« | Home | »

Rating von Cybersicherheit

Von Dr. Oliver Everling | 31.August 2019

Cyberversicherungen sind ein top Thema unserer Zeit. Wer am Straßenverkehr teilnimmt, muss zwingend über eine Haftpflichtversicherung verfügen und sichert sich in den meisten Fällen auch noch zusätzlich mit einer Teil – oder Vollkaskoversicherung ab. Wer sich am Datenverkehr im World-Wide-Web beteiligt, kann dies bis heute noch ohne jede Versicherung tun. 

Dabei sind die Risiken auch im Cyberspace nicht zu unterschätzen. Risikoerfassung, Risikoaufbereitung, Rating und Risikoevaluierung sowie die Absicherung von sogenannten Cyberrisiken bedarf profunder Kenntnisse. Zu den Kennern der Materie gehört Thomas Pache, Diplom-Ingenieur und Diplom-Wirtschaftsingenieur, der mit rund 25 Jahren Erfahrung in der industriellen und gewerblichen Haftpflichtversicherung sich als Cyberunderwriter der ersten Stunde und Mitglied der Projektgruppen Cyber-Versicherung und die IT-Haftpflicht des Gesamtverbands der Deutschen Versicherungswirtschaft dem Thema in einer neuen Buchpublikation zugewandt hat.

Wer sich mit Cyberversicherungen beschäftigt, hat schnell 100 Fragen, für die sich oft vergeblich Antworten im Internet suchen lassen. Verlässliche Antworten will nun Thomas Pache in seinem Buch mit dem Titel “100 Fragen rund um Cyberversicherungen” geben. Sein Buch erscheint bei der VVW GmbH in Karlsruhe. Schon der Buchtitel lässt vermuten, dass es sich hier nicht um ein wissenschaftliches Werk mit vielen Fußnoten und Verweisen auf Paragraphen handelt, sondern um ein Handbuch, das Praktikern in der Beratung und Anwendung hilft.

Pache lässt es aber nicht an Genauigkeit erübrigen, sondern führt auch in die Fachterminologie ein. Ein Stichwortverzeichnis hilft, schnell Definitionen zu Fachbegriffen zu finden, die in manchen Antworten verwendet werden. So ist das Buch auch ein Nachschlagewerk mit Lexikoncharakter, das auf 142 Seiten den Leser befähigt, in der Branche mitzureden. Das Buch ist aber nicht nur für diejenigen interessant, die sich ein besseres Begriffsverständnis wünschen, sondern auch für jene, die sich unter Begriffen wie act Committed, Authentizitätsverletzung, Beteiligungskumul, Cryptomining, Integralfranchise, Kritis, Ransomware, Resilienz, Vorwärtsdeckung oder Zentralisierungsgrad bereits etwas vorstellen können und denen eine Fülle nötiger Abkürzungen wie BSI, DDoS, DRP, EnWG, ILF, ITIL, PCI-DDS oder VdS 3473 schon geläufig sind. 

Unter einer Cyberrisikenversicherung versteht Pache eine um Krisenreaktions-(Assistence-) Dienstleistungen gruppierte (überspartliche) Vermögensschadenversicherung mit Dritt- und Eigenschadenkomponenten für Schadenfälle aufgrund eintretender oder vermuteter Informationssicherheitsverletzungen (Datenschutz-, Datensicherheits- oder ITK-Systemsicherheitsverletzungen).

Die Cyberversicherung ist derzeit keine eigene Sparte im Sinne der Anlage 1 des Versicherungsaufsichtsgesetzes. Da Paragraph 8 des Versicherungsaufsichtsgesetzes hierauf verweist, ergibt sich zwangsläufig, dass Versicherer, die eine Cyberversicherung anbieten wollen, die Zulassung zum Geschäftsbetrieb für sämtliche von dieser Cyberversicherung umfassten Spartenrisiken gemäß Anlage 1 besitzen müssen. Das Silent Cyber Risk betrifft Versicherungsfälle in traditionellen Sparten, welche ihre Ursache in sich verwirklichenden Cyberrisiken haben. Eine Ursache kann gleich eine Reihe verschiedenster Versicherungen betreffen und somit zu bislang nicht berücksichtigten Kumulen für Versicherer und Rückversicherer führen. Das Buch von Thomas Pache betrifft somit praktisch jeden, der in der Versicherungsbranche tätig ist, gleich, ob es um Kfz-Versicherung, Feuer- und Sachversicherung, technische Versicherung oder Lebensversicherung geht.

Das Buch vermittelt nicht nur das erforderliche Fachwissen, um bei Fragen zu Cyberversicherungen mitreden zu können. Pache gibt an vielen Stellen auch konkrete Anleitungen für Versicherer und Makler, wie sie bestimmte Fragen im Kundengespräch angehen können. Eine der ersten Fragen im Gespräch mit potenziellen Cyberversicherungsneukunden, aber auch mit Maklern, die sich bis dato nicht näher mit dieser neuen Sparte befasst haben, laute in etwa wie folgt: “Wir haben doch schon die XY-Versicherung – ist das Risiko dort nicht schon versichert?” Aufgrund der Zielrichtung von Cyberversicherungen seien potentielle Doppelversicherungen mit traditionellen Spartenpolicen zwar bereits minimiert, sollte es dennoch zu einer Doppelversicherung kommen, so dürfte die Vorrangigkeit der Cyberversicherung in der Regel dazu führen, dass diese als erste leiste, so Pache.

Macht die Nutzung von Cybersicherheitsratingagenturen Sinn? Pache gibt darauf eine differenzierte Antwort, denn die meist technisch orientierten Risikoingenieure und IT-Sicherheitsfachleute stehen solchen entgeltlich angebotenen Diensten teils kritisch gegenüber. Manche Entscheider auf Versicherungsseite können sich hier doch nach Feststellung von Pache – “meist proportional zu ihrer Entfernung von der Thematik” – für diese Internet-Sicherheitsratingagenturen begeistern, bieten diese doch in der Regel eine auf Noten und Farben basierte Ampelbewertung, meist sogar in Form einer einfach zu lesenden Management-Summary. Pache positioniert sich daher zwischen glühenden Verfechtern und Gegnern der Ratingtools. Aus Sicht des Autors ist die Nutzung solcher Dienste grundsätzlich sinnvoll, da sie zum einen als Außensicht auf das zu versichernde Risiko eine nicht zu unterschätzende vertriebliche Wirkung entfalten und zum anderen Ansatzpunkte für eventuelle Nachfragen des Underwriters liefern können. Die sinnvolle Nutzung setze jedoch voraus, dass die Nutzer in Bedienung und Interpretation der Ergebnisse geschult seien, um die gelieferten Ergebnisse aus Underwriting-Sicht fachgerecht interpretieren zu können.

Obwohl sich die von Pache aufgeworfenen Fragen unabhängig voneinander stellen und sich das Buch somit insbesondere als Nachschlagewerk eignet, ist der Text auch eine kurzweilige Lektüre, wenn man das Buch von Anfang bis Ende liest, da Fragen und Antworten inhaltlich sich vielfach jeweils zu folgenden Fragen und Antworten verknüpfen. Außerdem lockern Grafiken, Tabellen und Diagramme den Text auf und machen das Lesen zur kurzweiligen Lektüre.

Themen: Bücher, Cybersicherheitsrating, Rezensionen | Kein Kommentar »

Kommentare

Sie müssen eingelogged sein um einen Kommentar zu posten.

  • Die meisten Unternehmen messen ihre Erfolge auch heute noch in Währungseinheiten, in Euro oder Dollar zum Beispiel. Dabei lassen sich die Einflussfaktoren des Erfolgs nicht allein an einer Zahl abbilden. Zur Steuerung von Investitionen reicht es einerseits nicht aus, Investitionen lediglich zu beschreiben, andererseits sind viele Umstände nicht kardinal zu skalieren. Klassifizierungen mit Ratingskalen sind daher eine Methode, mehr Transparenz für praktische Entscheidungen zu schaffen. Seit Ende der 1980er Jahre arbeiten wir daran und deshalb gibt es seit 1998 diesen Blog. RATING EVIDENCE GmbH - Wofür wir stehen: Es ist unser Anspruch, Werte zu schaffen, indem wir den Nutzen von Ratings erschließen.