This thesis consists of four essays on open research questions with respect to cyber risks. The first and second research essays address cyber risk management and spillover effects from cyberattacks in the US financial services industry, while the third has a regional focus on Europe. The last essay discusses the cyber insurance products for private clients provided in six different countries.
First, we empirically analyze the consciousness, determinants, and value-relevance of cyber risk management in the US banking and insurance industry, as well as the spillover effects, which to the best of our knowledge have not been examined so far. By means of a text mining approach applied to annual reports and regression analyses, we find an increasing cyber risk consciousness and point out, inter alia, that cyber risk management contributes to value creation. We also observe significant competitive effects to large- and mid-cap firms and contagion effects to the entire sample when using event study methodology.
Second, as the implications of cyberattacks on announcing firms could spill over to a third party, we empirically examine spillover effects to the stocks of US (cyber) insurers in the US financial services industry which have not been investigated in closer detail. By applying an event study, we find evidence for significant contagion effects to the US (cyber) insurance industry, reflecting the deterioration of the reputation of non-announcing firms. For “mega cyberattacks”, we observe competitive effects to US cyber insurers. Studying possible influencing factors confirms that spillover effects are information-based.
Third, we also empirically study the cyber risk consciousness, firm characteristics, and value of cyber risk management for European banks and insurers, as well as possible spillover effects from cyberattacks and IT risk events, which has not been done so far, as the current literature neglects the focus on Europe. When applying similar research methodologies which are in line with the two previous US studies, we correspondingly observe an increasing cyber risk consciousness and relevant determinants, as well as a positive relationship between cyber risk management and firm value, in addition to significant spillover effects.
Fourth, a comparison of the cyber insurance products for private clients offered in Austria, Canada, Germany, Switzerland, the United Kingdom and the US is provided. Thereby, coverage components regarding first and third party risk, legal advice and the additional services of stand-alone cyber insurance and add-ons are identified and compared by conducting a qualitative analysis to reveal new insights regarding product features. We find that first party risk and additional services play a crucial role in stand-alone cyber insurance and add-ons, while the overall comparison of coverage components (across different regions) is challenging.Diese Arbeit besteht aus vier Aufsätzen zu offenen Forschungsfragen in Bezug auf Cyber-Risiken. Der erste und zweite Forschungsaufsatz befassen sich mit dem Cyber-Risikomanagement und Spillover-Effekten von Cyber-Angriffen in der US-amerikanischen Finanzdienstleistungsbranche, während der dritte den regionalen Fokus auf Europa hat. Der letzte Aufsatz behandelt die Cyber-Versicherungsprodukte für Privatkunden, die in sechs verschiedenen Ländern angeboten werden.
Zuerst analysieren wir empirisch das Bewusstsein, die Determinanten und die Wertrelevanz des Cyber-Risikomanagements in der US-amerikanischen Banken- und Versicherungsbranche sowie Spillover-Effekte, die nach unserem Kenntnisstand bisher nicht untersucht wurden. Anhand eines auf Geschäftsberichte und Regressionsanalysen angewandten Text-Mining-Ansatzes stellen wir ein zunehmendes Cyber-Risikobewusstsein fest und weisen unter anderem darauf hin, dass Cyber-Risikomanagement zur Wertschöpfung beiträgt. Wir beobachten auch signifikante Wettbewerbseffekte auf Large- und Mid-Cap-Unternehmen und Ansteckungseffekte auf die gesamte Stichprobe, wenn wir die Event-Studienmethodik verwenden.
Da zweitens die Auswirkungen von Cyber-Angriffen ankündigender Unternehmen auf Dritte übertragen werden könnten, untersuchen wir empirisch Spillover-Effekte auf Aktien von US-amerikanischen (Cyber-)Versicherern in der US-amerikanischen Finanzdienstleistungsbranche, die noch nicht näher untersucht wurden. Durch die Anwendung einer Ereignisstudie finden wir Hinweise auf erhebliche Ansteckungseffekte auf die US-amerikanische (Cyber-)Versicherungsbranche, die die Verschlechterung der Reputation von nicht ankündigenden Unternehmen widerspiegeln. Bei „Mega-Cyber-Attacken“ beobachten wir Wettbewerbseffekte auf US-amerikanische Cyber-Versicherer. Die Untersuchung möglicher Einflussfaktoren bestätigt, dass Spillover-Effekte informationsbasiert sind.
Drittens untersuchen wir auch empirisch das Cyber-Risikobewusstsein, die Unternehmenseigenschaften und den Wert des Cyber-Risikomanagements für europäische Banken und Versicherungen sowie mögliche Spillover-Effekte von Cyber-Angriffen und IT-Risikoereignissen, was bisher noch nicht erfolgt ist, da die Literatur den Fokus auf Europa vernachlässigt. Bei der Anwendung ähnlicher Forschungsmethoden, die mit den beiden vorangegangenen US-Studien übereinstimmen, beobachten wir neben signifikanten Spillover-Effekten ein zunehmendes Cyber-Risikobewusstsein und relevante Determinanten sowie einen positiven Zusammenhang zwischen Cyber-Risikomanagement und Unternehmenswert.
Viertens erfolgt ein Vergleich der in Österreich, Kanada, Deutschland, der Schweiz, Großbritannien und den USA angebotenen Cyber-Versicherungsprodukten für Privatkunden. Dabei werden Deckungskomponenten zu Eigen- und Drittrisiko, Rechtsberatung und den Zusatzleistungen von Stand-Alone Cyber-Versicherungen und Add-Ons identifiziert und durch eine qualitative Analyse verglichen, um neue Erkenntnisse zu den Produkteigenschaften zu gewinnen. Wir stellen fest, dass das Eigenrisiko und zusätzliche Services eine entscheidende Rolle bei Stand-Alone Cyber-Versicherungen und Add-Ons spielen, während der Gesamtvergleich der Deckungskomponenten (über verschiedene Regionen) eine Herausforderung darstellt
