Wenn sich IT-Risiken verwirklichen

Transkript

1 Wenn sich IT-Risiken verwirklichen Risikobewältigung durch Versicherung it-sa, Oktober 2012 Seite 1

2 Inhalt 1. Vorstellung 2. IT-Risiken aus der Sicher eines Versicherers 3. Fallbeispiel(e): Sony Playstation u.a. 4. Maßnahmen zur Risikobewältigung - Ganzheitliches Risikomanagement Seite 2

3 1. Vorstellung Visitenkarte AXA Versicherung AG Dipl.-Ing. Dirk Kalinowski Branchenverantwortlicher IT-Dienstleister und Software Spezialist für Produkthaftpflicht Colonia-Allee 10 20, Köln Tel.: +49 (0)221 / dirk.kalinowski@axa.de Seite 3

4 AXA Deutschland Teil einer starken weltweiten Gruppe Die AXA Gruppe in Zahlen 2011 Einnahmen: Konzernergebnis (IFRS): Operatives Ergebnis (Underlying Earnings): Verwaltetes Vermögen: Mitarbeiter: 86,1 Mrd. Euro 4,3 Mrd. Euro 3,9 Mrd. Euro 836 Mrd. Euro weltweit Der AXA Konzern in Zahlen 2011 Einnahmen: 10,6 Mrd. Euro Konzernergebnis (IFRS): 273 Mio. Euro Operatives Ergebnis (Underlying Earnings): 401 Mio. Euro Kapitalanlagen: 66 Mrd. Euro Mitarbeiter: Exklusiv-Vermittler: Seite 4

5 1. Vorstellung Kompetente Beratung und Information Information zum Risiko und zu Versicherungsmöglichkeiten (u.a. auf Sensibilisierung der Kunden durch: Pressearbeit Messen (it-sa u.a.) Vorträge Mitglied in der BITKOM, Arbeitskreis sicheres Rechenzentrum Zusammenarbeit mit BSI (Grundschutz) Sponsor <kes>-studie 2012 Vor Ort mit spezialisierten Agenturen Seite 5

6 1. Vorstellung Lifecycle of Information Security Ganzheitlicher IT-Risikomanagement-Ansatz durch Kooperation der AXA Versicherung AG mit IT-Beratungsunternehmen: SIZ Informationszentrum der Sparkassenorganisation GmbH (Informationsmanagementsysteme, Zertifizierung, Business Continuity etc.) 8com GmbH (insb. Penetrationstests, Awareness, Schulung) Seite 6

7 2. IT-Risiken aus Sicht eines Versicherers Neue Bedrohungen für Unternehmen Missbrauch und Manipulation Verstoß gegen Schutzgesetze Ausfall der IT Netzausfall Geheimnisverrat und Spionage Datenverlust Schäden durch vom Unternehmen verbreiteter Malware Seite 7

8 2. IT-Risiken aus Sicht eines Versicherers Die Herausforderung Daten sind einer der wichtigsten Rohstoffe des 21. Jahrhunderts (VDI-n, ) Angst vor dem großen Hack Etablierte IT-Sicherheitssysteme versagen zunehmend (FAZ, ) Angst vor Datendiebstahl wächst (FAZ, ) Typische Zeitungsüberschriften IT-Risiken sind - neuartig (mangelnde Schadenerfahrung, fehlendes fachliches Verständnis) - teilweise komplex bzw. subtil hinsichtlich ihrer Ursache/Herkunft - in ihrer Auswirkung oft nur schwer einschätzbar Seite 8

9 2. IT-Risiken aus Sicht eines Versicherers Was sind Daten wert? Der Wert von Daten kann gemessen werden durch: Wiederherstellungskosten (z. B. Neueingabe, Rückspielen von Sicherung, Kauf von Lizenzen etc.) Mehrkosten, die mit dem Datenverlust verbunden sind (z. B. manuelle Datenverarbeitung) Wirtschaftlicher Nutzen der Daten (z. B. Gewinne durch Software) Ursprüngliche Herstellkosten (z. B. CAD-Zeichnungen) Immaterieller Wert (z. B. Computergrafiken) Die mit dem Verlust verbundene Betriebsunterbrechung Seite 9

10 3. Fallbeispiel: Sony Playstation Attacke im April 2011 auf den Playstation Onlinedienst Dabei wurden 77 Mio. Nutzerdaten gestohlen/kopiert, darunter Kreditkarten-Nummern Daraufhin wurde am der Online-Dienst komplett abgeschaltet, erst Mitte Mai ging der Dienst wieder online SonyPictures wurde am Ziel eines weiteren Angriffs Dabei wurden 1 Mio Passwörter geknackt, die nicht verschlüsselt abgelegt waren Seite 10

11 Welche Kosten sind möglicherweise angefallen? 3. Fallbeispiel: Sony Playstation Datenverlust/-wiederherstellung (hier vermutlich nicht relevant) Ausfallkosten von Sony (Ausfall kostete Sony nach Presseberichten 14 Mrd. Yen (136 Mio. ) Illegale Kreditkartendatennutzung (Regress von Banken und Kunden, ggf. Klagen) in den USA sind 60 Sammelklagen anhängig Ausgleich der Nutzer für Mehraufwand (z. B. neue Kreditkarte) Mehrkosten zur Wiederherstellung des Verbrauchervertrauens (Reputationsschaden zusätzliche Werbemaßnahmen) - Kundenverluste Zusätzliche Sicherheitsmaßnahmen (Verschlüsselung, Testläufe, externe Beratung etc.) und Kosten zur Schadenermittlung (Forensik) etc. Kosten aufgrund Verletzung des Datenschutzgesetzes (Meldepflichten, Rechtsanwaltskosten, ggf. Strafzahlungen) Welche dieser Kosten sind versicherbar? Anmerkung: Der Versicherer von Sony weigert sich für die Schäden von geschätzt 150 Mio. aufzukommen, da für diese Schäden keine Deckung besteht! Seite 11

12 3. Fallbeispiel: Ausfall Webshop Ein IT-Dienstleister hatte die Aufgabe, den Internetauftritt eines Versandhandels zu betreuen (Web-Hosting) Aufgrund hohen Zugriffs am Ostermontag 2007 wurde der Notfallshop aktiviert. Dabei kam es während des Downloads zu einem Fehler. Die Verlinkung führte auf falsche Seiten, Warenkörbe gingen komplett verloren etc. Der Auftragseingang ging nachweislich zurück (Vergleich zu Ostermontag 2006 sowie weitere Referenzsonntage 2007) - Ausfallzeitraum bis Uhr, entspricht 85 % der Gesamt-Auftragseingänge. Entgangener Bruttoumsatz lag damit bei ca. 658 T und damit ein Deckungsbeitrag-Ausfall (DB1) von ca. 152 T. Weiterhin wurden Neukundenverluste eingerechnet. Tatsächlich konnte aber in den folgenden Tagen Kompensationsgeschäft erzielt werden. Der Schaden konnte mit 40 T geschlossen werden Seite 12

13 3. Fallbeispiel: Betriebsunterbrechung im Chemiewerk Ein IT-Dienstleister hatte den Auftrag, ein Netzwerk in einer chemischen Produktion umzubauen ( Einbindung eines weiteren Automatisierungssystems in die bestehende Leittechnik ). Bei einem Bus-Umbau wurde ein Stecker fehlerhaft gesteckt. Dies führte zu einem kurzzeitigen Totalausfall (ca. 1 min) der gesamten Netzwerkkommunikation, auch der angrenzenden Bereiche. Dieses führte in weiterer Folge zu einem größeren Ausfall der Produktionsanlagen. Der Schaden wurde vom Anspruchsteller auf rund 3 Mio geschätzt. Die Ursache liegt in einer Netzwerkschleife (Loop), damit zu zirkulierenden Datenpaketen (Rückkopplung) und einer Überlastung des Netzwerks, was wiederum den Ausfall der Kommunikation zur Folge hatte. Die Anlage fährt in einer solchen Situation in einen sicheren Zustand, schaltet also ab. Schutzmechanismen (Loop-Detection etc.) wurden nicht eingesetzt. Seite 13

14 4. Maßnahmen zur Risikobewältigung Der Risikomanagementprozess (nach ISO 31000) vermeiden vermindern versichern Seite 14

15 4. Maßnahmen zur Risikobewältigung Versicherungsmöglichkeiten Potentielles Risiko Versicherungsmöglichkeit Ausfall der IT durch einen Sachschaden (z. B. Brand, Fehlbedienung, Vandalismus) Sachversicherung, z. B. Elektronikversicherung inkl. Betriebsunterbrechungsversicherung Zielgerichtete DoS- bzw. Hacker-Attacke Geheimnisverrat VertrauensschadenV: Kosten für Wiederherstellung und Mehrkosten sowie unmittelbarer Schaden (Beispiel: Telefonhacking) Löschung oder Veränderung von Daten Elektronik- (bzw. Software-)V Bei Vorsatz: VertrauensschadenV Verstoß gegen Datenschutzgesetz RechtsschutzV HaftpflichtV (auf Ausschlüsse achten!) Seite 15

16 4. Maßnahmen zur Risikobewältigung Wo liegen die Grenzen von Versicherung? Kosten durch nicht zielgerichtete Schadsoftware Mittelbare Kosten durch Hackerangriffe wie z. B. Kreditkartenmissbrauch Betriebsunterbrechung durch Hackerangriffe, DoS-Attacken, Schadsoftware ohne einen vorausgehenden Sachschaden Ausfall des Internetzugangs (aber mögliche Haftung Dritter beachten!) Kosten für die Rufwiederherstellung bzw. den Imageverlust nach z. B. einem Datenskandal Zugangserpressung Seite 16

17 4. Maßnahmen zur Risikobewältigung Der Risiko-Check IT Der Risiko-Check IT der AXA Leitfaden für die Identifizierung von IT-Risiken im eigenen Unternehmen Konkretisierung durch Abschätzung der möglichen Schadenhöhe Hilfestellung zur Auswahl des optimalen Versicherungsschutzes Gesprächsleitfaden für die Beratung mit einem Versicherungsvermittler Seite 17

18 Vielen Dank für Ihre Aufmerksamkeit Seite 18 Ort, Datum