Maßnahmen zur Kontrolle von Cyber-Kumulrisiken in der Versicherungswirtschaft

Abstract

Diese Diplomarbeit befasst sich mit Cyber-Risiken, wie etwa dem eines digitalen Angriffsauf die IT-Struktur von Unternehmen, aus dem Blickwinkel der europäischen Versicherungswirtschaft.Es wird einerseits auf die Versicherung expliziter Cyber-Risiken eingegangen, alsauch der Umgang von Versicherungsunternehmen mit impliziten Cyber-Risiken beleuchtet.Die Risikolandschaft und -entwicklung beider Gruppen wird zunächst allgemein aufgearbeitet,um dann im Speziellen auf das Problem von Kumulen bei Cyber-Risiken zu kommen und Lösungen dazu zu erarbeiten.Es werden verschiedene Methoden erforscht, wie Kumule im Cyber-Geschäft prinzipiellzustande kommen, und Maßnahmen vorgestellt, um diese managen zu können. Weiterswerden im Anwendungsfall der Wiener Städtischen Versicherung Produktgestaltung, Tarifierung und Risikokontrolle beleuchtet, sowie eine bereits vorhandene Methode zur Kumulprognoseweiterentwickelt. Dazu wird skizziert, wie eine Datenanlieferung im Falle einereigenständigen Szenarioentwicklung zukünftig auszusehen hat, damit Versicherungen schonjetzt einen Grundstein für eine fundierte, unternehmensinterne Tarifierung und Risikokontrollehinsichtlich Cyber-Produkten legen können.Ebenfalls behandelt werden die Auswirkungen von impliziten Cyber-Risiken auf "klassische"Versicherungsprodukte. Auch hier besteht die Gefahr von Kumulen, welche amBeispiel eines Blackouts erforscht wird. Nach einer Risikoanalyse des österreichischen undkontinentaleuropäischen Stromnetzes werden mögliche Folgen von Blackouts für Versichereranhand verschiedener Expertenmeinungen eruiert. Die Quantifizierung dieser Risiken kannbeispielsweise mittels einer Szenarioanalyse geschehen, deren Entwicklungsablauf ebenfallskurz beschrieben wird. Nach der mathematischen Konzeption eines verallgemeinertenBlackout-Modells nach Idee der Vienna Insurance Group werden verschiedene Weiterentwicklungsoptionenentwickelt, bewertet und teils durchgeführt. Eine Anwendung mittelsMicrosoft Excel liegt dieser Arbeit bei und soll, analog zu den klassischen Cyber-Risiken,zusammen mit der gesamten Diplomarbeit europäischen Versicherern eine Orientierungshilfein der Auseinandersetzung mit diesem neuartigen Risiko bieten.

This thesis deals with currently emerging cyber risks, e.g. attacks on the IT structure of companies, and their effects on the insurance industry in Europe. It explores separately both the insurance of explicit (or affirmative) cyber risks as well as the handling of non-affirmative cyber risks by insurance companies. The risk landscape and development of both groups is at first examined in a general approach, then the issue of risk accumulation regarding cyber risks will be addressed and solutions to it will be worked out. Multiple methods are explored as to how the accumulation of risks in the cyber insurance business can emerge, and several measures are presented for managing such hazards. Furthermore product design, pricing and risk controlling processes in Wiener Städtische Versicherung are examined and an already existing method for forecasting the accumulation risk potential will be further developed. In addition, this thesis outlines how an adequate data delivery framework should look like in case of an own-built scenario development solution for any European insurance company. Implementing this or similar frameworks, insurance companies can now already lay a foundation for developing sophisticated pricing and risk management processes regarding cyber risk.Also, the impact of implicit cyber risks on "classic" insurance products is discussed. Here, there appear kinds of accumulation risks, too, which are explored using the example of a blackout scenario. After thorough risk analysis of the Austrian and continental European power grid, possible social and insurance-linked consequences of blackouts are examined based on various experts. The quantification of those risks can be done by scenario analysis,the development process of which is briefly described. After the mathematical conception of a general blackout model based on the idea of Vienna Insurance Group experts, various possible development options are explored, evaluated, and partly implemented. An application using Microsoft Excel is enclosed with this thesis and, analogous to classic cyber risks, is intended (together with the entire thesis) to offer European insurers an orientation aid in dealing with this new type of risk.