In dieser Arbeit werden die Wahrnehmung, das Management und die zukünftige Entwicklung von Silent-Cyber-Risiken in der deutschen Versicherungswirtschaft untersucht. Da das Thema neu und vielschichtig ist und bislang wenig wissenschaftlich erforscht wurde, werden Interviews mit Experten aus der deutschen Versicherungsindustrie durchgeführt, die mithilfe der qualitativen Inhaltsanalyse nach Kuckartz ausgewertet werden. Die Ergebnisse zeigen, dass die Wahrnehmung von Silent-Cyber-Risiken unterschiedlich ist. Besonders die Corona-Pandemie hat dafür gesorgt, dass die Versicherer den Fokus nicht mehr auf dieses Risiko richten. Des Weiteren zeigt sich, dass einige Sparten als exponiert betrachtet werden, wobei zukünftig neue Sparten hinzukommen können. Ein einheitlicher Umsetzungsstand zum Management von Silent-Cyber-Risiken ist bei den Versicherungsunternehmen nicht erkennbar. Vielmehr sind in diesem Kontext Quantifizierungsschwierigkeiten zu beobachten. Diese haben zur Folge, dass Maßnahmen wie ein akkurates Pricing aktuell schwer umsetz-bar sind. Versicherer greifen infolgedessen zu Ausschlüssen sowie zu möglichen Writebacks. Die Frage nach dem zukünftigen versicherungstechnischen Umgang mit Silent-Cyber-Risiken scheint offen zu sein. Da sich die Versicherungswirtschaft im Hinblick auf den Umgang mit Silent-Cyber-Risiken noch im Anfangsstadium befindet, könnten in weiteren Forschungen mit zeitlichem Ab-stand die Entwicklungen des Managements und das Vorhandensein von Silent-Cyber-Risiken analysiert werden.
Inhaltsverzeichnis
1 Einleitung
1.1 Motivation
1.2 Zielsetzung und Aufbau
2 Theoretische Grundlagen
2.1 Begrifflichkeiten
2.1.1 Cyber-Risiko
2.1.1.1 Definition
2.1.1.2 Abgrenzung zu IT- und Informationssicherheitsrisiken
2.1.1.3 Silent-Cyber-Risiken
2.1.1.4 Ursache-Wirkungs-Modell
2.1.2 Cyber-Risikomanagement
2.1.2.1 Identifikation
2.1.2.2 Analyse und Bewertung
2.1.2.3 Bewältigung, Steuerung und Überwachung
2.1.3 Cyber-Versicherung
2.2 Analyse Cyber-Versicherungsmarkt
2.2.1 Marktüberblick Deutschland
2.2.2 Hemmnisse für die Marktentwicklung
2.2.2.1 Marktbarrieren auf der Angebotsseite
2.2.2.2 Marktbarrieren auf der Nachfrageseite
2.2.3 Positive Einflussfaktoren und Lösungsansätze
3 Herausforderung Silent-Cyber-Risiken
3.1 Fallbeispiel Mondelez
3.2 Deutsche Rechtsprechung und Versicherungsaufsicht
3.3 Aktueller Forschungsstand
4 Darstellung der Forschungsergebnisse
4.1 Grundlagen
4.1.1 Definition
4.1.2 Ursachen und Treiber für die Entstehung
4.2 Wahrnehmung in der Versicherungswirtschaft
4.3 Gefahrenpotenziale in den Sparten
4.3.1 Betroffene Sparten und Exponierungen
4.3.2 Schäden
4.4 Silent-Cyber-Risikomanagement
4.4.1 Risikoidentifikation
4.4.2 Risikoanalyse und -bewertung
4.4.3 Risikobewältigung und -steuerung
4.4.3.1 Wordings
4.4.3.2 Pricing
4.4.3.3 Kumulmanagementmaßnahmen
4.4.4 Risikoüberwachung
4.5 Erst- und Rückversicherung
4.5.1 Auswirkungen und Risiken
4.5.2 Chancen
4.5.3 Kooperationsmöglichkeiten
4.5.4 Initiativen
4.6 Versicherungsnehmerperspektive
4.6.1 Wahrnehmung
4.6.2 Auswirkungen
4.7 Regulierung und Rechtsprechung
4.7.1 Versicherungsaufsichtsperspektive
4.7.2 Herausforderungen für Versicherer
4.7.3 Rechtsprechungen und Verfahren
4.7.4 Involvierung staatlicher Institutionen
4.8 Zukunftsaussichten
4.8.1 Versicherungstechnische Entwicklung des Risikos
4.8.2 Zeitliche Entwicklung des Risikos
5 Diskussion
5.1 Wahrnehmung in der Versicherungswirtschaft
5.2 Einschätzung der Gefahrenpotenziale in den Sparten
5.3 Silent-Cyber-Risikomanagement
5.4 Kooperationsmöglichkeiten zwischen Versicherern
5.5 Zukünftige Entwicklung von Silent-Cyber-Risiken
5.6 Implikationen und Limitationen der Studie
6 Fazit
Zielsetzung & Themen
Die vorliegende Masterarbeit untersucht die Wahrnehmung, das Management und die zukünftige Entwicklung von Silent-Cyber-Risiken innerhalb der deutschen Versicherungswirtschaft, um Wissenslücken in diesem explorativen Themengebiet zu schließen und Handlungsempfehlungen für Versicherungsunternehmen abzuleiten.
- Status quo der Wahrnehmung von Silent-Cyber-Risiken
- Einschätzung von Gefahrenpotenzialen in verschiedenen Versicherungssparten
- Analyse der Risikomanagementmaßnahmen bei Versicherern
- Kooperationsmöglichkeiten zwischen Erst- und Rückversicherern
- Prognose zur künftigen Entwicklung der Silent-Cyber-Problematik
Auszug aus dem Buch
3.1 Fallbeispiel Mondelez
Im Oktober 2018 reichte der Lebensmittelkonzern Mondelez International, Incorporated (Mondelez) in den USA eine Klage gegen die Zurich American Insurance Company (Zurich) ein,201 was zur Folge hatte, dass das Phänomen Silent-Cyber-Risiko ein heikles Thema in der Versicherungsbranche wurde. Neben Mondelez gibt es weitere Beispiele für Silent-Cyber-Verluste wie den Cyber-Angriff auf das US-amerikanische Pharmaunternehmen Merck & Co.202 Da es aber über den Fall Mondelez mehr Informationen gibt und sich durch die Rechtsprechung des Konfliktes ein Präzedenzfall für folgende Angelegenheiten ergeben kann, ist dieses Fallbeispiel von mehr Interesse.
Laut Klage wurde Mondelez, eines der größten Süßwarenunternehmen weltweit, im Juni 2017 durch die Ransomware203 NotPetya in bösartiger Absicht mit einem Malware-Maschinencode infiziert.204 Durch diesen Cyber-Angriff wurden Zugangsdaten zahlreicher Nutzer gestohlen sowie 1700 Server und 2400 Laptops zerstört. Daraus ergaben sich weitere Folgen wie beispielsweise Sachschäden, Liefer- und Vertriebsunterbrechungen und nicht erfüllte Lieferbedingungen. Insgesamt soll dabei ein Schaden von mehr als 100 Millionen US-Dollar entstanden sein. Der Konzern Mondelez besaß zu diesem Zeitpunkt eine All-Risk-Sachversicherungspolice bei der Zurich Versicherung. Der Versicherungsvertrag deckte alle Risiken von physischen Schäden am Eigentum des Unternehmens ab, insbesondere physischen Verlust oder Beschädigung von elektronischen Daten, Programmen oder Software und auch physische Verluste oder Schäden, die durch die böswillige Einführung eines Maschinencodes oder einer Anweisung verursacht werden. Des Weiteren beinhaltete die Versicherungspolice tatsächliche Verluste sowie zusätzliche Kosten, die während Betriebsunterbrechungen entstehen und unmittelbar auf den Ausfall des IT-Systems zurückzuführen sind. In diesem Zusammenhang ist zu erwähnen, dass es sich dabei um eine traditionelle Sachversicherungspolice handelte. Die All-Risk-Sachversicherung war ergo keine Cyber-Versicherung, weshalb es ein Silent-Cyber-Schaden ist.
Zusammenfassung der Kapitel
1 Einleitung: Motivation und Zielsetzung der Untersuchung mit Fokus auf die Relevanz von Silent-Cyber-Risiken für Versicherer.
2 Theoretische Grundlagen: Erläuterung der Begrifflichkeiten und des Stands der Versicherungswirtschaft sowie Marktanalyse.
3 Herausforderung Silent-Cyber-Risiken: Fallstudien und rechtlicher Rahmen zur Einstufung der Thematik.
4 Darstellung der Forschungsergebnisse: Qualitative Auswertung der Experteninterviews zu Definition, Wahrnehmung und Management von Silent-Cyber-Risiken.
5 Diskussion: Interpretation der Ergebnisse im Kontext bestehender Forschung und Branchenentwicklungen.
6 Fazit: Zusammenfassende Beantwortung der Forschungsfragen und Ausblick auf künftige Entwicklungen.
Schlüsselwörter
Silent-Cyber-Risiken, Versicherungswirtschaft, Cyber-Versicherung, Risikoidentifikation, Risikomanagement, All-Risk-Deckungen, Kumulrisiko, Experteninterviews, Qualitativen Inhaltsanalyse, Rückversicherung, Datensicherheit, Schadenregulierung, Underwriting, Haftpflichtversicherung, Digitalisierung
Häufig gestellte Fragen
Worum geht es in dieser Masterarbeit grundlegend?
Die Arbeit analysiert die Herausforderungen, die sich durch sogenannte Silent-Cyber-Risiken für die deutsche Versicherungswirtschaft ergeben.
Welche zentralen Themenfelder werden bearbeitet?
Zentrale Felder sind die Definition und Wahrnehmung der Risiken, ihre Exponierung in verschiedenen Versicherungssparten sowie die Strategien der Versicherer im Risikomanagement.
Was ist das primäre Ziel der Forschung?
Das Ziel ist es, mit zeitlichem Abstand zur Initialforschung explorative Daten über den Status quo und die künftige Entwicklung im Umgang mit Silent-Cyber-Risiken zu gewinnen.
Welche wissenschaftliche Methode kommt zum Einsatz?
Es werden qualitative, leitfadengestützte Experteninterviews durchgeführt und mittels qualitativer Inhaltsanalyse nach Kuckartz ausgewertet.
Welche inhaltlichen Schwerpunkte liegen im Hauptteil?
Der Hauptteil behandelt theoretische Definitionen, die Analyse der Marktsituation, Fallbeispiele wie den Mondelez-Prozess sowie die Auswertung empirischer Ergebnisse zur Risikobewertung und -steuerung.
Was charakterisiert die der Arbeit zugrunde liegenden Schlüsselwörter?
Die Keywords spiegeln die technologische Dynamik, die versicherungstechnischen Deckungskonzepte und die strategische Bedeutung des Risikotransfers wider.
Warum ist das Fallbeispiel Mondelez für die Arbeit so relevant?
Der Fall Mondelez gilt als Präzedenzfall, der verdeutlicht, wie unklare Vertragsklauseln bei "Silent-Cyber-Schäden" zu erheblichen Rechtsstreitigkeiten zwischen Versicherern und Versicherten führen können.
Welche Rolle spielen Rückversicherer laut der Studie?
Rückversicherer nehmen eine Schlüsselrolle ein, da sie über mehr Schadensdaten verfügen und Erstversicherer durch Know-how bei der Modellierung und Kumulkontrolle unterstützen können.
- Arbeit zitieren
- Niclas Meyer (Autor:in), 2021, Silent-Cyber-Risiken als Herausforderung für die Versicherungswirtschaft. Eine qualitative Analyse, München, GRIN Verlag, https://www.grin.com/document/1273974
