Cyberrisiken: Zurich für standardisierten Metriken

Die wirtschaftlichen Schäden durch Cyberangriffe explodieren – und die Versicherungsbranche kann derzeit nur einen Bruchteil abfedern. Laut Zurich Insurance Group decken Policen weltweit lediglich rund ein Prozent der Kosten ab, während die Gesamtschäden bereits bei fast 0,9 Billionen US-Dollar liegen. Diese Diskrepanz zeigt deutlicher als jede andere Kennzahl, wie gross die Lücke zwischen wirtschaftlicher Realität und Versicherungsangebot ist.

In einer neuen Studie mit dem Titel Enhancing Cyber Security: Key metrics for Policymakers fordert Zurich gemeinsam mit der Cyber Threat Alliance und dem CyberGreen Institute mehr Transparenz und einheitliche Standards im Umgang mit Cyberrisiken. Nationale Cyber-Statistikämter sollen künftig Daten zu Vorfällen systematisch erfassen, auswerten und in Echtzeit veröffentlichen. So könnten Staaten und Unternehmen besser erkennen, wo ihre Stärken und Schwächen liegen und wie sie ihre Widerstandsfähigkeit verbessern können.

Konkret schlagen die Autoren sechs Kennzahlen vor, die das Cyberrisiko messbar machen sollen: unter anderem die Verbreitung von Cyberversicherung, die Zahl signifikanter Vorfälle, die Geschwindigkeit bei der Eindämmung und Wiederherstellung sowie den Anteil offener Stellen im Bereich IT-Sicherheit. Ziel ist es, eine Vergleichbarkeit zwischen Ländern zu schaffen und politische Entscheidungen auf eine fundiertere Basis zu stellen.

Für die Versicherungsbranche ist die Initiative von besonderer Bedeutung. Cyber gilt als der am schnellsten wachsende Markt, die Prämien sollen von 14 Milliarden US-Dollar im Jahr 2023 bis 2027 auf knapp 29 Milliarden steigen. Doch trotz des Wachstums bleibt die Deckungslücke enorm – vor allem kleine und mittlere Unternehmen sind weiterhin kaum oder gar nicht versichert. Einheitliche Metriken könnten helfen, Risiken präziser zu kalkulieren, Kapazitäten besser einzusetzen und die Marktentwicklung auf eine solidere Grundlage zu stellen.

Einfach umzusetzen ist der Vorschlag jedoch nicht. Einheitliche Definitionen von Vorfällen fehlen, Datenschutz und Meldepflichten sind heikle Themen, und der Aufbau entsprechender Strukturen würde erhebliche Ressourcen erfordern. Zudem dürfte es politisch Zeit brauchen, bis Regierungen bereit sind, nationale Statistikämter für Cyberfragen einzurichten und internationale Standards abzustimmen.

Die Zurich hat den Finger in die Wunde gelegt. Ohne einheitliche und verlässliche Daten wird die Deckungslücke nicht kleiner werden – weder für Versicherer noch für ihre Kunden. Die Branche sollte nicht darauf warten, dass die Politik handelt, sondern sich aktiv in die Diskussion einbringen und Pilotprojekte anstossen. Denn nur wer über Daten verfügt, kann Cyberrisiken seriös managen – und damit auch das Vertrauen in die Cyberversicherung stärken.