Wie sicher Versicherer selbst sind

Versicherer als Ziel von Cyberattacken

Wer das Wort „sicher“ im Namen führt, sollte selbst gegen alles Übel der Welt gewappnet sein – auch wenn es aus dem Cyberraum kommt. Einen solchen Automatismus gibt es freilich nicht. Fakt ist jedenfalls: Versicherer sind – ähnlich wie Banken – beliebtes Ziel von Cyberangriffen. Der Grund liegt auf der Hand. Sie nehmen Gelder an und bewegen hohe Summen. Außerdem häufen sie riesige Mengen hochsensibler Daten an.

Wie viele Angriffe die Versicherer treffen, können wir derzeit nur vermuten. Was zum einen daran liegt, dass es bis dato, anders als bei Banken, keine Meldepflicht gibt, ein Manko, das dringend behoben werden sollte. Zum anderen dürfen wir annehmen, dass es unter den Hackern große Meister der Camouflage gibt. Wie viele gut getarnte Cyberangriffe unbemerkt von statten gehen, lässt sich daher kaum seriös schätzen.

Manche Hacker camouflieren zwar sich selbst, nicht aber ihre Angriffe. Sie legen es darauf an, dass ihre Taten auffallen, das macht ihre kriminelle Geschäftsidee aus. Beispiel Ransomware: Selbstverständlich sollen die Opfer erfahren, dass sie angegriffen worden sind. Es geht schließlich darum, für die Herausgabe ihrer Daten Lösegeld von ihnen zu erpressen.

Die Bedrohungslage ist ernst. Sie wird sogar zunehmend ernster, denn der Gegner wird immer besser. Die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (European Insurance and Occupational Pensions Authority – EIOPA) findet in ihrem Report „Cyber Risk for Insurers – Challenges and Opportunities“² aus dem Jahr 2019 deutliche Worte. Die zunehmende Häufigkeit und Raffinesse von Cyber-Attacken bereite Versicherern Schwierigkeiten. Anfällig mache sie der verstärkte Einsatz von Big Data und Cloud Computing. Hinzu kommt aber noch ein weiterer Aspekt, nämlich das drohende Konzentrationsrisiko.

Die eigene Abwehr stärken

Aber wie dem auch sei, die zentrale Frage lautet: Rüstet sich die Branche insgesamt ausreichend für den Kampf gegen Cyberkriminelle? Das sollte man annehmen, schließlich sind Kundendaten, auf die Kriminelle es absehen, der Schatz eines jeden Versicherers. Jedes Unternehmen dürfte daher aus eigenem Interesse ein Maximum an IT-Sicherheit anstreben.

Darauf wollen sich aber natürlich weder Gesetzgeber noch Aufsicht verlassen, und so gibt es regulatorische Vorgaben zur IT-Sicherheit und aufsichtliche Rundschreiben, die darauf aufsetzen. Unsere versicherungsaufsichtlichen Anforderungen an die IT haben wir in unseren gleichnamigen VAIT zusammengefasst. Damit legen wir die Vorschriften des Versicherungsaufsichtsgesetzes (VAG) über die technisch-organisatorische Ausstattung der Unternehmen verbindlich und konsistent aus. Alle Unternehmen und Gruppen sollen wissen, woran sie sind. Diese Transparenz ist uns wichtig.

Geplante Attacken im Namen der Sicherheit

In den VAIT verlangen wir unter anderem, dass der Informationssicherheitsbeauftragte in seinem Statusbericht an die Geschäftsleitung die Ergebnisse von Penetrationstests aufführt. Bei solchen Tests versucht ein Sicherheitsspezialist, die Leistungsfähigkeit der IT-Sicherheit eines Unternehmens zu prüfen. Neuere Varianten – wie etwa TIBER-Tests – konzentrieren sich nicht mehr überwiegend auf technische Aspekte, sondern berücksichtigen auch Faktoren wie menschliche Fehler. Bei solchen Red-Team-Tests versucht ein Red Team, wie reale Angreifer, die physischen, technischen oder organisatorischen Sicherheitsmechanismen eines Unternehmens zu überwinden, um vorher definierte Ziele zu erreichen.

Zu den Stärken von Red-Team-Tests zählen Realitätsnähe, Prüfungstiefe, Verwertbarkeit und Anschaulichkeit der Ergebnisse. Bei solchen geplanten Attacken werden die möglichen Auswirkungen eines Hacker-Angriffs demonstriert – und zwar auf anschauliche Weise, so dass sich auch Personen ein Bild von der Bedrohungslage machen können, die keine IT-Sicherheitsexperten sind. Konkrete Schwachstellen in den Sicherheitsmaßnahmen der Unternehmen werden offengelegt und – im Idealfall zügig – behoben. Solche Red-Team-Tests sind keine Pflichtübung, aber die Unternehmen sollten dieses Instrument aus eigenem Interesse nutzen, um ihre Cybersicherheit zu verbessern. Es wäre unsinnig, wenn die Versicherer bei nicht traumschönen Ergebnissen aufsichtliche Sanktionen befürchten müssten und deswegen auf die Tests verzichteten. Bei einem Red-Team-Test geht es nicht um Bestehen oder Nichtbestehen. Es geht einzig um ein Optimum an Cybersicherheit.

Offene Flanke

Die BaFin selbst führt keine Penetrationstests durch, aber eigene IT-Prüfungen. Die fördern mitunter überraschende Erkenntnisse zutage, die nicht durchweg positiv sind. Wir haben bei Prüfungen 2019 und 2020 festgestellt, dass mehrere Versicherer nicht einmal ein Informationsrisikomanagement eingerichtet hatten. Sie hatten sich weder systematisch und angemessen mit den wesentlichen Informationsrisiken auseinandergesetzt. Noch hatten sie die erforderlichen Elemente Identifikation, Bewertung, Überwachung und Steuerung aufgesetzt, wie es in den VAIT gefordert wird. Diese Unternehmen hatten eine offene Flanke, denn ohne ein wirksames Informationsrisikomanagement lassen sich Cybergefahren nun einmal nicht abwehren.

Beim Informationssicherheitsmanagement sieht es ähnlich aus: Bei manchen Unternehmen suchten wir es vergebens, oder es war nicht angemessen. Unsere Prüfer fragten nach Informationssicherheitsleitlinien oder auch nur nach dem Informationssicherheitsbeauftragten – in einigen Fällen leider vergeblich. Es kann auch nicht sein, dass manche Systeme und Applikationen gar nicht auf Sicherheitsvorfälle geprüft werden. Das alles sind eklatante Lücken.

Angesichts der Gesamtlage ist es denn auch nicht verwunderlich, dass die BaFin im Jahr 2020 schwerpunktmäßig die IT- und Cybersicherheit unter anderem von Versicherungsunternehmen untersuchen will. Die Aufsicht will dazu vor allem kontrollieren, wie in der Branche die VAIT umgesetzt werden. Mit Blick auf die rasante Ausbreitung des Corona-Virus sind wir allerdings gezwungen, unsere Schwerpunkte für das Jahr 2020 anzupassen. Was auf der anderen Seite aber nicht heißt, dass wir die Augen vor IT- und Cyberrisiken verschließen, bis ein Impfstoff gefunden ist.

Cybervorfälle bei Dritten – ein Risiko für Versicherer

Versteckte Risiken

Jenseits des eigenen Risikos, Opfer von Cyberangriffen zu werden, müssen Versicherer gegebenenfalls Cybervorfälle bei Dritten decken. Ob ein Versicherungsunternehmen für Cyberrisiken Dritter geradestehen muss, hängt nicht davon ab, ob sich die Police „Cyberversicherung“ nennt. Cyberrisiken können auch in Versicherungsprodukten schlummern, die – anders als Cyberpolicen – nicht ausdrücklich regeln, inwieweit Cyberschäden gedeckt sind. Man spricht hier von versteckten oder non-affirmativen Cyberrisiken beziehungsweise von silent cyber risks. Solche versteckten Risiken lauern in vielen traditionellen Verträgen. Einige dieser Verträge stammen aus einer Zeit, in der das Thema Digitalisierung/Cyberrisiko noch keine oder zumindest keine große Rolle spielte.

Betroffen sind vor allem Schaden- und Unfallversicherer. Die massive Zunahme von Hackerangriffen und anderer Formen von Cybervorfällen könnte vor allem bei ihnen zu disruptiven Schadenentwicklungen führen. Angenommen, ein Hacker schaltet das Kühlsystem einer Industrieanlage aus und entfacht damit einen Brand. Dann läge die versicherte Gefahr „Brand“ vor, und der Sachversicherer müsste zahlen. Dass er in analogen Zeiten bei Vertragsschluss nicht an das Szenario „Hacker schaltet Kühlsystem aus“ gedacht hat, möglicherweise auch gar nicht denken konnte, spielt hierbei keine Rolle.

Non-affirmative Cyberrisiken als Aufsichtsschwerpunkt 2019

Non-affirmative Risiken waren 2019 ein Schwerpunkt der Versicherungsaufsicht. Die BaFin wollte darauf hinwirken, dass Versicherer die non-affirmativen Cyber-Risiken im eigenen Versicherungsbestand identifizieren und bewerten. Dazu hat die Aufsicht ihre örtlichen Prüfungen genutzt, non-affirmative Cyberrisken waren aber auch Thema in Aufsichtsgesprächen.

Zusätzlich hat die BaFin 27 Versicherer bzw. Versicherungskonzerne zu non-affirmativen Cyberrisiken befragt, um sie für das Thema zu sensibilisieren. Nur zwei Unternehmen haben bislang angegeben, es seien Schäden durch non-affirmative Cyber-Risiken in ihren Beständen entstanden. Auffällig war, dass viele Versicherer bis dato noch keine solchen Versicherungsfälle zu vermelden hatten. Das könnte man dahingehend interpretieren, dass die Branche die Gefahr non-affirmativer Cyber-Risiken möglicherweise etwas überschätzt hat. Eine Entwarnung für alle Gesellschaften und jeden Bestand gibt unsere Abfrage aber nicht her – auch und vor allem, weil es uns noch an Daten fehlt. Rund 50 Prozent der Befragten gaben an, dass es nicht leicht sei, derartige Fälle überhaupt zu identifizieren.

Die gute Nachricht: Fast alle Versicherer berücksichtigten non-affirmative Risiken 2019 in ihrem Risikomanagement und beobachteten Schadenentwicklung und Marktgeschehen. Die Unternehmen haben auch damit begonnen, ihre Allgemeinen Versicherungsbedingungen mit Blick auf silent risks zu durchforsten. Umfangreichere Vertragsänderungen standen aber nicht zur Debatte.

Zusammenfassend zwei Botschaften: Versicherungsunternehmen müssen – erstens – intensiver als bislang prüfen, ob Cybervorfälle Ursache eines Schadens sind. Zweitens gilt gerade angesichts eventueller non-affirmativer Cyber-Risiken: Die Unternehmen müssen ihr Portfolio kennen – oder schnellstmöglich kennenlernen!

Cyberpolicen

Produkte, die sich Cyberversicherung nennen und Cyberrisken ausdrücklich versichern, sind relativ neu, aber es gibt sie seit einigen Jahren. Es mangelt auch nicht an Musterbedingungen des Gesamtverbandes der Deutschen Versicherungswirtschaft. Cyberversicherungen sind keine traditionellen Produkte. Sie gehören zu den wenigen Innovationen, welche die Digitalisierung im Versicherungssektor hervorgebracht hat. Und sie schließen eine Deckungslücke zwischen klassischen Versicherungen – etwa zwischen einer Betriebsunterbrechungs- und einer Haftpflichtversicherung.

Wenn Angreifer das IT-System eines Betriebs lahmlegen und Kundendaten stehlen, ist dieser Betrieb bei seinem Betriebsunterbrechungs- und Haftpflichtversicherer meist an der falschen Adresse. Liegt kein Sach- oder Personenschaden vor, decken viele klassische Policen dieser Sparten weder den Ertragsausfall noch die Forderungen geschädigter Dritter, an deren Konten sich die Hacker bedient haben. Die Cyberversicherung soll solche Lücken schließen.

Wachstumsmarkt

Cyberversicherungen gelten als Wachstumstreiber. Das Wirtschaftsprüfungs- und Beratungsunternehmen KPMG hat das Prämienvolumen 2016 für Deutschland auf 100 Millionen US-Dollar beziffert.³ Diese Zahl dürfte zwar mittlerweile gestiegen sein, angesichts des 2,9 Milliarden Dollar schweren US-Marktes aber immer noch bescheiden ausfallen. Und ja, es gibt in Europa noch einen Cyber-Gap, den der Markt schließen kann, wodurch er wüchse.

Wir sollten hier aber keine Apfel-mit-Birnen-Vergleiche anstellen. Der deutsche Markt ist grundlegend anders als der US-Markt, der sehr stark vom Rechtsschutzgedanken geprägt ist. Überzogene Wachstumsphantasien waren zudem noch nie hilfreich.

Wie verlässlich sind Prognosen, wenn wir noch nicht einmal gesicherte Ist-Zahlen haben? Versicherungsunternehmen sind nicht verpflichtet, uns Aufsehern separate Zahlen zu Cyberpolicen zu liefern. Das verlangt weder die Versicherungsberichterstattungs-Verordnung noch Solvency II.

Einige Erkenntnisse zum europäischen Cyber-Markt finden sich in einem Bericht von EIOPA.⁴ Danach fokussieren sich die Versicherer auf gewerbliche Kunden, nehmen aber auch Einzelpersonen in den Blick. Die wachsende Zahl von Cybervorfällen treibe das Bewusstsein für das Risiko und damit die Nachfrage nach passenden Versicherungslösungen voran. Ein weiteres Ergebnis: Wenn Versicherer ihren Versicherungsschutz bepreisten, nutzten sie qualitative Modelle häufiger als quantitative.

Soviel zum EIOPA-Bericht. Natürlich hat die BaFin den Anspruch, sich ein eigenes Bild vom deutschen Markt für Cyberversicherungen zu machen. 2020 wollen wir ihn – so unsere Planung aus der Vor-Corona-Zeit – schwerpunktmäßig untersuchen und dazu etwa 25 Versicherern einige Fragen stellen. Uns interessiert, wie viele Cyberpolicen sie im Bestand haben, wie hoch das Beitragsvolumen ist und wie hoch die Schäden sind. Uns interessiert aber auch, ob die Unternehmen in der Lage sind, Cyberrisiken richtig zu bepreisen. Deshalb wollen wir auch Erkenntnisse über das Underwriting und das Risikomanagement gewinnen.

Warten wir ab, wie weit wir in diesem Jahr angesichts der Corona-Krise mit diesen Plänen kommen. Aber auch in Zeiten der Pandemie gilt der ebenso bekannte wie dringliche Appell an die Versicherer: Cyberpolicen vorsichtig zeichnen, die Prämieneinnahmen nicht überschätzen und die Kumulrisiken nicht unterschätzen!

In eigener Sache: IT-Sicherheit der BaFin

Auch sich selbst verlangt die BaFin in Fragen der IT-Sicherheit sehr viel ab, denn sie ist ebenfalls ein beliebtes Ziel von Angreifern aus dem Cyberraum. Was nicht verwunderlich ist, wenn man zum Beispiel bedenkt, dass auch sie über eine Fülle an hochsensiblen Daten verfügt – darunter die, welche Versicherer, Banken und andere Finanzdienstleister ihr melden müssen.

Wie sich die BaFin schützt? An dieser Stelle nur einige Beispiele: Wie alle Bundesbehörden ist auch sie verpflichtet, die Empfehlungen zum IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) umzusetzen. Darüber hinaus befolgt die BaFin die einschlägigen DIN-Normen und die Vorgaben der Europäischen Zentralbank (EZB). Hintergrund ist die Einbindung der BaFin in den Einheitlichen Aufsichtsmechanismus für die Banken der Eurozone unter Leitung der EZB.

Auch über die zentralen Absicherungsmaßnahmen des Netzes der Bundesverwaltung wird die BaFin geschützt. Zusätzlich wappnet die Aufsicht ihr Netzwerk aber mit eigenen Maßnahmen. Sie verfügt über ein umfassendes und fortlaufend aktualisiertes Sicherheitskonzept, das einen Angriff auf ihre IT-Infrastruktur extrem erschwert. Details macht die Behörde aus wohl nachvollziehbaren Gründen nicht öffentlich. Daher nur so viel: Alle Zugänge zum Internet werden mehrstufig überwacht.

Heruntergeladene oder per E-Mail zugesandte Dateien werden in Detonation Chambers geladen und dort in einer separierten Umgebung geprüft. Zertifizierte Firewalls und eine ganze Reihe von Virenabwehrmechanismen verstehen sich von selbst.

Und selbstverständlich legt die BaFin sehr viel Wert darauf, dass all ihre Beschäftigten verantwortungsvoll mit Daten und Fragen der Cybersicherheit umgehen, etwa indem sie sie sensibilisiert und schult.

Ob die BaFin Cyberattacken standhalten kann, wird regelmäßig extern geprüft – etwa durch den Bundesrechnungshof, die EZB, eigens beauftragte Auditoren – und Penetrationstests. Bislang hat man der BaFin dabei immer ein hohes Sicherheitsniveau attestiert. Bislang war auch keiner der Cyberangriffe auf die BaFin erfolgreich, soweit wir das beurteilen können. Sicher muss auch die Versicherungsaufsicht sein. Sie darf sich nur nicht allzu sicher fühlen.

Fußnoten: