Basis Webinar Cyber-Versicherung. 25. Januar 2017 Robert Dallmann und Ole Sieverding

Transkript

1 Basis Webinar Cyber-Versicherung 25. Januar 2017 Robert Dallmann und Ole Sieverding

2 Ihre Referenten Herzlich willkommen zum Webinar! Ihre Referenten: Ole Sieverding Product Head Cyber & Data Risks Hiscox Deutschland Robert Dallmann Underwriter Berufliche Risiken Hiscox Deutschland 2

3 Agenda Einstieg & Grundlagen Was bietet die Deckung? Vertriebsansätze und unser Support 3

4 Grundlagen Was ist eigentlich Cyber? Antwort:

5 Was funktioniert heute noch ohne Computer?!!! Jede Sekunde treten es 8 neue Nutzer dem Internet bei Jeden Tag gibt es neue infizierte Webseiten Jeden Tag tauchen neue individuelle Schadcodes auf 5

6 Angreifer und Angreifer-Typologie Cyber-Kriminelle versuchen mithilfe der Informationstechnik auf illegalen Wegen Geld zu verdienen Nachrichtendienste Spionage und Wirtschaftsspionage Hacktivismus und Cyber-Aktivisten nutzen Computersysteme und Netzwerke vorgeblich als Protestmittel, um politische oder ideologische Ziele zu erreichen Innentäter Tätergruppe, die für Angriffe auf firmeninterne oder vertrauliche Informationen sowie Sabotage in Frage kommt

7 Cyber-Kriminelle bewerben ihre Dienstleistungen offenkundig auf YouTube.com 7

8 Über Dashboards lässt sich der Verbreitungsgrad des eigenen Schadcodes bequem verwalten 8

9 Zwei Fälle aus der Praxis... I. II. 9

10 Website-Betreiber sind verpflichtet ihre Systeme gegen Angriffe zu schützen Gesetzesgrundlage: 13 Absatz 7 TMG Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass 1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und 2. diese a) gegen Verletzungen des Schutzes personenbezogener Daten und b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens. 10

11 Wie nähere ich mich dem Cyber-Risiko? Risikomanagement-Prozess Risiko-Identifikation Risiko-Analyse Risiko-Steuerung Risiko-Minimierung Risiko-Transfer 11

12 Was sind meine Kronjuwelen? Wo ist meine Achillesferse? Vertraulichkeit Integrität Verfügbarkeit 12

13 Der Umgang mit Cyber-Kriminalität ist eine aktive Businessentscheidung des Top-Managements! Eine Frage des Risikomanagements Gesetzesgrundlage: Vorstands und Geschäftsführerhaftung 91 Abs. 2 AktG Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. Gilt für Vorstände und Geschäftsführer gleichermaßen Organhaftung Frühwarnsystem und Organisationsverschulden 13

14 Agenda Einstieg & Grundlagen Was bietet die Deckung? Vertriebsansätze und unser Support 14

15 Ein Beispiel Easy Going GmbH EUR 15 Mio. Umsatz Produzierendes Gewerbe Holzveredelung Online Shop für individualisierbare Brillen Datenverschlüsselung Daten- Phishing Betriebsunterbrechung 15

16 Wie verstehen wir Cyber? Aufbau der Cyber-Versicherung Eigenschaden Drittschaden Krisenhotline Krisenmanagement IT-Forensik Systemwiederherstellung Datenwiederherstellung Betriebsunterbrechung Benachrichtigungskoten Datenschutz- Haftpflicht BDSG Geheimhaltungspflicht Netzwerk- Haftpflicht Weitergabe eines Virus Denial-of-Service auf Dritte PCI Vertragsstrafen 16

17 Was also tun, wenn Sie Opfer eines Cyber-Angriffs werden? 17

18 Spezielle Anforderungen an das Unternehmen Fragen wenn der Plan und das Training fehlen... Was sollen wir den verärgerten Kunden sagen? Was sagt man der Polizei und den Journalisten? Wie gehen wir mit dem Shitstorm bei Facebook und Twitter um? Wer hat jetzt den Hut für welche Maßnahme auf? Und welche Abteilungen und Prozesse sind denn betroffen? Können wir ohne Mail und Fileserver weiterarbeiten? Wurde die Ursache schon gefunden? Welche Risiken haben die Hilfsmaßnahmen? 18

19 I. Der Krisenplan ermöglicht eine strukturierte und verzugsfreie Reaktion auf Cyber-Krisen... Der Krisenplan ist ein reaktives Dokument, dass auf die Bereitstellung einer allgemeinen Reaktionsfähigkeit für unvorhergesehene Ereignisse fokussiert. Dies beinhaltet... Kurze übersichtliche Darstellung der Rahmenanweisungen Beschreibung der Grundsätze, Richtlinien und Verfahrenselemente Regelungen zu Training, Übung und Evaluation 19

20 II.... und beinhaltet alle für die Bewältigung erforderlichen Informationen und Hilfsmittel 1 Allgemeiner Teil Ziele, Alarmierung, Krisendefinition 4 Erstreaktion Checkliste Sofortmaßnahmen 2 Krisenorganisation Rollen, Aufgaben, Schnittstellen 5 Krisenkommunikation Stakeholder, Strategie, Texte 3 Methodik im Krisenstab Führungssystem, Lagearbeit, Prinzipien 6 Anhang Alarm-/ Gebäudepläne, Templates, Kontaktdaten 20

21 I. Jeder Kunde erhält bei Bedarf nach Abschluss der Cyber-Deckung einen Krisenplan von HiSolutions zum richtigen Handeln im Ernstfall Zwei Wege zu Ihrem Cyber-Versicherungsschutz Vertragsabschluss Antragsmodell Individualgeschäft Versicherungsunterlagen Versicherungsunterlagen? Krisenplan Ansprechpartner identifizieren Individueller Krisenplan Krisenübung 21

22 II. Die Krisenhotline Fallbezogene Unterstützung von Experten Hotline Telefonische Erstaufnahme und Bewertung Telefonische Unterstützung Fallabschluss VN Meldung Vor-Ort- Unterstützung, IT-Forensik Kosten- Ausgleich Schadenabteilung Cyber- Krisen- Management Schadenabteilung Experten-Netzwerk (Anwälte, PR, ) 22

23 III. Das Hiscox Cyber Training 23

24 Agenda Einstieg & Grundlagen Was bietet die Deckung? Vertriebsansätze und unser Support 24

25 Vertriebsansätze und unser Support 25

26 Vertriebsansätze Anlassbezogene Vertragsanalyse und Akquisition Jahresgespräche Schadenfälle Cyber-Versicherungen sollten im Rahmen einer Versicherungsvertragsanalyse, oder dem Jahresgespräch angesprochen werden und in einem passenden Kontext präsentiert werden 26

27 Vertriebsansätze Inhaltsbezogen Der interessierte oder desinteressierte IT-Beauftragte Sicherheitstraining Krisenplan Schadenkompetenz HiSolutions Deckungsinhalte einer Cyber-Deckung sollen ergänzend zum operativen Geschäft eingesetzt werden. Bei einer Cyber-Police handelt es sich nicht um eine Schrank- Police 27

28 Unser Support Beitragsfähige Maklerhäuser (z.b. Antragsmodelle bis 5 Mio. EUR Individualquotierungen durch Ihren Sales- Underwriter Vereinfachte Anhaltsquotierungen 28

29 Mit 6 Fragen zum Glück... (1/2) Bis zu einem Jahresumsatz von 5 Mio. EUR

30 Mit 6 Fragen zum Glück... (2/2) Ihre Geschäftstätigkeit umfasst nicht eine der folgenden Sparten/Berufe: Zahlungsabwicklung, Inkassodienstleistungen Agentur für Kredit-Rating, Datensammlung und -speicherung (Hauptgeschäftszweck) Finanzdienstleistungssektor, insbesondere die Vermittlung und Beratung von Versicherungen und Bankprodukten, sowie Vermögensverwaltung Franchisenehmer, Franchisegeber, Direktmarketing, Call Center Produzent und/oder Anbieter von pornografischen Inhalten oder Glücksspiel Behörden und sonstige staatliche Einrichtungen Hersteller von mobilen Applikationen Betreiber von sozialen Netzwerken Sie erwirtschaften derzeit keine direkten Umsätze in U.S.A. oder Kanada Sie betreiben mindestens die folgenden IT-Schutzmaßnahmen: Virenschutz auf allen Servern und Systemen mit aktuellen Virensignaturen Firewallstrukturen an allen Netzübergängen zu externen Netzen Abgestuftes Rechtekonzept mit administrativen Kennungen ausschließlich für IT-Verantwortliche Regelmäßige, (mindestens tägliche) Datensicherung auf separierten Systemen oder Datenträgern Keine Aufsichtsbehörde, staatliche Stelle oder Verwaltungsbehörde hat Klage gegen Sie oder eine mitversicherte Person eingereicht, Ermittlungen eingeleitet oder Auskünfte angefordert, was den Umgang mit sensiblen Daten angeht 3. Sie (einschließlich aller Ihrer rechnergestützten Geräte und Computer) bearbeiten, speichern oder übermitteln im Jahr nicht mehr als Kreditkartendaten und bestätigen hiermit, dass Sie die Standards gemäß PCI DSS (Payment Card Industry Data Security Standard) einhalten (sofern Kreditkartendaten vorhanden sind) 6. Aus den letzten 5 Jahren sind keine Schäden durch eine Daten- oder Cyberrechtsverletzung, Hacker-Angriff, Denial-of-Service-Angriff oder Cyber-Erpressung bekannt und Ihnen sind auch keine Umstände bekannt die zu einem Cyber-Versicherungsfall führen könnten 30

31 Das neue Hiscox Makler Portal 31

32 Vielen Dank für Ihre Aufmerksamkeit!