« | Home | »

Rating von Cybersicherheit

Von Dr. Oliver Everling | 31.August 2019

Cyberversicherungen sind ein top Thema unserer Zeit. Wer am Straßenverkehr teilnimmt, muss zwingend über eine Haftpflichtversicherung verfügen und sichert sich in den meisten Fällen auch noch zusätzlich mit einer Teil – oder Vollkaskoversicherung ab. Wer sich am Datenverkehr im World-Wide-Web beteiligt, kann dies bis heute noch ohne jede Versicherung tun. 

Dabei sind die Risiken auch im Cyberspace nicht zu unterschätzen. Risikoerfassung, Risikoaufbereitung, Rating und Risikoevaluierung sowie die Absicherung von sogenannten Cyberrisiken bedarf profunder Kenntnisse. Zu den Kennern der Materie gehört Thomas Pache, Diplom-Ingenieur und Diplom-Wirtschaftsingenieur, der mit rund 25 Jahren Erfahrung in der industriellen und gewerblichen Haftpflichtversicherung sich als Cyberunderwriter der ersten Stunde und Mitglied der Projektgruppen Cyber-Versicherung und die IT-Haftpflicht des Gesamtverbands der Deutschen Versicherungswirtschaft dem Thema in einer neuen Buchpublikation zugewandt hat.

Wer sich mit Cyberversicherungen beschäftigt, hat schnell 100 Fragen, für die sich oft vergeblich Antworten im Internet suchen lassen. Verlässliche Antworten will nun Thomas Pache in seinem Buch mit dem Titel “100 Fragen rund um Cyberversicherungen” geben. Sein Buch erscheint bei der VVW GmbH in Karlsruhe. Schon der Buchtitel lässt vermuten, dass es sich hier nicht um ein wissenschaftliches Werk mit vielen Fußnoten und Verweisen auf Paragraphen handelt, sondern um ein Handbuch, das Praktikern in der Beratung und Anwendung hilft.

Pache lässt es aber nicht an Genauigkeit erübrigen, sondern führt auch in die Fachterminologie ein. Ein Stichwortverzeichnis hilft, schnell Definitionen zu Fachbegriffen zu finden, die in manchen Antworten verwendet werden. So ist das Buch auch ein Nachschlagewerk mit Lexikoncharakter, das auf 142 Seiten den Leser befähigt, in der Branche mitzureden. Das Buch ist aber nicht nur für diejenigen interessant, die sich ein besseres Begriffsverständnis wünschen, sondern auch für jene, die sich unter Begriffen wie act Committed, Authentizitätsverletzung, Beteiligungskumul, Cryptomining, Integralfranchise, Kritis, Ransomware, Resilienz, Vorwärtsdeckung oder Zentralisierungsgrad bereits etwas vorstellen können und denen eine Fülle nötiger Abkürzungen wie BSI, DDoS, DRP, EnWG, ILF, ITIL, PCI-DDS oder VdS 3473 schon geläufig sind. 

Unter einer Cyberrisikenversicherung versteht Pache eine um Krisenreaktions-(Assistence-) Dienstleistungen gruppierte (überspartliche) Vermögensschadenversicherung mit Dritt- und Eigenschadenkomponenten für Schadenfälle aufgrund eintretender oder vermuteter Informationssicherheitsverletzungen (Datenschutz-, Datensicherheits- oder ITK-Systemsicherheitsverletzungen).

Die Cyberversicherung ist derzeit keine eigene Sparte im Sinne der Anlage 1 des Versicherungsaufsichtsgesetzes. Da Paragraph 8 des Versicherungsaufsichtsgesetzes hierauf verweist, ergibt sich zwangsläufig, dass Versicherer, die eine Cyberversicherung anbieten wollen, die Zulassung zum Geschäftsbetrieb für sämtliche von dieser Cyberversicherung umfassten Spartenrisiken gemäß Anlage 1 besitzen müssen. Das Silent Cyber Risk betrifft Versicherungsfälle in traditionellen Sparten, welche ihre Ursache in sich verwirklichenden Cyberrisiken haben. Eine Ursache kann gleich eine Reihe verschiedenster Versicherungen betreffen und somit zu bislang nicht berücksichtigten Kumulen für Versicherer und Rückversicherer führen. Das Buch von Thomas Pache betrifft somit praktisch jeden, der in der Versicherungsbranche tätig ist, gleich, ob es um Kfz-Versicherung, Feuer- und Sachversicherung, technische Versicherung oder Lebensversicherung geht.

Das Buch vermittelt nicht nur das erforderliche Fachwissen, um bei Fragen zu Cyberversicherungen mitreden zu können. Pache gibt an vielen Stellen auch konkrete Anleitungen für Versicherer und Makler, wie sie bestimmte Fragen im Kundengespräch angehen können. Eine der ersten Fragen im Gespräch mit potenziellen Cyberversicherungsneukunden, aber auch mit Maklern, die sich bis dato nicht näher mit dieser neuen Sparte befasst haben, laute in etwa wie folgt: “Wir haben doch schon die XY-Versicherung – ist das Risiko dort nicht schon versichert?” Aufgrund der Zielrichtung von Cyberversicherungen seien potentielle Doppelversicherungen mit traditionellen Spartenpolicen zwar bereits minimiert, sollte es dennoch zu einer Doppelversicherung kommen, so dürfte die Vorrangigkeit der Cyberversicherung in der Regel dazu führen, dass diese als erste leiste, so Pache.

Macht die Nutzung von Cybersicherheitsratingagenturen Sinn? Pache gibt darauf eine differenzierte Antwort, denn die meist technisch orientierten Risikoingenieure und IT-Sicherheitsfachleute stehen solchen entgeltlich angebotenen Diensten teils kritisch gegenüber. Manche Entscheider auf Versicherungsseite können sich hier doch nach Feststellung von Pache – “meist proportional zu ihrer Entfernung von der Thematik” – für diese Internet-Sicherheitsratingagenturen begeistern, bieten diese doch in der Regel eine auf Noten und Farben basierte Ampelbewertung, meist sogar in Form einer einfach zu lesenden Management-Summary. Pache positioniert sich daher zwischen glühenden Verfechtern und Gegnern der Ratingtools. Aus Sicht des Autors ist die Nutzung solcher Dienste grundsätzlich sinnvoll, da sie zum einen als Außensicht auf das zu versichernde Risiko eine nicht zu unterschätzende vertriebliche Wirkung entfalten und zum anderen Ansatzpunkte für eventuelle Nachfragen des Underwriters liefern können. Die sinnvolle Nutzung setze jedoch voraus, dass die Nutzer in Bedienung und Interpretation der Ergebnisse geschult seien, um die gelieferten Ergebnisse aus Underwriting-Sicht fachgerecht interpretieren zu können.

Obwohl sich die von Pache aufgeworfenen Fragen unabhängig voneinander stellen und sich das Buch somit insbesondere als Nachschlagewerk eignet, ist der Text auch eine kurzweilige Lektüre, wenn man das Buch von Anfang bis Ende liest, da Fragen und Antworten inhaltlich sich vielfach jeweils zu folgenden Fragen und Antworten verknüpfen. Außerdem lockern Grafiken, Tabellen und Diagramme den Text auf und machen das Lesen zur kurzweiligen Lektüre.

Themen: Bücher, Cybersicherheitsrating, Rezensionen | Kein Kommentar »

Kommentare

Sie müssen eingelogged sein um einen Kommentar zu posten.

  • Dr. Oliver Everling

    Dr. Oliver Everling ist Geschäftsführer der RATING EVIDENCE GmbH in Frankfurt am Main.

    Als Gesellschafter, Beirat, Aufsichtsrat, Independent Non-Executive Director nach der EU-Verordnung über Ratingagenturen, Mitglied von Ratingkommissionen, Chairman des ISO-TC "Rating Services", Gastprofessor der CUEB in Peking und zum Beispiel als Herausgeber von mehr als 50 Büchern war oder ist er mit Ratingfragen befasst.

    Nach Promotion am Bankseminar der Universität zu Köln war Dr. Oliver Everling Referent des Arbeitskreises Rating der WM Gruppe und ab 1991 Geschäftsführer der Projektgesellschaft Rating mbH sowie von 1993 bis 1998 Abteilungsdirektor und Referatsleiter in der Dresdner Bank.