Cyber-Kollaps: IT-Ausfall rückt Versicherungsbranche ins Rampenlicht

Die Versicherungsbranche sieht sich einem potenziellen Milliardenschaden gegenüber, nachdem ein IT-Ausfall letzte Woche die Schwachstellen einer global vernetzten Wirtschaft aufdeckte, die auf einige wenige Softwareplattformen angewiesen ist. Ein fehlerhaftes Update von CrowdStrike löste am Freitag eine der größten IT-Störungen aller Zeiten aus und brachte Branchen von Fluggesellschaften bis hin zu Einzelhändlern durcheinander. Mehr als 8 Millionen Geräte, die auf Microsoft Windows-Software angewiesen sind, waren betroffen. Cyber-Experten wiesen darauf hin, dass das Ereignis die systemische Natur von Cyberrisiken verdeutlicht und zeigte, wie ein harmloses Software-Update ebenso viel Chaos anrichten kann wie ein bösartiger Cyberangriff. Aon, einer der weltweit größten Versicherungsmakler, erklärte, dass das Ereignis wahrscheinlich der "bedeutendste" Schadenfall in der Cyberversicherung seit den NotPetya-Malware-Angriffen von 2017 sein wird und die "vernetzte Natur von Software-Ökosystemen" hervorgehoben hat. Einige Versicherer warnten jedoch, dass es noch zu früh sei, das globale Schadensausmaß abzuschätzen, sowohl aus typischen Cyber-Policen, die oft nicht-bösartige Betriebsunterbrechungen oder Systemausfälle abdecken, als auch aus anderen Bereichen wie Haftpflichtansprüchen. Ein leitender Versicherungsexperte sagte: "Es scheint unvermeidlich, dass eine Reihe von Ansprüchen folgen wird." Andere schätzen bereits konkrete Zahlen. Derek Kilmer, Berufshaftpflichtmakler bei Burns & Wilcox, erwartet einen versicherten Verlust von über 1 Milliarde US-Dollar und möglicherweise viel mehr. Will Davies, Leiter der Versicherungsabteilung bei PA Consulting, rechnet mit "hunderten, wenn nicht tausenden Ansprüchen aufgrund des Ausfalls" und geschätzten Schäden in Milliardenhöhe. Kelly Butler, UK Cyber Leader bei Marsh, dem größten Versicherungsmakler weltweit, äußerte sich vorsichtig und sagte, es sei noch zu früh, um den Gesamtschaden zu beziffern. Sie fügte hinzu, dass etwa 100 ihrer globalen Kunden ihre Versicherer über potenzielle Ansprüche informiert hätten, die überwiegend auf Betriebsunterbrechungen oder Systemausfälle zurückzuführen seien. Das Ereignis unterstreicht, dass es "keine Grenzen" für einen umfassenden Systemausfall gibt, so Butler. "Es betrifft global, unmittelbar und lateral." Marsh arbeite "proaktiv" mit Kunden zusammen, um ihnen zu helfen, die Kosten des Vorfalls nachzuverfolgen. Zwei Schlüsselfaktoren könnten den Verlust begrenzen: Erstens gelten Wartezeiten in Policen, bevor die Deckung greift – typischerweise 6-12 Stunden. Unternehmen, die in dieser Zeit wieder funktionsfähig wurden, könnten keinen oder nur geringfügige Ansprüche haben. Zweitens bieten bestimmte Policen mehr Schutz für Cyberangriffe als für IT-Ausfälle. Dennoch hob Timothy Wirth, Executive General Adjuster bei der Schadenmanagementgruppe Sedgwick, die Bandbreite der Branchen hervor, die durch den Vorfall Betriebsunterbrechungen erleiden werden. "Es bleibt auch das Potenzial für Sachschäden, falls Hardware beschädigt oder korrumpiert wurde," sagte er. Beazley, ein führender Cyberversicherer, erklärte am Dienstag in einem Handelsupdate, dass die Gewinnprognose für das Jahr durch den globalen Ausfall "auf Basis des aktuellen Kenntnisstands" nicht beeinflusst wird. Die Aktienkurse stiegen daraufhin, lagen jedoch weiterhin unter dem Niveau vor dem Zwischenfall. Analysten bei Jefferies argumentierten, dass das Ereignis der vergangenen Woche ein positiver Katalysator für das Unternehmen und den gesamten Sektor sein könnte, indem es als "Nachweis des Konzepts" für Cyberversicherungen dient und die Nachfrage ankurbelt. Die Preise für Cyberversicherungen seien in den letzten Quartalen gesunken, nach großen Sprüngen in den vorhergehenden zwei Jahren aufgrund einer Welle von Ransomware-Angriffen. Kelly von Marsh sagte, der Markt habe sich aufgrund eines jüngsten Anstiegs der Ansprüche "stabilisiert", und fügte hinzu: "Ich vermute, dass dieses Ereignis nur dazu beitragen wird."