Dennis L. nenoitarepooK etlhazeb tlähtnE
Unternehmen kalkulieren Cyberrisiko längst wie einen Produktionsfaktor, doch belastbare Zahlen bleiben selten. Eine neue Modellstudie verknüpft Ausfälle über 48 h mit finanziellen Folgekosten und versucht dabei Unsicherheit systematisch zu erfassen. Welche Variablen entscheiden, ob aus einem Vorfall eine Wochenkrise wird oder nur ein kurzer Stopp? Und wie verändert sich dadurch die Kalkulation von Cyberversicherung und Kapitalmarkt?
Digitale Prozesse haben in vielen Branchen die Rolle klassischer Produktionsanlagen übernommen. Wenn ein Angriff Buchungssysteme, Logistik oder Zahlungsabwicklung stoppt, entstehen nicht nur IT-Kosten, sondern reale Ausfälle in Stückzahlen, kWh und Arbeitsstunden. Für Deutschland wird der jährliche Gesamtschaden aus Cyberangriffen in der öffentlichen Debatte häufig in dreistelliger Milliardenhöhe verortet, wie Cyberattacken auf die Wirtschaft anhand einer Schätzung von rund 206 Milliarden EUR einordnet und dabei vor allem den Mittelstand als Ziel beschreibt. In der Bilanz einzelner Firmen erscheinen solche Schocks als Betriebsunterbrechung, Vertragsstrafen oder als teurere Finanzierung. Gleichzeitig steigen die Erwartungen von Aufsicht und Versicherern an nachweisbare Schutzmaßnahmen, weil vernetzte Geräte und Cloud-Dienste die Angriffsfläche erweitern. In vielen Unternehmen rückt dabei die Endpoint Security als messbarer Kostenposten in Budgets und Audits. Ökonomen betrachten Cyberrisiko deshalb zunehmend wie einen Produktionsfaktor, dessen Ausfallwahrscheinlichkeit sich nicht aus stabilen historischen Durchschnittswerten ableiten lässt.
Cyberereignisse unterscheiden sich ökonomisch von vielen anderen Risiken, weil Meldequoten, Klassifikationen und Schadenshöhen stark verzerrt sein können. Ein einzelnes Leck kann als Datenabfluss beginnen und Wochen später über Erpressung oder Lieferkettenausfälle in barem Umsatzverlust umschlagen, während kleinere Vorfälle oft gar nicht öffentlich werden. Parallel sinken die Grenzkosten für Angreifer durch Automatisierung, etwa wenn KI gestützte Cyberangriffe Phishing und Ausnutzung von Schwachstellen skalieren. Für Volkswirte und Finanzökonomen wird damit entscheidend, wie Cyberrisiko in Preisen sichtbar wird: in Versicherungsprämien, in der Risikoprämie von Aktien, in Kreditkonditionen und in Liquiditätsabschlägen. Ohne belastbare Verteilungen für seltene Extremereignisse bleibt jedoch offen, ob eine beobachtete Prämie bereits Übervorsicht spiegelt oder echte erwartete Verluste. Genau an dieser Stelle setzen neue Modellansätze an, die harte Verlustdaten mit weichen Indikatoren wie Sicherheitskultur und Prozessreife verbinden.
Ökonomische Bewertung beginnt normalerweise mit Datenreihen, klaren Definitionen und einigermaßen stabilen Wahrscheinlichkeiten. Beim Cyberrisiko ist gerade diese Basis dünn, weil Schäden häufig aus einer Kette von Folgeeffekten entstehen und Unternehmen sensible Details aus Haftungs- oder Reputationsgründen zurückhalten. Eine breit angelegte Literaturübersicht im World Bank Bericht 2024 zeigt, dass stark zitierte Schätzungen der weltweiten Jahreskosten von Cybervorfällen von etwa USD 172 Milliarden bis zu mehreren Billionen USD reichen und teils Werte in der Größenordnung von USD 10,5 Billionen für das Jahr 2025 nennen, wobei die Autoren die mangelnde Nachprüfbarkeit vieler Methoden betonen. Für die Modellierung zählt deshalb weniger eine einzelne Zahl als die Zerlegung in Kostenarten: direkte Transfers wie Lösegeld, operative Aufwände für Wiederherstellung, und indirekte Verluste durch Nachfrageeinbruch, Verzögerungen oder Rechtsrisiken. Besonders schwierig sind indirekte Effekte, weil sie zeitverzögert auftreten und sich mit normalen Konjunkturschwankungen überlagern. Selbst wenn ein Stillstand nur 24 h dauert, kann die nachfolgende Umplanung ganze Produktionswochen verschieben und damit den statistischen Fingerabdruck eines Vorfalls verwischen.
Wenn Versicherer Cyberversicherung zeichnen, müssen sie aus wenigen Beobachtungen auf seltene, aber sehr teure Ereignisse schließen. Klassische Ansätze der Schadenstatistik liefern zwar Verteilungen und Konfidenzintervalle, scheitern aber oft an der Heterogenität von IT-Landschaften, Lieferketten und Abhängigkeiten zwischen Standorten. Ein neuer Modellvorschlag in International Journal of Finance and Economics Studie 2026 adressiert diese Lücke, indem er aggregierte Verlustexpositionen mit qualitativen Risikoindikatoren zusammenführt. Ökonomisch interessant ist daran, dass solche Modelle die erwarteten Schäden nicht nur als Mittelwert, sondern als gesamte Verlustverteilung abbilden sollen, inklusive dicker Ränder, also seltener Extremwerte. Damit ein Schadensmodell in der Praxis belastbar bleibt, braucht es außerdem klare Annahmen dazu, welche Teile eines Vorfalls versichert sind und welche als normaler Betriebsaufwand gelten. Dazu zählen:
Der Kern solcher hybrider Ansätze liegt in der Verknüpfung von beobachtbaren Größen mit latenten Faktoren wie Sicherheitskultur, Reifegrad des Identity-Managements oder Reaktionsfähigkeit im Notfall. Methoden wie strukturelle Gleichungsmodelle können diese latenten Konstrukte aus mehreren Indikatoren schätzen, während neuronale Netze Muster in großen, unvollständigen Datensätzen erkennen und Nichtlinearitäten abbilden. Für die Preisbildung ist entscheidend, wie stark diese Faktoren die Schadenhäufigkeit und die Schwere eines Ereignisses verschieben und wie groß die Unsicherheit dieser Schätzung bleibt. Praktisch bedeutet das, dass technische Maßnahmen wie VPNs in Unternehmensnetzwerken nicht nur als Checkliste zählen, sondern als Eingangsgrößen in ein konsistentes Risikoaggregat einfließen müssen. Je besser die Datenqualität, desto eher lässt sich eine Prämie so kalibrieren, dass sie seltene Großschäden deckt, ohne alltägliche Störungen zu überpreisen.
Für Unternehmenslenker ist Cyberrisiko nicht nur eine IT-Frage, sondern ein Thema der Kapitalallokation. Jede Investition in Prävention konkurriert mit Maschinen, Forschung oder Vertrieb, während ein erfolgreicher Angriff sofort Liquidität bindet. Am sichtbarsten wird der Schock oft als Betriebsunterbrechung, weil Umsätze ausfallen, Liefertermine reißen und Kosten für Ersatzprozesse steigen. Finanzökonomisch übersetzt sich das in höhere erwartete Cashflow-Schwankungen und damit in eine Risikoprämie, die Investoren für die Bereitstellung von Eigen- und Fremdkapital verlangen. Auf dem Kapitalmarkt kann das zwei Wege nehmen: Aktien können nach Vorfällen stärker schwanken, und bei Refinanzierung über Unternehmensanleihen können Investoren zusätzliche Aufschläge fordern, wenn sie das Management von IT-Risiken als schwach einschätzen. Ob solche Aufschläge rational, übertrieben oder zeitweise unterschätzt sind, hängt jedoch davon ab, ob Modelle die seltenen Extremereignisse korrekt erfassen und ob Märkte zwischen gut dokumentierter Resilienz und bloßem Sicherheitsmarketing unterscheiden können.
Auch das beste Modell bleibt so gut wie seine Datenbasis. In der Praxis fehlen häufig standardisierte Meldedaten zu Vorfällen, weil Definitionen variieren und weil die Anreize zur Offenlegung uneinheitlich sind. Für die Wissenschaft ergibt sich daraus ein doppeltes Problem: Die beobachtete Stichprobe ist nicht repräsentativ, und die gemeldeten Schäden sind oft nur ein Ausschnitt aus Wiederherstellung, Rechtsfolgen und langfristiger Kundenabwanderung. Besonders verzerrend wirken Erpressungslagen wie Ransomware, weil Zahlungen, Verhandlungen und technische Wiederherstellung in unterschiedlichen Budgets landen und manchmal bewusst verschleiert werden. Für Ökonomen wird damit die Frage zentral, wie sich seltene, große Vorfälle in Verlustverteilungen einbetten lassen, ohne aus Einzelfällen falsche Trends abzuleiten. Nötig sind Vergleichsstandards für Incident-Klassen, anonymisierte Datentreuhandmodelle und Messgrößen, die sowohl technische Exponierung als auch wirtschaftliche Verwundbarkeit abbilden. Erst dann kann Cyberrisiko in Kosten-Nutzen-Analysen ähnlich routiniert behandelt werden wie Kredit- oder Wetterrisiken.
International Journal of Finance & Economics, Development of an Aggregate Model for Cyber Risk Assessment Using Deep Neural Network and Structural Equation Modelling; doi:10.1002/ijfe.70166
