Ziel des Forschungsprojekts KIARA war es, basierend auf der neuartigen Kombination unterschiedlicher Datenquellen, eine sog. Explainable Artificial Intelligence (XAI) zu entwickeln. Diese XAI soll eindeutig erklärbar und nachvollziehbar machen, auf welche Weise der zu entwickelnde Machine-Learning-Ansatz neue Erkenntnisse über relevante Wirkungszusammenhänge möglicher Einflussfaktoren auf die Risikoanalyse erlaubt und die Entwicklung eines Cyber-Risikos in Abhängigkeit von bestimmten Faktoren vorhersagen kann.
Das Konsortium aus der Hochschule der Bayerischen Wirtschaft, Global Risk Analytics und blueheads hat im Herbst 2024 das Forschungsprojekt KIARA – Explainable KI und Analytics in Cyber Risk Assessments erfolgreich abgeschlossen. In den vorausgegangenen 3 Jahren wurde intensiv daran gearbeitet, Methoden und Werkzeuge zu entwickeln, die Unternehmen wie auch Versicherern eine neue Qualität bei der Bewertung von Cyber-Risiken ermöglichen.
Warum KIARA ins Leben gerufen wurde
Cyber-Angriffe stellen seit Jahren eine wachsende Bedrohung für Unternehmen in Deutschland und Europa dar. Der aktuelle Lagebericht des BSI zeigt deutlich, dass insbesondere kleine und mittlere Unternehmen (KMU) stark gefährdet sind: Ihnen fehlt es häufig an Ressourcen und Know-how, um ein angemessenes Schutzniveau aufzubauen. Cyber-Risikoanalysen sind zudem traditionell aufwendig und komplex. Sie erfordern die Auswertung einer Vielzahl an internen und externen Datenquellen sowie tiefgehendes Fachwissen, um Risiken korrekt einzuschätzen.
Hinzu kommt, dass sich die Risikolage ständig verändert – durch neue Angriffsvektoren, technologische Entwicklungen oder regulatorische Anforderungen. Klassische Ansätze stoßen hier schnell an ihre Grenzen. Genau an diesem Punkt setzte das Projekt KIARA an.
Zielsetzung des Projekts
KIARA verfolgte das Ziel, ein erklärbares KI-Modell (Explainable AI, XAI) für Cyber-Risikobewertungen zu entwickeln. Im Mittelpunkt stand dabei die Transparenz: Es sollte nachvollziehbar werden, welche Faktoren die Risikoeinschätzung beeinflussen und wie sich Veränderungen dieser Faktoren auf die Entwicklung des Risikos auswirken.
Das übergeordnete Ziel war, die Risikobewertung für Unternehmen einfacher, schneller und dynamischer zu machen – und damit sowohl Versicherern als auch Unternehmen neue Möglichkeiten zu eröffnen.
Ein erweiterter Datenansatz
Eine Besonderheit des Projekts war die Kombination und Anreicherung klassischer Versicherungsdaten (Exposure, Schäden, Deckungen) mit zusätzlichen Datenkategorien:
- OSINT-Daten (Open Source Intelligence),
- ESG- und Nachhaltigkeitsinformationen,
- Branchen- und Bedrohungstrends.
Durch diesen erweiterten Blickwinkel konnte eine wesentlich differenziertere Risikoeinschätzung erzielt werden.
Zentrale Projektergebnisse
Im Verlauf des Projekts wurden mehrere wesentliche Ergebnisse erreicht:
-
Entwicklung eines KI-Modells, das auf veröffentlichten Cyber-Vorfällen trainiert wurde und sowohl Cyber- als auch Nachhaltigkeitsfaktoren berücksichtigt.
-
Explainability: Mit Hilfe von XAI-Methoden wurde sichergestellt, dass die relevanten Einflussfaktoren transparent identifiziert und erklärt werden können.
-
KIARA-Score: Zur besseren Handhabbarkeit wurde ein Scoring-Modell entwickelt, das sich in drei Sub-Scores gliedert:
- ESG & Finanz,
- Cyber External,
- Cyber Internal.
Damit lässt sich die Risikolage aus mehreren Perspektiven betrachten.
- Nutzung externer Datenquellen: Über die Analyse öffentlich zugänglicher Informationen (OSINT) sowie den Einsatz von Large Language Models (LLMs) können auch Unternehmen bewertet werden, die noch nicht Teil der Modellbasis sind.
- Modularität und Erweiterbarkeit: Das Modell ist so konzipiert, dass es um neue Datenquellen und Bedrohungsszenarien ergänzt werden kann.
Die Gesamtarchitektur von KIARA lässt sich durch folgendes Diagramm visualisieren:
Nutzen für Versicherer und Unternehmen
Für Versicherer bedeutet KIARA eine erhebliche Vereinfachung des Underwriting-Prozesses. Statt umfangreicher Fragebögen können gezielt die entscheidenden Indikatoren erhoben werden. Das beschleunigt die Risikobewertung und ermöglicht eine präzisere Preisgestaltung.
Für Unternehmen – insbesondere KMU – entsteht erstmals die Möglichkeit, ihr Cyber-Risiko schnell, nachvollziehbar und vergleichbar einschätzen zu lassen. Die Tools können zudem als Grundlage für Beratungen im Bereich Informationssicherheit eingesetzt werden. Auch für Compliance-Nachweise gegenüber Behörden, Geschäftspartnern oder Kunden bietet KIARA einen zusätzlichen Mehrwert.
Ein Blick in die Zukunft
Die im Projekt entwickelten Ansätze bieten erhebliche Marktchancen. Versicherer wie Allianz oder Münchener Rück betonen in ihren Risiko-Reports das Wachstumspotenzial im Cyber-Versicherungssegment. Mit KIARA steht nun ein Werkzeug bereit, das nicht nur die Risikoeinschätzung verbessert, sondern auch einen Beitrag zur Sensibilisierung und Resilienzsteigerung von Unternehmen leistet.
Das Projekt zeigt eindrucksvoll, wie sich durch den Einsatz von Explainable AI komplexe Herausforderungen wie die Cyber-Risikobewertung transparenter, effizienter und praxisnäher gestalten lassen.