Künstliche Intelligenz (KI) ist so rasant in unseren Alltag eingedrungen, dass kaum ein Tag vergeht, an dem man nicht mehrfach von ihr hört, liest – oder sie gar selbst einsetzt. Hierbei reicht die Spanne von privaten Spielereien bei der Bearbeitung von Urlaubsfotos bis zu hochprofessionellen und komplexen Anwendungen, die gravierenden Einfluss auf die Zukunft unseres Planeten haben können.
Wie aber verhält es sich mit den Risiken, die sich durch den Einsatz von KI ergeben? Welchen Herausforderungen stehen Unternehmen gegenüber und welche Schutzbedürfnisse ergeben sich daraus? Cyberrisiken sowie Risiken rund um KI und Big Data sind gemäß dem AXA Future Risks Report eines der Hauptbedenken der befragten Risikoexpertinnen und -experten aus 50 Ländern.
Als Verantwortliche für den Ausbau des Cybergeschäfts von É«¶à¶àÊÓƵin Deutschland werde ich häufig gefragt, ob die Vergrößerung des Portfolios eine gute Idee sei, wo doch die Bedrohungen durch Ransomware, Angriffe auf Lieferketten und dergleichen immer raffinierter und effizienter werden – und nun auch noch die Entwicklungen rund um KI das Risiko von Cybervorfällen verschärfen.
Meine Antwort ist: Ja, wenn man es partnerschaftlich mit Kunden und Maklern angeht, anstatt nur Kapazitäten bereitzustellen.
Schutzbedürfnis der Kunden
Cyberrisiken bleiben eine der größten Herausforderungen für Unternehmen, da die Angriffe immer raffinierter und organisierter durchgeführt werden. In meinen Gesprächen mit Kunden – nicht zuletzt beim diesjährigen GVNW-Symposium – zeigt sich immer wieder, dass es vielen von ihnen aus nachvollziehbaren Gründen zunächst an möglichst hohen Versicherungsschutz zu möglichst niedrigen Preisen denken. Allerdings stellt sich im Allgemeinen schnell heraus, dass das Schutzbedürfnis weit über die reine finanzielle Absicherung hinausgeht.
Gerade große Unternehmen haben oft sehr komplexe IT-Infrastrukturen mit multiplen Systemen, über die Prozesse gesteuert und Daten verarbeitet werden. Sie haben eine Vielzahl an Schnittstellen mit Dienstleistern und anderen Geschäftspartnern, die Fernwartungszugriffe nutzen oder die Unternehmen regelmäßig mit neuen Updates versorgen. Nicht zu vernachlässigen sind auch die Homeoffice-Regelungen, auf deren Basis Mitarbeitende aus der häuslichen IT-Umgebung auf die Unternehmenssysteme zugreifen. Dies sind nur einige wenige für mögliche Einfallstore, die zu Cybervorfällen führen können.
Als Versicherer muss es unser Anspruch sein, weit über die eigentliche Police hinaus einen wichtigen Beitrag zur Sicherheit unserer Kunden zu leisten, damit sie sich um ihr eigentliches Geschäft kümmern können. Spezialisierte Versicherer können Unternehmen dabei helfen, ihre Risikosituation im Detail zu analysieren, Risikomonitoring betreiben und Maßnahmen zur -minimierung vorschlagen, so dass die Eintrittswahrscheinlichkeit teils erheblich sinken kann. Gleichzeitig haben viele Kunden sehr eingeschränkte oder keine Ressourcen, die im Falle eines Cyber-Vorfalls schnell und punktgenau handeln können, um beispielsweise Datenabflüsse und Betriebsunterbrechungen beenden, Berichtspflichten nachkommen und möglichst Reputationsschäden vermeiden zu können. Auch hier können Spezialversicherer wichtige Hilfe leisten.
KI als Game Changer bei Cyber-Angriffen?
Für Cyberkriminelle stellt KI ein neues und effizientes Werkzeug dar, das vielfältig einsetzbar ist und sogar Augen und Ohren des Gegenübers in einer digitalen Unterhaltung trügen kann. Bei solchen Betrugsversuchen durch Deep Fakes imitiert KI akustisch und teils sogar optisch eine Person, die Mitarbeitende eines Unternehmens beispielsweise zu unrechtmäßigen Zahlungen veranlasst, da ihnen vermeintlich gerade ein Entscheidungsträger des Unternehmens die entsprechende Anweisung gibt, während man ihr oder ihm auf dem Bildschirm in die digitalisierten Augen schaut. Diese Methoden stellen die altbekannten „Fake President“ Attacken auf eine neue Stufe.
Um solche Risiken einzudämmen, können bereits einfache Handlungsanweisungen wie ein obligatorischer telefonischer Rückruf auf einer Unternehmensleitung helfen. Solche konkreten Sicherheitsanweisungen sollten unbedingt in einer internen Richtlinie verankert werden. Allerdings stellen Deep Fakes nur einen Bruchteil der Angriffsversuche dar, vor denen sich Unternehmen schützen müssen. Heute bedarf es nicht mehr zwingend eigener fortgeschrittener Programmierfähigkeiten, um Hacker-Angriffe zu starten, da entsprechende Tools im Darknet als Dienstleistung („Cybercrime-as-a-Service“) angeboten werden. Anleitungen zur Verwendung der Tools werden häufig gleich mitgeliefert. Solche Anwendungen bedienen sich der KI beispielsweise, um das Internet nach wenig geschützten Unternehmen abzusuchen oder spezifische Schwachstellen eines bestimmten Unternehmens auszuloten, bevor der eigentliche Angriff erfolgt.
Allerdings setzen nicht nur Kriminelle KI für ihre Zwecke ein. Um die Risikosituation von Kunden einzuschätzen und ihnen präventive Maßnahmen gegen bestehende Sicherheitslücken vorschlagen zu können, setzt auch eine Reihe von Versicherern bereits verschiedene KI-Tools zur Analyse und zum Live-Monitoring ein.
Bei É«¶à¶àÊÓƵarbeiten wir bereits an der automatisierten Auswertung von eingereichten Risikounterlagen und führen bereits seit längerem unsere Sicherheitsbewertungen über Security Scorecard mithilfe von KI durch. Mit dem Ziel, mögliche Anfälligkeiten vor den Cyber-Kriminellen zu finden und möglichst zu beseitigen, durchsucht Security Scorecard das Internet nach Informationen zur Sicherheitslage des Kunden. Hierzu gehören beispielsweise offengelegte Ports, veraltete Software und bekannte Schwachstellen. Außerdem werden Daten aus einer Vielzahl weiterer Quellen, wie Sicherheitsforschern, Threat Intelligence Feeds oder auch Schwachstellendatenbanken ausgewertet.
Ebenso wie die generative KI der Kriminellen ist auch die der Versicherer lern- und anpassungsfähig. Aus meiner Sicht ist KI daher eher ein Game Changer bezogen auf die Geschwindigkeit des Wettlaufs zwischen Angriff auf die Werte eines Unternehmens und schützenden Maßnahmen. Diesen Wettlauf hat es schon immer gegeben und leider ist kein Ende abzusehen.
Wie steht es um die eigene KI des Kunden?
Aufgrund der enormen Vorteile, die sich Organisationen durch den eigenen Einsatz von KI zur Verbesserung von Prozessen, der Gestaltung von Produkten und Dienstleistungen versprechen, entwickelt sie sich auch zu einem wichtigen Bestandteil der Wertschöpfungskette vieler Unternehmen und Wirtschaftszweige. Da KI gestützte Prozesse stark datenabhängig sind, können sie grundsätzlich anfällig für Cyberschäden wie Datenmanipulation („Data Poisoning“) und Datenschutzverletzungen sein, die zu Schäden, Bußgeldern und Reputationsverlust führen können. In diesem Zusammenhang ist auch das Bias-Risiko, also die Benachteiligung durch angewandte KI-Algorithmen zu nennen, zu der sich die BaFin unlängst geäußert hat. Zudem können die sich notwendigerweise ergebenden regulatorischen Entwicklungen ein Risiko für Unternehmen darstellen, wenn beispielsweise eine unzureichende Kenntnis oder Einhaltung neuer Vorschriften zu Haftungsansprüchen führt (Stichwort: NIS2).
Versicherbarkeit
In der Diskussion um die zunehmende Zahl und Vielfalt von Cyber-Vorfällen kommt immer wieder – und besonders mit Blick auf den Siegeszug der KI – die Frage auf, ob die spezifischen Risiken der Unternehmen entlang ihrer Wertschöpfungs- und Lieferketten auf lange Sicht noch versicherbar seien. Zu den Risiken gehören unter anderem Datenschutzverletzungen, Netzwerksicherheitsausfälle und Cyber-Erpressung, wie z. B. Ransomware-Angriffe. Dazu können Kosten für die Untersuchung und Reaktion auf den Vorfall, Rechtskosten, Benachrichtigungskosten, Kreditüberwachung für betroffene Personen und möglicherweise sogar Verluste durch Betriebsunterbrechungen anfallen, die sich entsprechend absichern lassen.
Analog zu den ebenfalls rasant wachsenden Naturkatastrophenrisiken wird es hier meines Erachtens in den kommenden Jahren auf eine noch engere Zusammenarbeit der Kunden, Makler und Versicherer ankommen. Auch hier wird es künftig noch stärker um die Themen Transparenz und Prävention gehen, da früher und regelmäßiger Austausch der Schlüssel zu einer deutlichen Optimierung der Resilienz ist.
Bei der Verbesserung der Transparenz spielt KI ebenfalls eine wichtige Rolle, da sie Unmengen unstrukturierter Daten wie Text, Sprache, Video und Bildmaterial teils in Echtzeit analysieren, Erkenntnisgewinne beschleunigen und fundiertere Entscheidungen im Risikomanagement und Underwriting ermöglichen kann.
Wirkungsvolle Prävention gegen sich schnell verändernde globale Risiken wie Cyber lässt sich ohne vorausschauende Investitionen und planvolles Vorgehen nicht erreichen. Versicherer benötigen neben den bereits mehrfach angesprochenen relevanten Tools ein globales Netzwerk von Expertinnen und Experten, müssen starke Partnerschaften eingehen und nicht zuletzt die Aus- und Weiterbildung von Talenten vorantreiben. Kundenseitig ist es notwendig, auf Basis der gewonnenen Daten und Erkenntnisse zur eigenen Bedrohungssituation, strukturierte Sicherheitsmaßnahmen zu ergreifen, bei denen sie allerdings auf die Unterstützung ihrer Makler und Versicherer bauen können. Wir helfen beispielsweise dabei, bewährte Praktiken auf das eigene Unternehmen abzustimmen, wenn es um die Optimierung der IT-Infrastruktur, IT-Sicherheitsupdates, Auflagen an Zulieferer und sonstige Dienstleister geht. Besonders wichtig sind auch regelmäßige Schulungen aller relevanten Personenkreise, damit sie beispielsweise Phishing-Versuche frühzeitig erkennen und melden können. Die Liste der Möglichkeiten ist sehr lang, weshalb der enge Austausch so wichtig ist.
Nachwuchsmangel
Ein Thema, das im Zusammenhang mit der Cyber-Resilienz und dem verantwortungsvollen Umgang mit KI immer wichtiger wird, ist der Mangel an Nachwuchskräften. Bereits seit einigen Jahren spüren wir in der Versicherungsbranche diesen Mangel auf Seiten der Risikomanager, Makler und Versicherer, der auch auf dem GVNW-Symposium umfangreich diskutiert wurde. Dieser ist gerade in stark wachsenden Sparten wie Cyber besonders zu spüren.
Versicherer, die der erhöhten Nachfrage nach Cyber-Lösungen gerecht werden und den Bedrohungen einen Schritt voraus sein möchten, müssen zwingend dafür sorgen, dass sich mehr junge Menschen für eine Laufbahn im Versicherungsbereich interessieren. Obstkörbe und Homeoffice-Regelungen sind vielen möglichen neuen Kolleginnen und Kollegen nicht genug. Ihnen kommt es besonders darauf an, interessante Tätigkeiten auszuüben, Verantwortung zu übernehmen und sich laufend weiterzuentwickeln. Mit Blick auf das Thema dieses Artikels muss Aus- und Weiterbildung daher das Ziel haben, Kolleginnen und Kollegen mit den erforderlichen Fähigkeiten auszustatten, die sie für eine stärker KI-geprägte Zukunft benötigen. Sie sollte sie in die Lage versetzen, die neuen technischen Möglichkeiten so zu nutzen, dass sie sich auf die Bereiche ihrer Arbeit konzentrieren können, in denen ihre menschlichen Fähigkeiten entscheidend sind.
Die Risiken im Zusammenhang mit KI entwickeln sich ebenso schnell wie die technologischen Fortschritte und Anwendungen. Risikomanager, Makler und Versicherer müssen die Entwicklungen ständig im Auge behalten, vorausschauend denken und gemeinsam an Lösungen für diese Herausforderungen arbeiten.
Das metaphorische Gespenst aus dem Titel dieses Artikels wird sich nicht in Luft auflösen.
Erstveröffentlichung in Versicherungswirtschaft, Ausgabe Oktober 2024.
