Cyber Risiken und deren Versicherbarkeit

Transkript

1 Allianz Global Corporate & Specialty Cyber Risiken und deren Versicherbarkeit bayme vbm - Kreis IT-Leiter Mittelfranken April 2014

2 Die aktuelle Situation: IT- und Cyberrisiken nehmen zu Cyberkriminalität verursacht immer größere Schäden Prominente Opfer, aber universelle Gefährdung Hackerangriffe, Schadsoftware, Denial-of-Service- Attacken, Erpressung Straftaten als Spitze des Eisbergs (Bundeskriminalamt, 2012) Systemausfälle u. Datenverluste haben oft interne Ursachen Datenmissbrauch Mitarbeiter als Täter Fehlbedienung Fehlendes Sicherheitsbewusstsein Mangelhafte Prozesse Ausgefallene Systeme Regulierung von Datenvorfällen schafft neue Schadenpotenziale Bundesdatenschutzgesetz (2009) und geplante EU- Richtlinie: betroffene Unternehmen müssen Behörden und Kunden informieren Kosten für Kommunikation, forensische Aufklärung, mögl. Strafzahlungen Eine reale Gefahr für vernetzte Unternehmen! 2

3 Die fünf größten IT-Sicherheitsrisiken für Unternehmen* profitabil Sicherheit ity Cyber (Un)- 1 Grow Supply Stabiliz Big Data th Chain- GC e Sicherheit foundati P on 3 engagem Cloud ent Computing engagem Mobile Endgeräte ent 45 Höhere Aktivität von Staaten und staatlichen Einrichtungen im Cyberspace (Spionage) Jedes Unternehmen und jede Branche ist potentielles Opfer für Angriffe Schutz kritischer nationaler Infrastrukturen Immer stärkere internationale Verflechtung von Unternehmen Informationssicherheitsvorfälle bei Lieferanten, Kunden, etc. schaden Unternehmen selbst Keine Übersicht / Kontrolle über weitergegebene kritische Daten Datenmenge steigt weiter Sicherung von eingehenden und ausgehenden Daten ist Herausforderung Verschärfte rechtliche Vorgaben (Stichwort Reform der EU- Datenschutzrichtline) Datensicherheit in der Cloud immer noch problematisch Kosten für Angriffe auf die Cloud und für Compliance- Nachweise werden weiter steigen Nutzung von privaten mobilen Endgeräten am Arbeitsplatz birgt Risiken bezüglich Datenverlusten Laut einer Studie** waren in 2012 bereits 79% der Unternehmen von einem Sicherheitsvorfall, verursacht durch mobile Geräte betroffen *Quelle: Information Security Forum, 2013 **Quelle: Check Point Mobile Security Survey

4 Zahlen und Fakten zur Cyber-Kriminalität 70% aller größeren Unternehmen in Deutschland waren bereits von einem Cyber-Angriff betroffen.* Seit 2007 ist die Zahl der Cyber-Straftaten hierzulande um 87 Prozent angewachsen.** Das BKA zählte 2012 rund Fälle von Computersabotage, das sind 134 Prozent mehr als im Vorjahr.** Ponemon-Institute (2012): Durchschnittlicher Schaden deutscher Unternehmen durch Cyber-Angriffe: 5 Millionen Euro pro Jahr. *** Europaweit verlieren Unternehmen etwa 17 Milliarden Euro im Jahr durch Ausfälle im IT-Bereich. Laut einer KPMG Studie sehen 80% der Unternehmen für die Gesamtwirtschaft ein hohes bis sehr hohes Risiko, von Cyber Kriminalität betroffen zu sein.**** Doch nur 33% bewerten das Risiko, selbst Opfer von Angriffen zu werden, als hoch bis sehr hoch.**** VDMA Studie: 29% der befragten Mitglieder hatten Security Vorfälle mit der Folge von Produktionsausfällen.***** There are only two types of companies: those that have been hacked and those that will be. Robert Mueller, FBI Direktor, März 2012 *Allensbach-Studie, 2011 **BKA, Polizeiliche Kriminalstatistik 2012 ***BSI, Lagebild Cyber Sicherheit 2013 ****KPMG, e-crime Studie 2013 *****VDMA, Status Quo in der Security in Produktion und Automation 2013/2014 4

5 Unternehmen drohen durch IT-Risiken vielfältige Schäden Drittschäden / Haftung Verletzung von Datenschutz Rechtsverletzungen in digitaler Kommunikation Haftung für fehlende Netzwerksicherheit und Hackerangriffe Eigenschäden Betriebsunterbrechung / Ertragsausfall durch IT- Systemausfall Mehraufwand z.b. zur Wiederherstellung von Daten/Systemen Forensische Ermittlungen Computer-Betrug, Erpressung Reputationsschäden Verstöße gegen Datenschutzvorschriften Kosten für die Information von Kunden / Behörden nach Datenvorfällen IT-Forensik-Kosten zur Aufklärung von Datenvorfällen Kosten auf Grund aufsichtsrechtlicher Verfahren Bußgelder* * Geplante EU Regelung sieht Bußgeld in Höhe von bis zu 2% des globalen Umsatzes eines Unternehmens vor 5

6 Schadenszenarien im Detail Eigenschäden Informationskosten Benachrichtigungspflichten gegenüber Behörden und betroffenen natürlichen Personen infolge von Datenschutzverletzungen Daten- / Software- Wiederherstellung / Wiedereingabe Betriebsunterbrechung Systemausfall IT Forensic E-Discovery Verlust oder nachteilige Veränderung von Daten oder Programmen -sachschadenunabhängig! - durch Bedienungsfehler oder auch Attacken mittels Schadsoftware Betriebsunterbrechung oder beeinträchtigung durch die nachteilige Veränderung oder den Verlust von Daten oder Programmen Unvorhergesehener Systemausfall beim VN ohne Sachschaden, Datenverlust oder Datenveränderung führt zur Betriebsunterbrechung Verdacht auf unerlaubten Zugriff auf Betriebs- und Geschäftsgeheimnisse erzeugen signifikante IT-Forensik Aufwendungen Aufgrund einer gerichtlichen Anordnung muß der VN elektronische Informationen seines Unternehmens einem Gericht zur Verfügung stellen. Für die sachgerechte Aufbereitung entstehen erhebliche Aufwendungen (E-Discovery) für die notwendigen Experten. 6

7 Schadenszenarien im Detail (Fortsetzung) Drittschäden (Haftpflicht) Verletzung von Markenrechten Mangelhafte Produkte & Dienstleistungen Verletzung von Persönlichkeitsrechten Betriebsunterbrechung Fehlerhaft programmierte Sicherheitssoftware des Versicherungsnehmers (VN) lässt einen Diebstahl von Kundendaten des Vertragspartners zu Onlinekampagne des VN verwendet einem Wettbewerber ähnliche Schrift- und Bildzeichen; der Wettbewerber macht einen Mindererlös geltend Vom VN betriebene Cloud-Anwendung ist durch eine Denial-of-Service Attack lahmgelegt; die Kunden können nicht auf ihre Daten zugreifen Fehler in der programmierten Software des VN stoppt die Fertigung auf einer Produktionsstraße seines Kunden Produktrückruf Entgangener Gewinn Vom VN mangelhaft hergestelltes Hardware-Bauteil kann zu Brandverletzungen führen und verursacht Rückruf des Endproduktes auf Seiten des Vertragspartners Onlinemarktplatz des VN ist mehrere Tage nicht funktionstüchtig, als Folge können Kunden ihre Produkte nicht verkaufen und erleiden einen Gewinneinbruch 7

8 Der Markt für IT-Versicherungen Ein Überblick Der Markt für IT-Versicherungen ist aktuell außerhalb der USA noch sehr unterentwickelt, die bestehenden Versicherungslösungen relativ neu. Gleichzeitig sind die Versicherungslösungen auf dem Markt bezüglich Versicherungssummen und Ausschlüssen sehr unterschiedlich und schwierig zu vergleichen. In den USA wird mit Cyberversicherungen bereits ein Prämiumvolumen von rund einer Milliarde US-Dollar erzielt. In Deutschland geben Unternehmen aktuell zwischen 50 und 70 Millionen Euro im Jahr für IT-Versicherungen aus. Es gibt einen großen Bedarf für eine umfassende und dabei einfache Versicherungslösung für Cyber Risiken, mit Berücksichtigung der individuellen Anforderungen der Kunden. Studien schätzen, dass in den nächsten zwei Jahren der Markt für diese Art von Versicherungslösungen um 40 bis 50 Prozent wachsen wird. Die AGCS sieht den Markt für IT-Versicherungen in Europa bis 2018 bei einem Volumen von 700 bis 900 Millionen Euro und strebt einen Marktanteil von ca. 20 Prozent an. In Deutschland ist die AGCS mit den Lösungen Global & ESI Net auf dem Markt, wobei Global Net bereits seit 2001 angeboten wird. Die neue Deckung wird ab 2013 stufenweise in allen wichtigen AGCS Märkten, darunter UK, Frankreich, Spanien, Neuseeland und Australien, Kanada sowie Asien eingeführt und wird Global & ESI Net in Deutschland ersetzen. 8

9 auf einen Blick Sicher in die digitale Unternehmenszukunft Um unseren Kunden ein stabiles Sicherheitsnetz zu bieten und den steigenden Anforderungen von Risikomanagement und Compliance bezüglich einer breiten Anzahl an IT- Exposures gerecht zu werden, haben wir unsere bestehenden IT-Versicherungslösungen (Global & ESI Net) weiterentwickelt und unter einer Umbrella Deckung zusammengefasst. deckt eine breite Anzahl der wesentlichen IT-Risiken ab, mit denen jedes Unternehmen konfrontiert ist - Schäden im eigenen Haus genauso wie Ansprüche Dritter. Unsere Lösung bietet flexiblen, umfassenden und bezahlbaren Versicherungsschutz in drei Varianten, für eine bedarfsgerechte Deckung. Basis Premium Premium Plus Basisschutz für die wesentlichen Eigen- und Drittschäden durch IT- Risiken Schlankes Underwriting ermöglicht unkomplizierte Angebotsabgabe Limit: max. 10 Mio. EUR Erweiterter Deckungsumfang für Eigen- und Drittschäden (z.b. Auslöser durch interne Fehler) Risikoprüfung durch Allianz Risk Consulting (ARC) Limit: max. 50 Mio. EUR Kundenspezifisch maßgeschneiderte Lösung, passend zum Bedrohungsmodell Risikoprüfung und Beratung vor Ort beim Kunden durch ARC Experten Limit: max. 50 Mio. EUR 9

10 Wording Highlights Datenschutzverletzung: Deckung für jede Datenschutzverletzung, auch ohne IT-Bezug ( Papierakte); Datenschutzverletzung: Deckung auch für Ansprüche von Mitarbeitern gegen versicherte Unternehmen; Netzwerksicherheit: Deckung von Markenrechtsverletzungen; E-Payment: Vertragsstrafen im Verhältnis zum E-Payment Service Provider sind versichert; Informationskosten: Fehleranalyse, Datensicherung, Rechtsberatung, Credit Monitoring, Erfüllung von Anzeigeverpflichtungen; Vollwertige Betriebsunterbrechungsdeckung für den Gesamtbetrieb, nicht nur Internetbetrieb; hohe Einstiegskapazität; Sachschaden nicht erforderlich Betriebsunterbrechungsdeckung für Bedienungsfehler und technische Störungen (Premium) Betriebsunterbrechungsdeckung für Rückwirkungsschäden (CBI) für Premium Plus. Cyber Erpressung mit Präventionsberatung; Vollwertiger Verfahrensrechtsschutz, nicht nur Annex zur Haftpflicht; Krisenkommunikationsleistung bereits bei Behauptung einer Datenschutz- oder Vertraulichkeitsverletzung in den Medien; Rückwärtsdeckung; Nachhaftungsfrist für Haftpflichtansprüche und Verfahren (60 Tage + Zukaufsoption) 10

11 Unser Prozess zur Absicherung von Cyber-Risiken Für Premium und Premium Plus Deckung 1 Risikoermittlung und - analyse 2 Bewertung des Risikos 3 Erstellung von individ. Versicherungskonzept Die Prüfung der IT-Systeme sowie der Risikokultur bezüglich IT-Exposures im Unternehmen des Kunden ist fixer Bestandteil der Versicherungslösungen Premium und Premium Plus. Dabei erhalten die Experten von Allianz Risk Consulting im Dialog mit dem Kunden sowie durch Vor-Ort-Analysen einen umfassenden Einblick in die Qualität der Systeme und Prozesse, und begleiten den Kunden in der Verbesserung des Risikomanagements. Der Fokus liegt auf der Verbesserung der internen Schwachstellen und damit der Prävention von Schäden, und folgt einem mehrstufigen Prozessmodell. 11

12 Vertragsmanagement Lieferantenmanagment AGCS IT-Risikoprüfung: Wie gut sind IT-Prozesse und Information Security? AGCS House of IT Quality CIP* Risk-Management Philosophie IT-spezifische Standards verschiedener Branchen (z.b. Telecom IT, Automotive IT) AGCS Risikoingenieure bestimmen IT-Reifegrad eines Unternehmens in sechs Kategorien Allgemeine Industrienormen und Prozessstandards Qualitätsmanagement Controlling & Reporting Compliance Zugriff/Verfügbarkeit von Daten Netzwerk, Leitungen, Rechenzentren, Hardware, Software Keine bzw. keine verlässlich reproduzierbaren Prozesse Prozesse u. Qualitätsmessung, aber wenig belastbar in kritischen Situationen Robuste Prozesse, sehr gute Steuerung, laufende Verbesserung IT-Prozesslandschaft (Rechenzentren, Daten, Zertifizierung, Lieferanten) Information Security Management (Vertraulichkeit, Verfügbarkeit, Integrität von Daten) IT-Risikomanagement: Bedrohungsmodellierung, Schwachstellenmanagement Kontinuierliche Verbesserung als Teil der Unternehmenskultur *CIP Continuous Improvement Process 12

13 Kundenbedarf/-nutzen Kundenbedarf Absolute IT-Sicherheit gibt es nicht. Management des IT-Restrisiko liegt in Verantwortung des Risk Managers. Risk Manager / Inhouse Broker gerät, wenn er das Thema im Unternehmen besetzen will, u.a. in Konflikt mit der IT-Abteilung. Umfassende Absicherung der IT-Risiken und Datenschutzrisiken. Hohe Deckungsqualität, Vertragssicherheit. Ausreichend hohe Deckungssummen. Unterschiedliche individuelle Bedürfnisse der Kunden Deckungsqualität, UW-Aufwand, Pricing. Kundennutzen kann in der Basivariante Türöffner sein. Einbeziehung der IT nicht erforderlich. Für weitergehende Gespräche können IT-Experten der AGCS Versicherungswelt und IT-Welt beim Kunden zusammenbringen. bietet umfassenden Versicherungsschutz: Dritt- und Eigenschäden, Verfahrensrechtsschutz, Serviceleistungen. AGCS Produkt ist bezüglich Vollständigkeit und Transparenz führendes Konzept am Markt. AGCS bietet mit bis zu 50 Mio. Euro die höchste Kapazität im Markt. Gestuftes Konzept ermöglicht die Abbildung individueller Bedürfnisse. Hohe IT-Expertise auf Seiten des Versicherers. AGCS verfügt über langjährige Expertise im Bereich IT in allen Funktioneinheiten: Underwriting, Claims, ARC. 13

14 Zusammenfassung Sicher in die digitale Unternehmenszukunft! UMFASSEND UND BEZAHLBAR - Eine breite Auswahl an Gefahrenpotentialen im Bereich Cyber wird durch eine Police abgedeckt EINFACH UND SCHNELL - Basis Lösung bietet umfassenden Schutz ohne großen Aufwand beim Abschluss der Police durch schlankes Underwriting INDIVIDUELLE LÖSUNG - Modulare Erweiterungen und maßgeschneiderte Lösungen entsprechend den Kundenbedürfnissen durch drei Produktvarianten HOHE KAPAZITÄT - Limits von bis zu 50 Mio. Euro EXPERTISE - Große In-House Expertise durch die Erfahrung mit unseren Kunden und deren Bedürfnissen im Rahmen bereits existierender Produkte 14

15 Risikoszenario 1 Bei einem Hackerangriff auf die Computersysteme der Firma Alpha werden Datensätze von Kunden gestohlen, darunter Kreditkarteninformationen. Kunden in Europa sowie nicht-europäischen Ländern inklusive den USA sind von dem Vorfall betroffen. Diverse Datenschutzbehörden untersuchen den Vorfall. Eine Behörde sperrt die Online Handelsplattform des Unternehmens Alpha bis zum Abschluss der Sicherheitsüberprüfungen der Systeme. Schadenersatzforderungen werden sowohl in Namen der betroffenen Kunden (Sammelklage) sowie durch den Kreditkartenanbieter eingereicht. Exposure Haftpflicht gegenüber Kunden durch Datenschutzverletzung, Abwehrkosten und Schadenersatzforderungen Kosten für Information der Kunden Verfahrenskosten und potentielle Strafzahlungen Betriebsunterbrechung Reputationsschäden deckt ab: Persönlichkeitsrechts- und Datenschutzverletzungen (inklusive Abwehrkosten, Informationskosten und Schadenersatz) Verfahrensrechtsschutz und Geldstrafen Betriebsunterbrechung Krisenkommunikation und Beratung E-Payment 15

16 Risikoszenario 2 Hacker schleusen sogenannte Malware in die Computersysteme der Firma Beta ein, die zur Korrumpierung von Daten und der Systeme und im Folgenden zu einem Ausfall der Online Verkaufsplattform des Unternehmens führen. Die Malware verbreitet sich darüber hinaus ebenfalls in den Computern der Kunden von Beta und verändert / zerstört auch dort Daten. Schadenersatzansprüche gegen Beta sind die Folge. Exposure Haftpflicht gegenüber Kunden durch die Malware Betriebsunterbrechung Kosten für die Wiederherstellung der Systeme von Beta Reputationsschäden deckt ab: Netzwerksicherheitsverletzung (inklusive Schadenersatzforderungen und Abwehrkosten) Betriebsunterbrechung Wiederherstellungskosten Krisenkommunikation 16

17 Premium Plus Risikoszenario 3 Beim Aufspielen einer neuen, fehlerhafte Software fallen die Server des Versicherungsnehmers (Rechenzentrumsbetreiber) aus. Als Folge stehen die Betriebssysteme still, was zur Betriebsunterbrechung beim Versicherungsnehmer sowie Drittkunden führt. Exposure Betriebsunterbrechung bzw. daraus resultierende Haftpflichtansprüche der Drittkunden Kosten für die Wiederherstellung der Systeme Reputationsschäden deckt ab: Betriebsunterbrechung Haftpflichtansprüche Wiederherstellungskosten Krisenkommunikation Forensik 17

18 Kontakt Jens Krickhahn Chief Underwriter Cyber & Fidelity Financial Lines Germany & Central Europe Telefon:

19 Disclaimer Cautionary Note Regarding Forward-Looking Statements The statements contained herein may include statements of future expectations and other forward-looking statements that are based on management s current views and assumptions and involve known and unknown risks and uncertainties that could cause actual results, performance or events to differ materially from those expressed or implied in such statements. In addition to statements which are forward-looking by reason of context, the words "may", "will", "should", "expects", "plans", "intends", "anticipates", "believes", "estimates", "predicts", "potential", or "continue" and similar expressions identify forward-looking statements. Actual results, performance or events may differ materially from those in such statements due to, without limitation, (i) general economic conditions, including in particular economic conditions in the Allianz Group s core business and core markets, (ii) performance of financial markets, including emerging markets, and including market volatility, liquidity and credit events (iii) the frequency and severity of insured loss events, including from natural catastrophes and including the development of loss expenses, (iv) mortality and morbidity levels and trends, (v) persistency levels, (vi) the extent of credit defaults, (vii) interest rate levels, (viii) currency exchange rates including the Euro/U.S. Dollar exchange rate, (ix) changing levels of competition, (x) changes in laws and regulations, including monetary convergence and the European Monetary Union, (xi) changes in the policies of central banks and/or foreign governments, (xii) the impact of acquisitions, including related integration issues, (xiii) reorganization measures, and (xiv) general competitive factors, in each case on a local, regional, national and/or global basis. Many of these factors may be more likely to occur, or more pronounced, as a result of terrorist activities and their consequences. The matters discussed herein may also be affected by risks and uncertainties described from time to time in Allianz SE s filings with the U.S. Securities and Exchange Commission. The company assumes no obligation to update any forward-looking statement. No duty to update The company assumes no obligation to update any information contained herein. 19