BaFin - Navigation & Service

Springe direkt zu:

Porträtaufnahme von Dr. Frank Grund, Exekutivdirektor Versicherungs- und Pensionsfondsaufsicht. © Bernd Roselieb

Erscheinung:22.01.2020 Cyber-Risiken: Die Sicht der Aufsicht

Keynote von Dr. Frank Grund, Exekutivdirektor Versicherungs- und Pensionsfondsaufsicht der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), bei der Haftpflicht-Jahrestagung 2020 am 21. Januar 2020 in Hamburg.

Es gilt das gesprochene Wort!

Meine Damen und Herren,

nur wenige Themen sind heutzutage größer als Digitalisierung – Nachhaltigkeit vielleicht, aber dann wird es schon dünn. Früher verstanden die Menschen unter der Digitalisierung den Prozess, Informationen von einer analogen in eine digitale Speicherform zu überführen.

Gegen diese technische Definition ist nichts einzuwenden. Sie ist korrekt. Dennoch glaube ich, dass Sie inzwischen alle etwas anderes im Kopf haben, wenn Sie sich über Digitalisierung unterhalten, und das gilt auch für mich, wenn ich heute zu Ihnen spreche.

Digitalisierung: Das begann vielleicht damit, dass Aufgaben vom Menschen auf Computer übertragen wurden, aber darunter verstehen wir inzwischen einen tiefgreifenden und fortschreitenden Wandel, der sich in allen Lebensbereichen und damit natürlich auch im Finanzsektor und in der Versicherungswirtschaft manifestiert.

Wenn Prozesse automatisiert, optimiert und modernisiert werden, dann ist das mindestens eine Transformation. Ob wir es mit einer Disruption zu tun haben, da gehen die Meinung auseinander.

Das Potenzial, Wertschöpfungsketten aufzubrechen und Marktanteile durcheinanderzuwirbeln, bringt die Digitalisierung zweifelsohne mit. Doch derzeit haben weder Innovationen wie die Telematik noch neue Wettbewerber wie die sechs Insurtech-Start-ups mit Versicherungslizenz in Deutschland eine schöpferische Zerstörung verursacht.

Ich möchte heute etwas zur IT-Sicherheit bei Versicherern, zu non-affirmativen Cyberrisiken und zu Cyberversicherungen sagen.

Die meisten IT-Angriffe treffen Mittelständler. Jedenfalls die meisten, von denen man weiß. Denn es mag auch hochprofessionelle Hacker geben, die ihre Cyberangriffe so gut tarnen, dass niemand sie mitbekommt.

Manchmal ist es aber Teil des kriminellen Geschäftsmodells, dass die Taten auffallen. Wenn etwa Ransomware im Spiel ist, erfahren die Opfer natürlich davon, da die Cyberkriminellen von ihnen sonst kein Lösegeld für die Herausgabe der Daten erpressen könnten.

Banken und Versicherer sind ein herausgehobenes Ziel von Cyberangriffen, denn Unternehmen aus beiden Branchen nehmen Gelder an und bewegen hohe Summen; zudem häufen sie zwangsläufig hoch sensible Daten an.

Leider wird der Gegner immer besser. Der EIOPA-Report „Cyber Risk for Insurers“ benennt klar und deutlich, dass die zunehmende Häufigkeit und Raffinesse von Cyber-Attacken Versicherern Schwierigkeiten bereitet. In einem Satz mit dem Stichwort „susceptible” – anfällig – nennt EIOPA aber auch die Verwendung von Big Data und Cloud Computing durch Versicherer.1 Ich will an dieser Stelle aber nicht weiter ins Detail gehen, denn Sie haben zu Big Data bei Versicherern ja heute Morgen schon einen Vortrag von Dr. Segger gehört.

Wenn man davon ausgeht, dass die Kundendaten der Schatz eines jeden Versicherers sind – und ich denke, wir können uns soweit vorwagen – dann liegt ein Maximum an IT-Sicherheit in deren Eigeninteresse.

Trotzdem gibt es natürlich regulatorische Vorgaben zur IT-Sicherheit und aufsichtliche Rundschreiben, die darauf aufsetzen.

Unsere versicherungsaufsichtlichen Anforderungen an die IT haben wir in unseren VAIT zusammengefasst. Damit legen wir die VAG-Vorschriften über die technisch-organisatorische Ausstattung der Unternehmen verbindlich und konsistent gegenüber allen Unternehmen und Gruppen aus. Die Versicherer – Sie – wissen also, woran sie sind.

In den VAIT lesen Sie unter anderem, dass der Informationssicherheitsbeauftragte in seinem Statusbericht an die Geschäftsleitung die Ergebnisse von Penetrationstests aufführen muss.2

Bei Penetrationstests versucht ein rotes Team mit viel Fantasie – bei echten Angreifern ist es dann wohl eher kriminelle Energie – die IT-Sicherheit eines Unternehmens zu kompromittieren. Ältere Tests konzentrierten sich überwiegend auf technische Aspekte und blendeten Faktoren wie menschliches Versagen aus.

Zu Recht gelten Realitätsnähe, Prüfungstiefe und Verwertbarkeit von Red-Team-Übungen als ihre Stärken: Es kommen ganz konkrete Schwachstellen auf den Tisch, deren Folgen sich ebenfalls abschätzen lassen und die tunlichst geschlossen werden sollten.

Penetrationstest sind keine Pflicht. Aber die Unternehmen sollten diese Tests vor allem im Eigeninteresse durchführen und mit den Erkenntnissen ihre Cyber-Sicherheit verbessern und nicht deswegen auf die Tests verzichten, weil sie aufsichtliche Sanktionen befürchten müssen. Denn einen Penetrationstest kann man nicht bestehen, er wird immer Schwachstellen aufdecken, die dann zu beseitigen sind.

Die BaFin führt zwar keine Penetrationstests durch, aber eigene IT-Prüfungen. Und die liefern manchmal überraschende Erkenntnisse, die nicht immer durchweg positiv sind.

Gleich bei mehreren Versicherern war schlichtweg kein Informationsrisikomanagement vorhanden. Diese Versicherer haben sich also weder systematisch und angemessen mit den wesentlichen Informationsrisiken auseinandergesetzt noch die erforderlichen Elemente Identifikation, Bewertung, Überwachung und Steuerung aufgesetzt. Ohne ein wirksames Informationsrisikomanagement geht es aber nicht.

Ähnliche Erkenntnisse haben wir zum Informationssicherheitsmanagement gewonnen: Es ist zuweilen nicht existent bzw. nicht angemessen. Unsere Prüfer haben teils vergeblich nach Informationssicherheitsleitlinien oder auch nur dem Informationssicherheitsbeauftragten gefragt. Das sind eklatante Lücken.

Es kann zudem nicht sein, dass manche Systeme und Applikationen erst gar nicht in den Prozess der Überwachung und Erkennung von Sicherheitsvorfällen eingebunden sind.

Die BaFin schaut aber nicht nur auf die IT-Sicherheit von Versicherern, sie verlangt sich in diesem Punkt auch selbst Stabilität ab. Wie alle Bundesbehörden sind auch wir dazu verpflichtet, den IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik umzusetzen.

Hinzu kommen regelmäßige externe Prüfungen – zum Beispiel durch den Bundesrechnungshof, die EZB, und eigens beauftragte Auditoren – sowie Penetrationstests. Uns wurde dabei bislang stets ein hohes Sicherheitsniveau attestiert.

Aber auch auf technischer Ebene haben wir ein umfassendes Sicherheitskonzept, das einen Angriff auf die IT-Infrastruktur extrem schwer macht.

  • Alle Zugänge zum Internet werden mehrstufig überwacht.
  • Heruntergeladene oder per E-Mail zugesandte Dateien werden in so genannte Detonation Chambers geladen und dort in einer separierten Umgebung auf ungewöhnliches Verhalten geprüft. Auf diese Weise kann auch den Virenscannern unbekannte Schadsoftware erkannt und neutralisiert werden.
  • Zertifizierte Firewalls und eine ganze Landschaft von Virenabwehrmechanismen verstehen sich von selbst.

Meine Damen und Herren, lassen Sie mich zu unserem heutigen Kernthema kommen: Praktikern wie Ihnen muss ich nicht erzählen, dass Versicherer nicht nur selber von Cybervorfällen betroffen sein können, sondern auch von Cybervorfällen bei Dritten. Jedenfalls dann, wenn diese Dritten bei Ihnen einen Versicherungsvertrag abgeschlossen haben – eine Cyberversicherung, haben Sie vielleicht jetzt schon im Kopf ergänzt, aber auch aus anderen Versicherungen kann sich eine Deckung gegen Cyber-Risiken ergeben.

Non-affirmativ – manche sagen auch: Silent – sind Cyber-Risiken, wenn Versicherungsbedingungen sie als versicherte Gefahr weder explizit ein- noch ausschließen. Manche Verträge stammen aus einer Zeit, als das Thema noch viel, viel kleiner oder gar völlig unbekannt war.

Heutzutage ist es natürlich denkbar, dass Hacker das Kühlsystem einer Industrieanlage ausschalten und dadurch ein Feuer verursachen.

Dann liegt die versicherte Gefahr „Brand“ vor und der Sachversicherer muss zahlen, obwohl er bei Vertragsschluss an eine solche Ursache für einen Brand gar nicht gedacht hat. Vielleicht hat sich der Versicherer überlegt, was Sabotage oder ein Stromausfall mit dem Kühlsystem seines Versicherungsnehmers anstellen – Hacker-Attacken, wie wir sie heute kennen, hatte er in analogen Zeiten aber wohl weniger auf dem Schirm.

Wie Sie vielleicht wissen, haben wir 2019 schwerpunktmäßig darauf hingewirkt, dass Versicherer die non-affirmativen Cyber-Risiken im eigenen Versicherungsbestand identifizieren und bewerten. Dafür haben wir unsere örtlichen Prüfungen und Aufsichtsgespräche genutzt.

Rund 25 Versicherer haben zudem unseren Fragebogen ausgefüllt. Die Ergebnisse zeigen,

  • dass alle Schaden-Versicherungen von non-affirmativen Cyber-Risiken betroffen sein können,
  • dass non-affirmative Cyber-Risiken bereits einen festen Platz im Risikomanagement haben,
  • und dass sich in den Unternehmen meist interne, manchmal externe Experten mit dem Thema befassen.

Zwei Versicherer haben bislang angegeben, es seien bereits Schäden durch non-affirmative Cyber-Risiken in ihren Beständen aufgetreten.

Das deutet daraufhin, dass die Versicherungsbranche die Gefahr non-affirmativer Cyber-Risiken möglicherweise etwas überschätzt hat. Andererseits: Die Sorge war sicher nicht unberechtigt und ich bin nicht hier, um auf Grundlage unseres Fragebogens Entwarnung für jede Gesellschaft und jeden Bestand zu geben. Es fehlt insbesondere an Daten.

Nach wie vor gilt daher mein Appell, den ich schon mehrfach auf Cyberversicherungen gemünzt habe, vor dem Hintergrund non-affirmativer Cyber-Risiken ganz besonders: Versicherer müssen ihr Portfolio kennen bzw. schnellstmöglich kennenlernen!

Damit bin ich bei den Cyber-Versicherungen angelangt – mein drittes und letztes Thema.

Mittlerweile gibt es diese Versicherung ja schon ein paar Jahre. Auch an GDV-Musterbedingungen fehlt es nicht.

Cyberversicherungen sind für mich eher nicht „klassisch“. Sie gehören zu den wenigen Produktinnovationen, die die Digitalisierung hervorgebracht hat. Und sie schließen eine Deckungslücke zwischen klassischen Versicherungen wie einer Betriebsunterbrechungs- und einer Haftpflichtversicherung.

Wenn Angreifer das IT-System eines Betriebs lahmlegen und Kundendaten stehlen, ist die versicherungsnehmende Firma bei ihrer Betriebsunterbrechungs- und Haftpflichtversicherung meist an der falschen Adresse. Denn wenn kein Sach- oder Personenschaden vorliegt, decken klassische Policen häufig weder den Ertragsausfall noch die Forderungen geschädigter Dritter, mit deren Kontodaten die Hacker einkaufen waren. Die Cyberversicherung ist dafür gedacht, solche Lücken zu schließen.

Cyberversicherungen gelten als Wachstumstreiber. Die KPMG hat das Prämienvolumen 2016 für Deutschland auf 100 Millionen US-Dollar beziffert. Das nimmt sich im Vergleich zum 2,9 Milliarden Dollar schweren US-Markt vergleichsweise geringfügig aus.3

Es ist sicher richtig, dass es in Europa noch einen Cyber-Gap gibt, den der Markt schließen kann, wodurch er weiter wachsen würde.

Nach meiner Überzeugung vergleichen wir aber Äpfel mit Birnen, wenn wir den deutschen Markt gegen den Rechtsschutz-geprägten US-Markt halten. Und auch Prognosen über zigfaches Wachstum sind nicht zielführend.

Wie verlässlich sind Prognosen, wenn es noch nicht einmal gesicherte Ist-Zahlen gibt? Weder nach der Versicherungsberichterstattungs-Verordnung noch nach Solvency II müssen Versicherungsunternehmen uns Aufsehern separate Zahlen zu Cyberpolicen liefern.

Über den europäischen Cyber-Markt finden sich einige Erkenntnisse in EIOPAs Report „Understanding Cyber Insurance“. Demnach fokussieren sich die Versicherer auf gewerbliche Kunden, nehmen aber auch Einzelpersonen in den Blick.

Zunehmende Cyber-Vorfälle werden das Bewusstsein für das Risiko und damit die Nachfrage nach entsprechenden Versicherungslösungen vorantreiben, heißt es.

Und: Wenn Versicherer ihren Versicherungsschutz bepreisen, nutzen sie qualitative Modelle häufiger als quantitative – was sich mit einer weiteren Erkenntnis deckt, nämlich der, dass noch nicht genügend Daten vorliegen.4

Soweit zu EIOPA. Wir als BaFin haben den Anspruch und den Ansporn, uns in Deutschland ein eigenes Bild vom Markt für Cyberversicherungen zu machen.

2020 wollen wir ihn schwerpunktmäßig untersuchen und mit Hilfe einer Abfrage unter voraussichtlich etwa 25 Versicherern herausfinden, wie viele Policen bestehen, wie hoch das Beitragsvolumen ist und wie hoch die Schäden sind. Die qualitativen Aspekte des Fragebogens werden sich auf das Pricing, das Underwriting und das Risikomanagement beziehen. Unser Ziel ist es, aufsichtlich beurteilen zu können, wo es in diesem potenziellen neuen Wachstumsmarkt ggf. Nachbesserungsbedarf gibt.

Ich möchte unseren eigenen Ergebnissen nicht vorgreifen. Nach derzeitigem Stand lautet meine Botschaft an die Unternehmen der Versicherungswirtschaft aber, dass sie Cyberpolicen vorsichtig zeichnen, die Prämieneinnahmen nicht über- und die Kumulrisiken nicht unterschätzen sollten.

Meine Damen und Herren: Ich danke Ihnen für Ihre Aufmerksamkeit!

Fußnoten:

  1. 1 https://eiopa.europa.eu/Pages/News/EIOPA-calls-for-a-sound-cyber-resilience-framework.aspx
  2. 2 https://www.bafin.de/dok/11102952
  3. 3 https://assets.kpmg/content/dam/kpmg/ch/pdf/neues-denken-neues-handeln-cyber-de.pdf
  4. 4 https://eiopa.europa.eu/Publications/Reports/EIOPA%20Understanding%20cyber%20insurance.pdf#search=cyber

Fanden Sie den Beitrag hilfreich?

Wir freuen uns über Ihr Feedback

Es hilft uns, die Webseite kontinuierlich zu verbessern und aktuell zu halten. Bei Fragen, für deren Beantwortung wir Sie kontaktieren sollen, nutzen Sie bitte unser Kontaktformular. Hinweise auf tatsächliche oder mögliche Verstöße gegen aufsichtsrechtliche Vorschriften richten Sie bitte an unsere Hinweisgeberstelle.

Wir freuen uns über Ihr Feedback