Cyber-Risiken: Das Risikomanagement
Beim Thema Cyber-Versicherung gibt es nach wie vor viele offene Fragen. Das ist nicht verwunderlich, denn das Produkt Cyber ist immer noch neu auf dem Versicherungsmarkt. Klar ist, eine Cyberversicherung mindert die finanziellen Folgen eines Hackerangriffs, doch inwieweit sie als Tool für den Risikotransfer genutzt werden kann, bedarf Erklärung.
Um zu verstehen, wie eine Cyber-Versicherung aufgebaut ist, ist es sinnvoll, sich zunächst mit den Grundlagen des Risikomanagements zu befassen.
Cyber-Risiken: Das Risikomanagement
Das Unternehmensrisikomanagement umfasst verschiedene Aspekte des Risikos für ein bestimmtes Unternehmen:
• rechtliche Risiken
• finanzielle Risiken
• regulatorische Risiken oder
• operationelle Risiken
um nur einige zu nennen. Cyber-Risiken werden dabei häufig als operationelle Risiken identifiziert. Aber auch andere Kategorien, z.B. rechtliche Risiken, sind betroffen. Ein Blick auf die großen Datenverstöße dieser Tage reicht aus, um dieses Risiko zu erkennen.
Innerhalb des Zyklus der Bestimmung der aktuellen Risikohaltung durch die Betrachtung der Wahrscheinlichkeit von Cyber-Bedrohungen und deren Auswirkungen sowie aktueller Sicherheitskontrollen werden Cyber-Risiken aus einer kontinuierlichen Perspektive heraus betrachtet. Sobald dieser Zyklus abgeschlossen ist, wird er fortlaufend ausgeübt.
Da es in der Natur der Risiken liegt, sie kaum vollständig ausmerzen zu können, besteht immer ein Restrisiko. Dieses Restrisiko kann akzeptiert, weiter gemindert oder auf einen Cyberversicherer übertragen werden.
Cyber-Risiken: Die Herausforderung der Unterscheidung
Schwierigkeit der objektiven Senkung
Um das Brandrisiko für ein Gebäude zu senken, kann man bestimmte Maßnahmen ergreifen, um die Wahrscheinlichkeit des Ausbruchs eines Brandes zu begrenzen. Im Cyberspace funktioniert dieses Konzept nicht, da die Wahrscheinlichkeit, Opfer eines (gezielten) Angriffs zu werden, nicht nur von der eigenen Verteidigung abhängt, sondern auch von der Verteidigung anderer, einschließlich der Organisationen, von denen Sie abhängig sind (abhängiges Geschäft und Supply Chain Exposure).
Paradigma des vermeintlichen Bruchs
Dieses Paradigma stellt eine einzigartige Wendung in dem traditionellen Gedanken des Risikomanagements dar. Wenn ein unerwünschtes Ereignis bereits eingetreten ist und regelmäßig auftreten könnte, besteht die Herausforderung darin, die echte Gefahr dieses Ereignisses und die entsprechende Reaktion hierauf einzuschätzen. Das Ergebnis selbst könnte dabei zu einer positiven Änderung führen – oder aber zu einer umfassenden Gefahr für alle Schutzmechanismen werden.
Häufigkeit der Vorfälle
Auch hinsichtlich der Anzahl an Vorfällen, unterscheiden sich Cyber-Risiken deutlich von anderen Risiken. Im Gegensatz zu Gefahren, die mehr oder weniger deterministisch sind, wirken Cyberrisiken diesem Ansatz fast entgegen. Normalerweise gibt es ein grundlegendes Problem, das zuerst behoben werden muss, bevor im Falle von Cyber-Vorfällen die allgemeine Sicherheit auf lange Sicht verbessert wird, besteht hierbei doch eher das Risiko, auch in naher Zukunft von einem anderen Vorfall getroffen zu werden, anstatt von einem geringeren oder zumindest ähnlichen Risiko.