Eine führende britische Finanzaufsichtsbehörde hat den Cyber-Versicherungssektor wegen ungeprüfter Policensprache, Vertragsunsicherheit und Lücken in der Risikomodellierung kritisiert.
Die Aufsichtsbehörde der Bank of England (Prudential Regulation Authority, PRA) hat einen Querschnitt des Sektors – bestehend aus 17 allgemeinen Versicherern und 21 Syndikaten von Lloyd’s of London – einem Stresstest unterzogen und sie gebeten, ihre Solvenz im Hinblick auf eine Reihe von Cyberschäden zu bewerten.
Die Aufsichtsbehörde bewertete die Reaktionen der Branche auf drei versicherungstechnische „Cyber-Szenarien“ – einen Cloud-Ausfall, Datenexfiltration und systemische Ransomware.
Sie stellte mehrere Mängel fest, die auf den noch im Entstehen begriffenen Markt hinweisen.
Der erste betraf die Bewertung der Wahrscheinlichkeit des Eintretens dieser drei seltenen Risikoereignisse.
„Es gab große Unterschiede zwischen den Teilnehmern bei der wahrgenommenen Wahrscheinlichkeit der vorgeschriebenen Cyber-Szenarien, mit mehr Konsens bei systemischer Ransomware als bei Cloud-Ausfällen und Datenexfiltration“, erklärte der Bericht.
„Dieser Mangel an Konsens auf dem Markt könnte die Vergleichbarkeit des Kapitals innerhalb des Sektors beeinträchtigen.
Obwohl diese Art der unterschiedlichen Reaktionen bei relativ neuen Produkten normal ist, forderte die PRA den Markt auf, in Zukunft einen „größeren Konsens“ zu entwickeln.
Zweitens zeigte der Stresstest, dass die Versicherer sehr unterschiedlich in der Lage sind, die Auswirkungen des Nichtbestehens wichtiger Ausschlüsse auf ihr Geschäft zu beurteilen. In den letzten Jahren gab es mehrere namhafte Fälle im Zusammenhang mit der NotPetya-Kampagne und der Frage, ob Policen, die Kriegshandlungen ausschließen, noch ausbezahlt werden sollten.
„Wir ermutigen die Vorstände, sich der Auswirkungen der inhärenten ungeprüften Formulierungen in den Policen und der möglichen vertraglichen Unsicherheit bewusst zu sein und sicherzustellen, dass die Risiken weiterhin im Rahmen der eigenen Risikobereitschaft des Unternehmens verwaltet werden“, so die PRA.
In dem Bericht wurde auch hervorgehoben, dass die verschiedenen von den Versicherern verwendeten Modellierungsmöglichkeiten zu unterschiedlichen Berechnungen der Gesamtverluste des Szenarios führten.
„In Anbetracht der zunehmenden Einführung von Anbietermodellen ermutigen wir die Vorstände, die Grenzen und die mangelnde Konvergenz der bestehenden Cyber-Katastrophenmodelle zu verstehen und sicherzustellen, dass sie mit allen Maßnahmen zufrieden sind, die ergriffen werden, um die Mängel der aktuellen Ansätze zu verringern“, so der Bericht.
Positiv ist, dass die Aufsichtsbehörde feststellte, dass der Prozentsatz potenzieller Schadensfälle, die als Folge einer nicht-affirmativen Deckung identifiziert wurden – wenn Cyber nicht ausdrücklich in den Policen enthalten ist – deutlich zurückgegangen ist.
„Wir stellen fest, dass Cyber eine sich entwickelnde Gefahr ist, und folglich wird sich die Cyber-Deckung weiter entwickeln“, heißt es in dem Bericht. „Diese Untersuchung hat uns ein breites Spektrum an aktuellen Praktiken auf dem Markt geliefert, das uns bei der zukünftigen Überwachung helfen wird.
Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com
Nordkoreanische Hacker nutzen die neueste Welle von Cyberangriffen zum Sammeln von Zugangsdaten