Versicherer bemühen sich, einen Preis für eine Cyber-Katastrophe festzulegen

Jack Sachs





1992 verwüstete Hurrikan Andrew die Südküste Floridas, tötete Dutzende Menschen und verursachte Schäden in Höhe von mehr als 25 Milliarden US-Dollar. Der Sturm offenbarte auch kritische Schwächen in der Art und Weise, wie Sachversicherer die potenziellen Kosten einer solchen Naturkatastrophe bezifferten. Viele Versicherungsunternehmen haben in den Monaten nach dem Sturm große Verluste hinnehmen müssen mehrere scheiterten .

Heutzutage haben Versicherer Mühe, das wirtschaftliche Ausmaß einer neuen Art von potenzieller Katastrophe zu verstehen, die von Menschenhand verursacht wurde: ein verheerender Cyberangriff. Einige der Lehren aus dem Jahr 1992 gelten, aber in anderer Hinsicht ist dies eine ganz andere Art von Problem, das es zu lösen gilt.

Große Versicherer wie AIG und Chubb bieten seit Ende der 1990er Jahre Cyber-Policen an, und heute verkaufen sie etwa 80 Unternehmen, die sich hauptsächlich auf Datenschutzverletzungen konzentrieren. Der Markt für Cyber-Versicherungen hat in letzter Zeit begonnen, schnell zu wachsen, da eine Reihe hochkarätiger Angriffe Top-Führungskräfte davon überzeugt haben, dass Hacker ein ernstes Problem darstellen. PricewaterhouseCoopers Schätzungen Unternehmen werden im Jahr 2020 7,5 Milliarden US-Dollar für Cyber-Versicherungen zahlen, gegenüber einem geschätzt 2,75 Milliarden US-Dollar im Jahr 2015.



Dennoch haben Versicherer immer noch Schwierigkeiten, die Natur des Cyberrisikos zu verstehen und zu verstehen, wie sie ihre Policen so strukturieren können, dass sie nicht anfällig für katastrophale Verluste sind.

Die Menschen beginnen, Cybersicherheit als Geschäftsrisiko statt als IT-Problem zu betrachten, sagt Arvind Parthasarathi, CEO von Cyence, einem drei Jahre alten Unternehmen, das Versicherern hilft, Cyberrisiken zu modellieren. Das bedeutet, dass dies kein Problem mit einer klaren Lösung ist, sondern ein Risiko, das bewältigt, aber nicht beseitigt werden kann. Jetzt, sagt Parthasarathi, fragen sich Führungskräfte: Wie viel Risiko kann ich gerne eingehen?

Versicherer stellen sich die gleiche Frage, wenn sie versuchen, die Preise für neue Cybersicherheitspolicen festzulegen. Die moderne Cyberbedrohung ist komplex und entwickelt sich schnell weiter. Die drängendste Herausforderung besteht darin, das Risiko zu quantifizieren, dass eine Cyberkatastrophe viele Versicherungsnehmer gleichzeitig trifft, und den maximalen Schaden im schlimmsten Fall abzuschätzen. Das haben die Versicherer vor dem Hurrikan Andrew nicht getan.



Eine Cyber-Katastrophe vergleichbarer Größenordnung wie Hurrikan Andrew ist teilweise deshalb schwer zu modellieren, weil noch keine aufgetreten ist. Letzten Oktober bekamen wir einen Einblick in eine mögliche Art und Weise, wie sich eine solche Katastrophe entwickeln könnte, als Hacker ein Netzwerk von beschlagnahmten Webcams, DVRs und anderen Internet-of-Things-Geräten nutzten, um einen massiven Denial-of-Service-Angriff auf Dyn, einen wichtigen Router für den Internetverkehr, zu starten. Der Angriff machte viele prominente Websites, darunter Amazon, Netflix und Spotify, für Millionen von Benutzern in den Vereinigten Staaten stundenlang nicht verfügbar (siehe 10 Breakthrough Technologies 2017: Botnets of Things ).

Die Kosten des Dyn-Angriffs sind noch nicht klar, aber ein vierstündiger Ausfall des Cloud-Speichersystems S3 von Amazon (der nicht das Ergebnis eines Cyberangriffs war) kostete die S&P-500-Unternehmen laut einer Schätzung von Cyence mindestens 150 Millionen US-Dollar. Es ist nicht schwer, sich einen großangelegten Angriff auf einen Cloud-Dienst vorzustellen, der Verluste in Milliardenhöhe verursacht.

Ein Cyberangriff auf traditionelle physische Infrastruktur, wie dieser nahm einen erheblichen Teil des Gitters heraus in Kiew, Ukraine, im Dezember gibt ebenfalls Anlass zur Sorge. Einige haben den Angriff staatlich geförderten russischen Hackern zugeschrieben. Der Versicherungsmarkt Lloyd’s of London analysierte kürzlich ein hypothetisches Szenario, in dem ein Stromausfall im Nordosten der USA 93 Millionen Menschen ohne Strom zurücklässt. Es kam zu dem Schluss, dass ein solches Ereignis Versicherer zwischen 21 und 71 Milliarden US-Dollar kosten könnte, was zeigt, wie schwierig es ist, die Kosten solcher Risiken genau zu bestimmen.

Die Herausforderung, das Cyberrisiko zu quantifizieren, ähnelt in gewisser Weise der, mit der Versicherer in den 1990er Jahren konfrontiert waren, da sie nur sehr wenig Erfahrung mit dieser Art von Risiko haben. Es dauerte 15 Jahre, um die Datensätze aufzubauen, die den komplexen und detaillierten Naturkatastrophenmodellen zugrunde liegen, auf die sich Versicherer heute verlassen, sagt Tom Harvey, Produktmanager bei Risk Management Solutions, das Katastrophenrisikomodelle für Versicherer entwickelt. Während sich die Dinge für Cyber ​​viel schneller bewegen, sagt er, sind die Daten, die Unternehmen sammeln, immer noch ziemlich uneinheitlich. Das macht es schwierig, Informationen zusammenzufassen und Branchentrends zu untersuchen.

Es gibt natürlich wichtige Unterschiede zwischen der Modellierung von Naturkatastrophen und Cyber-Katastrophen, beginnend mit der Tatsache, dass qualifizierte Menschen Cyber-Ereignisse vorantreiben, nicht physikalische Gesetze. Die Motivationen, Taktiken, Techniken und Ziele von Hackern ändern sich schnell, um neue Abwehrmechanismen zu überwinden. Die Herausforderung besteht darin, einen aktiven Gegner zu verstehen, sagt Parthasarathi von Cyence, dessen Unternehmen sich auf Spieltheorie und Verhaltensökonomie stützt, um das Verhalten von Angreifern zu modellieren.

Das Verständnis der Geographie des Internets ist auch entscheidend, um das Risiko eines großen Cyberangriffs einzuschätzen. Versicherer benötigen eine Karte der Orte, an denen wertvolle Daten gespeichert sind, einschließlich Informationen darüber, wie gut die Eigentümer dieser Vermögenswerte sie schützen, sagt Stephen Boyer, CTO und Mitbegründer von BitSight. Boyers Unternehmen führt diese Art der Kartierung von im Internet gespeicherten Assets durch und misst die Sicherheitsleistung der Organisationen, die diese Assets besitzen.

Versicherer müssen es vermeiden, vor dem Hurrikan Andrew die Cyber-Version zu machen, alle an der Küste Floridas abzusichern, sagt Boyer, Dinge wie das Angebot zu vieler Policen für Unternehmen, die von derselben Technologie oder demselben Dienstanbieter abhängen, wie beispielsweise Amazon Web Services. Wenn dort ein Ausfall auftritt, haben alle einen Anspruch, sagt er.

verbergen