Am 18.12.2022 waren die Mitglieder der AVÖ wieder zu einem Zusammentreffen mit Punsch und winterlicher Verköstigung im KLYO Urania eingeladen, hier ein kleiner Rückblick darauf:
Tägliche Archive: 11/04/2023
Die diesjährige Generalversammlung wird am 13.Juni im Talent Garden in der Liechtensteinstraße in Wien stattfinden:
Vor der Generalversammlung wird es auch wieder spannende Fachvorträge geben, wir freuen uns auf Ihre Teilnahme. Dieses Jahr werden auch der Vorstand sowie die weiteren Gremien der Aktuarvereinigung neu gewählt, die Wahlvorschläge sowie die Agenda zur Generalversammlung werden zeitgerecht bekanntgegeben.
Details und aktuelle Informationen werden laufend dem Mitgliederbereich hinzugefügt, über die Anmeldung werden alle Mitglieder zeitgerecht per Email informiert.
Die AAE hat im Oktober 2019 den aktuellen Core Syllabus for Actuarial Training in Europe verabschiedet. Ziel dieses Syllabus ist es Mindeststandards für die Aktuarsausbilung zu setzen und eine Harmonisierung zwischen den europäischen Aktuarsvereinigungen zu schaffen.
Dabei wir die genaue Umsetzung des Syllabus von der AAE nicht vorgeschrieben. Dementsprechend können wir weiterhin in Österreich diesen mittels mehreren einzelnen fachspezifischen Prüfungen umsetzen. An der konkreten Umsetzung wird aktuell noch gearbeitet.
Der Syllabus besteht aus drei Teilen:
- Prerequisite – Foundation Mathematics: In diesem Abschnitt ist das mathematische Grundwissen dargestellt, das wir in unserer Ausbildung mit der Voraussetzung eines mathematischen oder artverwandten Studiums bereits lange abgedeckt haben.
- Basic actuarial education: Dieser Bereich beschäftigt sich mit der tatsächlichen aktuariellen Ausbildung und ist in neun Bereiche unterteilt. In welcher Tiefe die genannten Themen abgedeckt werden, wird mittels Bloom’s Taxonomy festgelegt. Es gibt keine konkreten Anforderungen an Semesterwochenstunden oder ECTS, diese können aber weiterhin verwendet werden um die Tiefe zu messen.
- Advanced skills: Hierbei handelt es sich um eine nicht abschließende Auflistung von Bereichen, in denen sich Aktuare vertiefen können. Anders als bei der basic actuarial education können hier Schwerpunkte gesetzt werden, die sich an persönlichen Interessen und beruflicher Relevanz orientieren.
Ein wesentlicher Teil der Aktuarsausbildung ist somit Abschnitt Basic actuarial education mit neun Bereichen, der hier noch etwas genauer dargestellt ist:
- Statistics: Die Anwendung statistischer Methoden in aktuariellen Bereichen.
- Economics: Die Prinzipien von Mikro- und Makroökonomie bzw. allgemein der Finanzwirtschaft kennen, um die Auswirkungen auf das Versicherungsgeschäft verstehen zu können.
- Finance: Unternehmensinterne Themen angefangen bei der Finanzmathematik über Buchhaltung und das Berichtswesen.
- Financial Systems: Das Umfeld eines Anbieters von aktuariellen Produkten; angefangen vom Sozialsystem zur Regulierung des Marktes.
- Assets: Die Bewertung von Finanzprodukten sowie Verständnis von Investment Strategien.
- Data and Systems: Datensammlung, Fragen der Ethik, Daten Analyse, Visualisierung und Präsentation.
- Actuarial Models: Hier finden sich die klassischen aktuariellen Bereiche Lebens-, Kranken- und Schadensversicherung sowie die aktuarielle Modellierung.
- Actuarial Risk Management: Risiken zu verstehen, Risiken messen, Risiken monitoren.
- Personal and actuarial professional practice: Neben den professional Standards ist auch die effektive Kommunikation ein wesentliches Thema in diesem Abschnitt.
Jeder einzelne der neun Bereiche ist dann wiederum viele granulare Themen unterteilt. Nicht jeders dieser Themen hat das selbe Gewicht. Bei manchen Themen ist es ausreichend sich grundlegende Fakten zu merken. Dies würde in der Blooms Taxonomy dem Niveau „A1“ entsprechen. Dabei steht „A“ für faktisches Wissen und „1“ für erinnern bzw. wiedererkennen. Bei anderen Themen ist es notwendig selbstständig das abstrakte Wissen in einem neuen Beispiel umsetzen zu können. Dies wäre dann das Niveau „D6“ dabei steht „D“ für über faktisches, konzeptuelles und prozessbezogenes Wissen hinausgehend und „6“ für erstellen und planen. Dabei sind auch alle Kombination der vier Buchstaben von A bis D und den Ziffern von 1 bis 6 möglich.
Zusammenfassend ist zu sagen, dass der AAE Syllabus sich nicht nur auf aktuarielle Kernbereiche beschränkt, sondern auch ein Verständnis für das rechtliche und wirtschaftliche Umfeld fördert. Sehr zu schätzen ist auch, dass das Thema Kommunikation hervorgehoben wird, da wir nicht nur im stillen Kämmerchen vor uns hinarbeiten, sondern aktiv in unseren Unternehmen eingebunden sind und wesentlichen Input in vielen Bereichen liefern können.
Worin liegen die Herausforderungen in der Umsetzung in Österreich?
Ziel ist es weiterhin die Aktuarsausbildung so zu gestalten, dass sie leicht zugänglich ist. Dazu gehört, dass möglichst viele Fächer aus dem Studium anerkannt werden können und es Möglichkeiten gibt fehlende Teilbereiche möglichst unkompliziert nachzuholen. Der große Teil der notwendigen Themen war bereits in den bestehenden Aufnahmerichtlinien abgedeckt. Hinsichtlich einzelner Themen wird jedoch noch analysiert ob geringe Anpassungen notwendig sind.
Wir sehen hier die Notwendigkeit sicherzustellen, dass zukünftige Aktuare und Aktuarinnen die Möglichkeit haben alle Themen in der ausreichenden Tiefe kennenzulernen, ohne gleichzeitig Anforderungen zu stellen, die weit über die Mindestanforderungen hinausgehen und so unverhältnismäßig hohe Ansprüche an die theoretische Ausbildung zu stellen.
Die technischen Entwicklungen des 21. Jahrhunderts – besonders von „Wearables“ – erlauben die systematische Analyse von Aktivitäten und gesundheitsbezogenen Daten einzelner Personen in Echtzeit. Diese „Selbst-Quantifizierung“ (vgl. [SQ23]) gilt vielen als sinnvolle Innovation zur Unterstützung einer gesunden Lebensweise und mindestens genau so vielen als Ende des selbstbestimmten Lebens bzw. als Daten-Super-Gau. Welche Rolle sollen und können Versicherungen dabei spielen? Droht das Ende des Risikoausgleichs? Sind „Pay as you live“-Tarife in der Personenversicherung die Zukunft? Der Versuch einer Analyse anhand der insureNXT-preisgekrönten „Fitness & Charity“-Community TEAM500 (vgl. [INXT22]).
Als „Wearable“-Technologie werden elektronische Geräte bezeichnet, die als Accessoires getragen, in Kleidung eingearbeitet oder sogar unter der Haut implantiert werden und darüber hinaus mit Hilfe von Sensoren Vitaldaten erfassen bzw. diese übertragen können: Smartwatches als „Wearable“ sowie die Herzfrequenz oder Schrittanzahlen als „Vitaldaten“ sind prominente Beispiele. Viele der von Wearables erhobenen Daten, werden im Rahmen von App-Nutzungen mit Herstellern (z.B. „Apple Health“ oder „Garmin Connect“) geteilt. Im Jahr 2021 gab es in Österreich rund 1 Million Nutzer von Wearables und 1,45 Millionen Nutzer von Fitness-Apps (vgl. [STAT23]). Als Gegenleistung versprechen die Apps Unterstützung und Tipps zu einer gesünderen Lebensweise.
Vor allem Bewegung gilt laut WHO als zentraler Faktor zur Stärkung sowohl mentaler als auch physischer Gesundheit. Regelmäßige moderate Bewegung in dem von der WHO empfohlenen Ausmaß kann das Sterblichkeitsrisiko um 20% bis 30%, das Risiko von Herz-Kreislauf-Erkrankungen, Depressionen und Demenz um 7% bis 8% sowie Typ-2-Diabetes um 5% reduzieren (vgl. [WHO22]).
Seit Mitte des letzten Jahrzehnts etablieren sich erste Versuche, diese Daten in kundenorientieren Geschäftsmodellen der Personenversicherung zu nutzen. Die digitalen Krankenversicherer Oscar und Clover in den USA (vgl. [KNMW20]) sowie das Vitality-Programm des Generali-Konzerns [GEN23] gelten als Pioniere auf diesem Gebiet.
Eine Kooperation von SCOR, der Kärntner Landesversicherung und dem Softwarehersteller FJUUL startete im Jahr 2021 ein Projekt unter dem Motto „Gemeinsam mehr bewegen“ (vgl. [KLV21]). Zu 500 Lebensversicherungs- und Unfallversicherungsverträgen wurden Smartwatches und Fitness-Apps verteilt. Die registrierten Bewegungsminuten des TEAM500 dienen den Kund:innen („Für mich“), ausgeschriebenen Charity-Aktionen („Für uns“) und einer weltweiten wissenschaftlichen Studie („Für alle“). Als eine der ersten wirklich im Markt umgesetzten Aktionen konnten viele Aspekte – unter anderem zu den Themen Datenschutz, Wettbewerbsrecht, Bereitschaft der Kund:innen Daten zu teilen, Verteilungs- und Vertriebskonzepte – erfolgreich geklärt und umgesetzt werden. Auf Basis der in der zugehörigen App zur Verfügung gestellten Funktionen zu Bewegungsverhalten, biologischem Alter (vgl. [SCOR23]) und dem Stand der Charity-Ziele konnten nahezu tägliche positive Kundeninteraktionen für Lebens- bzw. Unfallversicherungsverträge erzielt werden.
Das Teilen von Daten mit Versicherungsunternehmen stellt einen besonders beachtenswerten Punkt im Konzept von „Pay as you live“-Tarifen dar. Während die Vorsicht in Kontinentaleuropa größer ist, zeigt eine globale Studie von Remark (vgl. [REMA23]), dass mehr als zwei Drittel der befragten Konsument:innen dem Teilen von Daten sowie mehr als 65% sogar dem Teilen von Wearables-Daten nicht ablehnend gegenüber stehen. Als besonders attraktiver Nutzen wird von drei Viertel der Befragten eine günstige Prämie gesehen. „Charity-Donations“ wie sie bei TEAM500 genutzt wurden, sind für rund 44% der Kund:innen attraktiv. Das Beratungsunternehmen McKinsey (vgl. [MCK20]) sieht ebenfalls steigende Bereitschaft zur Datenteilung im Gegenzug zu steigender Personalisierung von Versicherungsservices. Detaillierte weiter gefasste umfassende Analysen zur „Big-Data-Debatte“ im Allgemeinen und für Versicherungsbezug im Speziellen können in [KNMW20] und [HMSS17] gefunden werden.
Äquivalenzprinzip, Risikoausgleich und gesellschaftliche Akzeptanz
Die Kernideen von „Pay as you live“-Tarifen, also die Berücksichtigung von Echtzeitdaten in der Produktgestaltung, sind tief in der versicherungswirtschaftlichen Grundlagentheorie verankert: das individuelle versicherungstechnische Äquivalenzprinzip und die Reduktion der Schadenerwartungswerte durch Anreize zu Verhaltensänderungen.
Analog zu Telematik-Daten in der Kraftfahrtversicherung bieten die Daten aus Wearables dramatisch verbesserte Möglichkeiten, erwartete Schadenbedarfe für individuelle Personen zu ermitteln. Versicherungstechnisch stellt dies keine fundamentale Herausforderung dar. Für den Risikoausgleich sind Anzahl und (stochastische) Unabhängigkeit zentrale Aspekte, während (Nicht-)Homogenität der Risiken bei entsprechender Datenlage durch geeignete aktuarielle Methoden handhabbar wird.
Im Gegensatz dazu sieht sich die Versicherungswirtschaft zunehmend dem Vorwurf von Diskriminierung und gesetzlichen Verboten, bestimmte Eigenschaften von versicherten Risiken (Unisextarifierung, bestimmte Krankheiten – „Beating Cancer“ und das „Recht auf Vergessen“) zur Tarifierung zu nutzen, ausgesetzt. In [MPWA17] wird die Notwendigkeit zur Nutzung des individuellen versicherungstechnischen Äquivalenzprinzips in der Privatversicherung (zur Verhinderung von Antiselektions- bzw. Unterversorgungseffekten) sowie deren Abgrenzung zu Solidargemeinschaften (im Sinne von systemischer Prämiensubvention von „reich für arm“, „jung für alt“ oder „gesund für krank“) und der Akzeptanz von Tarifierungsmerkmalen systematisch aufbereitet. Zusammenfassend werden Merkmale, die „gefühlt“ durch Verhalten aktiv beeinflusst werden können (z.B. Teilnahme an Vorsorgeuntersuchungen, Rauch- oder Alkoholkonsum, gesunde Ernährung, regelmäßiger Sport) wesentlich stärker akzeptiert, als nicht beeinflussbare Kriterien (Vorkrankheiten, Blutdruck, Geschlecht und auch das Alter (!)). Zu langfristigen Nutzbarkeit von Vitaldaten werden daher Methoden, die einzig Korrelationen zum Schadenbedarf identifizieren, nicht ausreichen. Zu den Aufgaben der Aktuare werden auf jeden Fall die Sicherstellung der Erklärbarkeit der Methoden und der Nachweis einer nicht versteckten Nutzung verbotener Merkmale (z. B. Geschlecht) zählen.
Das „biologische Alter“ und „Behavioural Insurance“
Während die grundsätzlich positiven Effekte von Bewegung und Training auf Gesundheit sowie Mortalität wissenschaftlich evidenzbasiert etabliert sind, steckt eine exakte (zur sinnvollen Abbildungen in Tarifen notwendige) Vermessung der Zusammenhänge in den Kinderschuhen.
Als mathematische Basis für „Pay as you live“-Tarife hat der Rückversicherer SCOR in Zusammenarbeit mit anderen Akteuren der Wearable-Technologie-Industrie das Biological Age Model (BAM) entwickelt. BAM nutzt die Daten von Wearables, um das biologische Alter einer Person zu ermitteln. Für Endkund:innen ist dies ein leicht verständliches und nachvollziehbares Gesundheitsmaß. Anhand der Anzahl der zurückgelegten Schritte können Kund:innen überprüfen, ob ihr biologisches Alter höher oder niedriger ist als ihr tatsächliches Alter.
Das dahinterliegende mathematische Modell basiert auf klinischen Daten aus über 20 Jahren und zeigt als Ergebnis, dass die Anzahl der Schritte pro Tag einen starken Einfluss auf die Mortalität hat. Insgesamt scheinen Aktivitätsparameter ein stärkerer Indikator zu sein als traditionelle Underwriting-Faktoren (Blutdruck, BMI, Raucherstatus, Cholesterin, …).
Aus einer rein technischen Perspektive betrachtet lässt sich daraus ableiten, dass Wearable-Daten in der Lage sind, die traditionelle Risikoprüfung zu optimieren und Versicherungsunternehmen in die Lage zu versetzen, ihre Risikobewertung kontinuierlich zu aktualisieren. Zu Ende gedacht, wäre das Ergebnis in letzter Konsequenz ein dynamisches Underwriting, was eine permanente kontinuierliche Prämienanpassung nach sich ziehen würde.
Im Hinblick auf die angesprochenen grundsätzlichen Bedenken hinsichtlich der gesellschaftlichen Akzeptanz derartiger Überlegungen wurde beim TEAM500-Projekt jedoch ein gänzlich anderer Zugang gewählt und der Engagement-Aspekt für einen gesünderen Lebensstil in den Vordergrund gestellt.
Traditionelle Wege zur Unterstützung eines risikoaversen und damit schadenreduzierenden Verhaltens in der Versicherungswirtschaftslehre sind Selbstbeteiligungen und Bonus-Malus-Systeme. Eine aktuelle Studie aus dem amerikanischen Krankenversicherungsmarkt (vgl. [HAS21]) bestätigt die Wirksamkeit dieser Vereinbarungen abermals empirisch. Während viele der traditionellen Maßnahmen mit verringertem Kundenerlebnis (z. B.: mehr Nervosität beim Autofahren) oder sogar Fehlanreizen (z.B.: das Unterlassen notwendiger Arztbesuche bei Selbstbehalten in der Krankenversicherung), stellen „gameifizierte“ Anreize oder beratende Funktionen zu mehr Bewegung in Apps unter Umständen kombiniert mit geeigneten „Nudging“-Ansätzen („90% der Peer-Group haben heute mehr als 10.000 Schritte gemacht“, „deine Gruppe braucht noch 1.000-Schitte im Durchschnitt um diese Charity-Donation auszulösen“,…) eine positive Beeinflussung zum Nutzen beider Seiten dar. Das der Team500-Aktion zugrundeliegende „biologische“ Alter ist ein Weg langfristige abstrakte Ziele, wie Gesundheit, in eine unmittelbar darstellbare Zahl zu übersetzen und dadurch mit schnellen Erfolgen das Engagement der Kund:innen zu stärken.
Ein zentrales Konzept aus der Welt der Verhaltenswissenschaft zum Verständnis der Entscheidungsfindung bei der Gestaltung von Gesundheitsförderungsprogrammen ist die sogenannte „Verlustaversion“.
Grob gesagt bedeutet das, dass Verluste von Menschen intensiver wahrgenommen werden als entgangene Gewinne. Daher erzeugt das Bestreben, einmal erzielte „Altersgewinne“ nicht wieder abzugeben, für eine zusätzliche Motivation zu Bewegung (vgl. [REMA21]). Damit verbundene finanzielle Anreize (Rabatte, Gewinnbeteiligung, …) können diesen Effekt noch verstärken.
Fazit
Neue Technologien sorgen bereits heute für eine bisher unvorstellbare Flut von potentiell tarifrelevanten Daten in Echtzeit. Große Strategie- und Beratungsfirmen sehen in der Nutzung dieser Daten zu Personalisierung einen Königsweg, der „Innovationkrise“ der Personenversicherung zu entkommen (vgl. McKInsey). Die daraus entstehenden Möglichkeiten und fachlichen Herausforderungen an Aktuare sind inspirierend. Gerade für das aktuelle Selbstverständnis der Aktuare der 5. Generation, als “profession that is recognised as a leader in data and analytics across industries“, bietet sich als Berufsstand – im Zusammenhang mit der in den Kinderschuhen befindlichen Vermessung von Bewegung und Gesundheit – die einmalige Möglichkeit, unseren Wert für die Gesellschaft weit über den reinen „Versicherungsbezug“ hinaus zu beweisen und gleichzeitig das Geschäftsmodell der Personenversicherung verantwortungsvoll zu modernisieren.
Weltweit arbeiten Data Science-Gruppen der Aktuarvereinigungen mit Hochdruck daran, einschlägige Positionen zur Nutzung großer, individueller Datenmengen sowie entsprechende Grundsätze und Standards zu erstellen. Österreich ist in diesen Gremien mit dem Leiter des Arbeitskreises „Data-Science“ Dr. Jonas Hirz vertreten.
Noch intensiver als in der Vergangenheit stellen sich Bereitschaft und Kompetenz zur Einbringung in multidisziplinäre Teams als wichtige Erfolgsfaktoren dar: Brauchen wir dafür schon die 6te Generation von Aktuaren?
Literaturquellen
[SQ23] https://quantifiedself.com
[INXT22] https://insurenxt.com/de/rueckblick/
[STAT23] https://de.statista.com/themen/4648/wearables-in-oesterreich/#topicOverview
[WHO22] „Global status on physical activity 2022“, ISBN 978-92-4-005915-3, WHO, 2022.
[KNMW19] „Die Big-Data-Debatte. Chancen und Risiken der digital vernetzten Gesellschaft“
Knorre, Müller-Peters, Wagner, ISBN: 978-3-658-27257-9, Springer, 2020.
[GEN23] https://www.generalivitality.com/at/de
[KLV21] https://team500.klv.at/
[SCOR23] https://www.scor.com/en/biological-age-model-bam
[REMA23] „Global Consumer Study 2022-23“, ReMark, www.remarkgroup.com, 2023.
[MCK20] „The future of life insurance“, McKinsey, 2020.
[HMSS17] „Big Data für Versicherungen“, Heep-Altiner, Müller Peters, et. al, Forschung am ivwKöln, Band 2/17, 2017.
[MPWA17] „Geschäft oder Gewissen? Vom Auszug der Versicherung aus der Solidargemeinschaft“, Müller-Peters, Wagner, ISBN 978-3-00-055896-2, Goslar Institut, 2017.
[HAS21] „Fördert ein Selbstbehalt Sparsamkeit in der Krankenversicherung?“ Hasch in: Die Wirtschaft im Wandel. Springer Gabler, Wiesbaden, 2021. https://doi.org/10.1007/978-3-658-31735-5_34
[REMA21] https://www.remarkgroup.com/en/insights/5-ways-behavioural-science-can-transform-insurance
Mit einem Blick auf die Bedrohungslage, der die meisten Unternehmen im Zuge ihrer Geschäftstätigkeit ausgesetzt sind, war in den letzten Jahren eine stetige Weiterentwicklung dieser zu beobachten. Dies macht in vielen Unternehmen eine Adaption der Sicherheitsplanung und des entsprechenden Risikomanagements notwendig. Insbesondere im Bereich der Cyber-Kriminalität sind in den letzten Jahren starke Zuwächse rund um Bedrohungen wie Ransomware, Malware, etc. zu beobachten gewesen.
Diese Entwicklung der Bedrohungslage hat auch dazu geführt, dass Versicherungsunternehmen auch mit einer wachsenden Anzahl an regulatorischen Anforderungen gerade im Bereich der IT-Sicherheit konfrontiert sind. Mit der bevorstehenden Einführung und dem Inkrafttreten des „Digital Operational Resilience Act (DORA)“ werden die Anforderungen an ein vollumfängliches ICT-Risikomanagement voraussichtlich ab Anfang 2025 gesetzlich verbindlich geregelt.
Um sich als Unternehmen bestmöglich auf diese Risiken vorbereiten zu können, ist in erster Linie ein Verständnis der Angreifer und deren Motivation notwendig. Es sind insbesondere die Fragen zu beantworten, welche Unternehmens-Assets schützenwert sind und welche Schutzmaßnahmen zu ergreifen sind.
Was ist die Motivation hinter Cyber-Attacken
Abbildung 1: Motivation für die wichtigsten Bedrohungen / Quelle: ENISA Threat Landscape 2022
Wie in Abbildung 1 ersichtlich ist Geld die mit Abstand wichtigste Motivation für Angreifer, gefolgt von geopolitischen Motivationen. In einer großen Vielzahl der Fälle wird durch den Angreifer versucht Kapital aus den Cyberangriffen zu generieren. Es sind hierbei Angriffe auf die Verfügbarkeit sowie Ransomware die Top-Bedrohungen, die es zu berücksichtigen gilt. Es ist dabei eine zunehmende Professionalisierung der Cyber-Angriffe zu beobachten, wobei Phishing[1] häufigster Start einer größeren Attacke ist.
Wer sind die Akteure hinter solchen Angriffen
Im Folgenden soll ein Überblick über die wesentlichen Akteure gegeben werden. Diese Liste ist nicht vollständig, sondern soll einen Überblick über die wesentlichen Angreifer geben.
- Staatliche Akteure: Ziel ist die Beeinflussung geopolitischer Interessen. Nutzen vielfach sehr fortgeschrittene/unbekannte Werkzeuge für ihre Angriffe
- Organisierte Kriminalität: Ziel ist hier die Erzielung von finanziellem Gewinn. Einen starken Zuwachs verzeichnet insbesondere das „Hacker-as-a-Service“ bei dem (zumeist via Darknet) Cyberangriffe als professionelle Dienstleistung angeboten und gekauft werden können. Nutzen vielfach sehr fortgeschrittene/unbekannte Werkzeuge für ihre Angriffe
- Kleinkriminelle: Ziel ist die Erzielung von finanziellem Gewinn. Nutzen dafür zumeist bekannte Werkzeuge, die sie für ihren Einsatzzweck maßschneidern.
- Motivierte Einzelpersonen: Ziel ist vielfach ideologischer Natur oder aber auch Rache. Nutzen dafür bekannte und zumeist frei verfügbare Tools.
- Thrill-Seekers: Dies sind vor Allem Personen, die beweisen wollen, dass sie einen erfolgreichen Cyberangriff durchführen können. Nutzen dafür vor Allem frei verfügbare Tools
Wie wird bei einem Cyberangriff vorgegangen
Alle Cyberangriffe folgen einem bestimmten Ablauf, welcher in Abbildung 2 dargestellt ist.
Abbildung 2: Ablauf einer Cyberattacke
Es wird dabei in einer Vorbereitungsphase das Ziel ausgewählt, Information zum Ziel gesammelt und anschließend der Angriff vorbereitet. Der Angriff selbst wird vielfach unter Ausnutzung des Faktor „Mensch“ durchgeführt, wobei hier insbesondere Social Engineering[2] sowie Phishing zu erwähnen sind. Bei einem erfolgreichen Angriff wird die Schadsoftware im System installiert und kann dort oftmals unbemerkt eine längere Zeit verbleiben, bis sie aktiviert wird und der Angreifer seine Ziele (Manipulation, Diebstahl von Daten, etc.) umsetzt.
Wie kann ich mich schützen
Um sich als Unternehmen vor Cyberattacken aller Art zu schützen braucht es ein umfassendes Set an Maßnahmen, sowohl technischer (z.B. Antivirus Software, Firewall, Backup, etc.) als auch organisatorischer (z.B. Regeln zum Umgang mit sensiblen Daten, etc.) Natur. Es muss dabei auch ein großes Augenmerk auf die Bewusstseinsbildung von Mitarbeitenden im Unternehmen gelegt werden, da diese die erste Verteidigungslinie gegen eine Vielzahl an Angriffen darstellen.
Ein strukturiertes Risikomanagement in Bezug auf Cyber-Vorfälle sollte zudem zumindest folgende 5 Elemente umfassen:
- Identify: Identifikation welche Prozesse bzw. welche Assets im Unternehmen kritisch sind und geschützt werden müssen.
- Protect: Abgeleitet von der Identifikation erfolgt die Festlegung und Umsetzung geeigneter technischer und organisatorischer Schutzmaßnahmen zur Gewährleistung des Schutzes der Assets
- Detect: Einführung und Etablierung von geeigneten Mechanismen zur Identifizierung von Cybersicherheitsvorfällen (z.B. SIEM / SOC)
- Response: Entwicklung von Techniken für den Fall einer erfolgreichen Cyberattacke zur Eindämmung der Auswirkungen dieser
- Recover: Pläne und Verfahren zur Wiederherstellung von betroffenen Diensten und Fähigkeiten nach einem Cybersicherheitsvorfall
Fazit
Cyber-Angriffe sind eine Bedrohung für Unternehmen aller Art, die in den letzten Jahren stark zugenommen haben und jeden betreffen können. Für den richtigen Umgang mit den Risiken ist das Verständnis der Akteure und deren Motivation wichtig. Hier ist vor Allem die Erzielung von finanziellem Gewinn als Hauptmotiv hervorzuheben. Um sich davor zu schützen, bedarf es eines ganzheitlichen Risikomanagementsystems, welches einerseits a-priori Schutzmaßnahmen definiert und festlegt, entsprechende Monitoring Mechanismen nutzt und auch Verfahren für den Fall eines Cybersicherheitsvorfalls definiert hat. Zur Umsetzung hierfür ist eine gute Zusammenarbeit zwischen IT und Risikomanagement im Unternehmen essenziell. Im weiteren Kontext müssen jedoch alle Mitarbeitenden des Unternehmens berücksichtigt werden und entsprechende Bewusstseinsbildungsmaßnahmen durchgeführt werden.
[1] Unter dem Begriff Phishing versteht man Versuche, sich über gefälschte Webseiten, E-Mails oder Kurznachrichten als vertrauenswürdiger Kommunikationspartner in einer elektronischen Kommunikation auszugeben und damit an persönliche Informationen eines Internetnutzers zu gelangen. Quelle: Wikipedia
[2] Social Engineering nennt man zwischenmenschliche Beeinflussungen mit dem Ziel, bei Personen bestimmte Verhaltensweisen hervorzurufen, sie zum Beispiel zur Preisgabe von vertraulichen Informationen, zum Kauf eines Produktes oder zur Freigabe von Finanzmitteln zu bewegen. Quelle: Wikipedia
Abbildung 1: Inflationsrate des HVPI YoY% für einige EU-Staaten
Bereits im Verlauf des Jahres 2021 kam es zu einer Phase ansteigender Inflation in Europa, welche sich über das Jahr 2022 fortgesetzt hat. Abbildung 1 zeigt die Veränderungsrate zum Vorjahresmonat des Harmonisierten Verbraucherpreisindex in einigen EU-Staaten.
In einigen Staaten, zum Beispiel Ungarn oder Tschechien liegt die Inflationsrate um einiges höher als in Österreich oder Deutschland – in anderen, beispielsweise Frankreich oder Spanien zeigt sich ein deutlich niedrigeres Niveau. Die Inflation in Deutschland fällt geringer aus als diejenige in AT. Die oben gezeigte Auswertung des deutschen statistischen Bundesamtes Destatis[1] zeigt die Werte nur bis zum Dezember 2022. Im ersten Quartal 2023 ist die Inflationsrate in Deutschland in etwa konstant geblieben, in Österreich noch etwas weiter gestiegen. Die Ursachen für das starke Absinken der Inflation in Spanien liegen beispielsweise an staatlichen Eingriffen bei Grundnahrungsmittel,[2] Mieten und Strom[3].
Eine hoch relevante Aufgabe der Versicherungsmathematik ist es zukünftige Inflationsraten auch über längerfristige Zeiträume zu schätzen. Dies ist – selbst für kurze Laufzeiten – kein einfaches Unterfangen. Kurzfristig auftretende und nur schwierig einzuschätzende Effekte (Krisen, Kriege, politische Entscheidungen und staatliche Eingriffe, …) können massiven Einfluss ausüben.
Grund genug sich als Aktuar mit der einen oder anderen Methode zur Messung der Inflationsraten auseinanderzusetzen, deren Annahmen und Limitierungen zu verstehen und eventuell in das Instrumentarium der täglichen Arbeit zu integrieren.
Es sei erwähnt, dass keine Methode eine tatsächliche Vorschau der kommenden Jahre geben kann. Im aktuellen Fall eines lokal wie global äußerst dynamischen Marktumfeldes kann oftmals auch die Zusammenschau mehrerer Methoden kein belastbares Ergebnis wiedergeben.
Dennoch erfordern allein regulatorische Anforderungen (SII) oder buchhalterische Notwendigkeiten (IFRS17) eine konkrete Einschätzung, gar nicht zu sprechen von den Kalkulationen der Produktprämien.
Die beiden Methoden, die nun hier vorgestellt werden, sind die Schätzung der Inflationserwartung mittels
- inflationsindexierter Rentenpapiere (inflation linked bonds) und
- an geeigneten (ausreichend liquiden!) Märkten gehandelter Inflationswaps
Inflationserwartung per Inflation-Linked-Bonds
Abbildung 2: Schema eines Inflationsswaps
Inflationsindizierte Rentenpapiere (Inflation-Linked-Bonds) passen Rückzahlung und Kuponzahlung an die Dynamik einer vorgegebenen Inflationsrate an. Diese Anpassungen sind oftmals durch Limite gedeckelt und können auch sonstigen Nebenbedingungen unterliegen, die jeweils im Prospekt des Wertpapiers nachzulesen sind.
Durch statistischen Vergleich der Renditen von nicht-inflationsindizierten Anleihen mit solchen, die einer Indexierung unterliegen, ist es möglich, eine Inflationserwartung für verschiedene Laufzeiten abzuleiten. Durch Ausgleichsrechnung kann man eine Kurve der Inflationserwartungen erhalten.
Der Theorie nach lässt sich diese Methode durch das übliche Diskontierungsmodell der Investitionsrechnung erklären. Der Monatsbericht der deutschen Bundesbank aus dem Juni 2015 enthält einen guten Überblick über verschiedene Methoden zur Messung der Inflationserwartung. Auf Seite 46 heißt es dort[4]:
„Zieht man die Rendite einer inflationsindexierten Anleihe von der Rendite einer (laufzeitäquivalenten) Nominalanleihe ab, erhält man die sogenannte Break-even-Inflationsrate (BEIR).“
Abbildung 3: Einjährige Inflationsswap rate für den EUR
Ein aktuelles Beispiel:
Der Deutsche Bund[5] hat zum 09.02.2021 eine 10-jährige inflationsindexierte Anleihe (ISIN: DE0001030583) mit einem Kupon von 0.10% p.a. begeben, die am 23.03.2023 zu einem Wert von 102 notiert. Die aktuelle Rendite liegt bei -0.10% p.a. Zum Vergleich zeigt eine nicht-indexierte deutsche Benchmark Anleihe[6] (ISIN: DE000BU2Z007) am gleichen Stichtag eine Rendite von 2.27% p.a. Daraus ergäbe sich eine 10jährige Inflationserwartung (BEIR) von 2.37% p.a.
Dies ist nur ein simples, überschlagsartiges Beispiel. Eine korrekte Rechnung hat mit einer statistisch relevanten Anzahl an Wertpapieren passender, einheitlicher Gattung (Laufzeit, Rating, …) beider Grundgesamtheiten (indexiert und nicht-indexiert) zu erfolgen.
Inflationserwartung per Inflation-Swaps
Ein weiteres – für Anwender der EIOPA risikofreien Zinskurve sehr interessantes – Verfahren schätzt die Inflationserwartungen der Zukunft aus Inflationsswaps, analog zur Messung der risikofreien Zinssätze aus Zinsswaps. Ein Inflationsswap funktioniert hierbei völlig analog zum gleichen Instrument aus der Welt der Zinsen: Zwei Parteien tauschen eine variable gegen eine fixe
Abbildung 4: Kurven der Swap-Raten der Inflationserwartung für den EUR
Inflationsrate für eine zuvor ausgemachte Laufzeit. Klassischerweise wird hier als Underlying der HVPI ex Tobacco herangezogen. Analog der Vorgehensweise für die EIOPA Zinsstrukturkurve können beispielsweise das Smith-Wilson-Verfahren, das im EIOPA Solvency II Review angedachte Approximationsverfahren oder gängige weitere Verfahren wie die Svensson Methode oder das Nelson-Siegel-Verfahren zur Schätzung herangezogen werden.
Die deutsche Bundesbank veröffentlicht in ihren Berichten für die Monate Februar, Mai, August und November Aufsätze zur aktuellen Lage an den Finanzmärkten. Dort ist jeweils auch eine Analyse der, aus Inflationsswaps berechneten Termininflationsraten zu sehen, wie hier beispielsweise in Abbildung 5 dargestellt. Anhand dieser Auswertungen ist die große Unsicherheit im Markt über die aktuelle und zukünftige Lage zu erkennen. Die Kurve der zukünftigen Inflationserwartung hat sich im Jahr 2022 jeweils mit der beobachteten Inflation (schwarze Linie) erhöht. Derzeit zeigt diese Art der Messung eine längerfristige zukünftige Rate zwischen 2% und 3% p.a.
Es ist davon auszugehen, dass sich diese Schätzung von Monat zu Monat in nicht unerheblichem Maße verändern wird. Daher ist es ratsam neben Modellen, auch andere Quellen wie beispielsweise die von verschiedenen volkswirtschaftlichen Instituten veröffentlichten qualitative und quantitative Analysen zu betrachten und für Vergleiche heranzuziehen. Für das Jahr 2022 kann gesagt werden, dass die marktimpliziten Prognosen mehrfach von der drastischen Dynamik der Wirklichkeit korrigiert wurden.
Abbildung 5: Deutsche Bundesbank, Monatsbericht Februar 2023, Seite 45
[1] siehe https://www.destatis.de/Europa/DE/Thema/Wirtschaft-Finanzen/Inflation.html zuletzt abgerufen am 24.03.2023
[2] siehe https://www.faz.net/aktuell/politik/ausland/spanien-streicht-mehrwertsteuer-auf-grundnahrungsmittel-fuer-ein-halbes-jahr-18562279.html zuletzt abgerufen am 23.03.2023
[3] siehe https://www.daserste.de/information/wirtschaft-boerse/plusminus/videos/plusminus-markteingriffe-100.html zuletzt abgerufen am 23.03.2023
[4] siehe https://www.bundesbank.de/de/publikationen/berichte/monatsberichte/monatsbericht-juni-2015-664482 zuletzt abgerufen am 24.03.2023
[5] siehe https://www.deutsche-finanzagentur.de/bundeswertpapiere/factsheet/isin/DE0001030583?cHash=3fb624144258e6c73bb19de726a2edf6 zuletzt abgerufen am 23.03.2023
[6] Siehe https://www.deutsche-finanzagentur.de/bundeswertpapiere/factsheet/isin/DE000BU2Z007?cHash=e51e754eb101b80628a84cca6cee778a zuletzt abgerufen am 24.03.2023