Der Markt für Cyberversicherungen wächst, weiter befeuert durch einen stetig an Geschwindigkeit zunehmenden Fortschritt in allen Bereichen der Digitalisierung. Dadurch wird es für alle Marktteilnehmer der Versicherungswirtschaft (Erstversicherer, Rückversicherer und auch Versicherungsnehmer) immer wichtiger, sich mit diesen Themen zu befassen.
Allein in den letzten zwei Jahren hat sich die weltweite Schadensumme verdoppelt und beträgt nun etwa 1.000 Milliarden USD. Eine gewaltige Summe, die sich auch in den immer häufiger auftretenden Medienberichten zu Cyberattacken und ihren Auswirkungen widerspiegelt.

Aus Perspektive der Risikomodellierung ist das Feld der Cyberversicherung spannend. Im Vergleich zu klassischen Branchen wie Leben, Renten, Komposit oder auch Katastrophenrisiken herrschen auf dem Cybermarkt völlig neue Gesetzmäßigkeiten. Die klassischen Branchen vereint, dass Rechnungsgrundlagen aller Ordnungen bekannt und mit ausreichend historischen Daten belegbar sind. Basierend darauf können Trends untersucht und interpoliert werden.

Geht man einen Schritt tiefer ins Detail und betrachtet die Modellierung von Katastrophenrisiken, so gibt es klar zu definierende Herausforderungen. Definitionen von Szenarien, zugehörigen Korrelationen, Einschätzung von Kumul-Risiken und die Berücksichtigung von Trends durch zum Beispiel Klimawandel und anderem sind hier klarer Bestandteil. Sie basieren auf bekannten Gesetzen wie räumlicher Nähe, geographischer Lage, Klimazonen, Risikogebieten und anderen bekannten Faktoren, für die es belastbare historische Daten gibt.

Im Cyberumfeld sind diese Gesetzmäßigkeiten noch unbekannt. Betrachtet man Einzelrisiken, so lassen sich Aussagen über verwendete Sicherheitsmechanismen oder Infrastruktur treffen, um das Risiko an sich bewertbar zu machen. Analysen an dieser Stelle sind aufwändig und Ergebnisse veralten schnell, da mit dem nächsten Update eine neue mögliche Sicherheitslücke entstehen oder beseitigt sein kann. Wenn die Betrachtung eines einzelnen Risikos schon so komplex ist, wie verhält es sich dann erst bei einem ganzen Portfolio, also vielen einzelnen Risiken? Die Korrelationen durch ähnliche Infrastrukturen oder Security-Anwendungen, die verwendet werden, lassen die Analyse schnell um ein Vielfaches komplexer werden. Es stellen sich grundsätzliche Fragen zur Quantifizierung:

  • Wie genau definiere ich als Versicherer ein Cyberrisiko?
  • Wie kann ich ein solches Risiko quantifizieren?
  • Welche Hintergrundinformationen kann ich sinnvoll in eine Betrachtung und Bewertung einbeziehen?
  • Wie bewerte ich produktionsrelevante Infrastruktur? Wenn die Infrastruktur, die von mehreren Exposures in meinem Portfolio genutzt wird, ausfällt, mit welchen Quoten wird es mein Portfolio treffen? Kann ich vorher beurteilen, wie stark die Last ist?

Mit der Kenntnis der Risikomodellierung aus den traditionellen Sparten lassen sich darüber hinaus noch konkretere Fragestellungen herausarbeiten:

  1. Welche Schadenbilder resultieren aus welchen Szenarien? Lassen sich Schadenbilder clustern?
  2. Wie bekomme ich technisches Know-how für eine mögliche Risikomodellierung aufbereitet?
  3. Mit welchen gängigen Modellen kann ich an welchen Stellen Modellierungsansätze generieren? Gibt es Unterstützermechanismen bei einer Risikomodellierung?

Fragen, mit denen wir uns in den nächsten Blogbeiträgen intensiver beschäftigen wollen. Dabei würden wir uns auch freuen, wenn wir hiermit zur laufenden Marktdiskussion zur Herausforderung Cyber Risk Modelling beitragen oder neue Anregungen schaffen, die über den klassischen Tellerrand der mathematischen Risikomodellierung hinausgehen – Cyberrisiken brauchen neue Ansätze.

Kommen Sie auf uns zu – wir freuen uns auf Sie.

Gastautoren: Matthias Blum, David Oliver Michalski

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Verwandte Artikel