Seminar zur Cyber-Versicherung

Transkript

1 Seminar zur Cyber-Versicherung Forschungsstelle für Versicherungswesen - Universität Münster Münster, 14. Februar 2017 Aon Risk Solutions Ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH

2 Referenten Vorstellung Thomas Droberg Cyber Specialist Johannes Behrends Head of Specialty Cyber, Germany Johannes Behrends Studierte Rechtswissenschaften in Tübingen und Hamburg Nach seinem Referendariat in Düsseldorf arbeitete er zunächst als Anwalt für Medien-, Internetrecht und gewerblichen Rechtsschutz Ist Absolvent des Masterstudienganges Versicherungsrecht an der Westfälischen Wilhelms-Universität Münster Arbeitet seit 2009 für Aon Risk Solutions und ist seit 2011 für das Thema Cyber verantwortlich Leitet seit 2015 die Specialty Cyber bei Aon Risk Solutions Thomas Droberg Studierte Rechtswissenschaften in Bochum Verbrachte sein Referendariat unter anderem bei einem großen deutschen Industriekonzern in New Jersey, USA Ist Absolvent des Masterstudienganges Versicherungsrecht an der Westfälischen Wilhelms-Universität Münster Arbeitet seit 2011 für Aon Risk Solutions und beschäftigt sich seitdem mit dem Thema Cyber Seit 2015 ist er Teil der Specialty Cyber bei Aon Risk Solutions 2

3 Cyber Risiken Die Bedrohungslage 3

4 Cyber Risiken Die Bedrohungslage Wer heute glaubt als Wirtschaftsunternehmen, man wird nicht angegriffen, der muss sich wirklich Gedanken machen, ob sie noch das richtige Geschäftsmodell haben. Offenbar sind sie dann nicht mehr attraktiv für die Angreifer. Matthias Gärtner, Pressesprecher BSI 4

5 Cyber Risiken Welche Risiken fürchten deutsche Unternehmen? Quelle: Allianz Risk Barometer

6 Agenda Was sind Cyber Risiken? Schadenszenarien und wirtschaftliche Bedeutung Case Study Inhalte einer Cyber-Versicherung und Abgrenzungsprobleme Cyber-Versicherung in der Praxis Marktüberblick und Themen der Zukunft 6

7 Cyber Risiken Definition Cyber(space) Duden Wortbildungselement mit der Bedeutung»die von Computern erzeugte virtuelle Scheinwelt betreffend«, z. B. Cyberspace Wikipedia Cyberspace (englisch cyber als Kurzform für Kybernetik, space Raum, Weltall : kybernetischer Raum, Kyberraum) bezeichnet im engeren Sinne eine konkrete virtuelle Welt oder Realität ( Scheinwelt ), im erweiterten Sinne die Gesamtheit mittels Computern erzeugter räumlich anmutender oder ausgestalteter Bedienungs-, Arbeits-, Kommunikations- und Erlebnisumgebungen. In der verallgemeinernden Bedeutung als Datenraum umfasst der Cyberspace das ganze Internet. Die Sozialwissenschaften verstehen den Cyberspace weitergehend als computermedial erzeugten Sinnhorizont und als Teil der Cybergesellschaft (siehe auch Cyberanthropologie). Weitere Definitionen Das Wort Cyber ist abgeleitet vom englischen Cybernetics, der Kybernetik, der Lehre von Regel- und Steuervorgängen. Im Internet wird das Wort Cyber häufig als Präfix benutzt, um eine künstliche Realität zu beschreiben. So spricht man vom Cyberspace, von Cyber Cafe oder von Cybermoney, wobei Cyberspace auch assoziativ für das Internet genutzt wird. Cyberspace hat seinen Ursprung in dem Roman Newromancer des amerikanischen Science-Fiction-Autors William Gibson. Dort wird eine künstliche Welt im Computer, die mittels Bio- Chips und spezieller Tastatur zugänglich ist, als Cyberspace beschrieben. Key Facts Wortursprung: Kybernetik Bedeutung: virtuelle Welt, Scheinwelt, künstliche Realität Wortgebrauch: das Internet 7

8 Cyber Risiken Big Data 52 % der schützenswerten Informationen wie medizinische oder personenbezogene Daten sind nicht geschützt kamen weniger als 20 % aller Daten mit der Cloud in Berührung Bis 2020 wird sich der Anteil auf 40 % verdoppeln ,4 Zettabyte = 4,4 Billionen Gigabyte Zettabyte = 44 Billionen Gigabyte Quelle: EMC/IDC Digital Universe, The Digital Universe of opportunities, April

9 Cyber Risiken Internet der Dinge/ Industrie 4.0 Industrie 4.0 Erpressung durch Hacker: Cyberattacke in der Keksfabrik (spiegel.de, ) Cyber-Angriff auf Stahlwerk - Hacker bringen Hochofen unter ihre Kontrolle (n-tv.de, 19. Dezember 2014) Computervirus legt Klinik in Neuss lahm (sueddeutsche.de, 12. Februar 2016) Fremde im Babyfone - Hackerangriff auf das Kinderzimmer (wiwo.de, 4. September 2015) IoT Samsung-TV via DVB-T geknackt - Und plötzlich glotzt der Hacker ins Wohnzimmer (stern.de, 27. April 2015) Sicherheitsrisiko Smart Home - Die Hacker kommen durch den Kühlschrank (wiwo.de, 5. November 2014) Hacker steuern Jeep Cherokee fern (heise.de, ) Vernetztes Spielzeug im Visier von Hackern - Sicherheitslücke in neuer Barbie (tagesschau.de, 7. Dezember 2015) 9

10 Cyber Risiken Internet of Things 10

11 Cyber Risiken Malware 11

12 Cyber Risiken Advanced Persistent Threats (APT) 1. Auskundschaften Informationen nutzen und das Ziel besser verstehen 5. Ernte Diebstahl von geistigem Eigentum oder anderer vertraulicher Daten Ein APT kann monate- oder sogar jahrelang andauern. 2. Eindringen Social Engineering Zero-day vulnerabilities Spray and pray phishing scams 4. Eroberung Erreichen ungesicherter Systembereiche Erfassen von Informationen über längere Zeit Weitere Einflussnahme auf Systeme 3. Entdeckung Angreifer erkunden die Systeme des Unternehmens und suchen nach vertraulichen Daten 12

13 Cyber Risiken Cyber Threat Maps 13

14 Cyber Risiken Was versteht die Versicherungsbranche unter Cyber-Risiken? Schutzziele der Informationssicherheit Vertraulichkeit Integrität Verfügbarkeit Daten müssen vor unbefugten Zugriffen geschützt werden Das unautorisierte Lesen und Übertragen von Daten muss verhindert werden Risiko: Datenverlust Verlust von Handy oder Laptop; Versehentliches Versenden von sensiblen Daten per Hacker entwenden Kundendaten Daten dürfen nicht unbemerkt verändert werden Alle Änderungen müssen nachvollziehbar sein Risiko: Datenlöschung oder -manipulation Löschen von systemrelevanten Daten Manipulation von systemrelevanten Daten Übergreifendes Risiko: Erpressung Veröffentlichen von entwendeten Daten Unterbrechen der Produktion Verhindern von Systemausfällen Der berechtigte Zugriff auf Daten und Systeme muss zu jeder Zeit gewährleistet sein Risiko: Betriebsunterbrechung Webseite Produktion Logistik 14

15 Cyber Risiken Ursache für Datenverluste 30% Schadsoftware/ Cyberangriffe 52% Menschliches Versagen Systemstörung 18% Quelle: Ponemon Institute, 2016 Cost of Data Breach Study: Germany 15

16 Cyber Risiken Detektion Durchschnittliche Zeit bis ein Datenverlust bemerkt wird (in Tagen) Böswillige Angriffe Systemfehler Menschliches Versagen Quelle: Ponemon Institute, 2016 Cost of Data Breach Study: Germany 16

17 Cyber Risiken Wie gehen Hacker vor? Social Engineering Einflussnahme auf einen Mitarbeiter mit dem Ziel, an geheime Daten zu gelangen. In der Regel geschieht dies telefonisch. Der Anrufer gibt z.b. vor, ein Kollege aus der IT- Abteilung zu sein und bittet um das Passwort des Mitarbeiters. DoS-Attacke DoS steht für Denial of Service (Dienstverweigerung). Angriffe auf ein Computersystem, die durch gezielte Überlastung des Systems dessen Funktion stören oder außer Kraft setzen. SQL-Injection Der Angreifer schleust eigene Befehle in die (SQL-) Datenbank des Systems ein. Das spätere automatische Ausführen dieser Befehle soll den Zugriff auf die Datenbank ermöglichen. Der Hacker gelangt so an sensible Daten oder erhält unter Umständen sogar die Kontrolle über den Server. Physischer Zugang Der Angreifer verschafft sich Zutritt zum Gebäude. Installieren von Hardware oder Abgreifen von Daten an nicht gesicherten Rechnern. 17

18 Cyber Risiken Risiken am Beispiel ERP-System Gefahren u.a. ERP-System Risiken Physischer Zugang Malware Forschung & Entwicklung Produktion Beschaffung Logistik Vertrieb Datenverlust Datenlöschung und -manipulation Finanz- & Rechnungswesen Betriebsunterbrechung Social Engineering Personalwesen Erpressung 18

19 Cyber Risiken Rent a hacker * Quelle: Trend Micro, Der russische Untergrund 2.0,

20 Cyber Risiken Rent a hacker * Quelle: Trend Micro, Der russische Untergrund 2.0,

21 Cyber Risiken Cyber Risiken in der Presse Hacker legen Hochofen von Stahlhersteller lahm Quelle: welt.de.de vom

22 Cyber Risiken Neue Dimensionen 22

23 Cyber Risiken Ransomware Quelle: Kaspersky Lab 23

24 Cyber Risiken Ransomware Ausbreitung Locky Krypto-Trojaner Locky wütet in Deutschland: Über 5000 Infektionen pro Stunde Quelle: heise.de vom Quelle: Kaspersky Lab 24

25 Agenda Was sind Cyber Risiken? Schadenszenarien und wirtschaftliche Bedeutung Case Study Inhalte einer Cyber-Versicherung und Abgrenzungsprobleme Cyber-Versicherung in der Praxis Marktüberblick und Themen der Zukunft 25

26 Schäden Mögliche Kosten und Schäden Eigenschäden Kosten für das Krisenmanagement Benachrichtigungskosten Kosten für Wiederherstellung oder Reparatur von Daten, Netzwerken etc. Betriebsunterbrechungsschaden Reputationsschaden Zahlung von Erpressungsgeld Drittschäden Datenschutzrechtsverletzung Persönlichkeitsrechtsverletzung Verletzung geistiger Eigentumsrechte Übermittlung von Malware auf Drittsysteme DDoS-Attacken auf Drittsysteme 26

27 Schäden Kosten eines Cyber-Schadens 1% 1% Krisendienstleistungen 9% 3% Rechtsverteidigung Rechtlicher Vergleich 75% Behördliche Verfahren PCI Strafen Der durchschnittliche Schaden betrug $ , bei großen Unternehmen $5,97 Millionen. Quelle: NetDiligence, 2016 Cyber Claims Study 27

28 Schäden Kosten für die Ermittlung und das Schadenmanagement Durchschnittliche Kosten für z.b. Forensik und Krisenmanagement Quelle: Ponemon Institute, 2016 Cost of Data Breach Study: Germany 28

29 Organisatorische Kosten Kosten je Datensatz Schäden Kosten eines Datenverlustes (gesamt/ je Datensatz) Durchschnittliche Kosten eines Datenverlustes für deutsche Unternehmen Quelle: Ponemon Institute, 2010 bis 2016 Cost of Data Breach Study: Germany 29

30 Schäden Schadenszenario: Virus legt Hochregallager lahm Durch einen Virus wird die Datenbank eines Hochregallagers beeinträchtigt. Ein störungsfreier Arbeitsablauf ist nicht mehr gewährleistet. Plötzlicher Anstieg des eingehenden Datenflusses. Das Antivirus-Programm hat einen neuen Virus identifiziert und gemeldet Entsprechende Sicherheitspatches wurden dem Unternehmen bereits zur Verfügung gestellt Diese wurden im üblichen Prozedere auf Kompatibilität geprüft In der Zwischenzeit wurden Server bereits infiziert Die Ortung der eingelagerten Waren war nicht mehr möglich Quelle: ACE European Group Limited 30

31 Schäden Schadenszenario: Virus legt Hochregallager lahm Auswirkungen BU-Schaden aufgrund der kontrollierten Systemabschaltung EUR Dekontamination infizierter Daten EUR Wiederherstellung der Daten aus Back-up-Sicherungen EUR Manuelle Auslagerung und Neuerfassung eines Teils der Lagerware EUR Vertragsstrafen aufgrund verspäteter Auslieferung EUR EUR Quelle: ACE European Group Limited 31

32 Schäden Schadenszenario: Ehemaliger Mitarbeiter legt Produktion still Böswillige Löschung der Entwicklungsdaten und Produktionsparameter einer gesamten Produktreihe. Durch Personalabbaumaßnahmen wird ein Mitarbeiter der IT-Abteilung entlassen Dieser ist über seine Entlassung so verärgert, dass er Rache an dem Unternehmen übt Er hat Kenntnisse darüber, auf welchen Festplatten sich die sensiblen Produktinformationen einer aktuellen Produktion befinden und löscht diese. Darüber hinaus werden die entsprechenden Backupbänder unbrauchbar gemacht Die Produktion steht 4 Tage still Quelle: ACE European Group Limited 32

33 Schäden Schadenszenario: Ehemaliger Mitarbeiter legt Produktion still Auswirkungen Datenrettung aus verbliebenen Datenfragmenten auf den Festplatten EUR Forensische Untersuchungen EUR Produktionsausfall EUR Vertragsstrafen an B2B Kunden EUR Aufspielen von Back-up-Daten EUR Kosten für Krisenmanager und Rechtsanwalt EUR Reputationsschaden (erhöhte B2B-Marketingaktivität) EUR Quelle: ACE European Group Limited EUR 33

34 Schäden Auswirkungen auf M&A-Transaktionen 83% der Befragten gaben an, dass es das Ende eines Verkaufsprozesses bedeuten kann, wenn entdeckt wird, dass die Zielgesellschaft von einer Cyberattacke betroffen war. 90% der Befragten erwarten einen Einfluss auf den erzielbaren Kaufpreis. Quelle: Freshfields Bruckhaus Deringer, Cyber Security in M&A 34

35 Schäden Exkurs: IT Compliance Pflichten des Geschäftsführers oder Vorstands u.a. Sicherstellung der Einhaltung rechtlicher Bestimmungen und interner Regeln (Organisation / Corporate Compliance) Aktiengesetz 91 Abs. 2 AktG Analog für GF der GmbH Informationssicherheitsgesetze ITSiG, NIS-Richtlinien Bürgerliches Recht Datenschutzgesetze BDSG, DS-GVO, TKG, TMG Einrichtung eines Überwachungssystems zur Früherkennung von gesellschaftsgefährdenden Entwicklungen IT Compliance als Bestandteil des Risikomanagements Pflicht, angemessene organisatorische und technische Vorkehrungen und sonstige Maßnahmen zum Schutz derjenigen informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei ist der Stand der Technik zu berücksichtigen. Deliktsrecht Gewährleistung von ausreichender IT- Sicherheit, um Organisationsverschulden auszuschließen Vertragsrecht ggf. vertragliche Pflicht zur IT- Compliance Sicherstellung aller erforderlichen technischen und organisatorischen Maßnahmen zur Gewährleistung eines optimalen Datenschutzes 35

36 Schäden Management Quelle: welt.de vom

37 Schäden Management 37

38 Agenda Was sind Cyber Risiken? Schadenszenarien und wirtschaftliche Bedeutung Case Study Inhalte einer Cyber-Versicherung und Abgrenzungsprobleme Cyber-Versicherung in der Praxis Marktüberblick und Themen der Zukunft 38

39 Cyber Risiken Die Bedrohungslage 39

40 Case Study Der TalkTalk Hack - Sachverhalt 21. Oktober 2015 TalkTalk Telecom Group plc DDoS-Angriff Datendiebstahl Umsatz: Mio. Kunden: Ca. 4 Mio. 40

41 Case Study Der TalkTalk Hack - Schadenverlauf 22. Oktober 2015, Kundeninformation Pressemitteilung Information auf der Webseite Das Unternehmen warnt vorsorglich vier Millionen Kunden Behörden ermitteln Pressemitteilung vom 6. November 2015 we are now able to confirm which customers were affected: The total number of customers whose personal details were accessed is 156,959; Of these customers, 15,656 bank account numbers and sort codes were accessed; The 28,000 obscured credit and debit card numbers that were accessed cannot be used for financial transactions, and were orphaned, meaning that customers cannot be identified by the stolen data. TalkTalk share price plunges twice as deep as Sony, Carphone Warehouse, Barclays and EBay after cyber attacks In the weeks that followed, TalkTalk shares plummeted 20 per cent. (cityam.com, 13. November 2015) Berichterstattung in der Folgezeit TalkTalk criticised for poor security and handling of hack attack (theguardian.com, ) TalkTalk s problems go beyond cyber security (ft.com, ) Nach Hacker-Angriff: TalkTalk wird erpresst, Daten waren nicht verschlüsselt (heise.de, ) Angriff auf TalkTalk - 15-Jähriger soll vier Millionen Kundendaten gehackt haben (rp-online.de, ) TalkTalk warns cyber attack costs could rise to 35m (bbc.com, 11. November 2015) Dido Harding, CEO of TalkTalk: that's covering the response to the incident the incremental calls into our call centres the additional IT and technology costs online sales sites have been down, so there will be lost revenue as a result TalkTalk hack toll: 100k customers and 60m Financial results from TalkTalk show the company suffered a 15m trading impact and extra "exceptional" costs of 40 to 45m during the third quarter of The company's stats say that 95,000 of the 101,000 subscribers it lost during three months were because of the hack. (wired.co.uk, 02. Februar 2016) 41

42 Case Study Der TalkTalk Hack Ergebnisse Good Reactions Lessons Learned Schnelle Information der Kunden Benachrichtigung aller Kunden Services (Kreditkartenmonitoring) angeboten Information über Webseite, und Presse Zusammenarbeit mit den Behörden Good Reactions Talk Talk Hack Strukturierte Notfallpläne erstellen um auf den Schadenfall vorbereitet zu sein Detailliertere Informationen herausgeben Kontrolle über Berichterstattung behalten Benachrichtigung aller Kunden erforderlich? Englisches BSI einschalten? CIO zu Wort kommen lassen Aussagen der CEO besser abstimmen Angebote müssen funktionieren (Monitoring) Lessons Learned Angebot Vertragsauflösung nicht im Interesse der Kunden und des Unternehmens 42

43 Case Study Praxisbeispiel: Benachrichtigung von Betroffenen Benachrichtigung über Datenleck Sie haben möglicherweise die jüngsten Berichte über ein Sicherheitsproblem bei LinkedIn gelesen. Wir möchten Sie darüber informieren, was genau passiert ist, welche Daten betroffen sind und welche Maßnahmen wir zu Ihrem Schutz ergriffen haben. Was ist passiert? Am 17. Mai 2016 erfuhren wir, dass Daten, die im Jahr 2012 von LinkedIn gestohlen wurden, im Internet veröffentlicht wurden. Es handelt sich hierbei um keine neue Sicherheitslücke. Wir haben unverzüglich Maßnahmen ergriffen, die Passwörter aller möglicherweise betroffenen Konten ungültig zu machen. Dies betraf nur Konten, die vor der Sicherheitsverletzung im Jahr 2012 erstellt wurden und deren Passwörter seit dieser Verletzung nicht zurückgesetzt wurden. Welche Daten waren betroffen? -Adessen von Mitgliedern, gehashte Passwörter und LinkedIn Mitglieder-IDs (eine interne Kennung, die LinkedIn jedem Mitgliederprofil zuweist) aus dem Jahr Unsere Maßnahmen Wir haben die Passwörter aller LinkedIn Konten, die vor der Sicherheitsverletzung im Jahr 2012 erstellt und deren Passwörter seither nicht zurückgesetzt wurden, ungültig gemacht. Darüber hinaus nutzen wir automatisierte Tools, um jegliche verdächtige Aktivitäten auf den betroffenen Konten sofort zu erkennen und zu blockieren. Wir arbeiten außerdem aktiv mit den Strafverfolgungsbehörden zusammen. LinkedIn hat seit 2012 wesentliche Schritte unternommen, um die Sicherheit der Mitgliederkonten zu verbessern. Beispielsweise wird bei der Speicherung von Passwörtern nun das Salting- und Hashing-Verfahren verwendet. Unsere Mitglieder haben mit der zweistufigen Überprüfung außerdem noch eine weitere Möglichkeit, Ihre Konten zu schützen. Was Sie tun können Wir haben mehrere Teams, die engagiert daran arbeiten, die Daten aller LinkedIn Mitglieder zu schützen. Wir empfehlen unseren Mitgliedern außerdem, den LinkedIn Sicherheitsbereich zu besuchen, um mehr über die zweistufige Überprüfung und die Verwendung starker Passwörter zu erfahren, um die Sicherheit ihres Kontos sicherzustellen. Wir empfehlen Ihnen, Ihr LinkedIn Passwort regelmäßig zu ändern. Wenn Sie dasselbe oder ein ähnliches Passwort für andere Online-Dienste verwenden, raten wir Ihnen, auch diese Passwörter zu ändern. Weitere Informationen Bei Fragen wenden Sie sich bitte an unser Trust & Safety-Team Weitere Informationen finden Sie in unserem offiziellen Blog. 43

44 Agenda Was sind Cyber Risiken? Schadenszenarien und wirtschaftliche Bedeutung Case Study Inhalte einer Cyber-Versicherung und Abgrenzungsprobleme Cyber-Versicherung in der Praxis Marktüberblick und Themen der Zukunft 44

45 Cyber-Versicherung Ursprünge Cyber Risiken grds. nicht als neu einzustufen, allerdings bringt die stetig voranschreitende Vernetzung von Gebrauchsgegenständen Gefahren mit sich 70er Jahre des 20. Jahrhunderts: Versicherer in den USA bieten erste Lösungen für Risiken der Informations- und Kommunikationstechnik (IKT) Ende des 20. Jarhunderts bzw. Anfang der 2000er Jahre: Health Insurance Portability and Accountability Act of 1996 (HIPAA) und das California data breach law in 2003; Höhepunkt der Entwicklungen der Versicherungslösungen in den USA Cyberversicherungsmarkt USA: geschätztes jährliches Prämienvolumen von derzeit ca. 2,8 Mrd. USD Cyberversicherungsmarkt GER: geschätztes jährliches Prämienvolumen von ca Millionen EUR Prognose Cyberversicherungsmarkt GER 2036: geschätztes jährliches Prämienvolumen von ca. 9 Milliarden EUR 45

46 Cyber-Versicherung Aufbau Der Aufbau einer Cyber-Versicherung Drittschäden Eigenschäden Daten-/Vertraulichkeitsverletzungen Betriebsunterbrechungsschaden Netzwerksicherheitsverletzungen Wiederherstellungskosten Persönlichkeitsrechtsverletzungen Krisenmanangementkosten Verletzung geistiger Eigentumsrechte Erpressung Weitere mögliche Inhalte Benachrichtigungskosten Call-Center Kosten Kundenbindungsaktionen Vertragsstrafen der Payment Card Industry Kreditkartenmonitoring Behördliche Verfahren Entschädigungen mit Strafcharakter, Bußgelder, etc. Cyber-Diebstahl und Cyber-Betrug Vertragsstrafen im Rahmen der BU 46

47 Cyber-Versicherung Haftpflicht Leistung des Versicherers: Der Versicherungsschutz umfasst die Prüfung der Haftpflichtfrage, die Abwehr einer unberechtigten Inanspruchnahme und die Freistellung des Versicherungsnehmers von berechtigten Schadensersatzverpflichtungen. Vermögenschadenhaftpflichtversicherung: Absicherung von reinen Vermögensschäden (d.h. solche Schäden, die weder Personenschäden noch Sachschäden sind, noch sich aus solchen herleiten) Auslösendes Ereignis: Datenschutz- bzw. Vertraulichkeitsverletzung Netzwerksicherheitsverletzung, Cyber Attacke, Cyberrechtsverletzung, etc. Versicherungsfall Unterschiedlich (z.b. Claims-Made oder Schadenereignis) Ausgelagerte Datenverarbeitung (Deckungserweiterung): Ansprüche gg. einen Versicherten, da dieser sich für die Datenverarbeitung eines externen Unternehmens bedient hat und es hierbei zu einem Versicherungsfall kommt für den der Versicherte gesetzlich einzustehen hat. Ansprüchen gg. ein externes Unternehmen, das mit der Datenverarbeitung beauftragt ist, sofern aus der Beauftragung eine Freistellungsverpflichtung des Versicherten gegenüber diesem Unternehmen besteht. Verletzung von Persönlichkeits-, Urheber-, Marken, oder Wettbewerbsrechten (Deckungserweiterung) 47

48 Cyber-Versicherung Betriebsunterbrechung Leistung des Versicherers: Die Versicherer ersetzen regelmäßig den Betriebsgewinn und die fortlaufenden Kosten, die der Versicherungsnehmer infolge der Betriebsunterbrechung während der Haftzeit nicht erwirtschaften konnte. Auslösendes Ereignis: Datenschutz- bzw. Vertraulichkeitsverletzung (nur bedingte Relevanz) Netzwerksicherheitsverletzung, Cyber Attacke, Cyberrechtsverletzung, etc. Versicherungsfall Unterschiedlich (z.b. Feststellung oder Schadenereignis) Cloud-Service-Ausfall (Deckungserweiterung) Systemausfall als Folge einer unvorhersehbaren Nichtverfügbarkeit eines Cloud-Services, welchen die Versicherten von einem Cloud-Service-Provider, der selbst kein versichertes Unternehmen ist, entgeltlich in Anspruch nehmen Bedienungsfehler (Deckungserweiterung) Die fehlerhafte Bedienung eines Computersystems durch fahrlässiges Handeln oder Unterlassen eines Mitarbeiters, die eine nachteilige Veränderung oder den Verlust von Daten oder Computerprogrammen zur Folge hat, Vertragsstrafen (Deckungserweiterung) Versicherungsschutz kann teilweise für vertraglich vereinbarte Leistungen wegen Nichterfüllung von Liefer- oder Abnahmeverpflichtungen, die auf einer Betriebsunterbrechung durch ein versichertes Ereignis beruhen, erweitert werden. Besonderheiten zeitliche Selbstbehalte bzw. Wartefristen Haftzeit 48

49 Cyber-Versicherung Wiederherstellung und Erpressung Wiederherstellungskosten Leistung des Versicherers: Aufwendungen, die dem Versicherungsnehmer für die Wiederherstellung oder erneuten Erfassung bzw. Erhebung von Daten und Software entstehen. Systemwiederherstellung (Deckungserweiterung): Die Reparatur bzw. Wiederherstellung des Netzwerks bzw. des Computersystems kann bei einigen Versicherern mit abgesichert werden Erpressung Leistung des Versicherers: Erpressungsgelder, die unmittelbar aufgrund einer angedrohten Informationssicherheitsverletzung von einem Versicherten gezahlt werden. Mögliche Deckungserweiterungen Verlust von Erpressungsgeldern während des Transports/Übergangs Krisenberaterkosten wie z.b. Reisekosten, Unterbringungskosten, Kommunikationskosten, Zahlung von Belohnungen für Informanten Aktuelle Herausforderung BaFin Hinweis auf Rundschreiben 3/98 (Geheimhaltungsgebot/Bündelungsverbot) Lösungen am Markt variieren von getrennten Annex-Vereinbarungen bis hin zu separaten Policen 49

50 Cyber-Versicherung Krisenmanagementkosten Kosten für IT-Forensik: Diese Kosten umfassen alle Aufwendungen für forensische Untersuchungen, um festzustellen, ob und gegebenenfalls welche Art der Verletzung vorliegt, wodurch diese verursacht wurde und für Empfehlungen zur Vorbeugung oder Reaktion auf derartige Verletzungen für die Identifizierung der Betroffenen im Zusammenhang mit der Minderung des Schadens für eigene Mitarbeiter, die bei den vorgenannten Maßnahmen unterstützend tätig sind Kosten für Public-Relations-Maßnahmen: Von Versicherten beauftragte PR-Berater, um die Reputation zu wahren oder wiederherzustellen. Hierbei geht es insbesondere um die Erstellung und Durchführung einer Public Relations-Strategie. Kosten für Rechtsberatung: Rechtliche Prüfung des vorliegenden Sachverhalts einschließlich einer Empfehlung zur weiteren rechtlichen Vorgehensweise zur Minderung eines unter dieser Police gedeckten Schadens. Abzugrenzen von den Abwehrkosten im Haftpflicht-Teil. Kosten für proaktives Krisenmanagement (Deckungserweiterung): Versicherungsschutz auch bereits in den Fällen, in denen Anhaltspunkte für ein versichertes Ereignis bestehen und noch keine Schäden gemäß den versicherten Deckungsbausteinen entstanden sind: Zeitliche Begrenzung (z.b. 48h) Kosten werden regelmäßig nicht auf die Versicherungssumme angerechnet Ein Selbstbehalt kommt meist nicht zur Anwendung Benachrichtigungskosten Kosten, um die Betroffenen über die Datenvorfälle zu informieren und ihnen gegebenenfalls zusätzliche Dienste anzubieten. Der Versicherungsschutz umfasst hierbei regelmäßig auch Honorare von Rechtsanwälten hinsichtlich der rechtlichen Beratung im Zusammenhang mit der Pflicht über die Benachrichtigung der Betroffenen. 50

51 Cyber-Versicherung Sonderinhalte Cyber-Diebstahl und Cyber-Betrug Geldbetrag, um den Zustand herzustellen, der bestehen würde, wenn der Cyber-Diebstahl/-betrug nicht eingetreten wäre. Umfasst sind hier regelmäßig Der Verlust von Geld oder Waren infolge eines Eingriffes in von Versicherten genutzte Computersysteme; Schäden, die dadurch entstehen, dass aufgrund eines Eingriffes in die von Versicherten genutzten Computersysteme irrtümlich und ohne Rechtsgrund Geld überwiesen wird. Call-Center Kosten um nach dem Versand der Benachrichtigung an die Betroffenen Anfragen dieser Personen zu beantworten Kundenbindungsaktionen Preisnachlässe, Gutscheine oder Rabatte, die nach Zustimmung durch den Versicherer den von einem versicherten Ereignis Betroffenen gewährt werden Vertragsstrafen der Payment Card Industry PCI-Vertragsstrafen aus der Verletzung des PCI-Data Security Standards 51

52 Cyber-Versicherung Sonderinhalte Kreditkartenmonitoring ein Monitoring der Kreditkarten zur Prüfung und Benachrichtigung, wenn ein Missbrauch mit personenbezogenen Daten Betroffener vermutet wird. Nicht zielgerichtete Angriffe Behördliche Verfahren Kosten der Verteidigung in strafrechtlichen Ermittlungsverfahren Kosten der Verteidigung in Ordnungswidrigkeitsverfahren Kosten im Rahmen behördlicher Meldeverfahren, die bei der Anzeige und Meldung des Datenvorfalles entsprechend der gesetzlichen Vorgaben entstehen. Entschädigungen mit Strafcharakter, Bußgelder, etc. Sofern kein gesetzliches Versicherungsverbot entgegensteht 52

53 Cyber-Versicherung Wesentliche Ausschlüsse Vorsatz Schäden durch die vorsätzliche Herbeiführung des versicherten Ereignisses Hier wird regelmäßig auf die Repräsentanten Bezug genommen. Wichtig ist daher insbesondere, den Umfang der Repräsentantenklausel an dieser Stelle im Blick zu halten Krieg, Terror Schäden durch Krieg, kriegsähnliche Ereignisse, Terror, etc. Teilweise ist eine Abbedingung des Terror -Teils möglich, was insbesondere in der Praxis große Bedeutung haben kann (z.b. TV5Monde) Vertragliche Haftung Haftpflichtansprüche, soweit sie aufgrund eines Vertrages oder besonderer Zusage über den Umfang der gesetzlichen Haftpflicht hinausgehen. Versicherte Vertragsstrafen bleiben hiervon unberührt Nicht betriebsfertige Computerprogramme Umstellung auf neue IT-Systeme und -verfahren Patentrechtsverletzungen/Industriespionage 53

54 Cyber-Versicherung weitere Klauseln Anderweitige Versicherung Zahlreiche Versicherungsbedingungen enthalten Subsidiaritätsklauseln ( einfache und qualifizierte ). Hierbei kann es bei Überschneidungen mit anderen Deckungen schnell zur Kollision mehrerer Subsidiaritätsklauseln kommen. Die z.t. unerwünschten Folgen können durch Vereinbarung einer invertierten Klausel vermieden werden, so dass die Cyber- Versicherung als eine Art Krisenversicherung im Schadenfall als die speziellere Versicherung vorgeht. Stand der Technik Klausel Einige Versicherer geben den Versicherungsnehmern als Obliegenheit auf, dass die Computersysteme auf dem neusten Stand der Technik gehalten werden. Diese Hürde kann in der Praxis zu zahlreichen Problemen führen und ist daher aus Versicherungsnehmersicht möglichst zu entschärfen. Repräsentantenklausel In der Praxis finden sich hier zum Teil recht weitgehende Formulierungen, die z.b. den Leiter der IT-, Personal-, Risikomanagement oder Rechtsabteilung erfassen. Im Sinne eines möglichst umfassenden Versicherungsschutzes sollte die Klausel daher nach Möglichkeit eng gefasst sein. 54

55 Cyber-Versicherung Vergleich Sach/TV Haftpflicht K&R VSV Cyber Eigenschäden Kosten für IT-Forensik x x x Kosten für PR-Berater x x x Kosten für Rechtsberatung (nicht die Abwehr von Ansprüchen im Haftpflichtfall) x x x Kosten für die Benachrichtigung der Betroffenen nach einem Datenverlust x x x x Kosten für die Wiederherstellung der Daten nach einem Hackerangriff x x Betriebsunterbrechungsschäden nach einem Hackerangriff (sachschadenunabhängig) x/ x x Erpressung/ Bedrohung x x x Belohnung für Hinweise, die zur Ergreifung des Erpressers führen x x x Drittschäden Ansprüche wegen Datenschutzrechtsverletzung x x x Ansprüche wegen Persönlichkeitsrechtsverletzung (nach einem Datenverlust) x x x Ansprüche wegen Verletzung geistiger Eigentumsrechte x x x Ansprüche wegen Übermittlung von Malware auf Drittsysteme x x x versichert X nicht versichert Einschluss möglich 55

56 Cyber-Versicherung Abgrenzungsthematiken Überschneidungen mit der Vertrauensschadenversicherung Cyber-Versicherung: ganzheitlicher Lösungsansatz zur Absicherung von Cyber Risiken VSV: dient - historisch bedingt der Absicherung von Wirtschaftskriminalität ( Griff in die Kasse des Unternehmens ) und ist als reine Eigenschadenversicherung (mit Ausnahme der in geringem Umfang versicherbaren Fremdschäden) ausgestaltet VSV ist reine Vorsatzversicherung Überschneidungen: ausschließlich im Eigenschadenteil Entscheidend ist letztlich in welchen Fällen die Policen getriggert werden: Cyber: Informationssicherheitsverletzung, Cyber Angriff, etc. VSV: Ersatz von Schäden am Vermögen, die durch vorsätzliche unerlaubte Handlungen, die nach gesetzlichen Bestimmungen zum Schadensersatz verpflichten, unmittelbar verursacht werden Überschneidungen mit der IT-Haftpflichtversicherung Cyber-Versicherung: ganzheitlicher Lösungsansatz zur Absicherung von Cyber Risiken IT-Haftpflicht dient der Absicherung der Haftpflichtrisiken aus der Geschäftstätigkeit als IT-Dienstleister IT-Haftpflicht: reine Drittschadendeckung, auch wenn am Markt bereits Ergänzungen durch Eigenschadenkomponenten zu sehen sind. Aufgrund der branchen- und risikospezifischen Zielrichtung des Produktes ist der Deckungsumfang einer marktüblichen IT-Haftpflichtlösung z.t. weiter als die Drittschadendeckung eines Cyber-Produktes. Überschneidungen: Wesentliche Überschneidungen im Drittschadenteil Eine vollwertige Cyber-Eigenschadendeckung ist nicht durch die IT-Haftpflichtversicherung ersetzbar Herausforderung: Immer mehr Produkte enthalten Software, die vom Hersteller nach dem Verkauf des Produktes gewartet wird 56

57 Agenda Was sind Cyber Risiken? Schadenszenarien und wirtschaftliche Bedeutung Case Study Inhalte einer Cyber-Versicherung und Abgrenzungsprobleme Cyber-Versicherung in der Praxis Marktüberblick und Themen der Zukunft 57

58 Absicherung Risikomanagementprozess Risikoanalyse Risikoqualifikation Risikoquantifikation Risikomanagement Risikotransfer Was kann passieren? - potentielle Schadenszenarien Wie hoch ist der mögliche Schaden? Wie behandle ich die ermittelten Risiken? - Verhindern/ Mindern - Akzeptieren - Kontrollieren - Versichern Bin ich ausreichend versichert? - Werden die ermittelten Risiken über bestehende Deckungen abgesichert? - Welchen zusätzlichen Schutz bietet eine Cyber- Versicherung 58

59 Absicherung Risikoanalyse (Qualifikation und Quantifikation) Kernfragen im Rahmen der Analyse Speichert Ihr Unternehmen sensible oder personenbezogene Daten? Auf welchem Weg können Dritte an diese Daten gelangen? Welche Kosten könnten dem Unternehmen durch einen Datenverlust entstehen? Welche Ansprüche Dritter sind nach einem Datenverlust oder Angriff denkbar? Welche Netzwerke oder Systeme könnten ein mögliches Ziel für einen Hackerangriff sein? Welcher Schaden könnte Ihrem Unternehmen durch eine Unterbrechung dieser Systeme entstehen? Frühzeitige Einbeziehung von IT, Recht, Personal UND Management 59

60 Absicherung Risikomanagement Vermeiden und Kontrollieren Geeignete Maßnahmen Erstellen eines Krisenplans, der auf einen Datenverlust oder Hackerangriff abgestimmt ist Zugriffsrechte kontrollieren Software aktuell halten Sensible Daten verschlüsseln Risikobewusstsein der Mitarbeiter stärken Regelmäßige Überprüfung der IT-Sicherheit z.b. durch Penetrationstests Die richtige Kommunikation mindert Reputationsschäden und verhindert personelle Konsequenzen 60

61 Absicherung Risikomanagement Wie behandle ich die ermittelten Risiken? Welche Risiken werden versichert? Typischerweise werden Unternehmen versuchen, die identifizierten Risiken zu verhindern oder zu kontrollieren. Verhindern Kontrollieren Die nicht vermeidbaren Restrisiken werden von den Unternehmen entweder selbst getragen oder versichert. Beispiel für ein Risiko, dass nicht verhindert und nur schwer kontrolliert werden kann, ist der Datenverlust im Rahmen des Online-Geschäftes. Das Unternehmen sollte also entweder bereit sein, den möglichen Schaden selbst zu tragen oder das bestehenden Restrisiko auf einen Versicherer übertragen. Akzeptieren Versichern Herausforderungen beim Risikotransfer Welche Abteilungen sollten an dem Prozess beteiligt werden? Idealerweise IT/ CISO, Personal, Recht und Controlling Die IT-Abteilung des Unternehmens sollte unbedingt in den Prozess einbezogen werden. Allerdings sehen die entsprechenden Mitarbeiter häufig das eigene Budget in Gefahr oder fühlen sich kritisiert. Klarstellen, dass es nicht um entweder/oder (Investition in IT oder Versicherung) geht. Es sollen keine Fehler oder Schwachstellen in der IT-Sicherheit behoben werden, sondern die bestehenden Restrisiken abgesichert werden. 61

62 Absicherung Underwriting/Renewal Prozess Abschlüsse können über ein Jahr dauern Erstgespräch Folgegespräch Managementvorlage Risikodialog Abschluss Indikationen Risikoanalyse und -bewertung Einholen von Angeboten Finale Verhandlungen Aufgrund der sich stetig ändernden Risikolage, sind bestehende Cyberdeckungen regelmäßig an den Marktstandard anzupassen 62

63 Absicherung Risikofragen der Versicherer Typische Fragen der Versicherer sind unter anderem: Speichern, verarbeiten oder übertragen Sie vertrauliche Daten? Wenn ja, welche Art von Daten (Kreditkartendaten, Gesundheitsdaten, Kundendaten etc. Setzen Sie zum Schutz von sensiblen und unternehmenskritischen Daten Sicherungsverfahren ein (z.b. Verschlüsselung)? Verfügen Sie über ein Backup-Konzept bzw. Richtlinien zur Dokumentenaufbewahrung und Löschung? Werden für den Zugang der Anwender zu den Informationssystemen personalisierte Zugangskontrollen eingesetzt? Verwenden Sie Anti-Virus-Software auf Systemen, die üblicherweise von Schadsoftware betroffen sind (insbesondere Arbeitsplatzrechner und Server) und wird diese regelmäßig aktualisiert? Haben Sie Bereiche Ihrer EDV (z.b. Netzwerks, Systeme, Informationssicherheit) ausgelagert? Gibt es physische Zugangskontrollen/ Zutrittsbeschränkungen zu Räumen, die kritische Systeme (z.b. Server und Rechenzentrum) enthalten? Hat Ihr Unternehmen interne Richtlinien oder Anweisungen zur Wahrung und Sicherstellung von Datensicherheit/ -schutz und Vertraulichkeit implementiert Vorschäden? Wieso wird häufig ein zusätzlicher Risikodialog durchgeführt? Antworten im Risikofragebogen stellen nur eine Momentaufnahme dar Versicherer möchte Unternehmensstruktur und die Umsetzung von internen Richtlinien näher beleuchten Zukünftige Geschäftsmodelle (z.b. ein Ausbau der Online Aktivitäten) werden erörtert Ggf. ergeben sich im Dialog Risikofelder, die zuvor nicht berücksichtigt wurden und die in den Versicherungsschutz integriert werden müssen 63

64 Absicherung Schadenabwicklung Schadenmeldung Formell ist der Schaden unverzüglich und in Textform an den Versicherer zu melden (bzw. an den Makler bei entsprechend vereinbarter Maklerklausel) Zudem findet regelmäßig eine direkte Kontaktaufnahme des Versicherungsnehmers mit den im Versicherungsschein hinterlegten Krisenberatern statt Krisenberater Versicherer/ Makler Die Krisenberater unterstützen das eigentliche Schadenmanagement 24/7 Hotline IT-Forensik, PR-Beratung, Rechtsberatung stehen regelmäßig von Beginn an zur Verfügung Proaktive Beratung (bei Bestehen tatsächlicher Anhaltspunkte) häufig mit abgesichert Erstattung der Eigenschäden (z.b. Übernahme der Kosten, Ausgleich des Ertragsausfalls, etc.). Bei Drittschäden übernimmt der Versicherer die Prüfung der Haftpflicht-frage, die Abwehr einer unberechtigten Inanspruchnahme und die Frei-stellung des Versicherungsnehmers von berechtigten Schadensersatzverpflichtungen Begleitung des VN im Schadenfall und Abstimmung, welche Kosten erstattet werden und welche Maßnahmen getroffen werden sollten 64

65 Agenda Was sind Cyber Risiken? Schadenszenarien und wirtschaftliche Bedeutung Case Study Inhalte einer Cyber-Versicherung und Abgrenzungsprobleme Cyber-Versicherung in der Praxis Marktüberblick und Themen der Zukunft 65

66 Marktüberblick Unterschiede Versicherungsfall Versicherte Ereignisse Klauseln Versicherungsfälle im Haftpflichtteil im Haftpflichtteil Claims-Made Verschärftes Claims-Made Prinzip Schadenereignis Versicherungsfälle im Eigenschadenteil Feststellungsprinzip Schadeneintritt Schadeneintritt Anspruchstellung Schadenereignis Feststellung 66

67 Marktüberblick Unterschiede Versicherungsfall Versicherte Ereignisse Klauseln Informationssicherheitsverletzung Cyber Angriff Ausspähung, Datenangriff, Rechteverletzung, verhinderter Zugang und Rufschädigung Verstöße gegen die Cyber-Sicherheit Cyberrechtsverletzung Datenverkehrsverletzungen 67

68 Marktüberblick Unterschiede Versicherungsfall Versicherte Ereignisse Klauseln Proaktives Krisenmanagement Mitversicherung von Public Clouds Mitversicherung Diebstahl und Betrug Kosten für die Wiederherstellung betrifft unterschiedliche Maßnahmen Bedienungsfehler Obliegenheiten Ausschlüsse 68

69 Marktüberblick Marktüberblick Europa (Primary und Excess) u.a. ACE/ Chubb Beazley Mitsui Aegis Berkshire Hathaway Munich Re Derzeit sind ca. 60 Versicherer und Londoner Syndikate auf dem europäischen Cyber- Versicherungsmarkt aktiv AGM Brit Navigators AIG Catlin Novae AIG Cat xs CFC Pembroke (Ironshore) AGCS und Allianz Vers. CNA Hardy Principia Amlin Cove Underwriting QBE ANV DUAL Sagicor Arch Endurance Scor Die Marktkapazität für Cyber-Risiken übersteigt inzwischen 400 Mio. EUR Argo HCC Starr Ascent HDI Global Swiss Re Aspen Hiscox TokioMarineKiln AWAC Lexington XL Axa-CS und AXA Vers. Liberty Zurich Axis Markel etc. Barbican Marketform 69

70 Marktüberblick Unternehmenswerte / PML / Versicherung Property, Plant & Equipment Probable maximum loss in $millions Information assets $648 PP&E $617 Information Assets Total value of PP&E = $848 million Total value of IA = $815 million Percentage of PP&E covered by insurance = 51% Percentage of IA covered by insurance = 12% Quelle: Aon/Ponemon 2015 Global Cyber Impact Report 70

71 Marktüberblick Gründe für das zögerliche Abschlussverhalten - Deutschland Mentalität Unternehmen wollen ihre Risiken verstehen, bevor Sie eine Versicherungslösung kaufen. Vertrauen Unternehmen vertrauen auf deutsche Technik und Ingenieurskunst... Verständnis Unternehmen können sich Schäden durch Hackerangriffe und Datenverluste noch schwer vorstellen. 71

72 Marktüberblick Europäischer Vergleich Was wird gekauft? Versicherungssummen Finanzieller Selbstbehalt Zeitlicher Selbstbehalt Durchschnitt Durchschnitt Maximum Maximum Minimum 6 Std. Durchschnitt 14 Std. Maximum 72 Std. Quelle: Aon Risk Solutions 72

73 Marktüberblick Status Quo und Ausblick Risikobewusstsein ist vorhanden Viele Unternehmen befinden sich in der Analyse- und Bewertungsphase Abschlussquote vor allem bei großen Unternehmen steigt Beratungsbedürfnis so hoch wie nie Thema gelangt in die Managementebene Erste versicherte Schäden 73

74 Marktüberblick Status Quo und Ausblick 1. Cyber-Risiken sind in der deutschen Wirtschaft angekommen 2. Aufgrund umfangreicher Beratungsleistungen steigt das Verständnis für Risiken und Schäden 3. Steigende Abschlussquoten in 2016 und

75 Ausblick Risiken für das Produkt Direkter Angriff 75

76 Ausblick Risiken für das Produkt Angriff über Hersteller/ Zulieferer 76

77 Ausblick Sach- und Personenschäden Cyber Attacke bringt türkische Ölpipeline zur Explosion Computerwurm Stuxnet zerstört iranische Uran-Zentrifugen Hackerangriff auf deutsches Stahlwerk 2015 Hackerangriff führt zu Stromausfall in der Ukraine 2016 Krypto-Trojaner infiziert mehrere Krankenhäuser 2017? 77

78 Johannes Behrends, LL.M. Aon Risk Solutions Head of Specialty Cyber Luxemburger Allee Mülheim an der Ruhr johannes.behrends@aon.de Thomas Droberg, LL.M. Aon Risk Solutions Cyber Specialist Luxemburger Allee Mülheim an der Ruhr thomas.droberg@aon.de