Derzeit gibt es nur vereinzelt Schadenfälle aus der Nutzung von künstlicher Intelligenz (KI). Aber mit der zunehmenden KI-Nutzung bei Industrie und Dienstleistern steht eine Welle solcher Schäden bevor. In den USA bereiten sich die Versicherer darauf vor, KI-Schäden aus der Industriehaftpflicht auszuschließen. In Deutschland wird darüber noch nicht öffentlich diskutiert, intern aber schon. Folgt auf Silent Cyber jetzt Silent AI? Und wer versichert die Risiken dann?
Industrieunternehmen, die unzufrieden mit ihren aktuellen Cyberdeckungen sind, haben derzeit gute Chancen, mit ihrem Anbieter bessere Bedingungen zu verhandeln. Der Markt ist so kundenfreundlich wie lange nicht, höhere Kapazitäten sind möglich für Firmen mit gutem Risikomanagement. Darüber waren sich Fachleute auf dem Symposium des Gesamtverbands der versicherungsnehmenden Wirtschaft in München einig. Der Jenaer Konzern Jenoptik hat von der Lage profitiert – trotz eines kürzlich aufgetretenen Cyberangriffs, berichtete Versicherungschef Andreas Wiederhold (im Foto rechts).
Künstliche Intelligenz (KI) wird von vielen Versicherern eingesetzt. Trotzdem gibt es bezüglich der Technologie noch viele Unsicherheiten. Dabei geht es vor allem um Fragen zur Haftung und zum Datenschutz sowie darum, ob KI in Versicherungspolicen ausgeschlossen werden soll, zeigte eine Online-Veranstaltung des Versicherungsmonitors in Kooperation mit Hiscox. Versicherer müssen zudem weniger darauf schauen, was intern mit KI möglich ist, sondern auf Marktveränderungen und geänderte Kundenbedürfnisse eingehen.
Künstliche Intelligenz (KI) in Versicherungspolicen auszuschließen, kann langfristig eine Gefahr für die Branche sein, ist Frederik Wulff, Vorstandsvorsitzender des Spezialversicherers Markel Insurance SE, überzeugt. „Wir wollen keine Ausschlüsse, sondern Lösungen finden“, sagte er auf der Euroforum-Haftpflichtkonferenz in Köln. Die Anstrengungen sollten vielmehr in die Frage investiert werden, wie man sich auf die veränderte Risikolandschaft einstellt.
Der Cyberversicherungsmarkt hat sich entspannt. Die Versicherer gewähren wieder höhere Kapazitäten und auch die Preise für den Versicherungsschutz sinken. Dennoch ist nicht alles in Ordnung, glaubt Kathrin Zeman, Cyber & Product Lead bei Munich Re. Um Cyberrisiken langfristig versicherbar zu machen, brauche es klare Definitionen, sagte sie beim Cyber-Insurance-Talk der Technischen Hochschule Köln. Ein Dorn im Auge sind ihr veraltete Kriegsklauseln, die auf Sachversicherungen zugeschnitten sind, und die damit verbundenen Ausschlüsse.
Wochenspot – der Podcast Regelmäßig gibt es den Versicherungsmonitor auch zum Hören. In dieser Ausgabe sprechen Redakteurin Katrin Berkenkopf und Herausgeber Herbert Fromme über künstliche Intelligenz (KI) und ihre Chancen und Bedrohungen für die Branche. Außerdem geht es darum, was sie mit den Kundenerwartungen macht.
Kurz vor der mündlichen Verhandlung vor dem New Jersey Supreme Court hat sich die US-Pharmafirma Merck mit ihren Versicherern im Streit um den Schaden aus dem Notpetya-Cyberangriff geeinigt. Die Ransomware hatte bei Merck 2017 über 40.000 Rechner infiziert und einen Schaden von 1,4 Mrd. Dollar verursacht. Die Sachversicherer, bei denen die Firma eine Allgefahrendeckung abgeschlossen hatte, wollten mit Verweis auf den Kriegsausschluss nicht zahlen – waren mit dieser Argumentation aber bisher bei allen Gerichten abgeblitzt.
Exklusiv Die Verknappung der Kapazität im Cybermarkt könnte schon 2023 zu Ende ein. Das glaubt Shay Simkin, Weltchef für Cyberversicherung beim britischen Großmakler Howden und einer der Pioniere dieser Sparte. Simkin ist gegen ein Verbot von Lösegeldzahlungen und beschreibt, wie Lösegeldverhandlungen ablaufen. Im zweiten Teil des Interviews mit SZ und Versicherungsmonitor spricht er über Silent Cyber, Preise und Selbstbehalte – und darüber, wie sich Konzerne auf Angriffe vorbereiten können.
Klassische Kriegsklauseln in Cyberpolicen, die nur auf traditionelle Kriegsführung abstellen, haben sich überlebt. Staatlich unterstützte Hackerangriffe nehmen immer mehr zu. Nicht immer werden sie wie im Fall des Ukraine-Kriegs von Waffengewalt begleitet. Die Cyberversicherer müssen sich an diese neue Realität anpassen, hieß es auf einer Veranstaltung der Lloyd’s Market Association. Über das Ziel hinausschießen sollten die Anbieter aber auch nicht.
Das Urteil eines Gerichts aus dem US-Bundesstaat New Jersey, dass sich die Versicherer des US-Pharmakonzerns Merck bei Schäden durch die Ransomware Notpetya nicht auf den Kriegsausschluss des Vertrags berufen können, bedeutet nicht, dass damit auch alle anderen, ähnlich gelagerten Streitigkeiten entschieden sind. Darauf weist die Ratingagentur A.M. Best hin. So hängt ein Verfahren zwischen dem Lebensmittelhersteller Mondelez und der Zurich America in Illinois immer noch in der Schwebe.
Cyberpolicen sind für Versicherer ein schwieriges Thema. Sie haben zu wenige Daten für die junge Sparte, Cybergefahren ändern sich ständig, und viele Kunden sehen den Nutzen einer Cyberpolice noch nicht. All diese Herausforderungen könnten durch mehr Präventionsangebote als Teil einer Cyberdeckung erleichtert werden. Das sagten Experten auf einer Cyberfachtagung der Versicherungsforen Leipzig. Auch traditionellere Sparten könnten von diesen Problemen getroffen werden, denn Silent Cyber-Schäden werden zunehmen, glaubt die DEVK Re.
40.000 lahmgelegte Rechner und über 1,4 Mrd. Dollar Schaden – der Angriff mit der Erpressungssoftware Notpetya im Sommer 2017 hat den US-Pharmahersteller Merck schwer getroffen. Seine Sachversicherer verweigerten die Zahlung und beriefen sich dabei auf den Kriegsausschluss. Jetzt hat ein Gericht in New Jersey geurteilt, dass ein Malware-Angriff nicht von diesem Ausschluss erfasst ist. Der Fall verdeutlicht, dass sogenannte Silent Cyber-Schäden eine ernstzunehmende Gefahr für Versicherer sind.
Die Ratingagentur Moody’s stellt den Cyberversicherern ein gutes Zeugnis aus. Die Anbieter haben nicht nur Fortschritte bei der Beseitigung von Silent Cyber-Risiken gemacht, sondern auch bei der Gestaltung ihrer Verträge. Die jüngsten Cybervorfälle bieten den Versicherern einen Nährboden, um weitere Preissteigerungen durchzusetzen, erwartet Moody’s. Die Analysten betonen aber auch, dass die Versicherer nicht in der Lage sind, jedes Ereignis abzusichern.
Die Versicherer sollten sich nicht damit begnügen, Silent Cyberrisiken, also versteckte Cybergefahren, in konventionellen Haftpflicht- oder Sachverträgen zu identifizieren und explizit ein- oder auszuschließen, fordert Standard & Poor’s (S&P). Die Ratingagentur empfiehlt den Gesellschaften, die Cyberversicherung auch konsequent als eigenständige Sparte zu etablieren. Im eigenen Interesse und dem ihrer Kunden sollten die Anbieter damit aufzuhören, Cyberdeckungen an allgemeine Gewerbe- und Industriepolicen anzuhängen, fordern die Analysten.
Exklusiv In den vergangenen Jahren ist die Zahl der gemeldeten Cyberschäden rasant nach oben geschnellt. Betriebsunterbrechungen infolge von Cybervorfällen machen den größten Anteil der Cyberschäden aus. Die Ursache für den Betriebsstillstand findet sich in den meisten Fällen im Unternehmen selbst. Das zeigt eine Studie des Allianz-Industrieversicherers Allianz Global Corporate & Specialty. „Die klare Mehrzahl der Betriebsunterbrechungsfälle gehen auf menschliches Versagen zurück“, sagte Catharina Richter, globale Leiterin des Allianz Cyber Kompetenzzentrums, dem Versicherungsmonitor. Diese Schwachstelle ließe sich jedoch mit einfachen Mitteln beseitigen.