Management und Wissen

Risikomanagement

Risk Assessment für IT-Versicherungen

Von Jochen Hatry, Berlin

Bei der Risikobewertung als Grundlage eines IT-Versicherungsvertrags sind spezifische Anforderungen an das Know-how und die Unabhängigkeit des durchführenden Dienstleisters zu stellen. Bei entsprechender Ausgestaltung kann ein Risk Assessment jedoch zu erheblicher Steigerung der Rechtssicherheit von Versicherungsverträgen führen.

Gegenstand eines Versicherungsvertrages ist der Risikotransfer vom Versicherungsnehmer auf den Versicherer. Die Risikoübernahme bedeutet für den Versicherer ein ökonomisches Wagnis, das als rationale unternehmerische Entscheidung kalkulierbar sein muss. In den "klassischen" Versicherungssparten und für die traditionellen Branchen liegen jahrzehntelange Erfahrungen aus vergangenen Schadensereignissen vor, die sich hervorragend zur Prognose der Risiken eignen. Für diese Bereiche ist das Wagnis als "Wahrscheinlichkeit von Schadensereignissen" kalkulierbar. Die besonderen Risikosituationen von Branchen und Industrien einschließlich ihrer Untergliederung in technische Sparten und Zweige findet ihren Niederschlag in den jeweils typischen Bedingungswerken und Verträgen.

Völlig anders jedoch ist die Situation bei der relativ jungen Informationstechnologie (IT) mit ihren raschen und permanenten Veränderungen. Einerseits sind durch IT neue Industrien und Zweige der "New Economy" entstanden. Andererseits hat Informationstechnik tief und flächendeckend alle Branchen und Industrien durchdrungen und mit der wachsenden Abhängigkeit von der IT zu neuen Risikobildern geführt.

Wenn auch zögerlich begleiten die Versicherungen diese Veränderungen durch neue Sparten und Konzepte (vgl. S. 60). Einige wenige Versicherer haben für ihre Wagniskalkulation als Alternative zu Schadensstatistiken (mit bislang mangelnder Basis) zur Risikobestimmung a priori gegriffen: Über ein Risikoprofil des (potenziellen) Versicherungsnehmers wird eine individuelle Risikoeinschätzung vorgenommen.

Verfahren und Kosten

Die Ansprüche an ein Risk Assessment variieren naturgemäß mit der Risikobandbreite, die an eine Versicherung transferiert werden soll. Je mehr von der Versicherung ausgeschlossen bleibt, desto weniger muss man im Risk Assessment betrachten. Die Praxis kennt eine breite Palette von Verfahren zur Risikobestimmung. Angefangen von einfachem "in Augenschein nehmen" über mehr oder minder elaborierte Fragebögen bis zu individuell entworfenen Untersuchungen vor Ort.

Der für eine fundierte Risikoeinschätzung erforderliche Aufwand ist im Wesentlichen von der Risikobandbreite und Erhebungstiefe abhängig. Die Erfassung einer breiteren Anzahl von Risiken bedeutet einen ausgedehnteren Untersuchungsansatz. Die gewünschte Güte der Risikoeinschätzung wiederum geht mit der Erhebungstiefe einher. Je größer die Erhebungsbreite und mehr Erhebungstiefe, desto höher ist der Aufwand.

Falsch wäre jedoch die Annahme, dass mit wachsender Erhebungstiefe die Durchführungskosten annähernd proportional steigen müssen. Generell kann man für derartige Untersuchungen zwischen den Vorlauf- und Durchführungskosten unterscheiden. Dieser Mix ist bei den verschiedenen Verfahren höchst unterschiedlich. Je stärker strukturiert das Erhebungsverfahren angelegt ist, umso größer ist der Aufwand zur Entwicklung des Verfahrens (Vorlaufkosten). Andererseits bleiben bei den strukturierten Verfahren die Durchführungskosten im Verhältnis zur Erhebungstiefe moderat und die Vorlaufkosten verteilen sich auf eine Vielzahl von Untersuchungen. Unter ökonomischen Gesichtspunkten sind daher strukturierte Fragebögen und standardisierte Untersuchungen von Vorteil.

Systematik und Know-how

Die Risiken der IT und im Zusammenhang mit dem globalen Datenaustausch via Internet zu bewerten, erfordert exzellentes Know-how aus verschiedenen Bereichen. Schließlich sind sowohl technische Faktoren als auch in erheblichem Maße "Human Factors" und vertragliche Bedingungen zu erfassen. Zudem ist ihre Verzahnung untereinander zu berücksichtigen. Schon zur Identifikation und erst recht zur Bewertung der IT- und Internet-Risiken muss Fachwissen aus Informationstechnik, Zivil- sowie Versicherungsrecht zusammenkommen.

Die Versicherung selbst scheint nur auf den ersten Blick geeignet, das notwendige Know-how zu vereinen und ein Risk Assessment selbst durchzuführen. In Grenzfällen, aber auch als generelle Tendenz, wird sie als Verfahrensträger eines Risk Assessments dazu neigen, Risiken zu ihren Gunsten zu bewerten. Durch diesen Interessenkonflikt erhält so der Versicherungsnehmer unter Umständen eine schlechtere Bewertung seiner Situation und in der Folge Risikoausschlüsse oder teurere Prämien.

Den IT-Fachteil durch IT-Berater oder allgemeine Risiko-Management-Firmen durchführen zu lassen, kann ebenfalls Probleme bewirken: In etlichen Fällen wurde bei potenziellen Versicherungsnehmern dabei die Risikosituation analysiert, dann verbessert und abschließend auf eine Versicherung verzichtet &ndasH; oft in der irrigen Annahme, dass sich durch die eingeleiteten Maßnahmen die Risikosituation so entscheidend verbessert habe, dass keine weitere Abwälzung erforderlich sei. Hier offenbart sich ein Missverständnis: Der Sinn von Versicherung liegt in der Übertragung nicht zu beseitigender (Rest-)Risiken, und auf solchen Risiken sollte der Schwerpunkt eines versicherungsvorbereitenden Risk Assessment liegen. Hier bieten sich unabhängige Versicherungssachverständige mit dem entsprechenden Know-how und ähnliche spezialisierte Firmen als Verfahrensträger an, die dem Versicherungsnehmer wie der Versicherung gleichermaßen verpflichtet sind.

Identifikation von IT-Risiken

Zur Klärung der Risiko-Bandbreite ist dabei nicht generell ein "volles" Risk Assessment notwendig. Mit Kenntnis der Zusammenhänge zwischen Geschäftsaktivitäten und typischen Risiken lassen sich gezielt jeweils passende Erhebungsverfahren auswählen. Am Beispiel der unterschiedlichen geschäftlichen Partizipation am globalen Datenaustausch (Internet) lässt sich gut zeigen, wie man Sicherheitsanforderungen und Risikobandbreite typischen Geschäftsfeldern zuordnen kann:

Communication: Web-Zugang, Newsgroup, E-Mail, File Transfer
wenig Sicherheitsanforderung
geringe Risikobandbreite
kein Risk Assessment erforderlich

Presence: Homepage, Website, Publishing
mäßige Sicherheitsanforderung
mäßige Risikobandbreite
minimales Risk Assessment erforderlich

Integration: Portal, Datenbank, Hosting, (X)SP
erhöhte Sicherheitsanforderung
mittlere Risikobandbreite
Standard-Risk-Assessment erforderlich

Access: E-Commerce, Collaboration, ASP
höchste Sicherheitsanforderung
große Risikobandbreite
weitreichendes Risk Assessment erforderlich

Bisher gibt es keine allgemeinverbindlichen Standards für die Struktur und Bewertungsverfahren eines Risikoprofils. In der Regel werden Sachverhalte über mehrere Fragestellungen ermittelt. Über geeignete Aggregationsverfahren werden sie als Profil zu einzelnen Kategorien zusammengefasst und bewertet. Die Hauptstruktur ergibt sich über die Bereiche:

Technik
- traditionell
- IT-spezifisch
- Internet (globaler Datenaustausch)
Mensch
- physischer Zugang
- operativer Zugang
- Dokumentation
- IT-Management
- Regelungen (Policies)
Recht
- Verträge
- Zivilrecht (international)

Neben einer Bewertung durch ein Punktesystem sollten die zentralen Punkte der Risikobewertung auch verbal dargelegt werden. Das erstellte Profil sollte der Verfahrensträger zunächst nur dem Versicherungsnehmer vorlegen. Prinzipiell besteht bei Diskrepanz zwischen Bewertung und Selbsteinschätzung die Möglichkeit der Nachprüfung. Ebenso kann man die Ergebnisse zum Anlass nehmen, durch geeignetes Risikomanagement die Situation zunächst zu verbessern und dann erneut bewerten zu lassen.

Der Dynamik der Informationstechnologie kann man in dreifacher Weise Rechnung tragen: Erstens sollte bereits die Erhebung nach geplanten oder wahrscheinlichen Veränderungen der IT-Struktur und -Verfahren fragen. Diese Ergebnisse gehen direkt in die Bewertung ein. Zum zweiten ist zu analysieren, bei welchen Veränderungen von Eckdaten die Risikosituation sich entscheidend ändert. Diese Eckdaten gehen dann als Auflagen in den Versicherungsvertrag ein. Vor ihrer Veränderung hat der Versicherungsnehmer die Versicherung zu informieren.

Drittens ist ein Risikoprofil immer nur eine Momentaufnahme und beansprucht eine Aussagegültigkeit von maximal einem Jahr. Danach erscheint ein abermaliges Risk Assessment erforderlich. Da schon Vorinformationen vorliegen, verkürzt sich der Erhebungsaufwand, da gezielt nach vorgenommenen und geplanten Veränderungen gefragt werden kann.

In jedem Fall sollte das Risikoprofil erst nach Einverständnis des Kunden an die Versicherung übermittelt werden, um im Abschlussfall als Vertragsbestandteil zu fungieren. Neben seiner Funktion für die Prämiengestaltung und die Definition eventueller Ausschlüsse, leistet das Risikoprofil vor allem einen Beitrag zur Rechtssicherheit – sofern Risikoumfeld und -grundlagen präzise festgehalten sind und wenig Raum für nachträgliche Interpretationen lassen, sei es durch den Versicherungsnehmer oder durch die Versicherung.

Dr. Jochen Hatry ist IT-Sachverständiger und President der RADI Ltd. Washington-Berlin ( [externer Link] www.radiltd.com). Beim BITKOM hat er sich unter anderem im Vorsitz des Arbeitskreis ASP engagiert.