Post on 17-Sep-2018
transcript
Die GrECo JLT Gruppe
CybercrimeGefahrenlage für Unternehmen
Versicherungslösungen
Tiroler Sparkasse
Schadensszenarien und Versicherungsmöglichkeiten
Innsbruck, 13.06.2017
Ausfall, Haftung und SchadenersatzUnternehmerische Risiken durch Cybercrime
Über GrECo JLT Gruppe
Seite 2
Österreichischer Familienbetrieb mit Sitz in WienEigentümer geführtes Unternehmen mit Aufsichtsräten aus dem industriellen SektorStrikte UnabhängigkeitAusgewogene Verteilung des gemanagten Prämienvolumens von ca € 607 Mio
Pionier in CEE/SEE/CIS mit Tochtergesellschaften in 16 LändernDurch JLT als Shareholder internationale Präsenz und weltweites Service-Netzwerk
Marktführer in Österreich Fokus auf Firmengeschäft (über 5.900 Klienten aus Industrie, Handel, Gewerbe und öffentlichem Sektor)Kundenbindungsfaktor: 94 %
760 Mitarbeiter in der GrECo JLT Gruppe, davon 321 in ÖsterreichZumindest eine Niederlassung in jedem Bundesland ÖsterreichsTirol: 2 Niederlassungen mit insgesamt 19 Mitarbeitern
Über 90 Jahre Erfahrung im Geschäftsfeld des Versicherungsmaklers und –beratersÜber 20 Jahre Erfahrung im Management von internationalen Versicherungsprogrammen globaler Klienten in Österreich
Cyber- und WirtschaftskriminalitätWas sind Cyber-Risiken
Seite 3
Cyber-Risiken gehören in unserer von Daten und Informationssystemen überfluteten Welt zum Alltag.
Kaum ein Unternehmen, das nicht mit elektronischen Daten auf Rechnern, Servern oder online zu tun hat!
Die Risiken reichen vom • Datenverlust auf einzelnen Laptops bis hin zu den Gefahren
des cloud computing• Denial of Service-Attacken oder • Störungen und Unterbrechungen der Web-Präsenz • …
Die Risiken weiten sich immer mehr aus und werden komplexer.
Bisher haben Unternehmen in die Sicherheit und den Schutz physischer Vermögenswerte investiert.
Heute muss der Fokus auch auf Netzwerk- und Systemschutz erweitert werden.
Cyber- und WirtschaftskriminalitätWarum sind Cyber-Risiken von solcher Bedeutung
Seite 4
Für den Schutz vor Cyber-Risiken im eigenen Unternehmen ist eine Strukturierung des Ablaufes eines Vorfalles im Unternehmen notwendig.
Auch für einen effektiven Versicherungsschutz für Cyber-Risiken ist die Umsetzung von Risikobeschreibungen, Notfallplänen u.ä. im eigenen Unternehmen Voraussetzung.
Aus vielen Ratschlägen zur Organisation und den Umgang mit „Cyber“ im eigenen Unternehmen wird auf Grund der Datenschutz-Grundverordnung (Umsetzung zum 25. Mai 2018) eine Pflicht!
DSGVO ab 25. Mai 2018Datenschutz-Grundverordnung
Seite 5
Verschärfung der Meldepflichten bei Hackerangriffen und Datenpannen• Meldepflicht umfasst jede Datenpanne wie Vernichtung, Verlust, Offenlegung, Zugriff
oder Veränderung von Daten• Unabhängig der Ursache der Datenpanne (strafbarer Hackerangriff bis zur
technischen Panne)
Melde-Fristen • Innerhalb 72 Stunden an die Datenschutzbehörde• Betroffene oft auch „unverzüglich“
Bisherige Empfehlungen werden zur PflichtDer Verantwortliche muss • die Datenpannen selbst sowie • alle damit zusammenhängenden Fakten, • Auswirkungen und • ergriffenen Abhilfemaßnahmen dokumentieren.
Cyber- und WirtschaftskriminalitätWarum sind Cyber-Risiken von solcher Bedeutung
Seite 6
Der Eintritt eines CyberCrime-Vorfalles bei einem Unternehmen wird in 5 Phasen beschrieben, welche den Eskalationsablauf eines solchen Vorfalles im Unternehmen
strukturieren undderen möglichen Bedeutungen für das Unternehmen aufzeigen
1. Datenleck – Verlust der Datenhoheit
2. IT-Krise
3. PR-Krise
4. Finanzielle Risiken
5. Krise im Vorstand bei börsennotierten Unternehmen
Cyber- und WirtschaftskriminalitätDie 5 Phasen eines CyberCrime-Vorfalles
Seite 7
Digitale Daten gehen verloren oder entweichen aus dem unternehmenseigenen System:
• Datenverluste auf PCs, Laptops, mobilen Geräten oder Tablets
• Persönliche Daten können weitergegeben worden sein
• Unternehmensdaten werden Opfer eines großen Hackerangriffs
1. Datenleck - Verlust der Datenhoheit2. IT-Krise3. PR-Krise4. Finanzielle Risiken5. Krise im Vorstand bei börsennotierten
Unternehmen
Cyber- und WirtschaftskriminalitätDie 5 Phasen eines CyberCrime-Vorfalles
Seite 8
Ist es ein Datenleck oder ein Verlust von Daten?
Wie gingen die Daten verloren oder wie wurden sie entwendet?
Gab es einen Hackerangriff auf das Unternehmen?
Wo sind die Daten jetzt?
Muss der Server abgeschaltet werden?
Wird Ersatzsoftware für den Server benötigt?
…
Die IT-Abteilung muss sich mit dem Problem befassen und dabei gleichzeitig das Tagesgeschäft weiterführen:
Kennt sich das IT-Team mit Verstößen gegen die Datensicherheit und großen Hackerangriffen aus?
Kann das IT-Team das Leck kontrollieren?
Gibt es einen Notfallplan, und wie wird er umgesetzt?
Brauchen wir externe Hilfe? Wenn ja, von wem?
…
Aber auch die Geschäftsleitung wird mit Fragen konfrontiert:
1. Datenleck – Verlust der Datenhoheit
2. IT-Krise3. PR-Krise4. Finanzielle Risiken5. Krise im Vorstand bei börsennotierten
Unternehmen
Cyber- und WirtschaftskriminalitätDie 5 Phasen eines CyberCrime-Vorfalles
Seite 9
Nachrichten von Cyber-Problemen verbreiten sich schnell (Soziale Medien, Presse).
Das in ein Unternehmen gesetzte Vertrauen kann innerhalb weniger Stunden schwinden.
Diese Situation bedarf eines umsichtigen Handelns, unter Berücksichtigung von Medien, Kunden, Mitarbeitern und Aktionären.
Muss der Kunde erfahren, dass seine Daten verloren gingen?
Wen gilt es noch zu benachrichtigen?
Wie ist dies am Besten zu bewerkstelligen?
Schnelles Handeln und eine sorgfältig geplante PR-Aktion sind vonnöten, um Vertrauen zurückzugewinnen und den Ruf des Unternehmens zu schützen.
1. Datenleck – Verlust der Datenhoheit2. IT-Krise
3. PR-Krise4. Finanzielle Risiken5. Krise im Vorstand bei börsennotierten
Unternehmen
Cyber- und WirtschaftskriminalitätDie 5 Phasen eines CyberCrime-Vorfalles
Seite 10
Und während der Betrieb ganz oder teilweise unterbrochen ist, gehen selbstverständlich Gewinne verloren.
Diese Kosten entstünden zusätzlich zu jenen, die für
die Verlustdiagnose oder
das ausfindig machen der Ursache,
die Re-Konfiguration der Netzwerke und Systeme,
die Wiederherstellung der Sicherheit, der Daten und der Systeme
anfallen.
Gleichzeitig kommt es zu finanziellen Konsequenzen. Dies können sein
Verhängung von Bußgelder wegen Verstößen gegen den Datenschutz
Eventuelle Klagen der vom Datenverlust Betroffenen
Schadenersatzforderungen von Dritten, die ihre eigenen Kunden aufgrundIhres Datenlecks entschädigen müssen
1. Datenleck – Verlust der Datenhoheit2. IT-Krise3. PR-Krise
4. Finanzielle Risiken5. Krise im Vorstand bei börsennotierten
Unternehmen
Cyber- und WirtschaftskriminalitätDie 5 Phasen eines CyberCrime-Vorfalles
Seite 11
Cyber-Krisen können den Aktienkurs erheblich beeinträchtigen.
Dadurch kann das Image
• des Unternehmens und
• das der Unternehmensführung
ernsthaft geschädigt werden.
1. Datenleck – Verlust der Datenhoheit2. IT-Krise3. PR-Krise4. Finanzielle Risiken
5. Krise im Vorstand bei börsennotierten Unternehmen
CyberriminalitätSchadenpotential
Seite 12
• betrifft nicht nur mehr den Datenklau sondern weitet sich Richtung Datenmissbrauch, Erpressung usw. aus
• betrifft nicht nur öffentliche Einrichtungen wie Stadtwerke sondern alle im oder über Internet tätige Unternehmen (Industrie, Handel, Tourismus und hier Groß-, Mittel- und Kleinunternehmen)
• Forcierte Automatisierung bis hin zu Industrie 4.0 ist nicht nur eine weltweite Vision für industrielle Produktionen
Hackerangriffe BetriebsunterbrechungDatenverlust und
Systemwiederherstellung
Vortäuschung falscher IdentitätInterview Fensterhersteller Internorm mit „trend“: Der Rechnungswesenleiter wurde kurz vor Weihnachten per Mail von der Eigentümerin aufgefordert 1,4 Mio. zu überweisen. Zum Glück schöpfte der Rechnungswesenleiter Verdacht und fragte persönlich nach.
CyberriminalitätSchadenpotential
Seite 13
• betrifft nicht nur mehr den Datenklau sondern weitet sich Richtung Datenmissbrauch, Erpressung usw. aus
• betrifft nicht nur öffentliche Einrichtungen wie Stadtwerke sondern alle im oder über Internet tätige Unternehmen (Industrie, Handel, Tourismus und hier Groß-, Mittel- und Kleinunternehmen)
• Forcierte Automatisierung bis hin zu Industrie 4.0 ist nicht nur eine weltweite Vision für industrielle Produktionen
Hackerangriffe BetriebsunterbrechungDatenverlust und
Systemwiederherstellung
Umleitung von ZahlungsverkehrTäter geben sich als Geschäftspartner oder Lieferanten aus und informieren per Mail oder Fax über die Änderung der Bankdaten und leiten so die Zahlungen um.Maschinenbauunternehmen kauft Maschine in Verona. Bei Abholung muss der Kaufpreis bereits eingelangt sein. Kurz vor Überweisung wird unser Klient über die Änderung der Bankverbindung informiert.
CyberriminalitätSchadenpotential
Seite 14
• betrifft nicht nur mehr den Datenklau sondern weitet sich Richtung Datenmissbrauch, Erpressung usw. aus
• betrifft nicht nur öffentliche Einrichtungen wie Stadtwerke sondern alle im oder über Internet tätige Unternehmen (Industrie, Handel, Tourismus und hier Groß-, Mittel- und Kleinunternehmen)
• Forcierte Automatisierung bis hin zu Industrie 4.0 ist nicht nur eine weltweite Vision für industrielle Produktionen
Hackerangriffe BetriebsunterbrechungDatenverlust und
Systemwiederherstellung
Umleitung von WarenverkehrTäter spiegeln professionell eine Identität als Bestandskunde und veranlassen Änderungen zu Stammdaten, wie eine neue Lieferadresse.Die Ware verschwindet!
CyberriminalitätSchadenpotential
Seite 15
• betrifft nicht nur mehr den Datenklau sondern weitet sich Richtung Datenmissbrauch, Erpressung usw. aus
• betrifft nicht nur öffentliche Einrichtungen wie Stadtwerke sondern alle im oder über Internet tätige Unternehmen (Industrie, Handel, Tourismus und hier Groß-, Mittel- und Kleinunternehmen)
• Forcierte Automatisierung bis hin zu Industrie 4.0 ist nicht nur eine weltweite Vision für industrielle Produktionen
Hackerangriffe BetriebsunterbrechungDatenverlust und
Systemwiederherstellung
Anfragen-BombardementRechner werden mit Anfragen bombardiert, bis sie lahmbelegt sind. Dies ist häufig kombiniert mit einer Lösegeld-Forderung.März 2016 bei A1: Forderung € 100.000, Täter scheiterten jedoch an den IT-Technikern von A1
CyberkriminalitätSchadenpotential
Seite 16
Die nicht erkannte oder unterschätzte Gefahr!Was sind die Folgen eines Systemausfalles?
Hackerangriffe BetriebsunterbrechungDatenverlust und
Systemwiederherstellung
CyberkriminalitätSchadenpotential
Seite 17
Wie lange dauert es, bis ein Sicherheitsversagen erkannt wird?
Wie lange dauert die IT Forensik?
Wie lange sind die Systeme nicht nutzbar?
Sind sensible Daten betroffen?
Welche Kosten sind mit einer Systemwiederherstellung verbunden?
Was kostet das System?
Hackerangriffe BetriebsunterbrechungDatenverlust und
Systemwiederherstellung
CyberkriminalitätSchadenpotential
Seite 18
1. Mögliche Eigenschäden / Nachteile des eigenen Unternehmens
Kosten zur Auffindung des Fehlers in vorhandenen Schutzsystemen Finanzieller Aufwand zur Wiederherstellung von Daten / Systemen Produktions- und Ertragsausfälle, Betriebsunterbrechungsschäden
Reputationsverlust, potentieller Verlust der Geschäftsbeziehung durch Auslagerung an Mitbewerber
Erpressungsgelder, Kosten zur Befriedigung von Täterforderungen
2. Haftpflichtansprüche von Dritten
3. Behördliche Verfahren und Strafen
CyberkriminalitätSchutzmaßnahmen und Haftung
Seite 19
„Cyberrisk is just another businessrisk …“
Technische Schutzmaßnahmen zur Verhinderung unerwünschten Datenzugriffs und unerlaubter Datenmanipulation
Erstellung von Guidelines (Compliance, Mitarbeiterschulungen, Sicherheit etc.) Interne Kontrollen Information von Kunden
„… but it needs better management“
Persönliche Haftung und Folgen für die Unternehmensleitung / Verantwortlichen
Managerhaftung gegenüber dem Unternehmen (D&O) Verlust der Position
Cyber- und VertrauensschadenversicherungVersicherungslösungen
Seite 20
Für den Fall, dass alle Sicherungsmaßnahmen versagen, sind finanzielle Einbußen zu erwarten.
Der Versicherungsmarkt unterscheidet bei Cybercrime zwischen Cyber und Crime.
Cyberschadenversicherung (Cyber)
1. Eigenschadenversicherung (Krisenmanagement, IT Dienstleistungen, PR-Maßnahmen)
2. Betriebsunterbrechung3. Haftpflicht aufgrund von
Datenschutzverletzungen4. Verfahren aufgrund von
Datenschutzverpflichtungen
Vertrauensschadenversicherung (VSV)
1. Schäden am Vermögen der versicherten Unternehmen durch Mitarbeiter
2. Schäden am Vermögen der versicherten Unternehmen durch Dritte
3. Ansprüche Dritter auf Grund von Mitarbeitern verursachten Vermögensschäden (Dritter)
4. Geheimnisverrat, Betriebsgeheimnisse (eigene und fremde)
5. Hackerschäden
CyberNachteilige, unerwünschte Störungen und unerlaubten Beeinträchtigungen von persönlichen wie geschäftlichen Daten über (internetbasierten*) internen wie externen Datenaustauschs (PCs, Laptops, Smartphones, cloud-solutions, externe Server etc).
CrimeVon Vertrauenspersonen oder außenstehenden Dritten vorsätzlichbegangene, illegalen und unerlaubten Handlungen gegen ein Unternehmen (z.B. Geheimnisverrat, Diebstahl, Diskreditierung etc.), wodurch ein Vermögensschaden verursacht wird.
Cyber- und Vertrauensschadenversicherung Cyberschadenversicherung – versicherbare Tatbestände (CYBER)
Seite 21
Eigenschäden (aufgrund Hackerangriff und/
oder menschlichen Versagens / Verlust)
Drittschäden/Haftungwegen
Dienstleistungen
• Forensische Ermittlungskosten (Datenverlust, Datenmanipulation)
• Mehraufwand z. B. zur Wiederherstellung von Daten/Systemen
• Betriebsunterbrechung/Ertragsausfall
• Erpressung -Lösegeldforderungen
• Abwehrkosten bei Datenschutzuntersuchungen / Verfahren (tw. Geldbußen)
• Sofortmaßnahmen
• Informationskosten an Kunden und Behörden
• Kredit- und ID- Überwachung
• Datenschutzverletzungen
• fehlende Netzwerksicherheit und Hackerangriffe
• nicht erfolgter Information nach DSG
• Verletzung geschützter Unternehmensinformationen
• Rechtsverletzungen in digitalerKommunikation
• IT- Dienstleistungen
• Rechts-Dienstleistungen
• PR- Dienstleistungen
• Sofortmaßnahmen (Notfallnummer)
Cyber- und Vertrauensschadenversicherung Vertrauensschadenversicherung – versicherbare Tatbestände (CRIME)
Seite 22
Schäden durch VERTRAUENSPERSONEN
Schäden durch DRITTE
Zusätzliche Kosten
• UnmittelbareVermögensschäden des VN verursacht durch vorsätzlicheunerlaubte Handlungen, die zum Schadenersatz verpflichten
• Schäden aus Geheimnisverrat(eigene und fremde Betriebsgeheimnisse)
• Drittschäden wenn Vertrauensperson vorsätzlich Dritten schädigt
• Unmittelbare Vermögensschäden aufgrund vorsätzlicherHandlungen, welche Straftatbestand erfüllen in Bereicherungsabsicht
• Cyber-Schäden durch Dritte
• Raub, Tresoreinbruch
• Fälschen von Zahlungsanweisungen und Rechnungen, Falschgeld
• Überweisungsbetrug, Bank- und Zahlungsanweisungen
• Kreditkartenbetrug, Bargeld, Wertpapiere
• Betrug wie z.B. Fake PresidentFälle
• Schadenermittlung
• Rechtsverfolgung
• PR- Dienstleistungen
• Mehrkosten zur Aufrechterhaltung des Geschäftsbetriebes
• Datenwiederherstellung
• Zinsen
• Abwehrkosten
• Vertragsstrafen
• Kosten zur Feststellung, ob Spionagevorfall
Vorsatz Vorsatz + Straftat + Bereicherung
CyberkriminalitätVersicherungsmarkt
Seite 23
• Österreichische Versicherungen bringen 2017 erste Standardprodukte auf den Markt• Starke Produktunterschiede, starke Unterschiede in den Bedingungswerken• Wenig Schadenerfahrung• Prämien weich
• begrenzte Anzahl von Anbietern• Beispiele: Markel, Hiscox (bis Umsatz € 10 Mio.), TMK (Tokio Marine Kiln) bis Umsatz €
25 Mio., Dual• Prämien (CyberRisk Versicherungssumme € 1 Mio.) ab € 1.200 Jahresbruttoprämie
(abhängig von Branche, Selbstbehalte)• Strukturierte umfangreiche Fragebögen
Österreichische Versicherungen
Produktanbieter für Unternehmen mit € 1 bis 50 Millionen Umsatz
• Intensiver Beratungsprozess mit umfassenden Enterprise-Risk-Management notwendig• Ausschreibung des Risikos am nationalen und internationalen Versicherungsmarkt (AIG,
AGCS, HISCOX)
Für Unternehmen mit mehr als € 50 Millionen Umsatz
CyberkriminalitätPrämienbeispiele für Unternehmen Umsatz größer € 50 Mio. „individuelle Vertragslösungen“
Seite 24
Branche
Produktions- und Dienstleistungsbetriebe,
EnergieversorgungIT, Telekommunikation
ProduktionsbetriebeProduktionsbetriebe
Großindustrie
Umsatz in € 190 Mio. 150 Mio. 1.400 Mio.
Umsatz Nordamerika in € nein 25,5 Mio. nein
Relevanter Onlinehandel nein nein nein
Relevanter Anteil EC- undKreditkartentransaktionen ja nein nein
Versicherungssumme 1.000.000 1.000.000 5.000.000
Selbstbehalt von bis 25.000 – 50.000 10.000 – 25.000 50.000 – 100.000
Prämie brutto von bis 6.500 – 36.100 13.500 – 26.200 39.000 – 40.000
Versicherungssumme 2.000.000 3.000.000 20.000.000
Selbstbehalt von bis 25.000 – 50.000 15.000 – 30.000 100.000 – 200.000
Prämie/Jahr brutto von bis 10.000 – 46.600 27.750 – 52.000 79.000 – 109.000
Prämienbeispiele zur leichteren Einschätzung der Kosten für Versicherungsschutz
CyberkriminalitätVersicherungsmarkt
Seite 25
Nicht bei jeder Versicherung / jedem Produkt versicherbar sind• Branchen wie z. B. Zahlungsabwicklung, Datensammlung, Finanzinstitute, Behörden, …• Direkte Umsätze bzw. Leistungen mit Märkten wie USA, Kanada, Australien, …• rechtlich selbstständige Tochtergesellschaften außerhalb des EWR• Erpressung mit Lösegeldersatz• …
Was beachten?
Parameter, welche die Prämie beeinflussen sind• Branche• Märkte in denen das Unternehmen tätig ist (EU, EWR, weltweit, …• Umsatzhöhe• Kreditkartentransaktionen (Anzahl und Höhe)• IT-Sicherheitskonzept, Stresstests, …• …
Aktuelle Lösungen am Markt• Starke Unterschiede in den Produkten und den dazugehörigen Bedingungswerken• Intensive Beratung und Produktprüfung unumgänglich
GrECo JLT – Denken in Lösungen!
Alle Rechte an dieser Präsentation sind vorbehalten. Das Werk einschließlich seiner Teile ist urheberrechtlich geschützt. Die darin enthaltenen Informationen sind vertraulich.
Die Präsentation und ihre Inhalte dürfen ohne ausdrückliche Zustimmung der GrECo International AG nicht verwendet, übersetzt,
verbreitet, vervielfältigt und in elektronischen Systemen verarbeitet werden. Insbesondere ist eine Weitergabe an Dritte nicht gestattet.