Die Studienautoren: Prof. Dr. Martin Eling, Jan Hendrik Wirfs. (Foto: HSG)
St. Gallen – Eine Befragung der Universität St. Gallen unter 25 Cyber-Experten zeigt, dass ein Totalausfall des Internet binnen der nächsten 10 Jahre durchaus denkbar ist. So wird die Wahrscheinlichkeit für das Eintreten eines globalen, mehrtägigen Internetausfalls auf 42.7% geschätzt. Dies stellt eine deutliche Steigerung gegenüber einer entsprechenden Untersuchung aus dem Jahr 2010 dar, in der diese Wahrscheinlichkeit mit nur 10% angegeben wurde. Dieses Resultat ist Teil einer neuen Studie der Universität St. Gallen, welche in Kooperation mit der Swiss Re erstellt und am Dienstag in Zürich vorgestellt wurde.
Die neue Studie liefert eine erste systematische Analyse zur Versicherbarkeit von Cyber-Risiken. Zu diesem Zweck werden unterschiedliche Formen des Risikotransfers wie Versicherung, Rückversicherung und Instrumente des sogenannten Alternativen Risikotransfers verglichen. Im Ergebnis zeigt sich, dass „Cyber-Risiken des täglichen Lebens“ wie etwa Hackerangriffe auf ein einzelnes Unternehmen durchaus versicherbar sind. Allerdings gibt es extreme Cyber Szenarien, welche nicht versicherbar sind. Dazu gehört etwa ein flächendeckender Ausfall des Internet, welcher für einen begrenzten Zeitraum die wirtschaftliche Aktivität eines Landes komplett lahmlegen könnte.
Drei von vier Unternehmen Opfer von Cyber-Attacken
Die Studie unterstreicht die zunehmende Bedeutung der alltäglichen Cyber-Risiken. So schätzen die befragten Experten, dass mehr als drei Viertel aller Unternehmen binnen der letzten 12 Monate bereits Opfer von Cyber-Attacken wurden. Andere Studien gehen sogar von Werten deutlich über 90% aus. Das Zusammenspiel von Sicherungsmassnahmen (etwa Firewall, Antivirensoftware, Mitarbeiterschulung) und Versicherungsschutz stellen hier die zentrale Voraussetzung für ein gutes Risikomanagement dar. Auch der Einsatz von Rückversicherungslösungen erscheint sinnvoll. Für die Absicherung extremer Szenarien wird dagegen der Einsatz seitens des Staates diskutiert, etwa die Einführung von Meldepflichten, staatliche Vorgaben zu Sicherungsmassnahmen und ein Pooling möglicher Grossrisiken. Eine Kernaussage der Studie ist, dass ein unternehmensübergreifendes Pooling von Daten zu Cyber-Attacken hilft, um Cyber-Risiken besser versichern zu können. Die Autoren fordern in dem Zusammenhang einen Dialog zwischen staatlichen Stellen und Unternehmen, um das Risikomanagement von Cyber-Risiken weiter zu verbessern.
Die Studienautoren erwarten in den kommenden Jahren eine deutliche Zunahme der Prämienvolumina im Cyber-Versicherungsmarkt. Als Referenz wird der US-amerikanische Versicherungsmarkt angegeben, wo Cyber-Versicherungen bereits heute Prämien im Milliardenumfang erzielen. Hintergrund sind staatliche Meldepflichten für Cyber-Attacken, welche die Aufmerksamkeit und Transparenz auf derartige Vorfälle deutlich erhört haben. Die Einführung entsprechender Meldepflichten wird derzeit in der Europäischen Union und in der Schweiz diskutiert, so dass die Autoren auch hier eine deutliche Zunahme des Versicherungsmarkts erwarten. (HSG/mc/ps)
Die Studie „Cyber Risk: Too Big to Insure?“ ist in der I.VW Schriftenreihe erschienen und kann über das Institut für Versicherungswirtschaft bezogen werden (Email an martin.eling@unisg.ch).