Cyber Risiken und deren Transfermöglichkeiten eine ganzheitliche Betrachtung

Transkript

1 Allianz Global Corporate & Specialty Cyber Risiken und deren Transfermöglichkeiten eine ganzheitliche Betrachtung Jens Krickhahn Friedrichshafen, 16. Februar 2016

2 Agenda IT-Sicherheit: Herausforderungen für Unternehmen Risikominimierung und Risikotransfer Risikopotential nach Cyber Vorfällen Vorteile einer Cyber Versicherung am Beispiel der Allianz-Cyber-Protect-Bedingungen

3 1 Allianz Risk Barometer 3

4 1 Risikoexponierung von Unternehmen aus Sicht AGCS Mögliche Anspruchsteller / Geschädigte - Dritte (Kunden/Lieferanten), da Lieferverpflichtungen innerhalb Supply Chain nicht eingehalten werden können - Dritte (Kunden), da Erhebung von Kundendaten - Konzerngesellschaften durch interne Wechselwirkungsschäden - eigener Betriebsunterbrechungsschäden - Mitarbeiter, da Erhebung von personenbezogenen Daten im Anstellungsverhältnis - Behörden, da gesetzliche Datenschutzvorgaben nicht erfüllt wurden. Ursache - Manipulation / Entzug / Verlust von Produktionsdaten - Manipulation / Entzug / Fremdnutzung / Verlust von Kundendaten - Entzug / Manipulation / Verlust / Veröffentlichung von schützenswerten Daten (Kunden- / Mitarbeiter- / R&D Daten / etc.) Geographische Auswirkung - weltweit verteilte Produktionsstandorte - weltweit ansässige Kunden / Lieferanten Mögliche Folgen - Eigenschäden durch Betriebsunterbrechung - Haftpflichtforderungen von Kunden durch Unterbrechung der Supply Chain / Dritten (z.b. Paymentcardindustry) - Eigenschäden durch Kosten für z.b. forensische Dienstleistungen, Informationspflichten, etc. - behördliche Strafzahlungen wegen Nichteinhaltung gesetzliche Datenschutzbestimmungen - Vertragstrafen wegen Nichteinhaltung vertraglicher Verpflichtungen 4

5 1 Unternehmen und ihr Vermögen sind bedroht konkret, aus dem Netz, in Deutschland Quelle: Die Zeit online (Rent a Hacker, ) 5

6 1 Distributed Denial-of-Service Service Prices Offering 1-day DDoS service 1-hour DDoS service 1-week DDoS service 1-month DDoS service Price US $ US $ 10 US $ 150 US $ 1,200 Preise beinhalten technischen Support, etc. Quelle: Trend Micro Incorporated Research Paper 2012 Russian Underground 101 6

7 1 Unternehmen und ihr Vermögen sind bedroht konkret, aus dem Netz, in Deutschland Sieben von zehn Kunden kehren bei Datenverlust und Datenschutzverletzungen Unternehmen den Rücken. (Edelman Privacy Risk Index, 2012) Nach einem Datenschutzvorfall kostet ein Datensatz urchschnittlich ca. 152 Euro (2015 Cost of Data Breach Study: Germany) Ein Drittel der deutschen Maschinen- und Anlagenbauer erlitten Produktionsausfälle in Folge von IT-Sicherheitsvorfällen. (VDMA, 2013) Durch Cyber-Crime werden in Deutschland 1,6% des BIPs vernichtet. (McAfee/CSIS, 2014) >50% aller Unternehmen verzeichneten Spionageangriffe oder verdacht. (Corporate Trust/ Bundesamt für Verfassungsschutz, 2014) Bitkom: Digitale Angriffe kosten Unternehmen über 51 Mrd. Euro ( ) Verschärfung des Datenschutz EU Datenschutzreform Datenschutz Grundverordnung 7

8 1 EU-Datenschutzreform: Mehr Rechte für Europas Internetnutzer Wichtigste Änderungen durch die neuen Vorschriften: Verarbeitung der Daten nur nach ausdrücklicher Einwilligung: Der Nutzer soll Herr seiner Daten werden. Er soll seine Einwilligung auch leicht wieder zurückziehen können dürfen. Kinder und soziale Medien: Kinder unter einem bestimmten Alter benötigen die Zustimmung der Eltern, um ein Social-Media-Konto zu eröffnen, wie zum Beispiel bei Facebook, Instagram oder Snapchat. Dies ist bereits in den meisten EU-Ländern üblich. Die neuen, flexiblen Vorschriften räumen den Mitgliedstaaten einen Spielraum für die Altersgrenzen ein (allerdings muss diese mindestens bei 13 und höchstens bei 16 Jahren liegen). Diese Flexibilität wurde auf den auf den dringenden Wunsch der Mitgliedstaaten beibehalten. Das Verhandlungsteam des Parlaments hätte eine EU-weite Altersgrenze von 13 Jahren vorgezogen. Recht auf Vergessenwerden: Die Verbraucher sollten ihre Einwilligung geben müssen, aber genauso einfach sollten sie sie auch wieder zurückziehen können. Sie bekommen ein "Recht auf Vergessenwerden", d.h. ein Recht darauf, dass auf ihren Wunsch ihre persönlichen Daten aus den Speichern von Unternehmen auch wieder gelöscht werden müssen. Datenlecks oder "gehackte" Daten: Bei Verstößen gegen den Schutz personenbezogener Daten müssen die Anbieter die zuständigen Behörden so schnell wie möglich informieren, so dass die Nutzer geeignete Maßnahmen ergreifen können. Verständliche Sprache: Die Abgeordneten haben darauf bestanden, dass die neuen Vorschriften die Praxis des "Kleingedruckten" abschaffen müssen. Die Verbraucher sollen in klarer, verständlicher Sprache und mit leicht verständlichen Symbolen informiert werden, bevor die Daten gespeichert werden; Strafen: Wenn Firmen gegen die Regeln verstoßen, drohen ihnen Strafen von bis zu vier Prozent des Jahresumsatzes; Unternehmen müssen Datenschutzbeauftragte anstellen: Unternehmen müssen einen Datenschutzbeauftragten benennen, wenn sie im großen Ausmaß sensible Daten verarbeiten oder das Verhalten vieler Verbraucher überwachen. KMU sind von dieser Vorschrift ausgenommen, es sei denn, die Datenverarbeitung ist ihre Haupttätigkeit. Zentrale Anlaufstellen für Beschwerden und die Durchsetzung der neuen Regeln: Die nationalen Datenschutzbehörden werden ausgebaut und sollen zu zentralen Anlaufstellen für Bürger werden, wo sie ihre Beschwerden über Verstöße gegen die Datenschutzvorschriften einreichen können. Die Zusammenarbeit zwischen diesen nationalen Behörden soll erheblich verstärkt werden, um einen einheitlichen Schutz der personenbezogenen Daten innerhalb der Union sicherzustellen. Die nächsten Schritte Über den Kompromisstext für die Verordnung stimmt das Plenum im Frühjahr 2016 (voraussichtlich März oder April) ab. Nach dem Inkrafttreten haben die Mitgliedstaaten zwei Jahre Zeit, die neuen Vorschriften umzusetzen. Quelle: Pressemitteilung des Europäischen Parlaments vom 17. Dezember 2015 Zustimmung sehr wahrscheinlich. 8

9 2 Technische und organisatorische Maßnahmen bieten keinen 100%igen Schutz gegen Cyber-Gefahren. Es bleiben Restrisiken. Risikodialog zwischen Kunden, Allianz, T- Systems, um Bedrohungsszenarien zu identifizieren Abgestimmtes Verständnis von Geschäftsmodell und Wertschöpfungskette Identifikation der IT-Kronjuwelen Empfehlung von Lösungen und Produkten Versicherungskonzepte zur Absicherung des Restrisikos Cyber Security Circle 1 Forensische Dienstleistungen zur Schadenermittlung Krisenmanagement und Regulierung im Schadenfall Schadenanalyse zur Vermeidung ähnlicher Fälle in der Zukunft Kontinuierliche Anomalieerkennung Einsatz von Frühwarnsystemen Austausch über Bedrohungen Cyber-Versicherung als Teil eines ganzheitlichen Risikomanagements von Cyber-Gefahren 1) Die jeweiligen Leistungen erfolgen getrennt und selbstständig durch die T-Systems International GmbH oder die Allianz Global Corporate & Specialty SE und nicht gemeinsam 9

10 2 Risikotransfer ist ein wichtiger Baustein in einem ganzheitlichen Cyber-Risikomanagement Wir können keine 100%ige IT-Sicherheit aufbauen, da wir dann nicht mehr arbeiten können und unser Geschäftsmodell nicht mehr funktioniert. Wir müssen Prozesse und Technik in manchen Bereichen bewusst offen lassen und Restrisiken eingehen. Akzeptieren Verhindern CIO eines deutschen Konzerns Kontrollieren Restrisiken Transferieren 10

11 3 Risikopotential nach Cyber Vorfällen Drittschäden / Haftung Eigenschäden Verletzung von Datenschutzrecht Verletzung von Datenvertraulichkeit Verletzung gewerblicher Schutzrechte Verletzung PCI-DSS (PaymentCardIndustry- DataSecurityStandards) Verletzung von Vertragspflichten Betriebsunterbrechungsschäden Daten- und Systemwiederherstellungsaufwand Kosten IT-forensischer Ermittlungen CERT-Kosten Computer-Betrug- Schäden Erpressungsschäden Reputationskrisenmanagementkosten Kosten für die Information von Kunden / Behörden nach Datenschutzverletzungen Kosten für die Vertretung in aufsichtsrechtlichen Verfahren Rechtsberatungskosten zu IT- und Datenschutz Bußgelder 11

12 4 Warum es eine eigenständige Cyberpolice braucht (I) Wie reagieren meine traditionellen Versicherungen? Bestehende Versicherungspolicen (Betriebshaftpflicht-; Sach-, Betriebsunterbrechungversicherung, etc.) bieten keinen umfänglichen Versicherungsschutz gegen Cyber Risiken! Eine Haftpflichtversicherung setzt i.d.r. ein Verschulden des Versicherungsnehmer voraus; In der Betriebsunterbrechungsversicherung ist i.d.r. ein Sachschadenereignis erforderlich; In der Sachversicherung wird i.d.r. die beschädigte/entwendete Sache (z.b. gestohlener Latop) ersetzt nicht aber die Kosten für die Wiederherstellung von Daten, Kosten forensische Dienstleistungen oder Informationspflichten gegenüber dem Dateninhaber/Behörden; Kein Zugriff auf externe Dienstleister über Police sichergestellt; etc. 12

13 4 Warum es eine eigenständige Cyberpolice braucht (II) Vorteile einer eigenständigen Allianz Cyber Versicherung: Versicherungsschutz für Haftpflichtansprüche Vertraulichkeits- und Datenschutzverletzungen Netzwerksicherheitsverletzungen Digitale Kommunikation E-Payment/Vertragsstrafe Versicherungsschutz für Eigenschäden Informationskosten Betriebsunterbrechung und Wiederherstellung Datenmanipulation (sofern vereinbart) Versicherungsschutz für behördliche Datenschutzverfahren Keine Unterscheidung in Innen- oder Außentäter - beide Tätergruppen sind umfasst. Zugriff auf Netzwerk von externen Spezialisten (z.b. Forensiker) sichergestellt; 13

14 4 Experten bieten schnelle Hilfe im Krisenfall Cyber-Versicherung bietet im Schadenfall schnelle und umfassende Hilfe aus einer Hand Banken Kreditkartenindustrie Computersystem Produktionssysteme Finanzsysteme Internetanzeigen Zulieferer Kunden Schnelle Reaktion und Hilfe durch Gemeinsam erarbeiteten Krisenplan Einen Forensiker Umfassende Schadenregulierung des Führenden 14

15 4 Allianz bietet Versicherungsschutz gegen Cyber-Risiken für alle Kundensegmente an! AGCS Konzernkunden (> 500 Mio. EUR Umsatz) Cyber Protect/ Cyber Protect Premium in Kooperation mit AGCS Firmen-/Konzernkunden ( Mio. EUR Umsatz) CyberSchutz Firmenkunden (< 150 Mio. EUR Umsatz)

16 Allianz SE 2013