Das müssen Versicherer zum Crowdstrike-Vorfall definitiv wissen

Ein Software-Update der Firma Crowdstrike hat am 19. Juli dafür gesorgt, dass 8,5 Millionen Windows-Rechner auf der ganzen Welt abgestürzt sind. Das entspricht zwar weniger als ein Prozent aller Windows-Geräte, die weltweit im Einsatz sind. Dennoch hat dieser Ausfall die IT-Systeme zahlreicher Flughäfen unter anderem in Zürich außer Gefecht gesetzt. Flughäfen und Krankenhäuser leiden besonders unter IT-Ausfällen, da die Systeme rund um die Uhr funktionieren müssen. Außerdem verfügen sie oftmals nicht über robuste Ersatzsysteme. Was heißt das jetzt für die Versicherer weltweit?

Mehr zum Thema

Schwarze Zahlen

Cyberversicherer haben sich wieder gefangen

„Allianz Risk Barometer 2024“

Cyberangriff und Betriebsunterbrechung sind größte Risiken

Gewerbeversicherungsreport

Firmenkunden fürchten Ausfälle durch Krankheit und Hackerangriffe

Schwarze Zahlen

Cyberversicherer haben sich wieder gefangen

„Allianz Risk Barometer 2024“

Cyberangriff und Betriebsunterbrechung sind größte Risiken

Gewerbeversicherungsreport

Firmenkunden fürchten Ausfälle durch Krankheit und Hackerangriffe

In erster Linie ist der IT-Vorfall für die Versicherungsbranche sehr ärgerlich, aber nicht katastrophal. Die Fitch-Analysten gehen aktuell davon aus, dass sich die weltweiten versicherten Schäden im mittleren bis hohen einstelligen Milliardenbereich bewegen. Mit dieser Schadenhöhe sind die (Rück-)Versicherer mit einem blauen Auge davongekommen.

Die Schadensmeldungen durch den Crowdstrike-Vorfall werden „wahrscheinlich keine wesentlichen Auswirkungen auf die Finanzergebnisse globaler (Rück-) Versicherer haben”. Zu diesem Ergebnis kommen zumindest die Analysten von Fitch Ratings in einer Analyse vom 22. Juli 2024.

Die folgenden Sparten der (Rück-)Versicherer werden die Schäden ihrer Versicherten durch den Crowdstrike-Vorfall unter sich aufteilen:

• Betriebsunterbrechung sowie bedingte Betriebsunterbrechung
• Cyberversicherung
• Reiseversicherung
• Veranstaltungsausfall
• Technische Fehler und Auslassungen

Global unterscheiden sich die Versicherungsbedingungen nach Anbieter, Region, Branche und Geschäftszweig erheblich. Zahlreiche Vertragsbedingungen begrenzen die versicherten Schäden. Dazu zählen unter anderem mangelnder Versicherungsschutz, hohe Selbstbeteiligungen, Sublimits und Fristen für Betriebsunterbrechungsansprüche.

Crowdstrike: Großteil der Schäden resultiert aus Selbstbeteiligung der Versicherer

Die Analysten von Fitch gehen davon aus, dass die meisten Schäden aus der Selbstbeteiligung der Erstversicherer resultieren werden. Für Zeitspannen zwischen 8 und 12 Stunden können die meisten Versicherten Ansprüche auf Betriebsunterbrechung geltend machen.

Der Crowdstrike-Vorfall verdeutlicht das wachsende Risiko für Firmen durch Single-Points-of-Failure (SPoF)-Attacken. Die Fitch-Analysten definieren SPoF-Vorfälle als kritische Engpässe bei IT-Systemen, die eine übermäßig große Auswirkung auf das gesamte IT-System haben können. SPoF-Risiken haben Versicherer bereits für Cloud-Ausfälle und gängige Software wie Betriebssysteme modelliert. Bei branchenspezifischer Software wie „Crowdstrike” oder neuerdings „ChangeHealth” ist das allerdings noch nicht der Fall.

Cyberrisiken zu modellieren bleibt schwierig für Versicherer

SPoF-Attacken werden künftig zunehmen, prognostizieren die Fitch-Analysten. Denn viele Unternehmen streben eine Konsolidierung an. Dadurch gibt es immer weniger Anbieter mit höheren Marktanteilen. Und diese sind dann größeren IT-Risiken ausgesetzt. Was dagegen hilft: Wenn Firmen mehrere redundante Anbieter nutzen, kann das dazu beitragen, SPoF-Risiken auszugleichen. Dieser Strategie erhöht aber auch die Komplexität und die Kosten, die Firmen oftmals nicht tragen können. Daher müssen diese abwägen, welche Strategie sie wählen.

SPoF-Risiken verdeutlichen die Herausforderungen von Versicherern, Cyberrisiken zu modellieren. Diese Ereignisse treten zwar nicht oft auf. Aber wenn es zu einem solchen Vorfall kommt, kann der potenzielle Schaden erheblich sein. Das liegt unter anderem an der Dauer der Ausfälle, der Häufung von Ereignissen sowie den Abhilfekosten und Haftungsrisiken, die schwer zu beziffern sind.

Versicherer müssen Cyber-Vertragsbedingungen standardisieren

Die weitere Entwicklung des Marktes, auf dem Cyberrisiken übertragen und Risiken verbrieft werden, erfordert, dass die Produkte weiter reifen. Damit das klappt, müssen Versicherer die Deckungsbedingungen, den Wortlaut, die Preisbedingungen und ihre Anwendungen, mit denen sie Risiken modellieren, standardisieren.

Wegen der unterschiedlichen Ursachen für Schadensfälle tun sich Versicherer oftmals schwer, diese zu bewerten:

• Schwierig ist es für die Versicherer unter anderem, dass es keine wirksamen, allgemein akzeptierten Modellierungsinstrumente und nur begrenzte Datensätze historischer Ereignisse gibt.
• Auch die Tatsache, das vergangene Ereignisse nicht unbedingt auf künftige Risiken schließen lassen, erschwert die ganze Angelegenheit.

Die ersten verbrieften Versicherungsrisiken werden wohl Cyberrisiken beinhalten, die Versicherer leichter modellieren und quantifizieren können. Diese Produkte werden zunächst nur ein kleines Volumen aufweisen.