten das Kumulrisiko der alten Welt typischerweise in einer regional begrenzten Ausprägung zeigt, etwa in Form von Erdbeben oder Überschwemmungen. Diese und ähnliche Szenarien sind über Ausschlüsse oder auf bestimmte Gefahren bezogenen Sublimits aus Underwriting-Sicht gut beherrschbar und werden durch die Versicherer aktuell sehr genau kontrolliert und gesteuert. Doch anders als Naturgefahren haben Cyber-Kriminelle weltweite Reichweite, das Internet der Dinge ist weltweit vernetzt – das Kumulrisiko über das Einfallstor Cyber ist um ein Vielfaches höher als bei konventionell versicherten Gefahren, was den Handlungsdruck der Gesellschaften verschärft.
Hier muss sehr genau betrachtet werden, an welcher Stelle eingegriffen wird: wird es zur Formulierung von Ausschlüssen kommen?
Fazit: Es ist davon auszugehen, dass Cyber-Risiken einen immer größeren Stellenwert im Risiko- und Versicherungsmanagement einnehmen werden. Die Bewertung und Bewältigung dieser Risiken stellt neue Anforderungen, deren Entwicklung noch in den Kinderschuhen stecken. Unternehmensleiter müssen sich mit den Aspekten der IT-Sicherheit und des Risikotransfers qualifiziert beschäftigen und Maßnahmen festlegen, um nicht selber in eine Haftungssituation zu geraten.