Cyber Versicherungen Risikomanagement im Zusammenwirken zwischen Unternehmensleitung, IT-Experten und Versicherungen. Hamburg

Transkript

1 Cyber Versicherungen Risikomanagement im Zusammenwirken zwischen Unternehmensleitung, IT-Experten und Versicherungen Hamburg

2 Agenda 1. Einführung 2. Risikosituation: Schäden, Kosten, Risikomanagement 3. Deckungsinhalte der Cyberpolicen 4. Markt und Ausblick

3 Einige Daten zur Orientierung Zeitspanne in Tagen zwischen einer Datensicherheitsverletzung und ihrer Entdeckung* 156 Anteil der Unternehmen, die bereits Ziel eines ernsthaften Versuchs waren, rechtswidrig in ihr Netzwerk einzudringen* 100 % Kosten pro Dateninhaber, um einer gesetzlich vorgeschriebenen Informationspflicht nachzukommen ca. 50 Durchschnittliche Anzahl als gestohlen gemeldete Laptops am Pariser Flughafen pro Woche** 733 Quellen: * PriceWaterhouseCoopers, Information Security Breaches Survey 2010 befragt wurden 539 Unternehmen in GB. ** Ponemon Institute ***TrustWave - Global Security Report 2011

4 Sprachschwierigkeiten Unternehmensleitung Versicherungen IT-Verantwortung

5 Sprachschwierigkeiten Unternehmensleitung Versicherungen IT-Verantwortung

6 Agenda 1. Einführung 2. Risikosituation: Schäden, Kosten, Risikomanagement 3. Deckungsinhalte der Cyberpolicen 4. Markt und Ausblick

7 Cyber-Risiken? Alle Unternehmen 1. steuern wichtige Prozesse und Transaktionen IT-und / oder Webgestützt und / oder 2. speichern, bearbeiten oder verwalten sensible Daten (personenbezogene oder sonstige vertrauliche) ihrer Kunden, Mitarbeiter, Patienten, Vertragspartner.

8 Risikofelder (1) Produktion durch web-/ IT-gestützte Systeme - Risiko Betriebsunterbrechung - Risiko Fehler in der Produktion - Risiko Erpressungen Risiko Betriebsunterbrechung oder störung => fortlaufende Kosten und entgehender Gewinn

9 Risikofelder (2) Transaktionen durch IT-gestützte Systeme - Risiko Verfügbarkeit / Betriebsunterbrechung - Risiko Folgeschaden aus Fehltransaktionen - Risiko CyberCrime Welche relevanten Transaktionen werden It-/webgestützt durchgeführt? (online-service, Zahlungsverkehr, Zahlungsterminierung, Lagerhaltung ) Welche besondere Herausforderungen ergeben sich evtl. aus der Nutzung gemeinsamer Systeme und Plattformen in einem Verbund?

10 Einige Schadenszenarien intentional Durch einen Bedienfehler beim Release-Wechsel einer zentralen Handels/ Zahlungsverkehrs-Applikation kann eine Vielzahl an Systemen nicht hochgefahren werden. Stillstand 3 Tage Über die Anbindung eines neues Handelspartners wird ein Virus in das System der Stammdatenverwaltung eingeschleust: Stillstand 72 Stunden. nicht intentional Hacker infizieren die PC-Landschaft des Unternehmens - bei einem Release-Wechsel wird in Folge der Virus auf die PCs aller Mitarbeiter installiert.

11 Risikofelder (3) Umgang mit sensiblen Daten (personenbezogene Daten, Kundendaten)? - Risiko Datenschutzverletzungen, Vertraulichkeitsverletzungen - Risiko Reputationsverlust Welche sensiblen Daten befinden sich in Ihrem Unternehmen? (Zahlungsdaten, Kundendaten, Unternehmensdaten, Rezepturen,.)

12 Einige Schadenszenarien intentional Kriminelle hacken sich in die unternehmensinterne Datenbank und ziehen eine Kopie mit Daten prominenter Kunden. Sie drohen mit Veröffentlichung im Netz, sofern nicht ein Schutzgeld gezahlt wird. Unzufriedener Mitarbeiter überwindet die Schutzmechanismen des IT-Systems. Er kann personenbezogene Daten entwenden, die Presse informieren und die Daten auf dem Schwarzmarkt anbieten. nicht intentional Mitarbeiter lässt versehentlich seinen Laptop im ungeschütztem Arbeitsmodus im Auto liegen. Auf dem Gerät sind sehr vertrauliche Daten über diverse Kunden gespeichert.

13 Juli 2014 Quelle:

14 Mai / Juli 2014 Quelle:

15

16 Kosten Beispiel Datenklau im E-Commerce Online-Vertrieb mittlerer Größe ist Opfer von Datendiebstahl geworden. Über mehrere Monate konnten sich Hacker rechtswidrigen Zugang zu dem eigentlich streng gesicherten online-portal verschaffen. Während dieser Zeit konnten die Hacker über rund Kundendaten kopieren und unrechtmäßig nutzen. Das Schadensausmaß ist sowohl finanziell als auch reputationsmäßig immens. Die bisher entstandenen Kosten sind wie folgt: Kosten für diverse forensische Arbeiten ,00 Kosten für Rechtsberatung und Rechtsbeistand ,00 Kosten für gesetzliche Informationspflichten ,00 Kosten für Media und PR Arbeiten ,00 Geltend gemachter Vermögensschaden der Payment Card Industry ,00 Gesamtkosten ,00

17 Kosten Beispiel Diebstahl eines Laptops Bei einem Einbruch in die Büroräumlichkeiten wird unter anderem ein Desktop PC gestohlen. Auf diesem Rechner befanden sich Daten von ca. 50 Lieferanten inklusive vertraulicher Daten zum Zentraleinkauf. Folgende Kosten sind entstanden: Rechtsberatung und Info-Pflichten gegenüber betroffenen Dateninhabern Forensische Dienstleistungen Aufwendungen für PR-Beratung Gesamtkosten

18 Im Schadenfall entstehen Kosten für : - Rekonstruktion und Wiederherstellung der Daten - Schadensersatzansprüche Dritter wegen Vertraulichkeits- und Datenschutzverletzungen - Betriebsunterbrechung - Aufklärung des Vorfalles, IT-Forensik - Sicherheitsberater oder PR-Berater - Umsatzverluste/Reputationsschaden - Erpressungsgeld, Belohnungen - Vertragsstrafen/Bußgelder

19 Wie kann man sich dem Thema Risikomanagement und Risikotransfer nähern GENAU WIE SONST AUCH Dreistufige Lösung in der Risikoberatung durch : Schritt 1) Schritt 2) Schritt 3) Schritt 4) IT-Check / Kurzgutachten / Security Audit Risikomanagementberatung / -transfer Schadenmanagement /Expertennetzwerk Jährliche Überprüfung kompakt BVMW Quelle: IT-Sicherheit

20 Cyber: 1. Ein Risiko, wie jedes andere auch nur noch nicht typisiert 2. Organisatorisches Risikomanagement wichtiger als technisches 3. Sprachbarriere dann nicht vorhanden 4. Schnelle Reaktion entscheidend

21 Agenda 1. Einführung 2. Risikosituation: Schäden, Kosten, Risikomanagement 3. Deckungsinhalte der Cyberpolicen 4. Markt und Ausblick

22 Cyber-Versicherung: Versicherbare Schadenpositionen - Schadenersatzansprüche Dritter - Abwehr unberechtigter Ansprüche - Ausgleich berechtigter Ansprüche - Ertragsausfall infolge Unterbrechung des Betriebes - Kosten für forensische Untersuchungen - Kosten für externe Unterstützung bei Aufklärung - Kosten für Einschaltung PR-Berater - Wiederherstellungskosten bei Verlust/Zerstörung eigener Daten und Netzwerke - Erpressungsforderungen durch Hacker - Benachrichtigungskosten bei Verstößen gegen Datenschutz-Vorschriften - Diebstahl von Werten

23 Cyber-Risiken werden nur ausschnittsweise und begrenzt über Haftpflicht-, Sach- oder Vertrauensschadenversicherung abgedeckt. Der Versicherungsschutz für Cyber-Risiken in diesen Sparten ist unzureichend, da - weitreichende Ausschlüsse für relevante Risiken bestehen - jeweils andere Versicherungsfall-Definitionen zu berücksichtigen - im Schadenfall stets mehrere Versicherer zu involvieren sind. So ist einer Haftpflichtversicherung zum Beispiel der Schadensersatzanspruch eines Dritten erforderlich. Ob dieser Anspruch allerdings bei einem Hacker- Angriff gegeben ist, dürfte fraglich sein.

24 Eigenschäden Sach / TV Haftpflicht Erpressung VertrauenS Cyber Wiederherstellungskosten Daten / Programme bedingt Benachrichtigungskosten Betriebsunterbrechungssc häden Kosten für IT-Forensik bedingt Wiederherstellungskosten nach Hackerangriff bedingt Kosten Sicherheitsberater Kosten PR-Berater Erpressung / Bedrohung bedingt bedingt Belohnung für Hinweise, die zur Ergreifung des Erpressers führen bedingt Diebstahl Geld oder Vermögenswerte in elektronischer Form bedingt bedingt

25 Drittschäden Sach / TV Haftpflicht Erpressung VertrauenS Cyber Ansprüche Datenverlust Ansprüche Datenschutz Forderungen der PaymentCard-Industrie Ansprüche Persönlichkeitsrechtsverlet zungen Ansprüche aus Verletzung Rechte des geistigen Eigentums bedingt bedingt bedingt

26 Was soll eine Versicherungslösung auch gewährleisten? Prävention und Krisenbewältigung durch die Einbeziehung eines professionellen Unternehmens insbesondere zum strategischen, forensischen und juristischem Management von IT-Security-Krisen, z.b.: Im Schadenfall: Im Vorfeld: Erstreaktion & Hotline Forensik Penetrationstests Schulungen, Trainings & Übungen

27 Agenda 1. Einführung 2. Risikosituation: Schäden, Kosten, Risikomanagement 3. Deckungsinhalte der Cyberpolicen 4. Markt und Ausblick

28 Versicherer und Kapazitäten Ace AGCS/Allianz AIG Axa /Axa Corso Chubb CNA HDI Gerling Hiscox Kiln R+V (nur Privatprodukt) Württembergische XL Zürich Kapazitäten zw. 5 und 50 Mio. Euro Marktkapazität bis 200 Mio. Euro

29 Quotierungsverhalten Euro pro Mio. Deckungssumme Umsatz und Branche als wesentliche Kriterien unterschiedliche technische Expertise Mindestprämien zwischen 800 und EUR je nach Versicherer Mindest-Selbstbehalt zwischen und EUR je nach Versicherer

30 Ausblick - Schätzungen Zur Zeit ca. 120 Abschlüsse (überwiegend in 2013/ 1. Halbjahr 2014) Marktprämie Deutschland z.zt. 5-7 Mio. Euro 200 Mio. Euro Prämie in 5-7 Jahren Ausschreibungen einiger DAX- Unternehmen im Markt Abschluss durch Bosch mit 100 Mio. Euro Versicherungssumme