Facebook-Datenleak zeigt die Grenzen von Cyber-Versicherungen

Warum sich Firmen und Versicherungen so schwer tun mit der Abdeckung von Schäden und was laut OECD zu tun wäre.
 
Könnte sich Facebook eigentlich versichern gegen den Schaden, den das Unternehmen durch den Cambridge-Analytica-Skandal erleidet? Und wer entschädigt die geschädigten Menschen, ob sie nun Facebook nutzen oder nicht? Wie definiert man den Schaden? Wie beziffert man ihn? Wer muss bezahlen, auf wen kann man Regress nehmen?
 
Die simplen Fragen deuten an, wie komplex Cybersecurity-Versicherungen sind und dass der Markt sowohl seitens potentieller Opfer als auch bei Versicherern noch in den Kinderschuhen steckt.
 
Im Aufwasch des Facebook-Skandals erhalten Cybersecurity-Versicherungen ein bisschen mehr mediale Aufmerksamkeit. Unter anderem hat 'Wired' einen interessanten Text zu den Herausforderungen und Hürden publiziert und Security-Guru Bruce Schneier lässt ein paar Sätze verlauten.
 
Aber beginnen wir von vorne. Bei allen Versicherungspolicen geht es um drei Aspekte:
 
1) Der Versicherungsschutz erfordert, dass die Versicherungsnehmer das Risiko, dem sie ausgesetzt sind, verstehen, um den Umfang der Deckung zu ermitteln, den sie benötigen.
 
2) Der Risiko-Prüfungs-Prozess umfasst in der Regel eine Bewertung der Risikomanagement- und Sicherheitspraktiken. Diese beinhalten Empfehlungen für weitere Präventionsmassnahmen, die ergriffen werden könnten.
 
3) Die Risikopreisbildung sollte Anreize bieten, das Risiko soweit zu reduzieren, dass die Investitionen in die Risikoreduzierung zu Prämiensenkungen führen.
 
Auf Seiten der Firmen, so hat der OECD-Bericht "Supporting an Effective Cyber Insurance Market" (PDF) letzten Juli festgestellt, hat es in allen drei Punkten Lücken. Zudem müsste "der Markt einem grossen Teil der gefährdeten Unternehmen und Einzelpersonen einen materiellen Deckungsgrad bieten - was derzeit nicht der Fall ist", fügt die OECD an.
 
Der Markt steckt in den Kinderschuhen, das zeigen OECD-Zahlen: Der Cyber-Versicherungsmarkt erreichte im Jahr 2016 geschätzte 3,5 Milliarden Dollar Prämieneinnahmen. Davon stammen drei Milliarden von US-Unternehmen und 300 Millionen von europäischen Unternehmen. Im Zuge der EU-Datenschutz-Grundverordnung dürfte sich der europäische Markt mehr als verdoppeln.
 
Das weckt Gelüste bei Versicherungen und CIOs, trotzdem bleiben markante Hürden, denn die Versicherer tun sich schwer, die Cyber-Risiken zu modellieren und Ergebnisse genau vorhersagen. Das hängt damit zusammen, dass sich die Bedrohungslage rasch ändert. Das hängt aber auch mit der Datenlage zusammen: Zum einen werden mit klassischen Policen gewisse Cyber-Risiken abgedeckt (Diebstahl eines Laptops als simpelstes Beispiel). Zum andern werden Schäden oftmals nicht als "Cyber-Schaden" ausgewiesen und die Schäden durch die auf dem Laptop gespeicherten und gestohlenen Daten sind schwer bezifferbar.
 
Vor allem aber basieren Versicherungsberechnungen auf Daten der Vergangenheit, um die Zukunft vorherzusagen. Dies ist im Tech-Bereich schwierig, da man nicht viele Daten als Versicherung erhält: Weil die Cyber-Risiko-Geschichte jung ist, weil viele Firmen Vorfälle verschweigen beziehungsweise 65 bis 80 Prozent laut OECD schon gar keine Versicherung haben, welcher sie Cyber-Schäden wie Ransomware oder Ausfälle von Cloud- oder Hosting-Providern melden könnten. Und, nicht zuletzt, "weil keine zwei Vorfälle gleich sind", sagte Lori Bailey, die globale Leiterin Cyber-Risks der Zurich Insurance Group zu 'Wired'.
 
Damit wird es schwierig zu berechnen, welche Risiken mit einer gewissen Wahrscheinlichkeit eintreffen und welche mindestens mittlere oder gar hohe Folgen haben, falls sie eintreffen.
 
Neuere Policen können Kosten wie Online-Erpressungszahlungen, Anmietung temporärer Einrichtungen während eines Angriffs und Geschäftsausfälle aufgrund von Systemausfällen oder sogar IT-Konfigurationsfehler abdecken.
 
Die Versicherungen strampeln aber auch damit, dass sie nicht wirklich sicher sind, welche Technologien ihre Kunden möglichst sicher machen. Daneben sind grosse Unterschiede bei der Deckung durch verschiedene Versicherer vorhanden und manche Verluste wie Privacy Breaches oder Industriespionage sind schwer abzudecken.
 
Die Versicherer behelfen sich mit Partnerschaften, wie beispielsweise von Allianz, Cisco und Apple, oder laut 'Wired' von Zurich mit Deloitte. Oder es gibt Prämienrabatte, wenn Firmen Auditing- und Sicherheitsdienste von einigen Gross-Unternehmen machen lassen.
 
Standardisierung gefordert
Sowohl die OECD als auch die Versicherungen rufen nach Standardisierung bei der Bewertung und Berichterstattung sowie bei der Darstellung und Eindämmung der Cyber-Sicherheitsrisiken. Die OECD hätte gerne eine einheitliche Klassifizierung von Cybervorfällen und Arten von Verlusten; eine vertrauenswürdige Partei (z. B. eine Regierungsbehörde), um die Daten zu sammeln und zu melden; und Anreize (oder Anforderungen) für die Berichterstattung von Unternehmen, die von Cybervorfällen betroffen sind, ebenso wie von Versicherungsunternehmen, die ähnliche Ansprüche bezahlt haben.
 
Aber auch in nationalen Cyber-Risikostrategien sollten die ökonomischen und sozialen Risiken und deren Management Einzug halten, so die OECD.
 
Der bekannte Science-Fiction-Autor und Tech-Blogger Cory Doctorow prognostiziert einen Super-Gau durch grosse Identitätsdiebstähle und daraus resultierende Urkundenfälschungen. Dann würden Versicherungen und Rückversicherungen, so schreibt er, "den Überwachungskapitalismus ausrufen". Sie würden in Konsequenz darauf bestehen, dass die Versicherten so wenig Daten wie möglich speichern und sie so kurz wie möglich aufbewahren und die Unternehmen für jedes Feld in ihrer Datenbank und jeden Tag Prämien zahlen lassen. Oder darauf bestehen, dass die Nutzungsbedingungen diesen Fall abschliessend mit ihren Usern regeln.
 
Man wird sehen, ob und wie sich Facebook gegen künftige Risiken absichert oder dies überhaupt noch kann. Man wird auch sehen, ob Entschuldigungen und Absichtserklärungen reichen, um Regulierer und Versicherungen in Schach zu halten wie es die Tech- und Big-Data-Firmen wünschen. (Marcel Gamma)