Seminar Die neue Gefahr: Bedrohung durch Cyber & Data Risiken. Mag. Andreas Krebs GrECo International AG

Transkript

1 Seminar Die neue Gefahr: Bedrohung durch Cyber & Data Risiken Mag. Andreas Krebs GrECo International AG

2 Generationen von Risiken Generation 1.0 klassische Risiken Feuer, Transport, Kfz, Leben, Unfall, Haftpflicht,.. Generation 1.5 zusätzliche Risiken Naturgefahren (Hochwasser, Erdbeben), Kidnapping, Managerhaftung, Vertrauensschaden, Generation 2.0 immaterielle Risiken Risiken im Zusammenhang mit Elektronik und Internet-Technologie Cyber & Data Risks, konkret: Haftungsrisiken, technische Störungen, finanzielle Verluste, Reputationsverlust,. Stehen wir an der Schwelle zu einem neuen Zeitalter der Bedrohung von Unternehmen? Können wir etwas gegen diese Bedrohung unternehmen? 2

3 Cyber & Data Risiken (k)eine unbekannte Gefahr?! Der Begriff Cyber Risk erfasst die Summe aller nachteiligen, unerwünschten Störungen und unerlaubten Beeinträchtigungen des handlings von persönlichen wie geschäftlichen Daten über sämtliche zur Verfügung stehende Möglichkeiten internetbasierten internen wie externen Datenaustauschs (PCs, Laptops, Smartphones, cloud-solutions, externe Server ) 1). Wo entsteht das Risiko wie greift es an? Welche Bereiche des Unternehmens können betroffen sein? Wie groß sind die Auswirkungen? Wie kann man sich schützen wie kann man das Risiko mindern? 1) GrECo International AG, CC Haftpflicht (Floegl, Jendretzki, Gobold) 3

4 Cyber & Data Risiken Erscheinungsformen Summe aller nachteiligen, unerwünschten Störungen und unerlaubten Beeinträchtigungen des Managements von persönlichen wie geschäftlichen Daten von außen Spam, Phishing attacken Hackerangriffe Illegaler Datendownload (Datenklau, Urheberrechtsverletzungen ) Kreditkartenbetrug bei Onlinekäufen Malversationen im Zuge von Internetbanking Trackingmalware, Trojaner, Viren Spyware Würmer social engineering 4

5 Cyber & Data Risiken Erscheinungsformen Summe aller nachteiligen, unerwünschten Störungen und unerlaubten Beeinträchtigungen des Managements von persönlichen wie geschäftlichen Daten von außen von innen Mitarbeiter als Täter Fehlbedienung Geringes Sicherheitsbewusstsein Schwächen im Ablaufprozess (IT) unklare Zuständigkeit Unzureichende Information über Veränderungsprozesse (Updates, neue Programme, neue Arbeitsplätze ) Nutzung von Daten über Clouds, Smartphones, etc. Home Offices 5

6 Cyber & Data Risiken Erscheinungsformen Cyberkriminalität eine steigende Gefahr Cyberkriminalität: weltweit auf Platz 5 der größten Unternehmensrisiken 1) in Österreich auf Platz 2 der größten Unternehmensrisiken 1) Cyberangriffe werden zahlreicher, komplexer und professioneller Über Cybercrimedelikte allein in Österreich (Stand ) ) Tendenz steigend Rund 58 % der Täter stammen aus dem Inland (Stand ) ) Zunehmende Regulierung schafft neue Risiken Datenschutzgesetz 2000 (DSG) EU-Cyber-Security Richtlinie Gesamtstaatliche Cyber-Security Initiative in AUT 1) Quelle: Allianz Risk Barometer ) Quelle: Cybercrime Report 2013, Bundesministerium für Inneres 6

7 Cyber & Data Risiken Schutzmaßnahmen Cyberrisk is just another business risk Bekannte Schutzmaßnahmen zur Verhinderung unerwünschten Datenzugriffs und unerlaubter Datenmanipulation Ankauf verschiedenster Anti- Viren- Spyware- Malware- Trackingprogramme Erstellung von IT-Guidelines betreffend sicherer Umgang mit Passwörtern, verbotene Programme; Sperre von bestimmten Internetseiten Information von Kunden über richtiges Surfen, Vermeidung einfacher Codewörter but it needs better management 7

8 Wenn Schutzmaßnahmen versagen. Aktuelle Beispiele trotz zweifellos hervorragenden System-Supports misslungener Schutzmaßnahmen Deutscher Bundestag/Frau Merkel Mehrmaliges Hacking der Homepages bifie Daten auf rumänischem Server offen zugänglich keine Teilnahme an PISA Verzögerung der Zentralmatura BAWAG-PSK Kunden- und Kontoinformationen gehackt Twitter/Youtube Account des US-Militärs gehackt Verband der österreichischen Sozialversicherungsträger Daten tausender Versicherter frei zugänglich 8

9 Cyber & Data Risiken Schadenpotenzial Eigenschäden Schadenszenarien Betriebsunterbrechung Wiederherstellung von Daten IT-Forensische Ermittlungen Computerbetrug, Erpressung Reputationsschäden Beschreibung Sachschadenunabhängige Betriebsunterbrechung/Ertragsausfall durch IT Systemausfall, Verlust von Daten oder Programmen Mehraufwand zur Wiederherstellung von Daten/Systemen Verdacht auf unerlaubten Zugriff auf Betriebs- und Geschäftsgeheimnisse erzeugen signifikante IT Forensik- Aufwendungen Hacker veranlassen durch Datenmanipulation, dass das Unternehmen unberechtigte Zahlungen leistet Verlust von Kundendaten schädigt Vertrauen und guten Ruf des Unternehmens 9

10 Datenverlust aktuelle Trends Laut einer Studie des Ponemon Institute 1 aus dem Jahr 2013, welche bei 31 deutschen Unternehmen durchgeführt wurde, lagen die durchschnittlichen Kosten eines Datenverlusts bei 3.5 Millionen pro Jahr Die Kosten je verlorenem Datensatz lagen bei 145 (Vergleich: USA 137, International 99) Durchschnittlich wurden dabei Datensätze gestohlen Kosten umfassen Kunden-/Geschäftsverlust, nachträgliche Schadenminderung, Benachrichtigung und Schadenermittlung Die Ursachen sind böswillige/kriminelle Attacken (48%) Fahrlässigkeit von Mitarbeitern bzw. Partnern (35%) Systemfehler (16%) Österreich 2 : Anzeigen im Jahr 2013 Quellen: 1 Symantec-Ponemon 2013 Cost of Data Breach Study sowie GrECo JLT CTM Analysis; 2 Bundeskriminalamt 10

11 Datenverlust Pro-Kopf-Kosten nach Branchen (in ) Gesundheit Finanzdienstleistung Pharma Logistik Kommunikation Dienstleistung Technologie Forschung Energie Tourismus Konsumgüter Erziehung Medien Industrie Öffentlicher Sektor Handel Quellen: Symantec-Ponemon 2013 Cost of Data Breach Study 11

12 Cyber & Data Risiken Schadenpotenzial Drittschäden Schadenszenarien Verletzung von Datenschutz/ Persönlichkeitsrechten Rechtsverletzungen in digitaler Kommunikation Haftung für fehlende Netzwerk-Sicherheit und Hackerangriffe Haftung für vorsätzliche Zugriffe auf accounts Dritter Beschreibung Fehlerhaft programmierte Sicherheitssoftware des Versicherungsnehmers (VN) lässt einen Diebstahl von Kundendaten des Vertragspartners zu In einer Onlinekampagne verstößt der VN gegen Markenrecht, Persönlichkeitsrecht oder Wettbewerbsrecht Vom VN betriebene Cloud-Anwendung ist durch eine Denialof-Service -Angriff oder weitergereichte Viren lahmgelegt; die Kunden können nicht auf ihre Daten zugreifen Mitarbeiter des VN recherchiert für Artikel; greift unerlaubt auf accounts Dritter zu; Unternehmen wird verklagt Unternehmen haftet für den Angestellten (OGH 6 OB 126/12s) 12

13 Schadenpotenzial Drittschäden rechtliche Grundlagen Auswirkungen erfolgreichen kriminellen Datenzugriffs auf ein betroffenes Unternehmen Unterschiedliche rechtliche Konsequenzen Haftung für fehlende oder unzureichende Netzwerksicherheit und dadurch ermöglichte Hackerangriffe Ahndung wegen Rechtsverletzungen 347 UGB 1) : erhöhter Sorgfaltsmaßstab für Unternehmer (vgl ABGB 2) ) 25 (1) GmbHG 2) : Geschäftsführer: Sorgfaltspflicht eines ordentlichen Geschäftsmannes 84 (1) AktG 3) : Vorstandsmitglieder: Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters 1293 ff ABGB 4) : allgemeine Verschuldenshaftung 33 DSG 5) : Schadenersatz nach ABGB (Verschuldenshaftung), die Kausalität ist vom Betroffenen nachzuweisen 52 Abs 2 DSG: Verwaltungsübertretung Geldstrafe bis EUR (pro Anlassfall) z.b.: Verletzung der Informationspflicht gem. gemäß 24 DSG oder grob fahrlässige Außerachtlassung erforderlicher Sicherheitsmaßnahmen gemäß 14 DSG Persönliche Haftung und Folgen für die Unternehmensleitung/Verantwortlichen Managerhaftung gegenüber dem Unternehmen (D&O) Verlust der Position (bifie ) 1) UGB: Unternehmensgesetzbuch; 2) GmbHG: GmbH Gesetz; 3) AktG: Aktiengesetz; 4) ABGB: Allgemeines bürgerliches Gesetzbuch; 5) DSG: Datenschutzgesetz 13

14 Cyber & Data Risiken - Bewusstseinsbildung Wodurch entsteht wirtschaftlicher Schaden bei Cyberangriffen? Reputationsrisiken 61 % Betriebsunterbrechung 49 % Verlust von Kundendaten 45 % Welche Cyber Risiken fürchten die Unternehmen am meisten? Datendiebstahl und manipulation 64 % Reputationsrisiken 48 % Zunehmende Diebstähle und Hacking 44 % Schutz gegen Cyber Risiken welche Bereiche sind am wichtigsten? Bessere Hard- und Softwarelösungen 75 % Bessere Prozesse / Berechtigungen 62 % Bessere Sensibilisierung der Mitarbeiter 56 % Was hindert Unternehmen daran, sich gegen Cyber Risiken zu rüsten? Das Risiko wird unterschätzt 73 % Budgetbeschränkungen 59 % Problem noch nicht analysiert 54 % Quelle: Allianz Risk Barometer Cyberrisiken, Umfrage der Allianz Global Corporate & Specialty,

15 Cyber & Data Risiken Risiko Management Analyse des Schadenpotentials Generell Branchenspezifische Risikoanalyse Individuell Risikomanagement - Kundenspezifische Analyse der Gefahrenpotentiale und vorhandener Schutzmaßnahmen Bedarfserhebung Vorschläge zur Verbesserung der Schutzmaßnahmen Erarbeitung bedarfsgerechter Versicherungslösungen 15

16 Cyber & Data Risiken Versicherbares Schadenpotenzial (1) Betriebsunterbrechung sachschadenunabhängig Datenverluste oder -manipulation durch böswillige Handlungen gegen EDV (z.b. Hackerangriff) durch Verlust, Zerstörung oder Beschädigung der Hardware Betriebs- und Geschäftsgeheimnisse Dritter Eigene Betriebs- und Geschäftsgeheimnisse (versicherbar über Vertrauensschadenversicherung [VSV]) Digitale Kommunikation Nichtverfügbarkeit von Systemen Computerviren, trojanische Pferde, etc. Unberechtigte Nutzung von EDV Menschliches Versagen Cybererpressung Krisenkommunikation Elektrostatische Entladungen oder elektromagnetische Störungen, Ausfall Stromversorgung oder Datennetz, Spannungsabfall (optional!) 16

17 Cyber & Data Risiken Versicherbares Schadenpotenzial (2) Kosten für die Wiederherstellung von Daten Erhöhte Betriebs- und Beschleunigungskosten Löse/Erpressungsgelder Krisenkommunikationskosten, z.b. Reputationskosten für Imagekampagnen nach dem Schaden Gebühren und Honorare für Gutachter, IT-Forensiker etc. Rechtsberatung z.b. über Informationspflichten Zum Teil Vertragsstrafen nach Ausfall der Systeme entgangener Gewinn auf Grund einer Betriebsunterbrechung Verschiedene Produkte, unterschiedliche Deckungen Individuelle Versicherungslösungen! 17

18 Cyber & Data Risiken Nicht versicherbare Risiken vorsätzliche Eigenschädigung (Repräsentanten) Bekannte Sachverhalte Kartellrecht Verlust eigenen geistigen Eigentums eigene Betriebs- und Geschäftsgeheimnisse teilweise aber versicherbar über Vertrauensschadenversicherung Krieg/ Terrorismus Umweltschäden Ungetestete Programme Abnutzung 18

19 Cyber & Data Risiken Österreichischer Versicherungsmarkt 8-10 namhafte Anbieter mit eigenen Bedingungswerken Know-how noch sehr unterschiedlich ausgeprägt Produkte in unterschiedlichen Sparten angeknüpft (Financial Lines, Haftpflicht, Property) Spezielle Zielgruppenprodukte für kleinere Risiken und Konzernkunden Kapazitäten je Versicherer zwischen 1 Mio. EUR bis 50 Mio. EUR für Drittschäden Niedrigere Sublimite für Eigenschäden Selbstbehalte: unterschiedlich fixe Eurobeträge bis zeitliche Selbstbehalte Abgleich mit vorhandenen Versicherungen und individuelle Risikoberatung und Analyse erforderlich. 19

20 Cyber & Data Risiken Versicherungsfälle (Schadenbeispiele) Ehemaliger Mitarbeiter verkauft persönliche Daten an ein Verbrechernetzwerk Unternehmensart: Einzelhandel Informationen von: Kunden und Mitarbeiter wurden verkauft durch unerlaubten Zugriff auf Sicherheitsdatenbank 2,5 Mio. zur Behebung des Schadens 2,5 Mio. Bußgeld Versicherbare Kosten: forensische Untersuchungen, PR, Monitoring, Benachrichtigungskosten, Datenwiederherstellung, Abwehrkosten Diebstahl eines Laptops erweist sich als sehr teuer Unternehmensart: Unternehmensberatung Laptop wurde gestohlen mit über Kundendaten inkl. Finanzdaten 2,5 Mio. zur Behebung des Schadens Versicherbare Kosten: Benachrichtigungskosten, Krisenmanagementkosten, Abwehrkosten, Datenwiederherstellung, Call Center, Rechtsberatung 20

21 Cyber & Data Risiken Versicherungsfälle (Schadenbeispiele) Fehlbedienung korrumpiert Daten des Warenwirtschaftssystems im Hauptlager Unternehmensart: Einzelhandel Produktindizes werden geändert, führt zu irrelevante Warenbestellungen und unnötige Lagerbestände Waren des täglichen Bedarfs nicht verfügbar fehlender Lagerplatz Verderb nicht benötigter Produkte fehlerfreier Geschäftsbetrieb erst nach einer Woche Schadenhöhe: ,- Verluste durch beeinträchtige Kundentreue bzw. aus verderblichen Lebensmitteln; Umsatzeinbußen durch Nichtverfügbarkeit der gefragten Produkte Diebstahl personenbezogener Informationen und Netzwerk-Zusammenbruch Unternehmensart: Vermögensverwaltung Informationen von: Kunden 250 Mitarbeitern durch installierten Virus konnte 72h nicht gearbeitet werden + Virusübertragung an Kunden 7,55 Mio. Schaden Versicherbare Kosten: E-Business-Betriebsunterbrechung, Benachrichtigungskosten, Krisenmanagementkosten, Abwehrkosten, Datenwiederherstellung, Vermögensschäden Dritter 21

22 Cyber & Data Risiken Versicherungsfälle (Schadenbeispiele) Virus beeinträchtigt Datenbank eines Hochregallagers Unternehmensart: Hochregallager Server wurde durch neuen Virus infiziert. Die Ortung der eingelagerten Waren war nicht mehr möglich Schadenhöhe: ,- Kosten: BU-Schaden aufgrund kontrollierter Systemabschaltung; Dekontamination infizierter Daten; Wiederherstellung der Daten aus Backup-Sicherungen; manuelle Auslagerung und Neuerfassung eines Teils der Lagerware; Vertragsstrafen aufgrund verspäteter Auslieferung 22

23 Conclusio Klare Tendenz des Risikoprofils der Unternehmen zur Risikogeneration 2.0 Immaterielle bzw. Cyber & Data Risiken Immaterielle Risiken im Bereich IT/Netzwerksicherheit haben zu neuen Großschadenpotenzialen geführt, diese werden zusätzlich durch Entwicklungen wie Cloud Computing, mobile Geräte, Facebook/Twitter etc. verschärft Legal Compliance wird aufgrund neuer Verordnungen immer herausfordernder Fokus der Risikoidentifikation und Bewertung innerhalb der Unternehmen muss um den Bereich der Immaterielle Risiken erweitert werden 23

24 Danke für Ihre Aufmerksamkeit! Alle Rechte an dieser Präsentation sind vorbehalten. Das Werk einschließlich seiner Teile ist urheberrechtlich geschützt. Die darin enthaltenen Informationen sind vertraulich. Die Präsentation und ihre Inhalte dürfen ohne ausdrückliche Zustimmung der GrECo International AG nicht verwendet, übersetzt, verbreitet, vervielfältigt und in elektronischen Systemen verarbeitet werden. Insbesondere ist eine Weitergabe an Dritte nicht gestattet.