Cybersicherheit | IT-Schutz | Angriffsvektoren
Silent Cyber beschreibt ein “stilles” oder auch ein sogenanntes nicht-affirmatives Cyberrisiko. Dies bedeutet, dass die Deckung von Schäden, die infolge eines Cyberangriffs entstehen, in Versicherungspolicen nicht ausdrücklich ein- oder ausgeschlossen ist. Es wird sich also darüber ausgeschweigen. Das kann im Schadensfall problematisch werden.
In den letzten Jahren ist das Interesse an Cyberversicherungen gestiegen. Laut dem GDV sichern sich kleine und mittlere Unternehmen immer häufiger gegen Bedrohungen aus dem Internet ab. Im Jahr 2020 gaben immerhin 35 Prozent der kleinen Unternehmen (2-10 Millionen € Umsatz) und 43 Prozent der mittleren Unternehmen (10-50 Millionen € Umsatz) an, bereits eine Cyberversicherung zu haben oder den Abschluss einer solchen zu planen.
Im Umkehrschluss heißt dies allerdings, dass die meisten Unternehmen den Nutzen einer Cyberversicherung noch nicht erkannt haben. Dabei stellen Cyberangriffe inzwischen das größte globale Geschäftsrisiko dar (laut Allianz Risk Barometer).
Aktuell setzen viele Unternehmen auf konventionelle Sach- und Haftpflichtpolicen, die mitunter auch Cyberschäden abdecken. Wenn diese Schäden jedoch nicht ausdrücklich ein- oder ausgeschlossen sind, besteht das “Silent Cyber” Risiko.
In einer Studie der Rating-Agentur Assekurata erklärten 74 Prozent der befragten Anbieter von Cyber-Versicherungen, dass konventionelle Sach- und Haftpflichtdeckungen ein erhebliches „Silent Cyber“- Risiko beinhalten (Studie: “Die große Cyberwelle kommt noch!”, 2019).
Konkrete Risiken von “Silent Cyber”
Was sind die Konsequenzen, wenn Cyberrisiken in einer Police nicht oder nur unzureichend berücksichtigt wurden, also “stille” Risiken sind? Dann ist bei Schäden aufgrund einer Cyberattacke nicht eindeutig, inwieweit diese Schäden abgedeckt sind. Oder ob sie überhaupt abgedeckt sind.
Das “Silent Cyber” Risiko betrifft sowohl Versicherungsunternehmen als auch Versicherte. So erklärt Marsh, ein internationales Industrieversicherungsmakler- und Risikoberaterunternehmen, dass sich Versicherungsunternehmen mit einem nicht-affirmativen Police-Wortlaut einem erhöhten Risiko aussetzen. Denn durch die fehlende Berücksichtigung potenzieller Cyberrisiken wird weder das erhöhte Risiko der Versicherten berechnet, noch wird die potenzielle Risikoaggregation im eigenen Portfolio bewertet.
Die Versicherten tragen ebenfalls ein erhöhtes Risiko, da viele konventionelle Sach- und Haftpflichtpolicen keine Schäden abdecken, die infolge einer Cyberattacke entstehen. Damit die Versicherten dieses erhöhte Risiko erkennen, sollte es jedoch explizit formuliert werden. Andernfalls glauben einige Versicherte, dass sie eine angemessene Deckung für Cyberrisiken haben, obwohl dies nicht der Fall ist.
Zudem können nicht-affirmative Formulierungen von den Versicherungsunternehmen unterschiedlich ausgelegt werden. Das kann im Schadensfall zu Rechtsstreitigkeiten führen.
Wie lassen sich Missverständnisse verhindern?
Für Versicherte empfiehlt es sich, zu überprüfen, ob Cyberschäden in ihren bestehenden Sach- und Haftpflichtpolicen explizit berücksichtigt und abgedeckt sind. Ist das nicht der Fall, empfiehlt es sich, dies nachzuholen. Zum Beispiel mit einer zusätzlichen, individuellen Cyberversicherung, die neben der finanziellen Schadensabdeckung auch sinnvolle Zusatzleistungen wie eine 24/7 Notfallhilfe oder präventive Schulungs- und Trainingsmaßnahmen bietet. Denn diese Maßnahmen helfen, Cyberangriffe einzudämmen oder im besten Fall ganz abzuwenden – und die besten Schäden sind immer die, die gar nicht erst entstehen.
Das sagt der Perseus-Experte
Milan Jarosch, Senior Channel Sales Manager und hauptsächlich verantwortlich für Versicherungsmakler, sagt dazu:
“Das Thema Silent Cyber ist ja hauptsächlich ein Versicherer-Thema, da sich hier ja potenzielle Risiken im Portfolio befinden, die zum einen aktuell (noch) nicht abschätzbar bzw. valide kalkulierbar sind und welche sich zum anderen nicht in der Prämie wiederfinden.
Für die Kunden ist das grundsätzlich erstmal positiv, da sie ja im Zweifel Versicherungsschutz für etwas genießen, wovon sie zumeist nichts wissen und für welchen sie auch nicht bezahlen. Negativ ist dies nur dann, wenn ein Kunde der Meinung ist, mit seiner Sach-/Haftpflichtpolice eine Cyberversicherung ‚abgeschlossen‘ zu haben. Dann könnte es natürlich ein böses Erwachen geben, da die Deckungsinhalte der gängigen Cyberversicherungen (oftmals weit) über die Deckung in diesem Bereich hinaus gehen. Dies ist in der Praxis jedoch eher ein theoretisches Szenario, da die Kunden ja in den meisten Fällen von ihrem betreuenden Makler entsprechend aufgeklärt wurden und sich somit der Deckungslücke im Bereich Cyber bewusst sein sollten.”
Cyber security | IT protection | Attack vectors
Silent cyber describes a ‘silent’ or so-called non-affirmative cyber risk. This means that coverage for damage resulting from a cyber attack is not expressly included or excluded in insurance policies. In other words, it is not mentioned. This can be problematic in the event of a claim.
Interest in cyber insurance has grown in recent years. According to the GDV, small and medium-sized enterprises are increasingly protecting themselves against threats from the internet. In 2020, 35 percent of small businesses (€2-10 million in revenue) and 43 percent of medium-sized businesses (€10-50 million in revenue) said they already had cyber insurance or were planning to take out a policy.
Conversely, however, this means that most companies have not yet recognised the benefits of cyber insurance. Cyber attacks now represent the greatest global business risk (according to the Allianz Risk Barometer).
Currently, many companies rely on conventional property and liability policies, which sometimes also cover cyber damage. However, if this damage is not expressly included or excluded, the ‘silent cyber’ risk exists.
In a study by the rating agency Assekurata, 74 percent of cyber insurance providers surveyed stated that conventional property and liability coverage entails a significant ‘silent cyber’ risk (study: ‘Die große Cyberwelle kommt noch!’ [The big cyber wave is coming!], 2019).
Specific risks of ‘silent cyber’
What are the consequences if cyber risks are not or only insufficiently covered in a policy, i.e. if they are “silent” risks? In the event of damage caused by a cyber attack, it is then unclear to what extent this damage is covered. Or whether it is covered at all.
The ‘silent cyber’ risk affects both insurance companies and policyholders.
Marsh, an international industrial insurance broker and risk advisor, explains that insurance companies with non-affirmative policy wording expose themselves to increased risk. This is because the failure to take potential cyber risks into account means that neither the increased risk to policyholders is calculated nor the potential risk aggregation in the company’s own portfolio is assessed.
Policyholders also bear an increased risk, as many conventional property and liability policies do not cover damage resulting from a cyber attack. However, this increased risk should be explicitly stated so that policyholders are aware of it. Otherwise, some policyholders may believe that they have adequate coverage for cyber risks when this is not the case.
In addition, non-affirmative wording can be interpreted differently by insurance companies. This can lead to legal disputes in the event of a claim.
How can misunderstandings be prevented?
Insured parties are advised to check whether cyber damage is explicitly included and covered in their existing property and liability policies. If this is not the case, it is advisable to take out additional cover.
For example, with additional, individual cyber insurance that offers not only financial coverage but also useful additional services such as 24/7 emergency assistance or preventive training and education measures. These measures help to contain cyber attacks or, in the best case, prevent them altogether – and the best damage is always the damage that never happens in the first place.
What the Perseus expert says
Milan Jarosch, Senior Channel Sales Manager and primarily responsible for insurance brokers, says:
„The issue of silent cyber is mainly an insurer issue, as there are potential risks in the portfolio that are currently (still) impossible to assess or calculate validly and which are not reflected in the premium.
For customers, this is generally positive at first, as they enjoy insurance cover for something they are mostly unaware of and do not pay for. The only downside is if a customer believes that their property/liability policy includes cyber insurance. Then, of course, there could be a rude awakening, as the coverage provided by standard cyber insurance policies (often goes far) beyond the coverage in this area. In practice, however, this is more of a theoretical scenario, as customers have in most cases been informed accordingly by their broker and should therefore be aware of the coverage gap in the area of cyber insurance.“