Externe Dienstleister und Lieferanten sind aus dem modernen Unternehmensbetrieb nicht mehr wegzudenken. Vom IT-Support über Cloud-Services bis zur Anwaltskanzlei und Marketingagentur sind Unternehmen auf das Know-how und die Kosteneffizienz dieser externen Partner angewiesen. Allerdings entstehen durch diese Abhängigkeit auch erhebliche Cyberrisiken in allen Branchen, und zwar nicht nur für die Dienstleister selbst, sondern vor allem auch für Unternehmen, die diese Dienstleister nutzen. Dienstleister können so als Einfallstor für Cyberkriminelle fungieren sowie hohe Abhängigkeiten schaffen. Genau deshalb sind sie in Cyberversicherungspolicen Gegenstand kritischer Überlegungen.
So fordern Kunden seit einigen Monaten zunehmend, dass sich ihre Versicherungsdeckung für Cyber-Betriebsunterbrechung auch auf ihre IT-Dienstleister erstreckt. Man spricht hier von Rückwirkungsschäden.
Zudem besteht die Erwartung, dass der Deckungsbaustein Betriebsunterbrechung auch Risiken abdeckt, die von Dienstleistern verursacht werden, welche keine IT-Unternehmen sind. Aus Sicht des Kunden mag das ein logischer Schritt sein. Denn schließlich sind Systeme und Lieferketten miteinander vernetzt und voneinander abhängig, so dass sich der Ausfall eines Dienstleisters auf die Handlungsfähigkeit des Kunden auswirkt.
Das Einbeziehen der Lieferkette hat vielschichtige Folgen für die Risikobetrachtung. Folglich gehören dann nämlich nicht mehr nur IT Support- oder Cloud Service-Unternehmen dazu, sondern jeder beliebige Anbieter wird Teil der Cyberrisiko-Landschaft eines Unternehmens. Der Wunsch, dass jede Art von Betriebsunterbrechungsrisiko, das durch einen Cyberzwischenfall oder einen Verlust bei einem Dienstleister entsteht, von der Police abgedeckt wird, ändert das Risikoprofil des Kunden dramatisch. Zur Durchführung der möglichen Verlustberechnungen wären umfassende Risikoinformationen erforderlich.
Wenn Kunden Bedarf an dieser Art von Schutz äußern, muss die Versicherungsbranche reagieren, allerdings unter Wahrung der Nachhaltigkeit, um die langfristige Integrität des Marktes nicht zu gefährden.
Um diesen Bedarf zu decken, muss das Risikoprofil verstanden werden. Dies ist nur durch eine gründliche Analyse der Risikoinformationen innerhalb der Lieferkette möglich. Zunächst sollte die unterschiedliche Exponierung zwischen IT-Dienstleistern und nicht IT-Dienstleistern erläutert werden.
IT-Dienstleister stellen selbstredend ein hohes Cyberrisiko dar, weshalb Versicherer den Sicherheitsansatz, ihren Umgang mit Daten und ihre Konformität mit den Branchenstandards verstehen sollten. Den Versicherern kommt dabei entgegen, dass IT-Anbieter für gewöhnlich einen sehr reifen Umgang mit Cyberrisiken pflegen.
Für nicht IT-Dienstleister gilt dies nicht. Angesichts der Vielzahl der Unternehmen, Dienstleistungen und Risikoprofile in dieser Lieferkette und der unterschiedlichen Reife beim Umgang mit Cyberrisiken, sind die Risiken schwer zu definieren und damit auch schwer zu versichern. Hier kommen wir zu den Systemrisiken.
Das erhöhte Risikoprofil ist eine wesentliche Herausforderung für Versicherer, und zwar nicht nur auf Ebene jedes Einzelrisikos, sondern auch aus der Portfoliosicht. Wenn nämlich derselbe externe Dienstleister von mehreren Versicherungsnehmern genutzt wird, könnte ein Ausfall dieses Anbieters mehr als eine Cyber-Police betreffen. Der kürzlich durch CrowdStrike verursachte IT-Kollaps führte vor Augen, wie abhängig Unternehmen von einem einzigen Anbieter sein können. Und in diesem Fall hatten sowohl die versicherten Unternehmen als auch die Versicherer Glück, dass die meisten Systeme nach wenigen Stunden und einem erfolgreichen Bugfix wieder funktionsfähig waren. Eine Risikohäufung kann entstehen, wenn ein und derselbe Versicherer nicht nur das Unternehmen versichert, das einen Dienstleister nutzt, sondern auch den Dienstleister selbst. In diesem Fall könnte ein Schadensfall beide Policen betreffen, was unbedingt im Voraus berücksichtigt werden muss.
Versicherer müssen so viel wie möglich über die beteiligten Unternehmen wissen: Welche Dienstleistungen an Dritte vergeben und welche Vereinbarungen geschlossen wurden sowie welche Kontroll- und Regressmöglichkeiten der Kunde gegenüber seinen Anbietern hat.
Zusätzlich kann das Sicherheitsniveau des Dienstleisters durch regelmäßige Prüfungen, vertraglich festgelegte Sicherheitsanforderungen und die laufende Überwachung des Umgangs mit Cybersicherheit durch den Anbieter verringert werden. Um aber eine klare Vorstellung von den tatsächlichen Risiken zu erhalten, muss das Risiko-Management des Dienstleisters bewertet werden: z.B. durch eine Überprüfung der Verträge, der Häufigkeit und des Umfangs von Risikobewertungen und der Möglichkeit, dass das versicherte Unternehmen bestimmte Standards in puncto Cybersicherheit verlangen kann.
Dieser Ansatz birgt allerdings potenzielle Probleme. Manche Lieferketten sind relativ kurz, aber die meisten sind eher komplex und unübersichtlich, so dass es schlicht nicht machbar ist, das Risikomanagement in jedem einzelnen Unternehmen zu bewerten. Aber es gibt Lösungen.
Ein Kunde kann die Schlüsselelemente der Lieferkette identifizieren, damit sich der Versicherer auf die wichtigsten Lieferanten konzentrieren und diese guten Gewissens in die Versicherung des Kunden aufnehmen kann. Dieser Ansatz ist auch der Schlüssel zu einer effizienteren Überwachung des Kumulrisikos.
Darüber hinaus kann der Versicherer analysieren, ob der Kunde über einen reifen Ansatz für den Umgang mit externen Risiken verfügt und damit in der Lage ist adäquat zu reagieren, wenn etwas schiefgeht. Damit würden auch umfassende Einblicke in das Risikobewusstsein des Kunden vermittelt. Die Feststellung des Risikos, das externe Anbieter für ihr eigenes Unternehmen darstellen, muss für Kunden Priorität haben.
Ideal wäre eine Kombination aus beiden, aber generell sollte akzeptiert werden, dass mehr Einblicke und mehr Informationen über die Lieferkette erforderlich sind, wenn Kunden diese Art der Absicherung verlangen und wollen, dass der Markt diese Art der Deckung auch in Zukunft anbieten kann.
Dadurch erhält der Markt nicht nur eine größere Robustheit, sondern werden Versicherer in die Lage versetzt, ihren Kunden einen optimal geeigneten Versicherungsschutz anzubieten, nicht zuletzt weil die Vertragsbedingungen günstiger für die Versicherungsnehmer sind, wenn nicht mehr mit Annahmen, sondern faktenbasiert gearbeitet wird.
Die Cyberversicherung ist ein Markt, dessen Entwicklung noch nicht abgeschlossen ist, und Angebot und Nachfrage werden sich noch eine Zeitlang anpassen. Aber wenn dieser Markt langfristig nachhaltig sein soll, muss er sicherstellen, dass beim Versuch, Rückwirkungsschäden anzubieten, die Integrität dieser Deckung nicht auf der Strecke bleibt.