Risikomanagement von Cyber-Risiken

Inhaltsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

Abkürzungsverzeichnis

1 Einleitung
1.1 Forschungsfrage
1.2 Gang der Untersuchung
1.3 Methodisches Vorgehen

2 Risiko, Risikomanagement und Versicherbarkeit
2.1 Risikobegriff
2.2 Grundlagen des Risikomanagements
2.3 Anforderungen an das Risikomanagement
2.4 Versicherungstechnisches Risiko
2.5 Versicherbarkeit

3 Cyber-Risiken
3.1 Definition und Abgrenzung
3.2 Rechtliche Umwelt
3.3 Risikoebenen von Cyber-Risiken
3.4 Schutzziele der Sicherheit und Dimensionen von Cyber-Risiken
3.5 Schadenpotenzial und -beispiele durch Cyber-Angriffe
3.6 Kritische Infrastrukturen KRITIS
3.7 Cyber-Subprime-Krisen

4 Versicherung von Cyber-Risiken
4.1 Traditionelle Versicherungssparten
4.2 Herkömmliche EDV-Versicherungen
4.3 Spezielle Cyber-Versicherungen

5 Analyse der Informationsquellen
5.1 Publikationen
5.2 Experteninterviews

6 Risikomanagement von Cyber-Risiken
6.1 Risikoidentifikation
6.2 Risikobewertung
6.3 Risikobewältigung

7 Zusammenfassung der Ergebnisse

Literaturverzeichnis

Internetquellen

Abbildungsverzeichnis

Abbildung 1: Prozessstufen des Risikomanagements

Abbildung 2: Risikosteuerung

Abbildung 3: Klassifizierung von Cyber-Risiken

Abbildung 4: Dimensionen von Cyber-Risiken

Abbildung 5: Vergleich von Finanz- und Cyber-Schocks

Abbildung 6: Herkömmliche Policen vs. Cyber-Policen

Abbildung 7: Risikomatrix

Abbildung 8: Versicherungslösung zur Reduktion von Restrisiken

Tabellenverzeichnis

Tabelle 1: Übersicht herkömmlicher EDV-Versicherungen

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 Einleitung

1.1 Forschungsfrage

Die Informationstechnologie hat sich über ihre ursprüngliche Rolle als Steuerungs- und Regelungstechnik weit hinaus entwickelt und ist heute und in Zukunft für Unternehmen sowie Organisationen, Privatpersonen und Staaten ein wesentlicher Teil jedes Prozesses der Wertschöpfungskette und des täglichen Lebens. Diesem rasanten Wandel zu einer von Informationstechnologie beherrschten Wirtschaft und vernetzten Gesellschaft kann sich kaum ein Unternehmen entziehen, ohne nicht zugleich die vielseitigen und umfangreichen Chancen ungenutzt zu lassen.

Durch die verstärkte Abhängigkeit und dem Nutzen von Informationstechnologien entstehen zeitgleich zahlreiche, bisher unbekannte Risiken. Diese komplexen und themenübergreifenden Bedrohungen werden zum Teil nicht adäquat im Risikomanagement berücksichtigt. Mehrere aktuelle Fälle, die während der Entstehungszeit dieser Arbeit in Deutschland an die Öffentlichkeit gelangt sind, belegen, dass es sich bei diesen Risiken nicht um theoretische Überlegungen handelt, sondern um eine brisante Thematik.

Die Rolle des Risikomanagements ist es Risiken zu erkennen, zu bewerten, kontrollierbar zu machen und wenn nötig zu transferieren. Der Assekuranz steht diese Aufgabe der Übernahme von Risiken zu, um diese durch das Bilden von Kollektiven beherrschbar und monetär bewertbar zu machen. Inwiefern die Risikoträger dieser Rolle bereits gerecht werden oder es noch an Innovationen und Weiterentwicklungen bedarf, wird in dieser Arbeit ebenfalls untersucht.

Vordergründig liegt die Verantwortung des Risikomanagements jedoch beim Risikoeigentümer und damit liegt auch das Hauptaugenmerk dieser Arbeit dort.

Die folgende Arbeit untersucht dabei die Frage, welche Risiken durch Informationstechnologien entstehen können und wie diese im Risikomanagement Berücksichtigung finden müssen um beherrschbar zu bleiben. Ebenfalls werden Transferlösungen der Assekuranz beurteilt und als Ergebnis Handlungsempfehlung für das Risikomanagement von Cyber-Risiken gegeben.

1.2 Gang der Untersuchung

Im ersten Teil dieser Arbeit wird versucht, eine Definition für Cyber-Risiken zu finden und diese von anderen Begrifflichkeiten abzugrenzen. Dabei werden die wesentlichen Schritte des Risikomanagements vorgestellt sowie das versicherungstechnische Risiko erläutert und die prinzipielle Versicherbarkeit von Cyber-Risiken diskutiert.

Der Fokus der Arbeit liegt darauf, Handlungsempfehlungen für das Risikomanagement von Cyber-Risiken zu entwickeln. Dabei dient einerseits das Verständnis für das Risiko Cyber, die Schutzziele der Sicherheit sowie die Schadenpotenziale, die daraus resultieren können. Neben technischen und organisatorischen Maßnahmen im Umgang mit den herausgearbeiteten Risiken werden insbesondere die Anstrengungen der Versicherungsindustrie vorgestellt, verglichen und bewertet. Zudem werden durch Analysen von Publikationen und Studien sowie Expertenbefragungen weitere Informationsquellen generiert.

Abschließend werden die im Verlauf der Arbeit gewonnen Erkenntnisse zusammengefasst, mögliche Probleme bei dem entwickelten Vorgehen kritisch hinterfragt und denkbare zukünftige Entwicklungen im Bereich des Risikomanagements von Cyber-Risiken aufgezeigt.

1.3 Methodisches Vorgehen

Die Forschungsfrage wird mittels einer qualitativen Erhebung und anschließender Analyse bearbeitet. Neben der Inhaltsanalyse aus den Interviews werden primäre und sekundäre Quellen aus der Literatur, Studienergebnissen und Publikationen zum Thema Risikomanagement, Cyber-Risiken, Cyber-Versicherungen und weiteren Schlagwörtern herangezogen.

Eine wichtige Grundlage bilden hier explorative Interviews mit Experten aus der Risikomanagement- und Versicherungsbranche. Diese Experten befassen sich vorrangig mit dem Thema Cyber-Risiken und sind tätig für Erst- und Rückversicherungsunternehmen sowie Maklerhäuser. Die Auswahl der Interviewpartner erfolgte bewusst und spezifisch an Hand des beruflichen Betätigungsfeldes. Der Kontakt zu den Beteiligten wurde über das persönliche Netzwerk des Autors hergestellt. Es wurde darauf geachtet, ein vielseitiges Meinungsbild von verschiedenen Marktteilnehmern abzubilden. Die Interviews wurden telefonisch im Juni 2015 mit Hilfe von Leitfragen durchgeführt. Die Gespräche wurden mit dem Einverständnis der Beteiligten aufgezeichnet und im Anschluss transkribiert. Um die Anonymität zu gewährleisten wird auf eine Nennung von Namen und Unternehmen der Beteiligten verzichtet.

Die Erkenntnisse der Interviews werden in der Arbeit kontinuierlich als qualitative Ergänzungen zu den vorherrschenden wissenschaftlichen und publizierten Erkenntnissen verwendet und erweitern diese um praktische Erfahrungen aus dem Risikomanagement von Cyber-Risiken. Insbesondere Kapitel 5.2 stützt sich inhaltlich auf die Ergebnisse aus den Befragungen und den Meinungen der Experten.

2 Risiko, Risikomanagement und Versicherbarkeit

2.1 Risikobegriff

In der wirtschaftswissenschaftlichen Literatur liegt kein einheitliches Begriffsverständnis für Risiko vor.¹Eine allgemein anerkannte Definition von „Risiko“ liegt ebenfalls nicht vor.²Das Wort stammt aus dem Italienischen (risicare; ital.: etwas wagen) und sagt aus, dass unternehmerisches Handeln ohne Risiko unmöglich ist. Das Brockhaus-Lexikon beschreibt ein Wagnis oder eine Gefahr die in der Wirtschaft Verlustgefahren birgt, Unsicherheits- und Zufälligkeitsfaktoren, die mit jeder wirtschaftlichen Tätigkeit verbunden sind. Das Gabler Wirtschaftslexikon spricht von dem Eintreten eins negativen Ereignisses oder einer adversen Entwicklung.³Im weiteren Sinne kann Risiko als eine Möglichkeit der negativen Abweichung eines erzielten Ergebnisses vom erwarteten Ergebnis verstanden werden. Eine Chance ist demnach eine positive Abweichung. Sicherheit entsteht dann, wenn Risiken nicht vorhanden sind. Neben diesem wirkungsbezogenen gibt es in der Wissenschaft noch weitere ursachenbezogene Risikobegriffe.⁴Zur Quantifizierung eines Risikos wird die negative Abweichung meist mit ihrer Eintrittswahrscheinlichkeit und dem Schadenmaß bewertet.⁵

2.2 Grundlagen des Risikomanagements

Die Analyse und Gestaltung von Risiken in einem Unternehmen ist Inhalt des Risikomanagements. Dabei sollen die Risiken möglichst vollständig identifiziert und bewertet werden, um Bedrohungen für das Unternehmen über entsprechende risikopolitische Maßnahmen beherrschen zu können und die Risiken zu bewältigen.⁶Die Sicherheit des Unternehmens soll dabei in erster Linie gewährleistet werden und damit die Ruinwahrscheinlichkeit gesenkt bzw. unter ein definiertes Niveau gebracht werden.⁷Neben dem Ruin verfolgt der Bilanzschutzgedanke die Sicherung des Unternehmenserfolgs und den Schutz der finanziellen Substanz des Unternehmens in der Zukunft. Risikobewältigung bedeutet somit auch, die Chancen für das Unternehmen zu erhöhen.⁸Traditionell beschäftigt sich das Risikomanagement mit dem Versicherungs-Management und konzertiert sich auf statistisch messbare und damit versicherbare Risiken. Jedoch misst sich der traditionelle Ansatz fast ausschließlich am Risikotransfer und sieht vor, dass vor dem Hintergrund des Schadenpotentials große Risiken versichert werden müssen, mittlere versichert werden sollten und kleine Risiken selbst getragen werden können.⁹

Modernes Risikomanagement geht jedoch weit über diesen Ansatz hinaus und betrachtet Risiken vorerst ohne den Einfluss von Versicherung.¹⁰Die geforderte holistische Betrachtungsweise für eine optimale Risikopolitik macht die Berücksichtigung aller unternehmensbedrohender Risiken notwendig und integriert diese im Risikomanagement. Neue Instrumente und Techniken des Risikotransfers unterstützen die holistische Herangehensweise und zeigen Risikomanagement als Prozess, der ausgehend von einer umfassenden Risikoidentifikation und Risikobewertung geeignete risikopolitische Instrumente bereitstellt, jederzeit einer Kontrolle unterliegt und sich ggf. ändernden Situationen flexibel anpasst. Folglich sollte das Risikomanagement in die Geschäftsprozesse eines Unternehmens integriert werden.¹¹

Insbesondere Cyber-Risiken müssen in das holistische Risikomanagement einbezogen werden und in allen Geschäftsbereichen berücksichtigt werden, da eine isolierte Betrachtung die Komplexität der Risiken nicht erfassen kann.

Grundsätzlich gliedert sich ein holistisches Risikomanagement-System in verschiedene Teilbereiche eines Unternehmens, je nach Art und Geschäftsmodells des Unternehmens. Produzierende Unternehmen gliedern beispielsweise in Risikomanagement (nicht abschließend aufzählend) im Rechnungswesen, in der Fertigung und Produktion, in Projekten, im Einkauf und in der IT. Dabei soll der Bereich IT genauer vorgestellt werden, da sich dieser am ehesten mit Cyber-Risiken beschäftigt.

Wie ebenfalls durch die Experten bestätigt wird,¹²genießen seit etwa 10-15 Jahren das IT-Risikomanagement sowie gesonderte Cyber- bzw. IT-Versicherungsprodukte spezielle Aufmerksamkeit, im Vergleich zur IT selbst ist dies allerdings eine recht junge Managementdisziplin.¹³Grundsätzlich gliedert sich das IT-Risikomanagement, so wie alle Teile des Risikomanagements ebenso wie in seiner Gesamtheit, in die Bereiche der strategischen sowie der operativen Ebene. Strategisch wird die Festlegung langfristiger Ziele geregelt und die Rahmenbedingungen für die Durchführung des IT-Risikomanagements geschaffen. Die operative Ebene befasst sich mit dem zyklisch zu durchlaufenden IT-Risikomanagement-Prozess sowie geeigneter Methoden, Werkzeuge und Dokumente.¹⁴Auf der hier gezeigten Darstellung lassen sich die wesentlichen Schritte des Risikomanagement-Zyklus erkennen.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Prozessstufen des Risikomanagements¹⁵

In der einschlägigen Literatur sind zahlreiche verschiedene Modelle des Risikomanagements vertreten. Die drei dargestellten Prozessstufen und deren Inhalt lassen sich jedoch herausfiltern, voneinander abgrenzen und sollen hier knapp umrissen werden ohne auf inhaltliche Details einzugehen.

In der Risikoanalyse nimmt die Risikoidentifikation eine Schlüsselrolle ein. Mithilfe diverser Methoden werden idealerweise Detailinformationen über Arten, Höhen, Eintrittswahrscheinlichkeiten, etc. der unternehmensbedrohenden Risiken erkannt. Die identifizierten Risiken werden anschließend im Rahmen einer Risikoursachenanalyse hinsichtlich ihrer Ursachen und Auswirkungen untersucht. Die Bestimmung der Eintrittswahrscheinlichkeiten einzelner Ursachen und ihrer Wirkungen kann sich dabei als besonders schwierig gestalten (Quantifizierungsproblematik) und mit einer Reihe von Instrumenten bearbeitet werden. Schließlich findet eine Bewertung der Risiken statt und es wird das potenzielle Schadenausmaß der Risikoauswirkungen beurteilt. Mit dem Faktor der Schadeneintrittswahrscheinlichkeit im Sinne einer relativen Häufigkeit kann nun ein Risikoprofil erstellt werden und die Risiken nach Risikozonen eingeteilt werden. Je nach Charakter des Risikos (beispielsweise klein, mittel, groß) und einer vorher definierten Akzeptanzlinie können Szenarien gebildet werden und Risikokategorien erstellt werden.¹⁶

Die Risikosteuerung konkretisiert sich zuerst in der Risikobewältigung und den klassischen Instrumenten der Risikovermeidung, Risikoverminderung, Risikobegrenzung und dem Selbsttragen von Risiken bzw. der Bildung von Reserven. Ziel ist es, die Risiken weitestgehend zu vermeiden oder zu vermindern, um das bleibende Restrisiko so gut wie möglich beispielweise über Versicherungen oder andere Risikotransferlösungen zu begrenzen. Die Risikovermeidung impliziert ein generelles Unterlassen von Aktivitäten, was die komplette Beseitigung eines Risikos zum Ziel haben kann. Risikoverminderung zielt darauf ab, entweder die Eintrittswahrscheinlichkeit oder die Schadenauswirkung, bestenfalls beides, zu reduzieren. Konkret gibt es hier technische und organisatorische Maßnahmen um Cyber-Risiken zu vermindern, die an späterer Stelle diskutiert werden sollen. Ob sich das Unternehmen übernommene Risiken und mögliche Verluste überhaupt leisten kann, stellt das Risikotragfähigkeitskalkül fest, das die maximale Risikoübernahme bestimmt. Dieses bewusste Eingehen von Risiken wird mit optimierten Risiko-Rendite-Profilen ermittelt und fordert die vorausschauende Fixierung von Risikolimits sowie die Hinterlegung von genügend Deckungsmitteln.¹⁷Um das Risikomanagement über ein Risikoreporting als Managementinformationssystem tauglich zu machen, ist eine konsistente Risikokontrolle mit Hilfe von geeigneten Kennzahlvergleichen notwendig. Systematische Soll-/Ist- sowie Zeit-/Quervergleiche finden hier Anwendung.¹⁸

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Risikosteuerung und -kontrolle¹⁹

2.3 Anforderungen an das Risikomanagement

Die zentralen Anforderungen an das (IT)-Risikomanagement sind einerseits die Angemessenheit (Eignung) sowie die Wirksamkeit (Funktionsfähigkeit). Dazu deckt das Risikomanagement die Aspekte Vollständigkeit, Eignung, Konsistenz und Umsetzbarkeit ab. Vollständig ist es, wenn alle notwendigen Elemente wie die Aufbauorganisation des Risikomanagements, der Risikomanagement-Prozess, die Risikopolitik, die Risikorichtlinie und die Prüfung des Risikomanagements enthalten sind. Die Eignung ist erfüllt, sobald die Elemente so konzipiert sind, dass sie die erforderlichen Funktionen erfüllen können. Konsistenz liegt vor, wenn sich die einzelnen Elemente des Risikomanagements nicht überschneiden, widersprechen oder gegenseitig aufheben. Schließlich umsetzbar ist das Risikomanagement, wenn durch die Bereitstellung und den planvollen Einsatz der erforderlichen Ressourcen eine sachgerechte Implementierung des Risikomanagements erfolgen kann und die Ziele des Risikomanagements erfüllt werden können.²⁰

Die Abdeckung der genannten Aspekte erfordert nun noch die Erfüllung weiterer Anforderungen: Integrationsfähigkeit, Anpassungsfähigkeit und Wirtschaftlichkeit. Wie bereits erwähnt, muss das Risikomanagement integriert werden und darf nicht als isolierter Fremdkörper behandelt werden. Es stellt keine redundante Struktur dar. Eine isolierte Behandlung von Risiken wäre aufgrund bereichs-, abteilungs- und themenübergreifender Ursache-Wirkungs-Beziehungen nicht ausreichend. Die Anpassung an geänderte Verhältnisse oder Rahmenbedingungen ist eine weitere notwendige Fähigkeit des Risikomanagements und kann durch folgende Maßnahmen sichergestellt und verbessert werden. Organisatorische Anpassung wie die Überarbeitung von Richtlinien, Prozessen und Strukturen; Einstellung zusätzlicher Mitarbeiter bei volatiler Komplexität und Umsatz der Aufgaben; technische Änderungen wie etwa die Zuhilfenahme neuer und geänderter Softwareunterstützung; Umwidmung von Aufgaben einzelner Mitarbeiter und Schaffung von mehr Kapazität in der Bearbeitung von Aufgaben im Risikomanagement.²¹

2.4 Versicherungstechnisches Risiko

In Abgrenzung zu dem wirtschaftswissenschaftlichen Verständnis von Risiko soll hier kurz das versicherungstechnische Risiko vorgestellt werden, da es in der späteren Betrachtung der Cyber-Versicherungsprodukte Berücksichtigung finden wird.

Wie in der grundsätzlichen Definition von Risiken geht die Versicherungstechnik auch von einer Abweichung des tatsächlich eingetretenen (hier) Gesamtschadens vom erwarteten Gesamtschaden aus. Die Abweichung kann ebenfalls positiv wie negativ ausfallen. Die kollektiven Effektivwerte der versicherten Schäden können also von den Erwartungswerten ungünstig so abweichen, dass sie höher sein können als erwartet.²²Je nach Ursachen werden die versicherungstechnischen Risiken im Wesentlichen in drei Kategorien unterteilt: Zufallsrisiko, Änderungsrisiko sowie Irrtumsrisiko.²³

Weicht der kollektive Effektivwert der Schäden vom geschätzten Erwartungswert ab, besteht Unsicherheit durch das Zufallsrisiko, weil zufällige Schwankungen der Schadenanzahl und der Schadenhöhe eintreten. Aus diesen Abweichungen des Gesamtkollektivs lassen sich Teilmengen ableiten. Treten aufgrund zufälliger Umstände bei mehreren oder vielen versicherten Risiken Schäden ein, kann ein Kumulrisiko entstanden sein; Dies bedeutet, dass durch ein zufälliges Ereignis nacheinander folgend Schäden bei vielen versicherten Risiken entstehen lässt (Ansteckungsrisiko). Genauso zählt die zufällige Möglichkeit von katastrophalen Schäden aus einzelnen versicherten Risiken (Großschaden- oder Katastrophenrisiko) dazu.

Ändert sich unvorhersehbar nach dem Zeitpunkt der Schätzung die Wahrscheinlichkeitsverteilung des Gesamtschadens und weicht dadurch der kollektive Effektivwert der Schäden vom geschätzten Erwartungswert, spricht man vom Änderungsrisiko.

War die Wahrscheinlichkeitsverteilung des Gesamtschadens bereits von vornherein unzutreffend geschätzt und weicht deshalb der kollektive Effektivwert des Gesamtschadens vom geschätzten Erwartungswert ab, so ist ein Irrtumsrisiko eingetroffen.

Diese drei Elemente vermischen sich jedoch häufig in der Realität zu einem gesamten versicherungstechnischen Risiko und eine Differenzierung scheitert oft an Informationsmängeln.²⁴

2.5 Versicherbarkeit

Risikomanagement von Cyber-Risiken beschäftigt sich früher oder später mit Versicherungslösungen, die bei den Herausforderungen in diesem umfangreichen Kontext helfen und, wie bereits beschrieben, im Sinne des Risikotransfers die Möglichkeit bieten, Risiken zu übertragen und aus Sicht des Unternehmens auf andere zu übertragen. Wie später noch genauer erläutert wird, ist Versicherung jedoch nicht nur reiner Risikotransfer, sondern im Hinblick auf Cyber-Versicherungen, wie die Experten betonen²⁵, teilweise sogar vordergründig weitgehende Dienstleistung und Services, die ein Versicherer dem Versicherungsnehmer mit oder neben der Police bieten kann.

Im Vorfeld soll hier geklärt werden, wann Versicherbarkeit gegeben ist und von welchen Faktoren dies abhängt. An späterer Stelle wird die Frage geklärt, ob Cyber-Risiken versicherbar sind. Das banale Bejahen dieser Frage, da ein Markt für Cyber-Versicherungen vorhanden ist und Verträge geschlossen werden, ist hier zu kurz gegriffen.

Grundsätzlich ist festzuhalten, dass Versicherungen als Instrument der Risikobegrenzung einen Transfer eines finanziellen oder zumindest finanziell kalkulierbaren Risikos eines versicherten Individuums, eines Unternehmens oder einer Sache auf einen oder mehrere Versicherer leisten.²⁶Ein Bedingungswerk konkretisiert diese Schutzversprechen des Versicherers und bestimmt die zu erbringenden Leistungen im Schadenfall. Die Kompensationen im Schadenfall sind hauptsächlich monetärer Natur. Die in der Regel risikoaversen Wirtschaftssubjekte können durch die dazu gewonnen Risikokapazitäten in verstärktem Maße Wagnisse eingehen, der Risikotransfer hat folglich positive ökonomische Konsequenzen. Makroökonomisch wirkt Versicherungsschutz wohlfahrtssteigernd und führt zu gesamtwirtschaftlichen Effizienzgewinnen.²⁷

In der Theorie gibt es keine allgemeingültige, präzise Definition für die Versicherbarkeit von Risiken, diese ist auch nicht möglich,²⁸jedoch wurden unterschiedliche Kriterienkataloge entwickelt, um eine Aussage über die Versicherbarkeit zu ermöglichen. Darunter fallen u.a. der rationalistisch-idealistische Ansatz, der empirisch-realistische Ansatz oder der konstruktivistisch-instrumentalistische Ansatz, auf welche nicht weiter eingegangen werden soll. Einschlägig ist der entscheidungstheoretische Ansatz zur Versicherbarkeit nach Karten,²⁹der anhand von fünf Kriterien Risikoeigenschaften hinsichtlich ihrer Versicherbarkeit betrachtet: Zufälligkeit, Eindeutigkeit, Schätzbarkeit, Größe und Unabhängigkeit.

Das Kriterium der Zufälligkeit fordert, dass ein Versicherungsfall auslösendes Ereignis bei Vertragsabschluss ungewiss und unbeeinflussbar ist. Das bedeutet, dass beide Parteien den gleichen Informationsstand haben und theoretisch gesehen keine asymmetrischen Informationen vorliegen. Die Unbeeinflussbarkeit zieht eine Moral-Hazard-Problematik in Betracht die besagt, dass vorliegender Versicherungsschutz zu einem weniger sorgfältigen Verhalten führen könnte. Um dies zu verhindern, schließt der Versicherer regelmäßig Obliegenheiten in das Bedingungswerk mit ein.

Eindeutigkeit verlangt, dass der Eintritt des Schadenfalls (Ereignis) sowie die Schadenhöhe objektiv nachprüfbar sind und im Vorhinein festgelegt werden können. Dies erfordert teilweise einen erheblichen Umfang an Klauseln.

Das Problem des unzureichenden Wissens ist die sogenannte Schätzbarkeit. Der Versicherer muss die durchschnittliche Schadenhöhe, die Gesamtschadenverteilung sowie die Schadeneintrittswahrscheinlichkeit grundsätzlich schätzen und dabei mehr oder weniger subjektiv vorgehen. Den Grad des tolerierten Informationsmangels oder andersherum notwendigen Informationsgrades muss ebenfalls subjektiv festgelegt werden. Um das Gesetz der großen Zahlen anwenden zu können wird hier oft gefordert, eine hinreichende Anzahl homogener Risiken im Bestand zu haben. Im Gesamtkollektiv spielt dies jedoch keine Rolle, sofern durch den Ausgleich im Kollektiv die einzelnen Schadeneintrittswahrscheinlichkeitsverteilungen gewährleistet werden können und durch einzelne Über- sowie Unterschäden ausgeglichen werden können. Dieses Homogenitätserfordernis würde nämlich ausschließen, dass Einzelrisiken versichert werden, für die weder statistisches Material vorliegt, noch das Gesetz der großen Zahlen angewendet werden kann. Die Tarifierung findet hier nach „judgement rates“ statt und dann ist die subjektive Schätzbarkeit des Risikos in diesen Fällen ebenso unbedingte Voraussetzung der Versicherbarkeit. Wie später noch diskutiert wird, spielt insbesondere für neuartige Risiken wie auch Cyber-Risiken dieser Aspekt eine entscheidende Rolle, da hier die Schätzbarkeit durch Homogenität und oder dem Gesetz der großen Zahlen nicht gegeben ist. Zudem ist mangelnde Schätzbarkeit infolge statistischer Daten kein Ausschlusskriterium, da die Versicherbarkeit eines Risikos auch letztlich eine Frage des Preises ist und, sofern der Versicherungsnehmer bereit ist, einen höheren Preis zu bezahlen, minderwertigere Schätzparameter zugrunde gelegt werden können. Die These ‚Versicherung ist nur eine Frage es Preises’³⁰grundsätzlich aufzustellen, erscheint jedoch nicht adäquat und sinnvoll.

Der höchstmögliche Schaden eines Einzelrisikos wird als Kriterium der Größe verstanden, welches in den meisten Fällen schlecht quantifizierbar ist, da die Versicherbarkeit von der Zeichnungskapazität der Versicherungswirtschaft und der Zeichnungspolitik des Versicherers abhängt.³¹Der maximal mögliche Schaden wird jedoch durch Deckungsgrenzen oder durch einen Prozentsatz der Gesamtschadensumme begrenzt und eingeschränkt. Zusätzlich hilft das Instrument der Rückversicherung den möglichen Schaden des Erstversicherers zu begrenzen und/oder die Zeichnungskapazitäten zu erweitern, indem der Rückversicherer Teile des Risikos gegen eine gesonderte Prämie übernimmt. Ein Risiko per se anhand des Kriteriums der Größe als unversicherbar einzustufen, kommt nicht in Betracht.

Das Kriterium der Unabhängigkeit fordert, dass eine positive Korrelation zwischen einzelnen Risiken ausgeschlossen (oder nur sehr begrenzt vorhanden) ist. Negative Korrelationen hingegen sind wünschenswert und tragen zur Diversifikation des Portfolios aus Sicht des Versicherers bei. Nur so kann der Effekt des Risikoausgleichs im Kollektiv gewährleistet werden und Versicherung funktionieren. Inwiefern dieses Risiko von Kumulschäden bei Cyber-Risiken aus Sicht des Versicherers ausgeschlossen werden kann, wird später eingeschätzt. In der Praxis liegt jedoch immer ein gewisses Maß an Unabhängigkeit vor, sei es zu sehr hohen Anteilen oder sehr geringen Anteilen. Hier müssen Grenzen der tolerierten, fehlenden Ausmaße der Unabhängigkeit definiert sein.³²

3 Cyber-Risiken

3.1 Definition und Abgrenzung

Der Begriff Cyber-Risiken ist bisher weder versicherungstechnisch noch im Risikomanagement eindeutig definiert und in aktuellen Diskussionen werden verschiedene Begriffe teils synonym verwendet. Zudem verändern sich in dem dynamischen Umfeld die unter Cyber-Risiken verstandenen Risiken ständig. Die vorausgegangene Erläuterung der Begrifflichkeit Risiko soll hier als Basis dienen und um den Begriff ‚Cyber’ erweitert werden.

Aus dem griechischen Wort Steuermannskunst leitet sich das Präfix Cyber ab und wurde bereits 1948 von Norbert Wiener als „Kybernetik“ (englisch: „cybernetics“) auf die Regelungs- und Steuertechnik bezogen. Laut Duden beschreibt „Cyber-“ ein Wortbildungselement mit der Bedeutung „die von Computern erzeugte virtuelle Scheinwelt betreffend“³³und beschreibt ebenfalls die wissenschaftliche Forschungseinrichtung, die Systeme verschiedenster Art (z.B. biologische, technische oder soziologische Systeme) auf selbsttätige Regelungs- und Steuermechanismen hin untersucht. Laut Oxford Dictionary steht Cyber für alle in Verbindung mit, oder charakterisierend für, die Kultur von Computern, Informationstechnologie und der virtuellen Realität.³⁴Als Definition für den Begriff Cyber-Space führt das Bundesministerium des Inneren (BMI) den „virtuellen Raum aller auf Datenebene vernetzten IT-Systeme im globalen Maßstab, [...] dem als universelles und öffentlich zugängliches Verbindungs- und Transportnetz das Internet zugrunde liegt, welcher durch beliebige andere Datennetze ergänzt und erweitert werden kann“.³⁵

Es kann festgehalten werden, dass das Präfix Cyber im Zusammenhang mit physischer und virtueller Informations- und Datentechnologie sowie deren Vernetzung und Verarbeitung universell verwendet wird.

Häufig mit der Begrifflichkeit Cyber-Risiken in Verbindung stehende Begriffe sollen nachfolgend abgegrenzt werden. Der vom BMI angestrebte Zustand der IT-Sicherheitslage wird als Cyber-Sicherheit und Cyber-Raum-Sicherheit betitelt und beschreibt die auf ein tragbares Maß reduzierten Risiken. Dabei wird zwischen globaler, nationaler sowie militärischer und ziviler Cyber-Sicherheit unterschieden. Die zivile Sicherheit „betrachtet die Menge der zivil genutzten IT-Systeme des deutschen Cyber-Raums“³⁶. In Anbetracht der fehlenden, nationalen Grenzen im Internet und der weltweiten Vernetzung ist eine nationale bzw. regionale Trennung technisch kaum möglich und inhaltlich wenig sinnvoll. Hinsichtlich einer Definition für das Risikomanagement ist eine inhaltliche Trennung zwischen zivilen und militärischen Bereichen durchaus hilfreich. Als die Gesamtheit aller Maßnahmen zur Sicherung der Cyber-Umwelt und der Güter einer Organisation, die in Verbindung mit der Cyber-Umwelt stehen, definiert die Internationale Fernmeldeunion die Cyber-Sicherheit. Dabei sind mangelnde Verfügbarkeit, Integrität, Vertraulichkeit und Zurechenbarkeit die Risiken, die Cyber-Sicherheit gefährden können.³⁷Diese als Schutzziele einschlägigen Begriffe werden später näher erläutert. Cebula und Young definieren operative Cyber-Sicherheits-Risiken als operative Risiken für Informations- und Technologiegüter in Bezug auf die zuvor genannten Schutzziele.³⁸„Die Möglichkeit eines nicht gewollten Vorfalls, der in der Schädigung eines technischen Systems, eines Individuums oder einer Organisation liegt“³⁹definiert das BMI als Cyber-Bedrohungen. „Angriffe, die im Cyber-Raum durch Tools, Dienste oder Anwendungen durchgeführt werden (dabei kann der Cyber-Raum sowohl Ausgangspunkt, Ziel oder der Ort des Angriffs sein)“⁴⁰, sind als Cyber-Angriffe definiert.

Häufig aufkommende Begriffe im Zusammenhang mit Cyber-Risiken sind klassisch die Begriffe Informationssicherheit sowie die IT-Sicherheit. Die bereits angesprochenen Schutzziele sollen im Rahmen der Informationssicherheit von informationsverarbeitenden und -lagernden Systemen sichergestellt werden. Nicht-digital gespeicherte oder verarbeitete Daten und Informationen werden hier ebenso einbegriffen. Hier bietet der Begriff Cyber-Sicherheit eine weit griffigere Definition und soll anstelle von Informationssicherheit verwendet werden. Auf den bereits weiter oben vorgestellten Begriff Informationstechnologie (IT) soll hier nicht weiter eingegangen werden, jedoch findet dieser seinen Platz in einer einfachen Definition für Cyber-Risiken von Innerhofer-Oberperfler. Cyber-Risiken sind demnach alle finanziellen Auswirkungen von IT-Risiken für die Gewinn- und Verlustrechnung bzw. Bilanz von Unternehmen.⁴¹Dabei sind IT-Risiken erneut die Verletzung der Schutzziele.

Eine mögliche Definition im Rahmen von Risikomanagement-Betrachtungen für Cyber-Risiken kann also folgende Definition formuliert und für die folgende Arbeit verwendet werden:

Cyber-Risiken sind Vermögensschäden, die aus der Nutzung von Daten und IT – mit besonderem Blick auf deren Nutzung – bei Verletzung der Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit und Zurechenbarkeit entstehen.

Zudem werden im Zusammenhang mit Cyber-Risiken weitere, teilweise auf Teilbereiche beschränkte Begriffe erwähnt. E-Risk zielt beispielweise auf die Risiken der elektronischen Verarbeitung ab und ist dahingehend ungenau, da IT nicht nur die Hardware, also Elektronik beinhaltet. Cyber-Kriminalität, E-Crime oder Computerkriminalität begrenzen die Cyber-Risiken auf kriminelle Handlungen, die jedoch nicht nur für Cyber-Risiken Ursache sind. Datenschutz- bzw. Datensicherheitsrisiken beschränken sich beispielsweise auf reine Aspekte der Datenrechtsverstöße. Cyber-Risiken sind also eine weit umfangreichere Palette von Risiken, die berücksichtigt werden müssen.

Wie später noch beschrieben wird, werden Cyber-Risiken in der Versicherungsbranche häufig nach ihren Auswirkungen unterschieden. Dabei werden direkte oder indirekte Folgen für das Unternehmen selbst (Eigenschäden) und Folgen bei Dritten, für die das Unternehmen gegebenenfalls haftet oder Ansprüche abwehren muss (Drittschäden), unterschieden.⁴²

3.2 Rechtliche Umwelt

Die rechtliche Umwelt in Bezug auf IT und Datenschutz ist für die Beurteilung von Cyber-Risiken von hoher Bedeutung. Ein wesentliches Merkmal dieser ist das dynamische Umfeld und die ungefestigte Rechtslage. Diverse Sachverhalte der IT und insbesondere Haftungsproblematiken sind (noch) nicht abschließend durch beispielsweise richterliche Entscheidungen geklärt.⁴³

[...]

---

¹Vgl. Meinecke, 1997, S. 22ff.

²Vgl. Spooner, 1974, S. 2038.

³Vgl. Springer Gabler Verlag (Hrsg.) (siehe Internetverzeichnis).

⁴Vgl. Sarot, Bourauel, 2013, S. 1.

⁵Vgl. Seibold, 2005, S. 11.

⁶Vgl. Farny, 2011, S. 549f.

⁷Vgl. Hampton, 1993, S. 159.

⁸Vgl. Brühwiler, 2001, S. 5.

⁹Vgl. Brühwiler, 2001, S. 9.

¹⁰Vgl. Farny, 2011, S. 511f.

¹¹Vgl. Romeike, 2000, S. 609.

¹²Vgl. Interview A, B, C.

¹³Vgl. Schermann, 2011, S. 101ff.

¹⁴Vgl. Knoll, 2014, S. 58.

¹⁵In Anlehnung an: Grzebiela, 2002, S. 37.

¹⁶Vgl. Grzebiela, 2002, S. 41ff.

¹⁷Vgl. Schierenbeck, Lister, 2001, S. 362ff.

¹⁸Vgl. Schierenbeck, Lister, Kirmße, 2008, S. 13f.

¹⁹In Anlehnung an: Grzebiela, 2002, S. 45.

²⁰Vgl. Knoll, 2014, S. 59.

²¹Vgl. Knoll, 2014, S. 61f.

²²Vgl. Wagner, 2000, S. 139.

²³Vgl. Farny, 2011, S. 83ff.

²⁴Vgl. Farny, 2001, S. 84f.

²⁵Vgl. Interview A, B, C.

²⁶Vgl. Albrecht, 1992, S. 23.

²⁷Vgl. Zweifel/Eisen, 2000, S. 15ff.

²⁸Vgl. Berliner, 1985, S. 322.

²⁹Vgl. Karten, 1984, S. 270.

³⁰Vgl. Rejda, 1992, S.26.

³¹Vgl. Mugler, 1980, S. 77.

³²Vgl. Mugler, 1980, S. 81f.

³³Duden (Hrsg.) (siehe Internetverzeichnis).

³⁴Vgl. Oxford Dictionaries (siehe Internetverzeichnis).

³⁵Bundesministerium des Inneren (Hrsg.), 2011, S. 14.

³⁶Bundesministerium des Inneren (Hrsg.), 2011, S. 15.

³⁷Vgl. Euchner, 2011, S. 1.

³⁸Vgl. Cebula, Young, 2010, S. 1.

³⁹Bundesministerium des Inneren (Hrsg.), 2011, S. 14.

⁴⁰Bundesministerium des Inneren (Hrsg.), 2011, S. 14.

⁴¹Vgl. Tiemeyer, 2009, S. 15.

⁴²Vgl. Koch, 2005, S. 113ff.

⁴³Vgl. Sheehan, 2014 (siehe Internetverzeichnis).