publ-mit-podpubl-mit-podSchiller, JörgHaas, Andreas2024-04-082024-04-082016-12-192016https://hohpublica.uni-hohenheim.de/handle/123456789/6000In a data-based economy cyber-risks are an emerging operational risk. Data breaches, data destruction or business interruption resulting from a cyber attack, can lead to unexpectedly high costs. The increasing exposure of companies to cyber risks is the consequence of a lasting change in the digital economy. At the same time, continuous investments in technological prevention measures to reduce the cyber-damage risk may come to an economic limitation. With the growing use of cloud services in businesses, the cyber-risk exposure increases, especially when sensitive digital information is processed. The problem with cyber-risks regarding cloud services is that the possibilities of technological IT risk management are limited. Moreover, the financial consequences of a cyber attack may exceed the risk-bearing capacity of the affected company. Therefore, risk transfer instruments such as cyber-insurance can reduce the financial risk of cyber attacks. But despite an increased use of cloud services and a significantly rising number of cyber attacks, the cyber insurance market in Germany remains at a very low level. The aim of this work is the economic analysis of the management of cyber risks. For this purpose, cyber risks are explained in detail, and a market analysis of existing cyber insurance concepts in Germany is conducted. We find explanations for the low demand for cyber insurance products in Germany: Especially existing gaps in current coverage are identified as a market barrier. To improve cyber insurance coverage, technological development, and changes should be anticipated and implemented faster into the coverage of cyber insurance products. We developed new approaches to identify and analyze new technological risks in the context of emerging technologies like Cloud-Computing and the Internet of Things. Based on that analysis we highlight the importance of an insurance-based risk transfer. As we identify incentives for companies to externalize the costs of cyber attacks, we discuss regulatory measures to increase the general risk perception in the market to avoid such behavior. With the internalization of the financial consequences of cyber-attacks, the relevance of cyber-insurance as a complementary element in risk management increases.In einer datenbasierten Wirtschaft, in der Geschäftsmodelle von Unternehmen zentral auf der Verarbeitung digitaler Informationen basieren, stellen sog. Cyber-Risiken ein bedeutendes und gleichzeitig schwer quantifizierbares operationelles Risiko dar. Die Schadenursachen zielen hierbei auf die Integrität, die Verfügbarkeit oder die Vertraulichkeit von Daten oder Prozessen ab und werden durch Cyber-Angriffe von außen oder eigene Mitarbeiter initiiert. Die Folgen einer Offenlegung oder Zerstörung werthaltiger Daten führen ebenso wie eine daraus resultierende Betriebsunterbrechung zu erheblichen Kosten- und Reputationsrisiken. In Anbetracht immer effektiverer Angriffsmethoden stoßen fortlaufende Investitionen in technologische Präventionsmaßnahmen zur Verringerung des Cyber-Schadenrisikos allerdings an ökonomische Grenzen. Die zunehmende Exposition von Unternehmen hinsichtlich des Cyber-Risikos ist das Ergebnis einer nachhaltigen Veränderung der digitalen Ökonomie. Mit dem sog. Cloud-Computing entsteht auf Basis leistungsfähiger Datenzentren eine neue Generation online-basierter Dienste. Mit der zunehmenden Nutzung von Cloud-Diensten in Unternehmen erhöht sich die Cyber-Risiko-Exposition, insbesondere wenn sensible oder andere schützenswerte digitale Informationen verarbeitet werden. Problematisch ist hierbei, dass die Möglichkeiten des technologischen IT-Risikomanagements im Cloud-Computing eingeschränkt sind. Die bislang beobachteten Schadenszenarien zeigen, dass das Ausmaß eines erfolgreichen Cyber-Angriffes die Risikotragfähigkeit eines Unternehmens durchaus übersteigen kann. In Ergänzung zum IT-Risikomanagement sind daher Risikotransferinstrumente wie Versicherungen geeignet, das finanzielle Schadenrisiko des originären Risikoträgers (Unternehmen) zu mindern. Im Kontext von Cyber-Risiken werden spezielle Cyber-Versicherungsprodukte angeboten, um dieses Risiko zu adressieren. Trotz einer Zunahme der Cloud-Nutzung sowie einer deutlich ansteigenden Zahl von Cyber-Angriffen, verbleibt der noch junge Cyber-Versicherungsmarkt in Deutschland jedoch auf einem sehr niedrigen Niveau. Das Ziel dieser Arbeit ist die ökonomische Analyse des Managements von Cyber-Risiken. Dazu erfolgt eine grundlegende Aufarbeitung des Cyber-Risikos sowie eine Marktanalyse der bestehenden Cyber-Versicherungskonzepte in Deutschland. Darauf aufbauend werden Erklärungsansätze für die derzeitig niedrige Nachfrage nach Cyber-Versicherungen entwickelt und Lösungsansätze für die identifizierten Problembereiche präsentiert. Um die Nachfrage nach Cyber-Versicherungsprodukten zu erhöhen, sollten vorhandene Deckungslücken in den bisher angebotenen Versicherungsprodukten geschlossen werden. Dazu ist es angebotsseitig notwendig, technologische Marktveränderungen schneller zu antizipieren und das daraus entstehende Schadenrisiko in die Deckungskonzepte zu integrieren. Ein Ansatz für die Identifikation und Analyse neuer technologischer Risiken, die einen versicherungsbasierten Risikotransfer bedingen können, wird für derzeit nicht gedeckten Bereiche „Cloud-Computing“ und „Internet of Things“ entwickelt. Nachfrageseitig ist das Bewusstsein für die unternehmerische Risikotragfähigkeit im Zusammenhang mit Cyber-Risiken zu stärken, um die Bedeutung aber auch ggfs. die Notwendigkeit eines Risikotransfers hervorzuheben. Hierzu werden zwei Kennzahlen entwickelt, die als Indikator für die Risiko-Exposition eines Unternehmens dienen können. Abschließend wird die Möglichkeit einer Verschärfung des rechtlichen Umfelds diskutiert, die ebenfalls die Risikowahrnehmung auf Seiten der Nachfrager erhöhen kann. Mit den dargestellten Ansätzen kann sich die Bedeutung des Risikotransfers durch Cyber-Versicherungen als ein ergänzendes Element im IT-Risikomanagement erhöhen.gerCyber insuranceInternet of ThingsCyber insurance marketCyber riskCyber-VersicherungInternet of ThingsCyber-VersicherungsmarktCyber-Risiko330RisikomanagementCloud ComputingInternet der DingeVersicherbarkeitVersicherungProduktionsfaktorManagement von Cyber-Risiken und Möglichkeiten des Risikotransfers : eine ökonomische und versicherungstechnische AnalyseManagement of cyber risks and possibilities of risk transfer : an economic and insurance-related analysisDoctoralThesis481079475urn:nbn:de:bsz:100-opus-11925