Postulat Ammann (18.3565): Schadensdeckung. Ereignislimite bei Cyberangriffen
Eingereichter Text
Der Bundesrat wird beauftragt, die Einführung einer Ereignislimite bei Cyberangriffen zu prüfen, ab welcher der Bund in einer festgelegten Höhe die Schadensdeckung übernimmt.
Begründung
Die Digitalisierung führt zu einer starken Vernetzung der Wirtschaft. Dies bringt viele Vorteile, erhöht aber auch das Risiko von Grossereignissen, welche riesige Schäden anrichten können. Das derzeitige Bedrohungspotenzial von Cyber-Risiken ist deshalb sehr hoch; dies wird allein in der Schweiz jährliche Kosten bis zu 9,5 Milliarden Franken verursachen. Bei solch hohen Schadenssummen und möglichen Geschädigten, stellt sich die Frage nach der Rolle des Staates.
Die Risiken des “täglichen Lebens” sind bereits heute versicherbar und dies wird auch von immer mehr Unternehmen genutzt. Bei Grossereignissen hingegen stellt sich die Frage der Versicherbarkeit bzw. der dazu notwendigen Versicherungskapazitäten. Die Schadenssummen bei einem grossen Cyberangriff auf zentrale Infrastrukturen oder auf einen grossen Bereich der Wirtschaft wären für Versicherer nicht mehr verkraftbar. In diesem Bereich könnte also ohnehin nur eine beschränkte Versicherungspflicht eingeführt werden, wie man sie z.B. im Bereich der Atomkraftwerke kennt. Gleichzeitig stellt sich die Frage, wie weit der Staat selbst Schäden abgelten sollte. Denn der Bund könnte sich bei einem Grossereignis einer gewissen Deckung aufgrund des öffentlichen Druckes kaum entziehen. Ähnliche Fragen wurden auch bei der Ausarbeitung eines Modells einer flächendeckenden Erdbebenversicherung gestellt. Damals zeigt sich der Bund bereit, einen Betrag von 10 Milliarden Franken pro Ereignis zu übernehmen. Die Frage ist, ob eine solche Lösung auch im Bereich der Cyber-Risiken eingeführt werden könnte.
In einem Bericht soll aufgezeigt werden, wie eine solche Deckung eingeführt werden könnte und was für Konsequenzen dies hätte. Was für Auswirkungen hätte eine solche Regelung auf die Wirtschaft, insbesondere auf die Versicherungsbranche – Stichwort “Moral Hazard”? Welche gesetzlichen Anpassungen müssten vorgenommen werden um eine solche Deckung auf Bundesebene einzuführen? Ab welcher Ereignislimite müsste der Bund eine gewisse Deckung übernehmen um den grösstmöglichen Schaden abzuwenden, ohne dabei die Versicherungsbranche zu konkurrenzieren? Wie stellt sich der Bundesrat zu einer solchen staatlichen Auffanglösung für Cyber-Risiken?
Stellungnahme des Bundesrats vom 29.8.18
Der Bundesrat beobachtet die Entwicklung des Versicherungsmarkts für Cyber-Risiken mit grossem Interesse und stellt fest, dass in jüngster Zeit sehr viele neue Angebote in diesem Bereich entstanden sind. Dabei stellt sich tatsächlich die Frage, wie mit den Risiken von Grossereignissen mit gravierenden Auswirkungen auf die ganze Schweiz umgegangen werden kann.
Der Beirat “Zukunft Finanzplatz Schweiz” hat sich in seinem Bericht über die Rahmenbedingungen für die Versicherbarkeit von Cyber-Risiken unter anderem mit dieser Frage befasst. Der Bericht wurde dem Bundesrat im Juni 2017 unterbreitet. Darin kommen die Expertinnen und Experten zum Schluss, die Frage einer staatlichen Deckung für Cyber-Schäden als Option zu einem späteren Zeitpunkt zu prüfen, falls auf dem Versicherungsmarkt dafür “nicht genügend Marktkapazität oder wesentliche Marktlücken entstehen”.
Der Bundesrat teilt die Einschätzung des Beirats, dass eine Prüfung der Option einer staatlichen Deckung von Cyber-Risiken erst dann erfolgen sollte, wenn abgeschätzt werden kann, welches Potential die marktwirtschaftlichen Lösungen haben. Weil der Markt für Cyber-Versicherungen in der Schweiz erst seit kurzem besteht und sich aktuell rasch weiterentwickelt, scheint es nicht sinnvoll, dass der Staat bereits heute festlegt, ob eine Ereignislimite eingeführt werden und wie hoch sie gegebenenfalls sein soll. Auch über die Auswirkungen einer möglichen staatlichen Auffanglösung könnte zum heutigen Zeitpunkt nur spekuliert werden, da für eine solche Abschätzung zunächst eine Konsolidierung des sich erst entwickelnden Marktes nötig wäre.
Schliesslich hält der Bundesrat eine Diskussion um eine staatliche Deckung von Cyber-Risiken insbesondere auch deshalb für verfrüht, weil sie dazu führen könnte, dass marktwirtschaftliche Lösungen der Risikoabsicherung, wie Versicherungspools, Rückversicherungen und Alternativer Risikotransfer am Kapitalmarkt für Cyber-Risiken nicht mehr geprüft würden. Eine Übernahme von Restrisiken der Versicherungsbranche durch den Bund stünde zudem ordnungspolitisch im Gegensatz zu Bestrebungen, die Eigenverantwortung der Finanzinstitute zu stärken, wie zum Beispiel mit den “Too-big-to-fail” Bestimmungen.
Bereits beurteilt werden kann hingegen die rechtliche Situation. Heute besteht keine Verfassungsgrundlage für eine Deckung von Cyber-Schäden durch den Bund. Für eine staatliche Auffanglösung, wie sie im Postulat skizziert wird, wäre deshalb vor allfälligen gesetzlichen Anpassungen eine Verfassungsänderung nötig.