Cyber- und IT-Risiken im unternehmerischen Risikomanagement. Essen

Größe: px

Ab Seite anzeigen:

Download "Cyber- und IT-Risiken im unternehmerischen Risikomanagement. Essen 20.03.2015"

Helge Auttenberg
vor 8 Jahren
Abrufe

1 Cyber- und IT-Risiken im unternehmerischen Risikomanagement Essen

2 Cyber Risiken Bedeutung für Ihr Unternehmen

3 Nicht erreichbar?

4 Erpressung Quelle: Palo Alto Networks Essen

5 Sony Pictures Essen

6 Ausfall des IT Dienstleisters

7 Potenziell verwundbare Industrieanlagen Quelle: Projekt der FU Berlin (heise-online) Essen

8 Datenklau Feb Quelle: Cyber Versicherung von 100 Mio. EUR nicht ausreichend

9 Neuartige Risiken Die Nutzung des Internets birgt neuartige Risiken Zunehmende Abhängigkeit der Geschäftsprozesse von der Informationstechnik - insbesondere Vertrieb und Produktion! Globale Reichweite der anonymen Technik Internet, so dass Angreifer für den Angegriffenen unsichtbar bleiben Zunahme von Geldströmen und Bezahlvorgängen über IT-System Professionalisierung des Cyber-Crime Wirtschaftsspionage Häufig ist die Unternehmensleitung in der Bewertung und Bewältigung von derartigen Risiken fachlich überfordert

Globale Reichweite der anonymen Technik Internet, so dass Angreifer für den Angegriffenen unsichtbar bleiben Zunahme von

10 Cyber Risiken Management

11 Kernfragen Was sind Ihre Kritischen Prozesse? Kritischen Daten? Kritischen Ressourcen? Wie sind diese Identifiziert? Geschützt? Überwacht? Im Notfall wiederherstellbar?

12 Verantwortung der Leitung 1. Die Unternehmensleitung ist verpflichtet zur Aufrechterhaltung der wertschöpfenden Geschäftsprozesse (Vorsorge)! 2. Auf Not- und Krisensituationen muss angemessen reagiert werden können! Konzeption / Planung Notfallmanagement Übung und Aktualisierung Auswahl von Vorsorgemaßnahmen u. a. Versicherungsschutz

13 Risikomanagement als Prozess vermeiden vermindern versichern

14 Risikoidentifizierung Hilfsmittel: Risiko Check IT der AXA ( check) Gefahrenkataloge BSI, ISO 2700x u.a. Kommunikation mit IT/Fachabteilungen Business Impact Analyse Externe Risiko Analyse (Berater)... Identifizierung setzt Risikokenntnis voraus!

Kommunikation mit IT/Fachabteilungen Business Impact Analyse

15 Leitfaden zur Identifizierung von IT Risiken im Unternehmen Konkretisierung durch Abschätzung der möglichen Schadenhöhe Gesprächsleitfaden Risikoidentifikation Der Risiko Check IT Download unter versicherung

möglichen Schadenhöhe Gesprächsleitfaden

16 Risikoidentifizierung Produktion Vertrieb Entwicklung Datenschutz x IT-Ausfall x Haftpflicht Spionage.

17 Risiken analysieren Auswirkungen klären (Kategorien) SV /Beratungs Kosten Datenwiederherstellung Betriebsunterbrechung Etc. Risikofaktoren auflisten Reputationsrisiken kritische Ressourcen Etc. Priorisieren und auswählen Tipp: Nicht mehr als 5 Risiken beobachten! Bewertung Gefährdung / Schutzgrad Ausmaß / Eintrittswahrscheinlichkeit

Risikofaktoren auflisten Reputationsrisiken kritische Ressourcen Etc.

18 Risikobewertung Übergreifende Risikofaktoren Positive Faktoren (beispielhaft): Hohe Standards Langjährige Erfahrung und Kompetenz Kompetente IT Abteilung... Negative Faktoren (beispielhaft): Internationale Verflechtung Produktion in China Wertvoller Markenname als mögliches Angriffsziel Wirtschaftlich schwierige Situation...

.. Negative Faktoren (beispielhaft): Internationale Verflechtung Produktion in

19 Risikofaktoren Anzahl Datensätze Art der Daten Datenschutz IT-Ausfall Ausfall Web-Seite Absicherung RZ Notfallplan

20 Quantitative Bewertung A) Auswirkung Eigenschäden: PML *) Betrachtung Betriebsunterbrechung Datenschutz: Informationskosten Datenwiederherstellung Etc. Dritt Schäden: Haftpflichtansprüche Tätigkeit der Kunden/Auftraggeber Mögliche Auswirkungen / Einfluss auf Geschäftstätigkeit *) PML = Wahrscheinlicher Maximalschaden (Probable Maximum Loss)

Dritt Schäden: Haftpflichtansprüche Tätigkeit der Kunden/Auftraggeber Mögliche

21 Quantitative Bewertung Schätzung der Schadenhöhe Beispiel: Ausfall der Web Seite (Web Shop) Geschätzte Dauer: h Umsatz je Stunde:... /h Kompensationsgeschäft Zusätzliche allgemeine Kosten: Sachverständigenkosten... Summe:

22 Quantitative Bewertung B) Eintrittswahrscheinlichkeit Intern: Vorfallsdatenbank Schäden Meldungen Dritter (Beschwerden) CIRS: Critical Incident Reporting System Extern: Schadendatenbanken des Versicherers (vertraulich!) Internet: Projekt Datenschutz datenschutz.de/datenschutzvorfaelle Cyber Allianz Studien (z. B. AV Hersteller)

23 Risikobewertung Quantitative Bewertung Risiko Betriebsunterbrechung mit Risikomatrix > 5 Mio Nr. 1 1 Schadenhöhe < 5 Mio Datenschutzverletzung 2 2 < 2,5 Mio < 1 Mio < 500 T < 250 T < 0,001 < 0,01 < 0,1 < 1 1 Häufigkeit

24 Bewältigungsmaßnahmen Gefahr (z. B. Spionage, Datenschutzverletzung) Schwachstelle (z. B. USB Stick, Mitarbeiter) Auswirkung (z. B. Mehrkosten, Gewinneinbruch) Vermeidung Prävention Versicherung

25 Strategien zur Risikobewältigung Risiken vermeiden Risiken vermindern, begrenzen Risiken transferieren Risiken selbst tragen Ausstieg aus riskantem Geschäftsfeld Substitution fixer durch variabler Kosten Zins- und Währungssicherung Risikobereitschaft definieren Verzicht auf bestimmte Technologien Organisatorische Regelungen Traditioneller Versicherungsschutz Selbstbehalte bestimmen Redundante Auslegung von Ressourcen Integrierte Risiko-Finanzinstrumente Eigen-/Risikokapital optimieren

26 Risikobewältigung Nr. Maßnahme Wirkt auf 1 Penetrations-Test 2 Zertifizierung ISMS 3 Externe Analyse und Beratung IT-Sicherheit 4 Auslagerung RZ auf externen Dienstleister 5 Vertragliche Vereinbarungen mit IT-Dienstleistern 6 Auswahl Versicherungsschutz Ausmaß Risiko 1

27 Relevante Versicherungen Betriebshaftpflichtversicherung: Internet Zusatzbaustein IT Haftpflichtversicherung (für IT Unternehmen) Sachversicherung / Inhaltsversicherung (Sachschäden!) Elektronikversicherung, inklusive: Softwareversicherung Betriebsunterbrechung VertrauensschadenV (enthält Online Betrug und Datenwiederherstellung) RechtsschutzV (Strafrechtsschutz!) NEU! Cyber Versicherung

28 Cyber Versicherung Welche Deckungsbestandteile beinhalten heutige Cyber Versicherungen? Ertragsausfall und Mehrkosten Sachverständigenkosten (z. B. Forensik) Datenwiederherstellung Krisen und Reputationsmanagement Informationskosten bei Datenschutzverletzungen Erpressungsgeld Betrugsschaden (Vertrauensschaden) Vermögensschaden Haftpflicht aufgrund benannter Gefahren

29 Schlussbetrachtung und Ausblick Kombination von Risiken (Kumulrisiken / Aggregation)? Künftige Risikoentwicklung (z. B. technische Trends, neue Gefahren, neue Vertriebswege)? Wie geht es weiter? Etablierung eines RM Prozesses für IT und Cyber Risiken (z. B. mit Prozess bzw. Risk Owner) Einordnung in ein ganzheitliches RM System Dokumentation / Software Unterstützung

30 Fazit 1. Cyber Risiken bedrohen elementare Unternehmenswerte bis hin zur Existenzgefährdung 2. Die Bewältigung von Cyber Risiken ist Verantwortung der Geschäftsführung 3. Bewerten Sie Cyber Risiken qualitativ und möglichst auch quantitativ 4. Ergreifen Sie daraus folgend angemessene Bewältigungsmaßnahmen 5. Ziehen Sie dabei auch neue Versicherungsmöglichkeiten in Betracht

31 Gibt es noch Fragen? Hier kann ein Foto platziert werden AXA Versicherung AG Dirk Kalinowski Produktmanager IT und Cyber Colonia-Allee 10 20, Köln Tel.: +49 (0)221 / dirk.kalinowski@axa.de Vielen Dank für Ihre Aufmerksamkeit!

Ähnliche Dokumente

Versicherung von IT-/Cyber-Risiken in der Produktion

Versicherung von IT-/Cyber-Risiken in der Produktion Themenwerkstatt Produktion der Zukunft Bochum, 24.06.2015 Dirk Kalinowski AXA Versicherung AG Beispiele Betriebsunterbrechung im Chemiewerk Was war