WIRTSCHAFTSKRIMINALITÄT IM ZEITALTER DER DIGITALISIERUNG – HAFTUNG UND VERSICHERUNGSLÖSUNGEN
Köln ∙ 02. Februar 2017
Agenda
I. Begrüßung
II. IT-Sicherheit und Cybersecurity im Mittelstand
III. Verantwortung der Organe für IT-Sicherheitsvorfälle
IV. Vermögensschäden und Cyber-Risiken:
IT-Due-Dilligence und Absicherungsmöglichkeiten
V. Management von IT-Risiken:
Prävention, Dedektion, Remediation
VI. Ausblick digitale Transformation
2
3
Ebner Stolz im Überblick
Zahlen und Fakten
UNTERNEHMENS-BERATUNG
STEUERBERATUNG
RECHTSBERATUNG
WIRTSCHAFTSPRÜFUNG
Interdisziplinäres Leistungsspektrum Regionale Expertise – 15 Standorte in Deutschland
Berlin Bonn
Bremen Düsseldorf
Frankfurt Hamburg Hannover Karlsruhe
Köln Leipzig
München Reutlingen
Siegen Solingen Stuttgart
> 1.100 Mitarbeiter > 100 Partner Top Ten in Deutschland EUR 170 Mio. Umsatz 2015
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 1
@-yet GmbH Wolfgang Straßer Geschäftsführer Dipl.-Kfm.
IT-Sicherheit und Cyber Security im Mittelstand
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 2
IT-R
ES
ULTIN
G I
M F
OK
US
Juni 2002 gegründet
Sitz: Leichlingen/Rheinland
IT-Strategie- und Technologieberatung
kein HW- oder SW-Vertrieb
Beratungsschwerpunkte
IT-Risikomanagement
IT-Outsourcing
Zielgruppe:
Mittelständische bis große Organisationen
Firmenportrait
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 3
IT-R
ES
ULTIN
G I
M F
OK
US
Der bewusste und gezielte Umgang mit den Risiken,
die sich für Organisationen
durch den Einsatz von IT ergeben können!
Sichergestellt werden müssen die:
Integrität,
Vertraulichkeit,
Verfügbarkeit
von Prozessen und Daten!
IT-Risikomanagement
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 4
IT-R
ES
ULTIN
G I
M F
OK
US
Aufgaben von IT Risikomanagement:
Schutz vor Verlust von
Know-how
• Ihr spezielles Firmen Know-how
Wertschöpfung
• Die Firma kann nicht mehr arbeiten wg. IT Ausfall
Geld
Schutz vor Risiken, die sich
vertraglich
• z.B. Kunden-/Lieferantenauflagen etc.
gesetzlich
• z.B. Datenschutzgesetz
aus der IT ergeben können.
IT und Risikomanagement
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 5
IT-R
ES
ULTIN
G I
M F
OK
US
Elemente von IT-Risikomanagement
Business Continuity
Business Security
Business Compliance – Datenschutz
IT-Forensik/incidence response
Wenn was passiert ist…
IT und Risikomanagement
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 6
IT-R
ES
ULTIN
G I
M F
OK
US
Business Security
Zentraler Baustein von IT-Risikomanagement:
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 8
IT-R
ES
ULTIN
G I
M F
OK
US
Auf Servern, Endgeräten und in Netzen liegen
Kundeninformationen
Private Informationen – Datenschutz
Kunden Informationen - Datenschutz
• Ratings
• Auskünfte
• Gesellschafterinformationen
• M&A Informationen
• usw.
Zugang zu Bankverbindungen!
Produktentwicklungen – Know-how
etc.
Warum Business Security?
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 9
IT-R
ES
ULTIN
G I
M F
OK
US
Gesetzliche Vorgaben
Datenschutz
Impressum
verbotene email Werbung
etc.
Warum Business Security?
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 10
IT-R
ES
ULTIN
G I
M F
OK
US
die Risiken nehmen zu
die Bedrohungslage ist wirklich ernst
es kann jeden treffen
Oft gehört:
Wer interessiert sich für uns?
Antwort: der ganze Planet!
Bei uns ist noch nie was passiert!
Antwort: das wissen Sie gar nicht!
100% Sicherheit gibt es nicht!
Antwort: stimmt, aber 10-20% sind aber definitiv zu wenig!
Warum Business Security?
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 12
IT-R
ES
ULTIN
G I
M F
OK
US
Allein der Branche Maschinen- und Anlagenbau ging durch Produktpiraten 2011 Umsatz in Höhe von fast 8 Mrd. Euro verloren - gut ein Viertel mehr als 2010. Das entspricht 37.000 Arbeitsplätzen.
Quelle: Verband Deutscher Maschinen- und Anlagenbau (VDMA) 2012
Know-how Verlust in Deutschland ca. 20 Mrd. Euro p.a.
Quelle: Studie Universität Lüneburg
Umsatzverlust durch Produktpiraterie & Know-how Verlust
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 13
IT-R
ES
ULTIN
G I
M F
OK
US
Datenklau, Spionage, Sabotage
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 14
IT-R
ES
ULTIN
G I
M F
OK
US
Datenklau, Spionage, Sabotage
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 15
IT-R
ES
ULTIN
G I
M F
OK
US
CyberCrime Umsatz übertrifft den Drogenhandel
Einige Fakten zum Thema IT-Sicherheit
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 16
IT-R
ES
ULTIN
G I
M F
OK
US
Wer greift an und warum?
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 17
IT-R
ES
ULTIN
G I
M F
OK
US
Staaten
Wettbewerber organisierte Kriminalität/Mafia
befürchtet: Terroristen
Innentäter!
sonstige
Wer greift an?
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 18
IT-R
ES
ULTIN
G I
M F
OK
US
vor allem wirtschaftliche
Wirtschaftsspionage/Konkurrenzausspähung
Erpressung: Bsp. Locky
Geld: Bsp. CEO Fraud
Rache
ethische Motive
„Spaß am Hacken“
„beleidigt“ sein
und vieles Unvorstellbares mehr
Motive der Angreifer
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 19
IT-R
ES
ULTIN
G I
M F
OK
US
Was wird abgegriffen?
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 20
IT-R
ES
ULTIN
G I
M F
OK
US
Unternehmens Know-how
Produktneuentwicklungen
Einkaufsinformationen
M&A Informationen
Kontendaten
Kundendaten – Datenschutz!!
Unternehmensstrategie
etc.
Was wird abgegriffen?
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 23
IT-R
ES
ULTIN
G I
M F
OK
US
Wie wird angegriffen?
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 24
IT-R
ES
ULTIN
G I
M F
OK
US
Hackingangriff von außen
Informationsbeschaffung von innen
Ausnutzen physischer und organisatorischer Schwachstellen - Social Engineering
• z. B. CEO Fraud
Datenträgerklau
Smartphones, Pads, Notebooks etc.
immer mehr über
Websites und –shops
Portale
Cloud
APPS und Mobiles
Wie wird angegriffen?
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 25
IT-R
ES
ULTIN
G I
M F
OK
US
Whistle-Blower
Edward Snowden
Julian Assange
Chelsea (Bradley) Manning (WikiLeaks)
IS-Dokumente
Panama Papers
Systemadministratoren – Neugier!?
Systemfehler …
Sorglosigkeit – Surfen, Downloads, Uploads etc.
Mitarbeiter – Datenabfluss(-klau)
etc.
Aber auch - „Innentäter“
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 26
IT-R
ES
ULTIN
G I
M F
OK
US
Systematisches Ausprobieren von Passwörtern mit Offline-Wörterbuch bzw. Brute Force
Kopie der verschlüsselten Passwortdatei bzw. Ergebnis von Sniffing
Verschlüsseln gebräuchlicher Worte und Vergleich mit den Einträgen in der Passwortdatei (z.B. mit dem frei erhältlichen Programm Crack)
14 Stellen unter 1 min
Sicher erst ab 18 Stellen
Beispiel: Password-Cracking
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 27
IT-R
ES
ULTIN
G I
M F
OK
US
Beispiel 1
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 28
IT-R
ES
ULTIN
G I
M F
OK
US
Der Auftrag:
Überprüfung der neuen Unternehmenszentrale auf
• Zugangssicherheit
• Awareness von
Management
Mitarbeitern
Externen Dienstleistern
• Sicherheit der Netzzugänge, falls Zutritt gelingt
• WLAN Sicherheit
Check von draußen
• Endgerätesicherheit
Beispiel 1
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 29
IT-R
ES
ULTIN
G I
M F
OK
US
Der Auftraggeber:
Typisches mittelständisches Unternehmen
• innovativ
• weltweit präsent
• ökonomisch erfolgreich
• inhabergeführt
Beispiel 1
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 30
IT-R
ES
ULTIN
G I
M F
OK
US
Der Ablauf:
Internetrecherche über
• Gebäudestruktur (GoogleEarth)
• Mitarbeiter (wer macht was)
Eigene Webseiten
SocialNetwork (XING, Linkedin)
Gebäudebeobachtung
• Wann kommen und gehen
Mitarbeiter
Putzdienste
Wachdienst
WLAN Aufnahme
„Angriff“
Beispiel 1
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 31
IT-R
ES
ULTIN
G I
M F
OK
US
Der Angriff mit 2 Teams je 2 Personen
Frontdesk/Empfang
• Erfolglos - sehr gut trainiert, sehr höflich, aber bestimmt
Tiefgarage
• erfolgreich
• Mitarbeiter waren sehr bemüht uns zu helfen..
Beispiel 1
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 32
IT-R
ES
ULTIN
G I
M F
OK
US
Ablauf tagsüber im Gebäude (3 zügig)
trotz Zugangssicherung mittels SmartCard
• Gebäude
• Etagen
• Büros
• Aufzüge
waren wir überall und stundenlang
Installation von WLAN-Routern in allen 3 Gebäuden
Zugang zu Arbeitsplatzrechnern
• Installation von MalWare mittels USB Stick
an ca. 50 AP´s
in allen Gebäuden und Etagen
Beispiel 1
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 33
IT-R
ES
ULTIN
G I
M F
OK
US
@-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen 33 2/7/2017
Diebstahl von materiellen und immatriellen Gegenständen
„Dumpster Diving“
Nutzung interner Ressourcen
Beispiel Social Engineering
Offizieller Zutritt als Besucher / Kunde
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 34
IT-R
ES
ULTIN
G I
M F
OK
US
@-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen 34 2/7/2017
Beispiel Social Engineering
Installation eines Wireless-Access-Points
Installation von Keyloggern
Diebstahl von Daten auf USB-Stick
Sabotage von kritischen Systemen
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 35
IT-R
ES
ULTIN
G I
M F
OK
US
@-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen 35 2/7/2017
Beispiel: Infrastruktur Assessment
außenstehende / Besucher können Gebäude & Räume „ungehindert“ betreten
Verteilerschränke sind nicht abgesperrt
vertrauliche Daten in den Büros werden nicht weggesperrt bzw. Büros nicht abgeschlossen
Firmeninterne Unterlagen einfach zugänglich
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 36
IT-R
ES
ULTIN
G I
M F
OK
US
Ablauf abends am und im Gebäude
Versuch von außen auf die WLAN AccessPoints zuzugreifen
• WLAN 1: erfolgreich ins Schulungsnetz gekommen
• WLAN 2: schlecht positioniert, zu weit von der Straße weg
• WLAN 3: hervorragender Empfang, leider Wackelkontakt
Putzkolonne „angegriffen“
• Leiterin extrem hartnäckig
• hat alle AP´s (Chef, Firmenfacilitymanager) versucht zu erreichen – erfolglos
• sie hat uns dann zum defekten WLAn gebracht!!
dort saß jemand….
• WLAN Router erfolgreich ausgetauscht
Beispiel 1
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 37
IT-R
ES
ULTIN
G I
M F
OK
US
Ablauf spätabends und nachts
Versuch von außen auf WLAN 3 zuzugreifen
• Vollzugriff und -zugang zum Unternehmensnetz
• Innerhalb von 3-4 Stunden erste Adminrechte
• mehrere hundert Passwörter geknackt
Viel zu kurz und leicht
• im Laufe der Nacht: System- und Applikationsrechte
• Wir hätten unbemerkt Daten abziehen/manipulieren/löschen können
Ablauf Tag 3
Notebook und Smartphonechecks
• Leichter Zugriff auf alles, da
keine Verschlüsselung
zu schwache Pins und Passwörter
Beispiel 1
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 38
IT-R
ES
ULTIN
G I
M F
OK
US
Rückschlüsse Beispiel 1
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 39
IT-R
ES
ULTIN
G I
M F
OK
US
Ohne Awareness bei Management und Belegschaft
hoher technischer Gebäudeschutz wirkungslos
extrem leichter Zugang zu Endgeräten
nicht ausreichende Passwörter
War man einmal im Gebäude, war alles möglich
kein Netzzugangsschutz
Fremdgeräte wurden nicht erkannt
• WLAN Access Router
• Notebooks
Rückschlüsse Beispiel 1
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 40
IT-R
ES
ULTIN
G I
M F
OK
US
Awarenessschulungen für alle
Umgang mit Fremden
keine Unbekannten an das eigene System lassen
fremde Datenträger nicht ungeprüft verwenden
• USB
• CD etc.
das „richtige“ Passwort verwenden
Technische Maßnahmen
USB Blocker
Netzsegmentierung
Netzzugangssperre für Fremdgeräte
Lange und komplexe PW fordern/erzwingen
Festplattenverschlüsselung Notebooks
Maßnahmen Beispiel 1
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 41
IT-R
ES
ULTIN
G I
M F
OK
US
Mobile Endgeräte als Angriffsfläche
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 42
IT-R
ES
ULTIN
G I
M F
OK
US
Unternehmer, Geschäftsführer, Vertriebler, Ingenieure, Techniker sind oft in
Hotels
Restaurants/Cafes
Flughafen Lounges
Bahnhöfen und Zügen
Kongresszentren
etc.
Ohne mobile Endgeräte geht nichts mehr
Mobile Kommunikation
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 44
IT-R
ES
ULTIN
G I
M F
OK
US
alle Basis-Schnittstellen
WLAN
Bluetooth
GSM
und damit auch UMTS
sind gehackt
mobile Dienste und deren Medien sind unsicher bzw. sehr leicht manipulierbar
Unsicherheitsmerkmale mobiler Endgeräte
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 50
IT-R
ES
ULTIN
G I
M F
OK
US
Exkurs APPs
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 51
IT-R
ES
ULTIN
G I
M F
OK
US
Viele Apps übermitteln vertrauliche Daten
eindeutige Gerätekennungen
Aufenthaltsort
gespeicherte Kontakte
E-Mail-Passwörter
Kaum Möglichkeiten Apps zu überwachen
was wird übermittelt?
worauf wird zugegriffen?
was passiert sonst noch?
Sicherheit von Apps
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 53
IT-R
ES
ULTIN
G I
M F
OK
US
Cloud
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 55
IT-R
ES
ULTIN
G I
M F
OK
US
Dropbox
iCloud
Amazon EC2
Skydrive
Strato Hidrive
und viele mehr!
Typische Cloudlösungen
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 57
IT-R
ES
ULTIN
G I
M F
OK
US
Sicherheit in der Cloud – geht das?
im Prinzip und von den Möglichkeiten her:
ja!!!
aber…
… die Wirklichkeit sieht leider katastrophal aus!
Cloud
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 61
IT-R
ES
ULTIN
G I
M F
OK
US
Online Banking
Mobile Payment
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 62
IT-R
ES
ULTIN
G I
M F
OK
US
Online Banking
HBCI kann derzeit als einziges sicheres Verfahren gelten
Bei allen anderen Verfahren liegen Schadensfälle vor
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 63
IT-R
ES
ULTIN
G I
M F
OK
US
Welche Verfahren gibt es? Wie sicher sind diese
Online Banking
Verfahren
PIN/TAN klassisch Internet
TAN´s per Liste
unsicher
PIN/iTAN Indiziertes Verfahren
TAN´s per Liste, aber
durchnummeriert
unsicher
PIN/mTAN Mobiles TAN-Verfahren,
TAN´s via SMS nach
Zahlungsauftrag
unsicher
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 64
IT-R
ES
ULTIN
G I
M F
OK
US
Welche Verfahren gibt es? Wie sicher sind diese?
Online Banking
Verfahren
Sma@rtTAN Plus Online Auftragserfassung
Bank schickt TAN an Kunde
Eingabe mittels Kartenleser
und Karte
Relativ sicher
Sma@rtTAN optic Auftragserfassung wie
Sm@rtTAN,
TAN mittels Codegenerator,
Lesegerät und Karte
ziemlich sicher
HBCI Ohne TAN,
mit Lesegerät und Karte
Generiert die Schlüssel
selber und kommuniziert
über verschlüsselte Wege
sehr sicher
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 65
IT-R
ES
ULTIN
G I
M F
OK
US
Mobile Payment
Endgeräte sind grundsätzlich unsicher
Nutzung freier WLAN´s ist grundsätzlich problematisch
• Sie wissen nie so ganz genau, wer der „Besitzer“ ist
Payment APPS
• mehrere geprüft
keine war wirklich gut
manche haarsträubend schlecht
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 66
IT-R
ES
ULTIN
G I
M F
OK
US
Mobile Payment
Sicherheit mit Biometrie?
• Sie haben 10 Finger und 2 Augen und das wars
NFC?
• Taschendiebstahl selbst für Gichtkranke einfach
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 67
IT-R
ES
ULTIN
G I
M F
OK
US
Was tun?
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 68
IT-R
ES
ULTIN
G I
M F
OK
US
Ganzheitliche Betrachtung Business Security
Organisatorische Sicherheit
Security Policies, Prozesse,
System- und Gerätemanagemnt Mitarbeiter+Management Awareness
Informations-Sicherheit
State-of-the-Art Security Produkte &
Technologien
Physische Sicherheit
Gebäude- und Zugangsschutz
Geräteschutz
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 69
IT-R
ES
ULTIN
G I
M F
OK
US
Bestimmen Sie Ihren Schutzbedarf
Welche Daten sind für ein Unternehmen wie wichtig?
Datenklassifikation, ISMS
Wer darf auf welche Daten zugreifen und wer entscheidet das?
Welche Prozesse sind wie wichtig?
Business Impact Analyse
Ab wann verliert ein Unternehmen Geld, wenn Prozesse stehenbleiben?
Welche gesetzlichen Mindestauflagen müssen erfüllt sein.
z.B. Datenschutz/BDSG
Vorgehensweise
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 71
IT-R
ES
ULTIN
G I
M F
OK
US
Security zu vernachlässigen
ist fahrlässig
kann existentiell werden
vor der Implementierung von Schutzmechanismen und –maßnahmen kommt erst die Definition der Sicherheitsziele
die Technik ist komplex, aber beherrschbar
aber ohne Organisation und bewusstes Umgehen mit der IT ist sie wertlos
Was wollten wir Ihnen vermitteln
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 72
IT-R
ES
ULTIN
G I
M F
OK
US
WLAN Hotspots, deren Betreiber man nicht kennt, meiden
Lange, möglichst 18-stellige, komplexe PW nutzen
sicheres Onlinebanking nutzen
HBCI und Tan Generator
Alle Festplatten sollten verschlüsselt sein
Alle Sicherheitspatche der Hersteller umgehend installieren
Firewall immer auf dem neuesten Stand halten
Virenscanner und Spamfilter immer aktuell halten
Vorsicht vor Webseiten und Apps, die man nicht kennt und nicht unbedingt braucht
Clouds möglichst nur verschlüsselt nutzen
Wichtig: nur wenn Sie den Schlüssel selber haben, ist Verschlüsselung zu trauen – wie beim eigenen Haus
möglichst täglich Backup
… und ganz einfach Vorsicht walten lassen
Erste Schritte
add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 73
Ihre Fragen bitte …
Vielen Dank für Ihre Aufmerksamkeit! Wolfgang Straßer [email protected]
Verantwortung der Organe für IT-Sicherheitsvorfälle
6
„Es gibt zwei Arten von Unternehmen –
die, die bereits gehackt wurden, und die Unternehmen,
die noch gehackt werden.“
Robert Mueller, Direktor des FBI
Zahlen, Daten, Fakten Anzahl der Cybercrime-Fälle in Deutschland
7 https://de.statista.com/infografik/1614/faelle-von-cybercrime-in-deutschland/
Zahlen, Daten, Fakten Betroffene Branchen – Top 5
8 Quelle: https://www.bitkom.org/Presse/Pressegrafik/2015/April/150415-Digitaler-Wirtschaftsschutz1.jpg
Zahlen, Daten, Fakten Schäden
9 https://de.statista.com/infografik/3380/schaden-pro-e-crime-fall-bei-unternehmen-in-deutschland/
Mögliche Haftungsbeziehungen bei IT-Sicherheitsvorfällen
angelehnt an Mehrbrey/Schreibhauer, MMR 2016, 75 11
Ansprüche des Angegriffenen
Ansprüche gegen den Angegriffenen
Angreifer
Hilfsperson
Arbeitnehmer
Betrieblicher Datenschutz-beauftragter
Cyber-Angriff
Vertragspartner
Dritte Bank
Lieferanten und Dienstleister
(z.B. Hersteller von (Sicherheits-)
Software, Serviceprovider)
Leitungsorgane
angegriffenes Unternehmen
Verantwortung der Organe für IT-Sicherheit
12
Schutz des Unternehmens vor Vermögensschäden
Sicherstellung rechtmäßigen Handelns
Unternehmen als Opfer Unternehmen als Täter
IT-Compliance als Teil der Corporate Compliance
Compliance bedeutet: Sicherstellung der Einhaltung von Normen und Geboten, die im
Zusammenhang mit der Unternehmung stehen, dies gilt auch für den Bereich der IT!
IT-Compliance ist Teil der Corporate Compliance.
13
Einführung einer Compliance-Organisation
Teil der Organisationspflichten der Geschäftsführung
Organisationsverschulden bei fehlender rechtmäßiger Organisation
Einrichtung eines Risikomanagementsystems
Einrichtung eines internen Kontrollsystems
(in der Regel interne oder externe Revision)
IT-Compliance als Teil der Corporate Compliance Rechtlicher Rahmen
14
§ 91 Abs. 2 AktG; § 93 Abs. 1 und 2 AktG
§ 43 GmbHG
§§ 239 Abs. 4 S. 2, 261 HGB LG München I, Urt. v. 10.12.2013 – 5 HK O 1287/10
„Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.” „Die Vorstandsmitglieder haben bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden. Eine Pflichtverletzung liegt nicht vor, wenn das Vorstandsmitglied bei einer unternehmerischen Entscheidung vernünftigerweise annehmen durfte, auf der Grundlage angemessener Information zum Wohle der Gesellschaft zu handeln.“ (sog. Business Judgement Rule). Business Judgement Rule gilt über die AG hinaus auch für die GmbH!
„Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden.“ „Geschäftsführer, welche ihre Obliegenheiten verletzen, haften der Gesellschaft solidarisch für den entstandenen Schaden.“
„Jeder Kaufmann hat bei der Führung seiner Handelsbücher und der Aufbewahrung seiner Unterlagen in elektronischer Form die Sicherung der IT-Systeme zu gewährleisten.“
„Im Rahmen seiner Legalitätspflicht hat ein Vorstandsmitglied dafür Sorge zu tragen, dass Unternehmen so organisiert und beaufsichtigt wird, dass keine Gesetzesverstöße … erfolgen. Seiner Organisationspflicht genügt ein Vorstandsmitglied bei entsprechender Gefährdungslage nur dann, wenn er eine auf Schadensprävention und Risikokontrolle angelegte Compliance-Organisation einrichtet. Entscheidend für den Umfang im Einzelnen sind dabei Art, Größe und Organisation des Unternehmens, die zu beachtenden Vorschriften, die geografische Präsenz wie auch Verdachtsfälle aus der Vergangenheit.“
Pflichten der Geschäftsführung
15
IT-spezifische Sorgfaltspflichten
Ergreifen „angemessener technischer und organisatorischer Maßnahmen“
Laufende Überwachung und kontinuierliche Anpassung der Maßnahmen an den aktuellen Stand der
Technik
Erstellung eines Notfallkonzepts
Ggf. Abschluss einer Cyberversicherung
IT-Compliance als Teil der Corporate Compliance Rechtlicher Rahmen
16
Business Judgement Rule
Grenze: positive rechtliche Verpflichtung (z. B. BSIG)
Unterhalb der Grenze: nach pflichtgemäßer Information Ergreifen und Überwachung angemessener
Maßnahmen zur Verhinderung der Verwirklichung des identifizierten Risikos
Str.: Alle erforderlichen Maßnahmen? Berücksichtigung von betriebswirtschaftlichen Aspekten?
IT-Compliance als Teil der Corporate Compliance Rechtlicher Rahmen
17
§ 130 Abs. 1 OWIG
„Wer als Inhaber eines Betriebes oder Unternehmens vorsätzlich oder fahrlässig die Aufsichtsmaßnahmen
unterlässt, die erforderlich sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen gegen Pflichten
zu verhindern, die den Inhaber treffen und deren Verletzung mit Strafe oder Geldbuße bedroht ist, handelt
ordnungswidrig, wenn eine solche Zuwiderhandlung begangen wird, die durch gehörige Aufsicht verhindert
oder wesentlich erschwert worden wäre. Zu den erforderlichen Aufsichtsmaßnahmen gehört auch die
Bestellung, sorgfältige Auswahl und Überwachung von Aufsichtspersonen.”
§ 9 OWiG: auch Vorstände von AG und
Geschäftsführer von GmbH.
Betreiber kritischer Infrastrukturen unterliegen besonderen Anforderungen
Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff durch die Finanzverwaltungen
IT-Sicherheit als Rating-Faktor
fordert spezifische IT-Strategie, die an der Geschäftsstrategie des Institutes ausgerichtet ist
IT-Compliance als Teil der Corporate Compliance Rechtlicher Rahmen
18
„Acht Gebote der Datensicherheit“ § 9 i. V. m. Anlage (zu § 9 Satz 1)
4. Basel II, Solvency II
5. KWG: Kreditwesengesetz
3. GoBD
2. IT-Sicherheitsgesetz
1. Bundesdatenschutzgesetz (BDSG)
Meldepflicht bei Datenschutzverstößen, Hohe Geldbußen, Verstärkte Rechte von Dateninhabern
6. EU-Datenschutz GVO
Gewährleistung der Sicherheit der Daten, Ergreifen technischer Schutzmaßnahmen
7. §§113d, 109 TKG
technische und organisatorische Vorkehrungen 8. § 13 Abs. 4 TMG
Bundesdatenschutzgesetz (BDSG) Anlage (zu § 9 Satz 1)
(Fundstelle des Originaltextes: BGBl. I 2003, 88;
bzgl. der einzelnen Änderungen vgl. Fußnote)
Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche
Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere
Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,
1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt
werden, zu verwehren (Zutrittskontrolle),
2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer
Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung,
Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können
(Zugriffskontrolle),
4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder
ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass
überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch
Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in
Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
19
Bundesdatenschutzgesetz (BDSG) Anlage (zu § 9 Satz 1)
6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des
Auftraggebers verarbeitet werden können (Auftragskontrolle),
7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind
(Verfügbarkeitskontrolle),
8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden
Verschlüsselungsverfahren.
20
Haftung der Organe
21
Verletzt der Geschäftsfü ̈hrer schuldhaft seine Pflicht zur Gewährleistung einer angemessenen IT-Sicherheit drohen insbesondere
Persönliche Haftung gegenüber dem Unternehmen auf Schadensersatz
Pflichtverletzung als Kündigungsgrund
Bußgelder
…
Haftungsvermeidung
22
Haftungs-vermeidung
1. Compliance- Organisation
3. Vermögens-
schadensrechts- schutz-
versicherung
2. D&O
Versicherung
Gibt es organisatorische Regelungen für Mitarbeiter, um möglichst wenig Angriffsfläche zu bieten?
Sind Meldeprozesse installiert, um Verdachtsfälle frühzeitig zu verfolgen?
Gibt es einen Gesamtverantwortlichen für das Thema Cyber Security?
Sind wirksame Detektionsmaßnahmen etabliert?
IT-Sicherheit Fragen an die Geschäftsleitung
23
Kennen Sie Ihre zu schützenden Daten und die damit verbundenen Risiken? Wie werden diese Risiken identifiziert, bewertet und behandelt?
Gibt es einen Krisenplan und wann war die letzte Übung zu dieser Krise?
IT-Sicherheit
24
Stand der Technik
Welche Maßnahmen im Einzelfall angemessen sind und dem Stand der Technik entsprechen, ist von Fall zu
Fall unterschiedlich zu beurteilen.
Maßstab: anerkannte Regelwerke, Standards, Grundschutzkataloge, MaRisk, ISO27001, branchenspezifische
Sicherheitsstandards
„IT-Grundschutz” des BSI oder aber die VDS-Richtlinien zur IT-Sicherheit bieten Anhaltspunkte, die dem Stand
der Technik entsprechenden IT-Sicherheitsmaßnahmen zu identifizieren und umzusetzen.
Technische Maßnahmen – Zwingend
25
Firewall
Intrusion Detection System (N-IDS)
Veränderungsprüfung auf Server und
Systemen
Protokollierung von Administrativen
Zugriffen
Antivirus: auf Dateiablagen (Fileservern)
Technische Maßnahmen – Empfehlenswert
Security Incident Management System
(SIEM)
Intrusion Detection System auf dem Server (H-IDS)
Antivirus – Zentrallösung auf
allen Serversystemen und in allen
Fachanwendungen
Pen Tests auf Infrastrukturen
Source Code Analysen
26
Mangelnde Datensicherung
28
Ein Reiseunternehmen hatte eine Firma aus Bochum mit Arbeiten an ihrer Computeranlage beauftragt. Hierfür entstanden Kosten in Höhe von rund 14.000 Euro. Die Computerfirma erhielt anschließend den Auftrag, einer Fehlermeldung nachzugehen. Bei der Vorbereitung der Arbeiten kam es zum Absturz des Servers mit Datenverlust. Für die Beseitigung dieses Schadens entstanden Kosten von ebenfalls nahezu 14.000 Euro. Mit diesen Kosten wollte die Auftraggeberin gegenüber der Rechnung der Computerfirma aufrechnen.
Das Reiseunternehmen hatte seine Daten noch nicht einmal monatlich gesichert, so dass Teile der Daten tatsächlich unwiederbringlich gelöscht waren.
Das OLG Hamm hatte nun zu entscheiden, in wessen Verantwortungsbereich die Datensicherung fällt.
Sachverhalt
Mangelnde Datensicherung
Das OLG Hamm fand in seinem Urteil vom 1. Dezember 2003 (Az:13 U 133/03) deutliche Worte: Bei
mangelnder Datensicherung selbst schuld
Vorwurf an das Unternehmen: keine zuverlässige Sicherheitsroutine, sondern vielmehr grobe
Vernachlässigung dieser
Komplettsicherung auf dem Stand vier Monate vor den Wartungsarbeiten
Dies sei "grob fahrlässig, ja blauäugig", so das OLG Hamm. Schließlich habe eine Sicherung
der Unternehmensdaten "täglich zu erfolgen, eine Vollsicherung mindestens einmal
wöchentlich."
Selbst wenn dem Mitarbeiter des Reparaturdienstes eine Pflichtverletzung im Sinne der
Wahrnehmung seiner Controllerpflichten vorzuwerfen wäre, bliebe es dabei, dass dem
Reiseunternehmen eine Alleinschuld am entstanden Datenverlust und damit am finanziellen
Schaden vorzuwerfen wäre.
29
Erpressungsversuch nach Kompromittierung des Webservers
Quelle: Die Lage der IT-Sicherheit in Deutschland 2015, Bundesamt für Sicherheit und Informationstechnik
30
Ein Unternehmen erhielt ein Erpresserschreiben per E-Mail: Zahlungsaufforderung mit einer Frist von 24 Stunden gefordert wurde.
Drohung bei Nichtzahlung: Veröffentlichung der zuvor über die Kompromittierung der Webseite des Unternehmens ausgespähten Kundendaten.
Als Beleg wurde der E-Mail die Datenbankstruktur der Webanwendung sowie Screenshots beigefügt.
Sachverhalt
Ausnutzung einer bekannten Schwachstelle in dem eingesetzten Content-Management-System (CMS) möglich. Nach Eingang des Erpresseranschreibens wurde ein bereits verfügbares Sicherheitsupdate für das CMS installiert.
Ursache/Auslöser
Erpressungsversuch nach Kompromittierung des Webservers
31
Reputationsverlust durch die Offenlegung der vertraulichen Kundendaten.
personelle und finanzielle Aufwände für Wiederherstellung
Neben Ausspähen von sensiblen Informationen und deren Verwendung für ein
Erpressungsszenario können die Angreifer auch Schadprogramme über die Webseite verteilen oder
den Webserver u. a. für DoS-Angriffe oder den Spam-Versand missbrauchen.
Schadenswirkung
Im Jahre 2015 berichteten dem BSI vorrangig kleine und mittelständische Unternehmen über
kompromittierte Webseiten und ähnlich gelagerte Erpressungsszenarien.
Zielgruppen
Cryptoware im Krankenhaus
Quelle: Die Lage der IT-Sicherheit in Deutschland 2015, Bundesamt für Sicherheit und Informationstechnik
32
Unter Einsatz einer Schadsoftware (Cryptoware) infizieren Kriminelle Rechner und verschlüsseln darauf liegende Daten.
Erpressung von Lösegeld gegen Rückgängigmachung der Verschlüsselung.
Im April 2015 war ein System eines Klinikkonsortiums betroffen, die dort Gesundheitsdaten wie Arztbriefe und Abrechnungen verschlüsselte.
Sachverhalt
Die Infektion mit der Schadsoftware ist vermutlich auf Anwendungssoftware zurückzuführen, die nicht auf dem aktuellen Stand in Bezug auf Sicherheitsupdates war.
Ursache
Cryptoware im Krankenhaus
Quelle: Die Lage der IT-Sicherheit in Deutschland 2015, Bundesamt für Sicherheit und Informationstechnik
33
Backup konnte eingespielt werden, Datenverlust begrenzt auf eine Zeitspanne von zwölf Stunden
U.U. weiterer finanzieller Schaden, da Abrechnungen ggf. nicht mehr nachvollzogen werden
können
zusätzlicher Aufwand durch erneute Erstellung von Arztbriefen und die Aktualisierung der
medizinischen Dokumentation
Schadenswirkung
WWW.GGW.DE
Wirtschaftskriminalität im Zeitalter der Digitalisierung
Vermögensschäden und Cyberrisiken
IT-Due Diligence und Absicherungsmöglichkeiten
Cengiz Horn, Robert Brixius, Markus Hoffmann
Köln, 02.02.2017
36
DATEN & FAKTEN GGW KREDIT
GGW-Gruppe gegründet 1758 in Hamburg
290 Mitarbeiter
Assekuranzmakler
GGW-Kredit gegründet 1995
Standorte Erkrath, Hamburg,
Leipzig, Meppen
Mitarbeiter 13 Kreditexperten
Service Kreditversicherung
Finanzierung
Avale
Sonderkonzepte
Wirtschaftskriminalität
37
VIER STUFEN DER
INDUSTRIELLEN
REVOLUTION
Ende
18. Jhdt.
Ende
19. Jhdt.
Beginn 70er Jahre
20. Jhdt.
heute Zeit
Grad
d
er K
om
plexität
Erster mechanischer
Webstuhl
1784
Erstes Fließband
Schlachthof Cincinnati
1870
Erste Speicherprogram-
mierbare Steuerung (SPS)
1969
4. Industrielle Revolution
auf Basis von
Cyber – Physical - Systems
Wasser- und
Dampfkraft
Fließbänder- und
elektrische Energie
Einsatz von
Elektronik und IT
Vernetzung von
Maschinen, Sensoren
und Menschen
Entwicklungszyklen werden immer kürzer, Risiken nehmen überproportional zu
38
Versicherer
Risiken
identifizieren
Beherrschbar?
Quantifizierbar?
Können Risiken
atomisiert/geteilt
werden?
Wahrscheinlichkeits-
berechnung Prämie
Markt
Nur kalkulierbare Risiken können versichert werden
VERSICHERBARKEIT VON RISIKEN
39
An
alyse
Deckungsschutz
Notfall-Team
Prop
hylaxe
Geschäftsführer-
haftung
EU-Datenschutz-
verordnung
IT-
Sicher-
heits-
gesetz
KontraG
Geldwäsche
Unterschlagung
Computerbetrug
Hackerrisiken
Bestechung und
Korruption
Manipulation Bilanzen
oder Finanzen
Betrug in M&A
Cybererpressung
Diebstahl
Kartellrechts-
verstöße
Datenschutzvorfall Cyber durch Aussentäter
und Innentäter
Betriebsunterbrechung
durch Cyber
Man in the middle
nicht integre
Mitarbeiter in
Schlüsselpositionen
Fake President
MiLoG
Geheimnisverrat
Vertragsstrafen
Cloud
Untreue
Geschäfts-
führer
Notfall-Team
RISIKOMANAGEMENT WIRTSCHAFTSKRIMINALITÄT
40
COMPLIANCE
Gemäß § 93 AktG n.F. + 43 GmbHG werden Unternehmensleitungen einer persönlichen
Haftung i.d.R. nur noch dann entgehen können, wenn sie nachweisen können, dass sie durch
ein ausreichendes Informations- und Risikomanagement sichergestellt haben,
• dass sie von allen wesentlichen Vorgängen im Unternehmen
Kenntnis erlangen
und
• für alle wesentlichen Risiken angemessene
Sicherheitsmaßnahmen sowie
„Worst-Case“-Absicherungen veranlasst haben
Gesetze zwingen Geschäftsführer zum Handeln
41
Diebstahl
Unterschlagung
Betrug
Untreue
Geheimnisverrat
Vertragsstrafen
Fake President
Computerbetrug
Hackerrisiken
Man in the middle
Cloud
Datenschutzvorfall
Cyber durch
- Außentäter
- Innentäter
Betriebs-unterbrechung
durch Cyber
Cybererpressung
Hackerrisiken
Cloud
Risiken
von innen
Risiken
von außen
Geldwäsche Korruption Kartellrechtsverstöße
Manipulation Bilanzunterlagen
Nicht alle Risiken sind versicherbar
Unternehmen
42
» Der Angriff weiß, was er will.
Die Verteidigung befindet sich in dem
Zustand der Ungewissheit.«
Helmuth Graf von Moltke
44
RISIKOUMFELD
Das digitale Zeitalter geht mit
neuen Formen der Kriminalität
einher:
47% der Unternehmen
sind bereits Opfer einer Cyber-
Attacke geworden – oder haben
den konkreten Verdacht
45
2016 WURDEN WIRTSCHAFTSKRIMINELLE HANDLUNGEN
ZU GLEICHEN TEILEN (50%/50%)
VON EXTERNEN WIE INTERNEN TÄTER BEGANGEN
GESAMTSCHADEN IN DEUTSCHLAND CA. € 80 MILLIARDEN
JEDES ZWEITE UNTERNEHMEN IST BETROFFEN
RISIKOUMFELD
46
BETRUG, UNTREUE, DIEBSTAHL UND UNTERSCHLAGUNG
SIND BEI ZWEI DRITTEL ALLER BETROFFENEN UNTERNEHMEN
DIE HÄUFIGSTE DELIKTART
AUFGRUND DER MEDIENPRÄSENZ IST DIE RISIKOWAHRNEHMUNG
BEI CYBER- UND DATENDELIKTEN SUBJEKTIV GESEHEN HÖHER
RISIKOUMFELD
47
WAS DECKT DIE VERTRAUENSSCHADENVERSICHERUNG (VSV)?
Diebstahl
Unterschlagung
Betrug
Untreue
Geheimnisverrat
Vertragsstrafen
Fake President
Computerbetrug
Hackerrisiken
Man in the middle
Cloud
Hackerrisiken
Cloud
Risiken
von innen
Risiken
von außen
Geldwäsche Korruption Kartellrechtsverstöße
Manipulation Bilanzunterlagen
Zielgerichtete
Betrugsfälle durch
eigene Mitarbeiter oder
Dritte
Nicht versicherbar!
Prophylaxe
Prophylaxe ist essentiell zur Risikovermeidung und Risikominderung
Unternehmen
Erweiterung um
Cyber-Risiken möglich
Vermögensschäden
48
DECKUNGSSCHUTZ VERTRAUENSSCHADENVERSICHERUNG
MAN IN THE MIDDLE-ANGRIFF
Ein Dritter hat mit seinem System vollständige Kontrolle über den Datenverkehr zwischen zwei
oder mehreren Netzwerkteilnehmern
die Informationen können nach Belieben eingesehen und sogar manipulieren werden
der Angreifer täuscht dabei den Kommunikationspartnern vor, das jeweilige Gegenüber zu
sein
Diese Betrugsmasche ist der Schlüssel zu vielfältigen Attacken
49
DECKUNGSSCHUTZ VERTRAUENSSCHADENVERSICHERUNG
BETRUGSSZENARIO 1: FAKE PRESIDENT
Mitarbeiter aus der Finanzabteilung werden direkt kontaktiert und
zur Durchführung einer Zahlung bewegt
Angreifer geben sich oft als Vorgesetzte aus (Fake President)
Derzeit eine recht erfolgreiche Betrugsmasche
50
FAKE PRESIDENT-FÄLLE 2016
BETRUGSSZENARIO 1: FAKE PRESIDENT
Leoni AG aus Nürnberg Schaden 40 Mio. EUR
FACC AG aus Ried im Innkreis Schaden 50 Mio. EUR
Euler Hermes hatte in den letzten beiden Jahren
• Mehr als 45 Schadenfälle
• Mit mehr als 130 Mio. EUR Schaden
51
DECKUNGSSCHUTZ VERTRAUENSSCHADENVERSICHERUNG
BETRUGSSZENARIO 2: PAYMENT DIVERSION FRAUD
Umleiten von Zahlungsströmen
Betrüger geben sich als Geschäftspartner oder Lieferanten
des Unternehmens aus
• durch gefälschte Mitteilungen erreichen sie, dass die Bezahlung für Waren oder erbrachte
Dienstleistungen auf abweichende Konten erfolgt
Entdeckung meist erst dann, wenn der korrekte Zahlungsempfänger die Zahlung anmahnt
Diese Betrugsmasche ist sehr ausgefeilt und kaum erkennbar
Euler Hermes hatte in den letzten beiden Jahren
• 8 Schadenfälle
• Mit 3 Mio. EUR Schadenvolumen
52
DECKUNGSSCHUTZ VERTRAUENSSCHADENVERSICHERUNG
BETRUGSSZENARIO 3: FAKE IDENTITY FRAUD
Die Betrüger, die sich nun als Kunde/Lieferant ausgeben, bestellen mit plausibler Erklärung
Waren zu einer abweichenden Lieferadresse oder zur abweichenden Selbstabholung
Da dies oft erst dann auffällt, wenn der Kunde, welcher scheinbar bestellt hat, wegen
Zahlungsverzug gemahnt wird, werden die Geschäftsräume der genannten Lieferadresse
leergeräumt vorgefunden
Diese Betrugsmasche ist stark im Aufwind.
Euler Hermes hatte in den letzten beiden Jahren
• 10 Schadenfälle
• Mit 4 Mio. EUR Schadenvolumen
53
WER BIETET DIE VSV/COMPUTERMISSBRAUCHSVERSICHERUNG IN D AN?
Marktanteile 2015
Die beiden Marktführer haben 75% Marktanteil
Prämienvolumen in D in 2015 ca. 150 Mio. EUR
54
FAZIT VERTRAUENSSCHADENVERSICHERUNG
Bietet Schutz für den überwiegenden Teil von wirtschaftskriminellen Delikten
Derzeit einzige Möglichkeit den Betrugsfall „Fake President“ abzusichern
Vertrauensschadenversicherung ist eine geeignete Basisdeckung für klassische Betrugsfälle
und Cyber-Attacken
55
Diebstahl
Unterschlagung
Betrug
Untreue
Geheimnisverrat
Vertragsstrafen
Fake President
Computerbetrug
Hackerrisiken
Man in the middle
Cloud
Datenschutzvorfall
Cyber durch
- Außentäter
- Innentäter
Betriebs-unterbrechung
durch Cyber
Cybererpressung
Hackerrisiken
Cloud
Risiken
von innen
Risiken
von außen
Geldwäsche Korruption Kartellrechtsverstöße
Manipulation Bilanzunterlagen
Nicht alle Risiken sind versicherbar
Unternehmen
56
ENTWICKLUNG DER CYBER-DECKUNG IN DEUTSCHLAND
Ende der 90er Jahre:
• (Vermögensschaden)-Haftpflicht
• Betriebshaftpflicht (IT-Klausel)
• Vertrauensschadenversicherung (Computerbetrug)
2012 erste eigenständige Produkte in Deutschland
2014 Bildung eines (Teil-)Marktes für Cyber-Risiken-Versicherungen
2015 Es gibt mehr als zehn Anbieter von Cyber-Risiken-Versicherungen. Das Prämienvolumen
erreicht zweistellige Millionenbeträge
57
Cyber-
Vorfall
Haftpflicht
Eigenschäden
Assistence
• Datenschutzverletzungen
• Vertraulichkeitsverletzungen
• Wiederherstellungskosten Daten
• Ertragsausfall durch Umsatzverluste
• Cyber-Erpressung
• Rechtsberatung
• PR-Berater
• IT-Forensik
• Information betroffener Dateninhaber nach
Datenschutzvorfall
CYBER VERSICHERUNG
58
DIE KOSTSPIELIGE E-MAIL
Bei der Wüstenrot- Württembergischen wurde versehentlich eine E-Mail mit einer Anlage von
sensiblen Kundendaten an eine falsche E-Mail-Adresse versendet.
Der Mitarbeiter hatte übersehen, dass die Autovervollständigung in Outlook ihm nicht die
Adresse seines Außendienstmitarbeiters anzeigte, sondern die eines Dritten.
Dieser Dritte informierte sofort die Stuttgarter Lokalpresse. Die Württembergische hat die
Betroffenen informiert und der Vorfall war 2 Tage Thema in diversen Medien:
• Kosten für diverse forensische Arbeiten
• Kosten für Rechtsberatung und Rechtsbeistand
• Kosten für gesetzliche Informationspflichten
• Kosten für Media und PR Arbeiten
59
Besteht Versicherungsschutz über eine der klassischen Versicherungssparten?
Betriebshaftpflichtversicherung?
Vertrauensschadenversicherung?
Elektronikversicherung?
D & O?
DIE 208 TEUR –E-MAIL
60
RANSOMWARE (VERSCHLOSSENE TÜREN)
Ein Hotel erhält per E-Mail eine Kryto-Trojaner. Dieser verschlüsselt das gesamte IT-System
Als Folge sind die Codekarten für die Zimmer unbrauchbar. Die Gäste können Ihre Zimmer
nicht mehr öffnen
Die E-Mail enthält die Mitteilung, dass gegen Zahlung von 6 Bitcoin die Verschlüsselung
aufgehoben wird
61
RANSOMWARE (VERSCHLOSSENE TÜREN)
Der IT-Forensiker des Cyber-Versicherers wurde kontaktiert
Dieser kann die Verschlüsselung deaktivieren und das IT-System innerhalb von 2 Stunden
wieder betriebsbereit stellen
Versicherte Kosten in diesem Fall:
• Kosten für IT-Forensik
• Cyber-Lösegeld
• Rechtsberatung
64
MARKTÜBERBLICK
VERSICHERER/ DECKUNGSKAPAZITÄTEN
Kapazität bezogen auf einzelne Versicherer zwischen 5 Mio. EUR und 50 Mio. EUR
Marktkapazität bis 200 Mio. EUR
Versicherer-Konsortien sind möglich
Deutliche Unterschiede in den Erfahrungskurven (Schadenabwicklung)
Einige Versicherer geben den IT-Forensiker und die Rechtsanwaltskanzlei vor
65
MARKTÜBERBLICK
AKTUELLE ABSCHLÜSSE UND AUSBLICK
Derzeitige Abschlüsse im Markt
• ca. 2.000 eigenständige Cyber-Versicherungen (Stand-alone)
• ca. 20.000 Teil-Deckungen integriert in andere Konzepte/Kombi-Produkte
Große Anzahl Anbahnungen = Interesse wächst exponentiell
Marktprämie Deutschland z.Zt. ca. 25 bis 30 Mio. EUR
Einschätzung 200 Mio. EUR Prämie in 5-7 Jahren
66
MARKTÜBERBLICK
PRODUKTLANDSCHAFT
Erhebliche Unterschiede in den Produkten (z.B. Obliegenheiten)
Gängige Selbstbehaltsregelungen für Eigenschäden 5.000 EUR bis 25.000 EUR
Gängiger Selbstbehalt bei Ertragsausfallschäden 12 Stunden
Digitale Daten versus analogen Daten
67
ET KÜTT WIE ET KÜTT
In einer Wirtschaftsprüferkanzlei geht ein Anruf ein. Der Anrufer teilt mit, dass er sämtliche
Kundendaten in seinen Besitz gebracht hat.
Es wird eine Summe in Höhe von 100.000 EUR gefordert, sonst werden die Daten
veröffentlicht.
Der Kanzleiinhaber bezweifelt die Glaubwürdigkeit aufgrund der geringen Summe.
Der Erpresser benennt vier “Referenzen“ und sagt zu, sich am nächsten Tag erneut zu melden.
Alle “Referenzen“ bestätigen die Angaben des Erpressers.
Die Kanzlei zahlt die geforderten 100.000 EUR.
68
FAZIT CYBER-DECKUNG
Steigende Abhängigkeit durch Industrie 4.0/ Digitalisierung.
Zunehmende Professionalisierung der Täter (Crime as a Service).
Die Täter agieren international die Strafverfolgung hingegen national.
Großkonzerne investieren zunehmen in IT-Sicherheit damit rückt der Mittelstand in den Focus
der Täter.
Es gibt keinen Marktstandard im Versicherungswesen.
Individuelle Beratung ist zwingend erforderlich.
Prophylaxe ist zwingende Voraussetzung für Deckungsschutz.
69
RISIKO WIRTSCHAFTSKRIMINALITÄT IM UNTERNEHMEN
Diebstahl
Unterschlagung
Betrug
Untreue
Geheimnisverrat
Vertragsstrafen
Fake President
MiLoG
Computerbetrug
Hackerrisiken
Man in the middle
Cloud
Datenschutzvorfall
Cyber durch
- Aussentäter
- Innentäter
Betriebs-
unterbrechung durch
Cyber
Cybererpressung
Geldwäsche
Korruption
Manipulation
Bilanzunterlagen
Kartellrechts-
verstöße
Analyse von
Prozeßabläufen,
Systemen und
Kontrollen
Prophylaxe
Schulungen
nicht versicherbar
Prävention durch Analyse
sowie Kontroll- und
Sicherungssystemen
Absicherung durch
Vertrauensschaden-
versicherung
Hackerrisiken
Cloud
Absicherung durch
Cyber-Deckung
Absicherung durch
Vertrauensschaden-
versicherung als
auch Cyber-Deckung
70
Allgemeine
Unterneh-
mensrisiken
Haftung für strategische
Fehler der
Geschäftsleitung
(Fahrlässigkeit)
Haftung für
Cyber-Schäden
von innen und
außen, Betriebs-
unterbrechung
und Assistance
Haftung für strafbare
Handlungen von
innen und außen
mit Vermögens-
schäden
(Vorsatz)
VSV
Cyber
Betriebs-
haftpflicht
GESCHÄFTSLEITUNG TRÄGT VERANTWORTUNG FÜR DIE RISIKOFÜRSORGE
D&O
71
FAZIT
In immer kürzeren Zeitabständen steigt die Gesamtproduktion in der Wirtschaft und die damit
verbundenen Risiken
Das Cyber-Risiko ist nicht seriös abschätzbar und entwickelt sich dynamisch
Durch Vorgaben des Gesetzgebers nehmen die Haftungsrisiken für die Geschäftsführung
enorm zu
Betrugsdelikte sind nach wie vor die höchsten Schäden
Gesamtheit der Risiken kann nicht durch eine Police gedeckt werden
VSV sollte zumindest als Basisdeckung verwendet werden
Teil der Risiken ist gar nicht versicherbar
Permanentes Risikomanagement und Prophylaxe ist notwendig
72
FAZIT
Aufgrund der Komplexität des Themas ist Fachwissen von Spezialmaklern unabdingbar
Spezialmakler stellt sicher, dass
• Ihr Unternehmen eine bedarfsgerechte Deckung erhält
• Es keine Deckungslücken gibt
• Keine Doppelversicherung besteht (Subsidiaritätsprinzip)
• Keine doppelten Kosten entstehen
• Jegliche Deckungserweiterungen in einem dynamischen Marktumfeld zeitnah kommuniziert
werden
• Schäden schnell und professionell abgewickelt werden
73
FALLS SIE UNS BRAUCHEN, STEHEN WIR IHNEN GERNE ZUR VERFÜGUNG
Cengiz Horn
0211 - 520 555 2310
Robert Brixius
0211 - 520 555 2314
Markus Hoffmann
040 – 328 101 4588
„IT-Sicherheit bezeichnet einen Zustand, in
dem die Risiken, die beim Einsatz von
Informationstechnik aufgrund von
Bedrohungen und Schwachstellen vorhanden
sind, durch angemessene Maßnahmen auf ein
tragbares Maß reduziert sind. IT-Sicherheit ist
also der Zustand, in dem Vertraulichkeit,
Integrität und Verfügbarkeit von
Informationen und Informationstechnik
durch angemessene Maßnahmen
geschützt sind.“ (Quelle: www.bsi.bund.de)
IT-Sicherheit
„Informationssicherheit hat den Schutz von
Informationen als Ziel. Dabei können
Informationen sowohl auf Papier, in Rechnern
oder auch in Köpfen gespeichert sein. […]“ (Quelle: www.bsi.bund.de)
Informations- Sicherheit
Management von IT-Risiken Begriffsdefinition IT-Sicherheit und Informationssicherheit
76
Management von IT-Risiken Begriffsdefinition IT-Sicherheit und Informationssicherheit
77
IT-Sicherheit Informationssicherheit
Personalakten in Papierform
Mitarbeiter-wissen
Stammdaten im ERP-System
Elektronische Workflows
Digitaler Datenaustausch
Computergesteuerte Produktionsanlagen
Vertrauliche Emailnachrichten
Elektronisches Schließsystem für die Lagerhalle
Briefpost
Physische Risiken
Technische Risiken
Rechtliche Risiken
Geschäftliche Risiken
Management von IT-Risiken ISMS als Bestandteil der Corporate Governance
78
Governance
Konkretisierung und Synchronisation von Unternehmens-(IT) und ISMS-Zielen
Vorgabe einer klaren unternehmens- bzw. gruppenweiten Leitlinie für ISMS
Risk
Festlegung einheitlicher Vorgehensweisen i. S. Risikomanagement
Kennen der betrieblichen Risikoexposition und des Schutzbedarfs
Wettbewerb
Steigende Awareness zum ISMS hin bei Wettbewerbern und Stakeholdern
Erfüllung von Vertrags- und Marktanforderungen
Marketingeffekt/ Ausschreibungen
Compliance
Erfüllung der steigenden gesetzlichen Normen (antizipativ und mittelbar)
Festlegung eines ein-heitlichen Frameworks interner Vorgaben
Erfüllung vertraglicher Aufgaben (Wettbewerb)
Management von IT-Risiken Grundlagen eines ISMS
Informationen gibt es in
unterschiedlichen Formen
Digital (IT-Sicherheit,
Informationssicherheit)
Sprache (Informations-
sicherheit)
Papier (Informations-
sicherheit)
Information
Die IT-Sicherheit ist fast
ausnahmslos eine
Teilmenge der
Informationssicherheit
und nicht umgedreht
ISO 27000 Reihe
IT-Sicherheitsgesetz
Energiewirtschaftsgesetz
Verfügbarkeit, Integrität,
Vertraulichkeit,
Authentizität
Sicherheit(s)
Informationssicherheit ist
grundsätzlich eine
Aufgabe des
Managements. Die
Einführung und der
Betrieb eines ISMS ist
Managementaufgabe
Leitlinie zur
Informationssicherheit
Aufgaben können
delegiert werden
ISMS stellt die operative
Umsetzung und Kontrolle
der Leitlinie sicher.
Management
Plan
Erkennen von Risiken
und Verbesserungen
Do
Testen und praktische
Optimierung
Check
Umsetzung auf breiter
Front
Act
Regelm. Überprüfung
System
79
Management von IT-Risiken Grundlagen eines ISMS
80
Organisatorische Maßnahmen Verantwortlichkeiten Sensibilisierung, Gremien Richtlinien…
Vertragsbeziehungen Outsourcing, Vertragsprüfung,
Prüfungsrechte, …
Logische und technische Sicherheit Systemzugang, E-Mail, Malwareschutz, Netzwerke…
Physische Sicherheit Gebäude, RZ, Brandschutz, Zutritt Strom, Klima,…
ISMS-Schnittstellen Risikomanagement, Kontrollsysteme,
Datenschutz, Compliance, …
Betriebsverfahren Change- und Release-
management, Kapazität- und
Verfügbarkeitsmanagement
Notfallmanagement Business Continuity, Notfallplan,
Eskalationsprozesse, Notfalltests Störfallmanagement
ISMS
Management von IT-Risiken Erfassung und Bewertung der Gefährdung
81
1. Cloud-Computing 2. Software-Schwachstellen 3. Hardware-Schwachstellen 4. Kryptografie 5. Mobilkommunikation 6. Internet-Infrastruktur
Verwund- barkeit
Bedrohung
Gefährdung
Eintritts- wahrscheinlich-
keit
Schadenshöhe
IT-Risiko
BE
DR
OH
UN
GS
-U
RSA
CH
EN
1. Malware / Schadsoftware 2. Ransoftware 3. Social Engineering 4. Identitätsdiebstahl
AN
GR
IFFS
-M
ET
HO
DE
5. APT 6. Spam 7. DDoS
Erfassung und Bewertung von IT-Risiken: Prozessanalyse entlang der Wertschöpfungskette
Identifikation der IT-Systeme, die wesentlich sind für die Wertschöpfung sind und von einer Manipulation / Ausfall
betroffen wären (nach Branche) :
82
Produzierendes Unternehmen
Materialbedarfs- und Produktionsplanung, Produktionssteuerung, Lagerhaltung und Logistik
Einzel-Handel Stationär
Warenwirtschaft, Filial-Kassendaten, EC- und Kreditkarten-Terminals
Einzel-Handel Online
Kundendaten, Webshop
Telekommu-nikation
Telefonie-Rohdaten aus dem Wirknetz, Abrechnungssysteme, Kundendaten
Energiesektor/ Betreiber sog. Kritischer Infrastrukturen
besondere Sorgfaltspflicht gem. BSI Gesetz
Erfassung und Bewertung von IT-Risiken: Beispiel einer Prozessanalyse
Was mache ich, wenn meine Prozesse nicht mehr funktionsfähig sind? Oder: Wie stark abhängig von einzelnen Input-Faktoren
(z. B. IT)?
Kann ich noch ausliefern? Kann man bei mir bestellen? Kann ich noch einkaufen?
Kann ich meine Produktion planen? Kann ich produzieren? Kann ich überhaupt meinen Materialbedarf bestimmen?
Kann ich mein Lager bedienen?
Kann ich meinen Kunden und Lieferanten Informationen über meinen aktuellen Stand zukommen lassen?
Kann ich meine Mitarbeiter informieren? Kann ich sie bezahlen, Finanzamt und SV Meldung machen?
Lücken in IT- und Informationssicherheit geben Eindringlingen die Handhabe darüber, was mit Ihren Systemen geschieht.
Eine kurze Presse-Nachschau der letzten Tage:
Angreifer wissen in der Regel VOR den Nachrichtenseiten von kritischen Lücken.
Um unternehmensintern gewappnet zu sein, muss der interne Prozess VOR dem Eintritt eines Ausfalls ansetzen.
83
Prävention von IT-Risiken Organisatorische Maßnahmen zur Einrichtung eines Mindestniveaus
Wie kann ich selbst durch organisatorische Maßnahmen vorsorgen, dass ein Mindestniveau von
Informationssicherheit erlangt wird? Zur Beantwortung der Frage können grundsätzlich nachfolgende
Maßnahmen genannt werden:
84
Schaffung von Awareness in der Belegschaft
Bestellung eines Informationssicherheitsbeauftragten & Verzahnung mit weiteren Stabstellen
Implementierung eines effektiven Incident Managements/CERT-Prozess
Notfallplan konzeptionieren und regelmäßig testen
Nutzung von Threat Intelligence Feeds
Prävention von IT-Risiken Technische Maßnahmen zur Einrichtung eines Mindestniveaus
Wie kann ich selbst durch technische Maßnahmen vorsorgen, dass ein Mindestniveau von
Informationssicherheit erlangt wird? Zur Beantwortung der Frage können grundsätzlich nachfolgende
Maßnahmen genannt werden:
85
Aufbau einer adäquaten Firewallarchitektur
Einsatz von administrierten Virenschutzprogrammen
Durchführung eines geregelten Patchmanagements
Konzeption + Implementierung eines Berechtigungskonzepts über alle kritischen Applikationen
Konzeption einer Kennwortrichtlinie und entsprechend folgende Konfiguration
Überprüfung der Netzwerksicherheit durch regelmäßige Penetrationstests
Konzeption und Implementierung eines Datensicherungskonzepts
Einrichtung von physischer Sicherheit
Don‘t forget: Organisatorische IT-Sicherheit
Dedektion von IT-Risiken Analyse der IT-Systeme nach potentieller Angriffsmethode
86
Bedrohungsursachen
1. Cloud-Computing
2. Software-Schwachstellen
3. Hardware-Schwachstellen
4. Kryptografie
5. Mobilkommunikation
6. Internet-Infrastruktur
Angriffsmethode
1. Malware / Schadsoftware
2. Ransoftware
3. Social Engineering
4. Identitätsdiebstahl
5. APT
6. Spam
7. DDoS
Remediation von IT-Risiken
87
Kommunikationsstrategie Notfallplan
Straf- und Schadensverfolgung Versicherungsanspruch
Integritätsprüfung der
Systemkonfiguration,
des Dateisystems etc.
Wiedereinspielung der
Original-Dateien
Konfiguration/Patches
Dokumentation
…
Sicherung und
Überarbeitung der
physischen und
logische Zugriffs-
regelungen
…
Passwörter
Biometrische Systeme
Blogchain
…
Redundanzen
RZ-/ Cloud-
management
SLA-Regelungen
…
Verfügbarkeit Integrität Vertraulichkeit Authentizität
© Ebner Stolz Management Consultants 89
Machen Sie Digitalisierung zur Chefsache
Digitale Transformation muss Teil der Unternehmensstrategie werden und damit auf oberster Unternehmensebene angesiedelt werden. Chefsache ist beispielsweise auch die Abwehr von Cyberangriffen, besonders in einer komplett vernetzten Produktion. Eine Aufgabe, die nicht in der IT-Abteilung allein gelöst werden kann, sondern auf die Agenda der Unternehmensführung gehört.
Stellen Sie ein Digitalisierungsteam auf
Ein Team aus allen Bereichs und Abteilungsleitern und relevanten Mitarbeitern ist zu bilden, das sich mit der digitalen Transformation befasst und direkt an die Geschäftsleitung berichtet. Ein Chief Digital Officer (CDO) steuert alle Aktivitäten und Maßnahmen und koordiniert sie.
Entwickeln Sie eine Digitalisierungsstrategie
Auf Basis einer umfangreichen Analyse, welche Prozesse, Teile und Bereiche des Unternehmens in welchen Themenfeldern digitalisiert werden sollten, wird eine Digitalisierungsstrategie entwickelt.
Investieren Sie in die digitale Kompetenz Ihrer Mitarbeiter
Welche Fähigkeiten brauchen die Mitarbeiter bei der digitalen Transformation? Welche Kompetenz- und Um-setzungslücken gibt es bei Datenverarbeitung, Automatisierung, Vernetzung und Kundenschnittstellen? Mit einem umfassenden Weiterbildungsangebot erwerben die Mitarbeiter notwendige Zusatzqualifikationen und Kompetenzen. Spezialisten, beispielsweise für die Analyse großer Datenmengen, sind rar. Die Unternehmen müssen sich jetzt darum kümmern, diese Mitarbeiter zu finden und an sich zu binden.
© Ebner Stolz Management Consultants 90
Digitalisieren Sie Ihr Geschäftsmodell
Wenn eine disruptive Technologie das bisherige Geschäftsmodell des Unternehmens bedroht, muss dieses daran angepasst oder völlig neue Geschäftsmodelle, Produkte und Lösungen entwickelt werden.
Nutzen Sie den wertvollen Datenrohstoff
Daten sind die Rohstoffe dieses Jahrhunderts. Unternehmen müssen effizient mit ihnen umgehen. Sie müssen lernen, auf breiter Basis mit ihnen zu arbeiten. Durch den Einsatz von Big-Data-Technologien können entscheidungsrelevante Erkenntnisse gewonnen werden. Auch kleinere Unternehmen können ihre Produkt und Servicequalität mit dem geschickten Einsatz von Big Data deutlich steigern. Die Unternehmen sollten ihre komplette Wertschöpfungskette und die Lebenszyklen ihrer Produkte digital abbilden können. Bisher wird nur rund ein Prozent der in der Produktion anfallenden Daten genutzt.
Setzen Sie die neuesten Technologien ein
Viele verfügbare Technologien können dabei helfen, Geschäftsprozesse schneller, effektiver und kostengünstiger zu erledigen. Die Einführung von Software zur Digitalisierung administrativer Prozesse führt zu schnellen Erfolgen: Performance und Datensicherheit steigen, die Compliance wird verbessert und die Kundenzufriedenheit nimmt zu. Durch eine bedarfsgerechte Form der flexiblen Nutzung von IT-Leistungen per Cloud Computing bezahlen Unternehmen nur noch das, was wirklich genutzt wird.
© Ebner Stolz Management Consultants 91
Entwickeln Sie digitale Lösungen gemeinsam mit Kunden und Partnern
Effizienz verbessern ist gut, Kundenerlebnisse optimieren ist besser: Kunden und Partner sind in die Digitalisierung der Geschäftsprozesse oder des Geschäftsmodells zu integrieren, um neue Lösungen partnerschaftlich zu entwickeln. Unternehmen müssen entscheiden, welche strategischen Schnittstellen sie kontrollieren müssen, um den Kontakt zum Kunden zu behalten und sich gegen neue Wettbewerber zu behaupten.
Erweitern Sie Ihre Wettbewerbsbetrachtung um Tech-Unternehmen
Bei der Wettbewerbsbetrachtung muss zukünftig deutlich breiter gedacht werden. So sollten auch die Entwicklung und Innovationen von Technologieunternehmen beobachtet und analysiert werden. Ein zukünftiger Wettbewerber könnte aus dem Silicon Valley kommen!
Kooperieren Sie mit Startups
Partnerschaften mit Startups und mittelständischen IT-Unternehmen, HighTech-Konzernen und Beratungsgesellschaften sollten erwogen werden. Kooperationskompetenz wird zur neuen Kernkompetenz. Wer schneller und besser mit Partnern kooperiert und diese tiefer integriert, wird im Wettbewerb gewinnen.
Haftungsausschluss
Trotz sorgfältiger Aufbereitung der Unterlagen übernehmen wir keine Gewähr und somit auch keine
Haftung für die Richtigkeit, Aktualität und Vollständigkeit der Inhalte und Darstellungen. Das Skript ist
nicht zum Zwecke erstellt, abschließende Informationen über bestimmte Themen bereitzustellen oder
eine Beratung im Einzelfall ganz oder teilweise zu ersetzen. Hierfür stehen wir auf Wunsch gerne zur
Verfügung.
Nachdruck, auch auszugsweise, nur mit schriftlicher Genehmigung von Ebner Stolz. Dies gilt auch für
die Vervielfältigung auf fotomechanischem Wege.
Rechtsstand: November 2016
92