Im Zuge der globalen Digitalisierung nehmen Häufigkeit, Schwere und Raffinesse von Cybervorfällen ebenso zu wie die Abhängigkeit von Technologie. Schwachstellen und Gefährdungen vervielfachen sich aufgrund einer stärkeren Vernetzung, wodurch umfangreiche, systemische Risiken entstehen, die zunehmen und nicht leicht zu erkennen sind.
Die Kombination dieser systemischen Risikodimensionen mit potenziell schwerwiegenden und weitreichenden Folgen schafft die Möglichkeit einer Cyberkatastrophe. Ähnlich wie bei Pandemien können Cybervorfälle Verluste verursachen, die weder zeitlich noch geografisch begrenzt sind. Und dies ist keine theoretische Frage mehr - Cyberkriminelle haben bereits bewiesen, dass sie in der Lage sind, die Lieferketten von Unternehmen auf der ganzen Welt zu unterbrechen und kritische Infrastrukturen lahmzulegen. Angesichts der jüngsten Cybervorfälle, die wirtschaftliche Verluste in Milliardenhöhe verursacht haben, ist es nicht schwer, sich einen katastrophalen Angriff vorzustellen, der die Bilanzkapazität der Versicherungsbranche auf die Probe stellen könnte.
Risiken im Zusammenhang mit Sachschäden, zum Beispiel infolge eines Gebäudebrands, haben in den meisten Fällen nur begrenzte Auswirkungen und betreffen oft nur Einzelne. Bei weitverbreitenden Ereignissen wie beispielsweise Erdbeben können jedoch viele Versicherungsnehmer gleichzeitig betroffen sein. Versicherer gehen mit solchen weitverbreitenden Ereignissen anders um, da solche Ereignisse zu hohen Kumulschäden führen können. So sind Erdbebenschäden nicht in den obligatorischen Elementar- und Feuerversicherungen versichert und müssen separat über private Versicherungsdeckungen mit eigenen Limiten eingekauft werden. In den vergangenen Jahren hat sich gezeigt, dass sich auf Cyberrisiken ähnliche Sachschaden-Risikokonzepte anwenden lassen.
Weitreichende Ereignisse wie die Erpressungssoftware NotPetya, der Software-Lieferketten-Exploit Solorigate und die Zero-Day Schwachstelle Hafnium waren Beispiele dafür, inwieweit sich ein einzelnes Cyberereignis auf eine Vielzahl von Versicherungsnehmer auswirken kann. Bisher ist es noch nicht vorgekommen, dass sich Versicherer in diesen Fällen ausserstande sahen, für die Schäden aufzukommen. Doch die Möglichkeit, dass ein weitverbreitetes Cyberereignis erheblichen finanziellen Schaden anrichtet, sollte nicht unterschätzt werden.
Bei den von Chubb angebotenen Cyberversicherungen wird hinsichtlich der Auswirkungen von Ereignissen zwischen zwei Kategorien unterschieden. Alle Cyber-Ereignisse werden entweder als «Limited Impact Events», Ereignisse mit begrenzten Auswirkungen, oder als «Widespread Events», also Ereignisse weitverbreiteter Art, eingestuft. Wo liegt der Unterschied zwischen den beiden Ereignissen?
Ein Cybervorfall, der als «Limited Impact Event» eingestuft wird, hat Auswirkungen auf das eigene Unternehmen sowie auch andere Unternehmen, die in einer bestimmten Beziehung dazu stehen. Zusammen bilden sie eine «Limited Impact Group». Ein typisches Beispiel für einen «Limited Impact Event» sind «Einzeltaten» von Cyberkriminellen, von denen nur ein Unternehmen und seine Geschäftspartner betroffen sind. Anders sieht es bei weitverbreiteten Ereignissen aus. Bei diesen Ereignissen stehen die betroffenen Unternehmen in keinerlei Beziehung zueinander. Wenn nun durch einen weitverbreitenden Auslöser ein Cyberangriff freigesetzt wird, von dem auch Unternehmen ausserhalb der «Limited Impact Group» des eigenen Unternehmens bei gleichem Ereignis betroffen sind, handelt es sich um ein weitverbreitetes Ereignis. In diesem Fall ist der Auslöser die Einzeltat der Cyberkriminellen, die eine weitverbreitete Auswirkung auf viele untereinander unabhängige Unternehmen hat. Eine Cyberkatastrophe mit dem Potenzial, die Zahlungsfähigkeit des Versicherungsmarktes zu erschöpfen, nimmt seinen Lauf.
In Anbetracht der Häufigkeit und Raffinesse der weltweiten Cybervorfälle gilt es für die Versicherungsbranche mehr denn je, einen Versicherungsschutz anzubieten, der einerseits Versicherungsnehmer absichert, andererseits auch die langfristige Stabilität des Cyber-Versicherungsmarkts gewährleistet. Chubb bietet deshalb Deckungsbausteine mit dediziertem Fokus zu weitverbreiteten Ereignissen parallel zur Standarddeckung an.