Der Risiko-Check IT. Stuttgart, Risiken systematisch identifizieren und bewerten. Seite 1 AXA Versicherung AG

Größe: px

Ab Seite anzeigen:

Download "Der Risiko-Check IT. Stuttgart, 26.02.2010. Risiken systematisch identifizieren und bewerten. Seite 1 AXA Versicherung AG"

Käthe Sommer
vor 8 Jahren
Abrufe

1 Der Risiko-Check IT Risiken systematisch identifizieren und bewerten Stuttgart, Seite 1 AXA Versicherung AG

2 Inhalt 1. Risiken eines IT-Unternehmens und deren Versicherungslösungen 2. Der Risiko-Check IT als Hilfe zur Selbsteinschätzung 3. Unser Software-Tool als Einstieg in ein ganzheitliches Risikomanagement 4. Zusammenfassung Seite 2

3 1. Risiken eines IT-Unternehmens und deren Versicherungslösungen Ansprüche Dritter Eigenschäden Personenschaden Sachschaden Sachen (inkl. Daten) Vermögen Kostenschaden Seite 3

4 1. Risiken eines IT-Unternehmens und deren Versicherungslösungen Ansprüche Dritter Haftpflichtversicherung (gesetzl. Haftung!) Personen- und Sachschäden inkl. daraus folgender Kostenschäden BetriebshaftpflichtV / BerufshaftpflichtV Kostenschäden Produkte: ProdH-V VermögensschadenH-V Seite 4

5 1. Risiken eines IT-Unternehmens und deren Versicherungslösungen Beispiele (Haftpflicht) - Lösungen Programmierung einer Maschine führt zu einem Sachschaden (Anlagencrash) Betriebshaftpflicht (Sachschaden) Achtung! Ggf. Bearbeitungsschaden! Verlust fremder Daten (Löschung, Verfügbarkeit, Integrität etc.) (häufigster Schaden!) Betriebsunterbrechung beim Kunden (z. B. Serverausfall) Kostenschaden durch fehlerhafte Software (z. B. falsche oder fehlende Abrechnungen) Betriebshaftpflicht (Sachschaden) oder VermögensschadenH-V! Aufgrund Schaden an fremden Sachen: Betriebshaftpflicht Ansonsten: VermögensschadenH-V (reiner Vermögensschaden) VermögensschadenH-V (reiner Vermögensschaden) Seite 5

) Betriebsunterbrechung beim Kunden (z. B. Serverausfall) Kostenschaden durch fehlerhafte Software (z. B. falsche oder fehlende Abrechnungen) Betriebshaftpflicht (Sachschaden) oder VermögensschadenH-V!

6 1. Risiken eines IT-Unternehmens und deren Versicherungslösungen Eigenschäden 1. Sachen Sachen (Gebäude, Inventar, eigene Daten) Sachversicherungen Sachinhalts-V Elektronik-V bei Bedarf: Gebäude-V 2. Vermögen Betriebsunterbrechung (BU) Betriebsunterbrechungs-V (Achtung! Unterschiede je nach Ursache: Feuer, Elektronik etc.) Seite 6

7 1. Risiken eines IT-Unternehmens und deren Versicherungslösungen Beispiele (Sach) - Lösungen Server beschädigt durch Überspannung, Leitungswasser, Rauchgase o. ä. Betriebsunterbrechung z. B. durch Ausfall des eigenen Rechenzentrums aufgrund eines Sachschadens Datenverlust ohne vorausgehendem Sachschaden (z. B. durch Viren oder Fehlbedienung) sowie darauf folgende Betriebsunterbrechung Sachinhalts-V / Elektronik-V! Datenverlust ggf. nur über Elektronik-V gedeckt Betriebsunterbrechungs-V (BU-V) (auf ausreichende Versicherungssumme achten!) Spezielle Deckungsbausteine zur Elektronik-V und BU-V Achtung! Meist Ausschluss für Malware und DoS-Attacken Seite 7

Datenverlust ggf. nur über Elektronik-V gedeckt Betriebsunterbrechungs-V (BU-V) (auf ausreichende Versicherungssumme achten!

8 1. Risiken eines IT-Unternehmens und deren Versicherungslösungen Sonderthemen Rechtsverteidigungskosten Rechtsverletzungen (z. B. Datenschutz, Urheberrecht) Vertrauensschaden (z. B. Veruntreuung durch Mitarbeiter) Rechtsschutz-V (ggf. Strafrechtsschutz) in Haftpflicht-V integriert! VermögensschadenH-V Achtung! mögliche Ausschlüsse beachten Vertrauensschaden-V Seite 8

Datenschutz, Urheberrecht) Vertrauensschaden (z. B.

9 1. Risiken eines IT-Unternehmens und deren Versicherungslösungen Praxisbeispiel Im Extranet eines großen Versicherers werden einem Großmakler interne Kundendaten eines anderen Maklers zugespielt. Ursache: Programmierfehler eines externen Dienstleisters (= Versicherungsnehmer VN) (Potentieller) Schaden a) Datenlöschung der falsch zugespielten Daten (Protokollierung, Zertifikat) b) Betrügerische Nutzung der Daten und dadurch Schadenersatzansprüche c) Verstoß gegen Datenschutzgesetz d) Korrektur der Programmierung e) Imageschaden des Versicherers f) Kundenverlust des Dienstleisters (VN) Versicherungsmöglichkeit a) VermögensschadenH-V b) VermögensschadenH-V (Vertrauensschaden für den Versicherer) c) VermögensschadenH-V d) Erfüllungsschaden, keine Deckung! e) Ggf. als Betriebsunterbrechung anzusehen VermögensschadenH-V f) Nicht versicherbar Seite 9

Betrügerische Nutzung der Daten und dadurch Schadenersatzansprüche c) Verstoß gegen Datenschutzgesetz d) Korrektur der Programmierung e) Imageschaden des Versicherers f) Kundenverlust des

10 2. Der Risiko-Check IT als Hilfe zur Selbsteinschätzung Download: Seite 10

2. Der Risiko-Check IT als Hilfe zur Selbsteinschätzung Grundschutzkatalog BSI als Orientierung In der neusten Ergänzungslieferung wurden die Anregungen des

11 2. Der Risiko-Check IT als Hilfe zur Selbsteinschätzung Grundschutzkatalog BSI als Orientierung In der neusten Ergänzungslieferung wurden die Anregungen des AXA Risiko-Checks IT vom BSI aufgenommen! Hilfsmittel: ecklisten.html Seite 11

AXA Risiko-Checks IT vom BSI aufgenommen! Hilfsmittel: www.bsi.bund.

12 2. Der Risiko-Check IT als Hilfe zur Selbsteinschätzung Aufbau: Potentielles Risiko (systematische Abfrage) Mögliche Schadenhöhe (Selbsteinschätzung) Derzeitige Deckung (Erkennung von Deckungslücken) Hinweis auf Versicherungsmöglichkeit/Einordnung Seite 12

Schadenhöhe (Selbsteinschätzung) Derzeitige Deckung (Erkennung

13 3. Unser Software-Tool als Einstieg in ein ganzheitliches Risikomanagement 1. Vom RM-Prozess zum Risikoanalyse-Tool 2. Anwendung des Risikoanalyse-Tools 3. Nutzen für den Anwender Seite 13

14 Kernelement des Risikomanagements Schritt 1: Identifikation Schritt 2: Bewertung kontinuierlicher Risikomanagement-Prozess Schritt 4: Überwachung Schritt 3: Maßnahmen Seite 14

Schritte des RM-Prozess in ein Software-Tool Unabhängige Insellösung: Eigenständige Erfassung

15 Grundidee des Risikoanalyse-Tool Schritt 1: Identifikation Schritt 2: Bewertung kontinuierlicher RM-Prozess Schritt 4: Überwachung Schritt 3: Maßnahmen Umsetzung der 4 Schritte des RM-Prozess in ein Software-Tool Unabhängige Insellösung: Eigenständige Erfassung der Risiken eines Unternehmensbereich Einbettung in das unternehmensweite RM: Einfache Übertragung der Ergebnisse Seite 15

Schritt 2: Schritt 1: Bewertung Identifikation kontinuierlicher RM-Prozess Schritt 4: Überwachung Schritt 3: Maßnahmen Anwendung des Risikoanalyse-Tool: 1.

16 Schritt 2: Schritt 1: Bewertung Identifikation kontinuierlicher RM-Prozess Schritt 4: Überwachung Schritt 3: Maßnahmen Anwendung des Risikoanalyse-Tool: 1. Risikoidentifikation Methodische Unterstützung bei der Risikoidentifikation durch branchenspezifisch angepasste Risikomatrix und Checkliste Systematische Erfassung aller für das Unternehmen relevanten Risiken Seite 16

Risikoidentifikation Methodische Unterstützung bei der Risikoidentifikation durch

17 Schritt 2: Schritt 1: Bewertung Identifikation kontinuierlicher RM-Prozess Schritt 4: Überwachung Schritt 3: Maßnahmen Anwendung des Risikoanalyse-Tool: 2. Risikobewertung Bewertung der Risiken nach Relevanz oder mit Hilfe von Szenarien Unterteilung aller Risiken in Relevanzstufen von unbedeutend bis bestandsgefährdend Ermittlung von Schadenszenarien nach Höhe und Wahrscheinlichkeit Seite 17

Risikobewertung Bewertung der Risiken nach Relevanz oder mit Hilfe von Szenarien Unterteilung

18 Schritt 2: Schritt 1: Bewertung Identifikation kontinuierlicher RM-Prozess Schritt 4: Überwachung Schritt 3: Maßnahmen Anwendung des Risikoanalyse-Tool: 3. Maßnahmen Ermittlung von Maßnahmen zur Risikobewältigung und Erfassung des Versicherungsinventars Systematische und aktive Bewältigung der relevanten Risiken Auflistung aller Maßnahmen und Versicherungen sowie relevanter Informationen Maßnahmenumsetzung Seite 18

Maßnahmen Ermittlung von Maßnahmen zur Risikobewältigung und Erfassung des Versicherungsinventars

19 Schritt 2: Schritt 1: Bewertung Identifikation kontinuierlicher RM-Prozess Schritt 4: Überwachung Schritt 3: Maßnahmen Anwendung des Risikoanalyse-Tool: 4. Risikoüberwachung Einführung eines Überwachungszyklus und Bestimmung von Messgrößen als Frühwarnindikatoren Regelmäßige Überprüfung der Risikosituation im Unternehmen Früherkennung und Vorbeugung von möglichen Risikoveränderungen Seite 19

Risikoüberwachung Einführung eines Überwachungszyklus und Bestimmung von Messgrößen als

20 Anwendung des Risikoanalyse-Tool: Darstellung der Ergebnisse Strukturierte Übersicht aller Risiken, Maßnahmen und Versicherungen sowie aller erfassten Informationen Einfacher Export in Excel und Dokumenten Druck Seite 20

Maßnahmen und Versicherungen sowie aller erfassten

21 Nutzen für den Anwender Schneller & unkomplizierter Einstieg in das Thema Risikomanagement Übersichtliche Durchführung der 4 Schritte des RM-Prozess Unabhängige Risikoerfassung einzelner Unternehmensbereiche Methodische Unterstützung bei der Erfassung des Risikoinventars Strukturierte Darstellung der Risikosituation des Unternehmens oder eines Bereiches Einfache Übergabe der Ergebnisse an das unternehmensweite Risikomanagement Stärkung des Bewusstseins für Risikomanagement und die Risiken im Unternehmen Verständliche Aufbereitung der Informationen für Dritte (z. B. Kapitalgeber, Vorstände, Gesellschafter, Risikomanager.) Langfristige Überwachung der Risikosituation und Vorbeugung von Risikoveränderungen Arbeitserleichterung für die Verantwortlichen im Risikomanagement Seite 21

22 4. Zusammenfassung Der Risiko-Check IT stellt eine Hilfe dar, den eigenen Versicherungsbedarf systematisch zu ermitteln Die Umsetzung kann pragmatisch und effizient im Risikoanalyse-Tool erfolgen, mit dem eine Erfassung, Analyse und Berichterstattung von Risiken unternehmensweit und für alle Risiken ermöglicht wird, und fügt sich gut ein in ein ganzheitliches Risikomanagement ein Seite 22

23 Danke für Ihre Aufmerksamkeit

Ähnliche Dokumente

Der optimale Schutz für IT-Dienstleister und Software-Entwickler Risiko-Check

Der optimale Schutz für IT-Dienstleister und Software-Entwickler Risiko-Check Aufgrund der Ansprüche an die Business-Continuity/Notfallplanung sowie des steigenden Sicherheitsbewusstsein der Kunden von