Aon-Cyberchef: «Banken müssen sich in völlig neuem Tempo anpassen»
Entsteht durch KI eine neue Risikokategorie?
Ja. KI schafft eigene Haftungs- und Compliance-Risiken. Es werden Bilder, Texte und Softwarecode erzeugt. Dabei können geistige Eigentumsrechte verletzt werden, etwa bei urheberrechtlich geschütztem Material oder patentierter Software.
Die Lösung ist Governance. Unternehmen müssen definieren, wo Trainingsdaten herkommen, wer für Outputs verantwortlich ist und wie Biases kontrolliert werden. Es reicht nicht, nur auf Funktionalität zu schauen.
Besteht die Gefahr, dass Firmen im KI-Wettrüsten den Cyberschutz vernachlässigen?
Ja, diese Gefahr besteht. Es erinnert an die frühe Phase der Digitalisierung. Unternehmen sehen schnell den funktionalen Nutzen und die Effizienzgewinne. Managementteams sind aber nicht immer Cyber affin.
«95 Prozent der C-Level-Entscheider interessieren sich für Cyber-Quantifizierung, aber weniger als 20 Prozent machen sie tatsächlich.»
Technische Sicherheitsanforderungen wie Multifaktor-Authentifizierung werden meist berücksichtigt. Weniger gut abgedeckt sind Governance-Fragen: Welche Abhängigkeiten entstehen? Was passiert, wenn ein KI-Anbieter Rechte entzieht oder Einschränkungen macht? Gibt es einen Plan B?
Cyber-Risiken gelten als schwer quantifizierbar. Wie geht Aon dabei vor?
Wir verfügen mittlerweile über sehr viele Schadenfalldaten. Cybervorfälle lassen sich in Komponenten zerlegen: Krisenmanagement, rechtliche Kosten, technische Wiederherstellung, Kommunikation, Betriebsunterbruch und mögliche Ansprüche Dritter.
Diese Granularität erlaubt es, mit Kunden konkrete Szenarien zu entwickeln. Interessant ist: Rund 95 Prozent der C-Level-Entscheider interessieren sich für Cyber-Quantifizierung, aber weniger als 20 Prozent machen sie tatsächlich. Und von diesen nutzen wiederum nur wenige datenbasierte Analytics.
Welche Kennzahlen sind entscheidend?
Klassisch waren Recovery Point Objective und Recovery Time Objective zentral – also wie viele Daten verloren gehen dürfen und wie lange ein Unterbruch dauern darf.
Heute ist zusätzlich entscheidend, die Wirksamkeit von Sicherheitsmassnahmen zu quantifizieren. Wenn man zeigen kann, welchen Effekt eine Massnahme auf das Schadenpotenzial hat, wird das für Entscheidungsträger sehr kraftvoll.
Wichtig ist auch die Berechnung eines 1-in-100-Jahre-Worst-Case-Szenarios – unter Berücksichtigung bestehender Sicherheitsmassnahmen. So lässt sich das Restrisiko bestimmen. Genau dort wird Versicherung relevant.
Wird Cyber damit zu einem klassischen Finanzrisiko?
Ja, absolut. Cyber wird immer weniger als reines IT-Risiko verstanden, sondern als operationelles Risiko, Bilanzrisiko und Reputations-Risiko. Nach grossen Cyber-Angriffen können Aktienkurse mittelfristig unter Druck geraten. Das zeigt, dass Cyber längst finanzielle Relevanz hat.
Welche Fehler machen Unternehmen bei der Einschätzung?
Der grösste Fehler ist, die Mehrdimensionalität zu unterschätzen. Ein Cyber-Vorfall ist nicht einfach ein lokaler Systemunterbruch. Es geht um Betriebsunterbruch, Datenverlust, Haftpflichtfragen, regulatorische Verfahren und Reputationsschäden.
«Eine Cyber-Versicherung kann im Deal-Prozess sogar als Vertrauensanker wirken.»
Gerade Haftpflicht- und regulatorische Themen zeigen sich oft erst Jahre später. Für Versicherer und Rückversicherer ist das anspruchsvoll, weil sich erst nach fünf bis sieben Jahren beurteilen lässt, wie profitabel ein Risiko wirklich war.
Spielen Cyber-Risiken bei Firmenübernahmen bereits eine Rolle?
Immer stärker. In M&A-Prozessen sind Cyber-Risiken heute ein wichtiges Thema. Der Zeitdruck solcher Transaktionen macht es allerdings schwierig. Neue IT-Architekturen, Transition Service Agreements und Integrationsrisiken schaffen ein Peak-Risiko.
Professionelle Private-Equity-Häuser gehen damit bereits sehr strukturiert um. Eine bestehende Cyber-Versicherung kann im Deal-Prozess sogar als Vertrauensanker wirken, weil eine unabhängige Drittpartei das Risiko bereits geprüft hat.
Wird es künftig mehr Echtzeitdaten in der Cyber-Versicherung geben?
Ja, erste Lösungen entstehen. Besonders spannend sind Ansätze, die nicht nur einzelne Geräte überwachen, sondern Netzwerkverhalten messen. Dadurch lassen sich Betriebsunterbrüche potenziell viel genauer erfassen.
Offen ist allerdings, wie man komplexe Themen wie regulatorische Verfahren oder Bussen in solche Modelle integriert. Automatische Auszahlungen sind dort deutlich schwieriger.
Wird es Cyber-Risiken geben, die nicht mehr versicherbar sind?
Der überwiegende Teil bleibt versicherbar: Ransomware, Datenpannen, Betriebsunterbrüche und viele klassische Cyber-Vorfälle. Der Markt funktioniert dort.
Es gibt aber legitime Grenzen. Hybride Cyberkriegsführung oder systemische Ausfälle kritischer Infrastruktur lassen sich aus meiner Sicht nicht allein über Versicherung lösen. Dafür braucht es staatliche Backstop-Mechanismen – ähnlich wie bei Pandemien, Naturkatastrophen oder systemischen Finanzrisiken.
Werden Cyber-Vorfälle zum Haftungsrisiko für Verwaltungsräte?
Das ist bereits der Fall. Auch in der Schweiz. Zwar ist die Klagefreudigkeit geringer als etwa in den USA, aber Regulatoren und Gerichte nehmen formelle Entscheidungsträger stärker in die Pflicht.
«Regulatoren und Gerichte nehmen formelle Entscheidungsträger stärker in die Pflicht.»
Ein Verwaltungsrat oder eine Geschäftsleitung kann Cyber-Risiken nicht delegieren. Beratung kann eingeholt werden, aber die Verantwortung bleibt bei den Organen.
Braucht es international einheitlichere Standards?
Ja, aus Sicht der Wirtschaft wäre das wünschenswert. Unternehmen müssen sich heute teilweise an sehr unterschiedliche oder sogar widersprüchliche Vorgaben halten. Besonders bei Meldepflichten ist das anspruchsvoll.
Die Harmonisierung ist jedoch schwierig, da jedes Land eigene Ziele verfolgt. Die EU reguliert häufig breit und umfassend, während die Schweiz stärker branchenspezifisch vorgeht. Auch in den USA wird Cyber und Künstliche Intelligenz intensiv reguliert, allerdings weniger auf nationaler Ebene. So wurden inzwischen in rund 30 Bundesstaaten über 100 KI‑bezogene Gesetze verabschiedet. Hinzu kommen die hohe Klagebereitschaft und teilweise sehr hohe Schadenersatzsummen.
Der Bedarf nach mehr Abstimmung ist offensichtlich – die praktische Umsetzung bleibt jedoch komplex.
Manuel Pachlatko ist Head Cyber Specialty Schweiz & Österreich sowie seit März dieses Jahres Analytics Leader Schweiz bei Aon. Er verantwortet damit sowohl das Cybergeschäft als auch den systematischen Einsatz von Analytics zur datenbasierten Unterstützung von Broking und Beratungsleistungen.
- << Zurück
- Seite 2 von 2















