Cyber Risk Management Präsentation DEHOGA Berlin. Berlin, den

Transkript

1 Cyber Risk Management Präsentation DEHOGA Berlin Berlin, den

2 Cyber Risk Management Inhalt Einstieg Hiscox-Ansatz Mythen & Trends Cyber-Schäden

3 Die Welt im Wandel Es geht erst richtig los... Digitalisierung Internet of Things Cloud Computing Industrie 4.0 Alle Megatrends beruhen auf Daten 3

4 Erfolgreiche Cyber-Angriffe häufen sich nun auch in Europa und Deutschland Es gibt keine sicheren Systeme! 4

5 Jedes zweite Unternehmen in Deutschland ist schon Opfer von Internetkriminalität geworden. Anteil Unternehmen, die in den letzten 2 Jahren von Datendiebstahl, digitaler Wirtschaftsspionage oder Sabotage betroffen waren vermutlich betroffen 28% 51 Milliarden Euro Schaden pro Jahr 51% betroffen nicht betroffen 21% Quelle: Bitkom Research

6 Kostenbeispiele Durchschnittlicher Schaden pro E-Crime-Fall bei Unternehmen in Deutschland (in ) Quelle: Hiscox / Statista KPMG/eCrime

7 Jedes Unternehmen hat Bedarf und ein ganz individuelles Risikoprofil Große Unternehmen Kleine Unternehmen Nicht-Zielgerichtete Angriffe Zielgerichtete Angriffe ( ) ( ) Machen Sie sich die Risiken bewusst! 7

8 Cyber-Attacken oft auf Insider zurückzuführen. Weltweite Cyberattacken auf Unternehmen nach Verursacher % 60% 15,5% Unabsichtlich 44,5% Absichtlich Outsider 1) Insider 2) 1) Angreifer ohne Zugriffsrechte 2) Angestellte, Dritte mit Systemzugriff Quelle: IBM X-Force Cyber Security Intelligence Index 2016

9 Angreifer und Angreifer-Typologie Cyber-Kriminelle versuchen mithilfe der Informationstechnik auf illegalen Wegen Geld zu verdienen Nachrichtendienste Spionage und Wirtschaftsspionage Hacktivismus und Cyber-Aktivisten nutzen Computersysteme und Netzwerke vorgeblich als Protestmittel, um politische oder ideologische Ziele zu erreichen Innentäter Tätergruppe, die für Angriffe auf firmeninterne oder vertrauliche Informationen sowie Sabotage in Frage kommt 9

10 Fragestellungen im eigenen Unternehmen Was sind meine Kronjuwelen? Welche Daten hat das Unternehmen? In welcher Form werden diese vorgehalten? Kundendaten (natürliche wie juristische Personen) Mitarbeiterdaten Kreditkartendaten Bestelllisten Eigene vertrauliche Geschäftsgeheimnisse Vertrauliche geschäftliche Daten meiner Kunden Elektronisch (Server, mobile Endgeräte wie Laptops, USB Sticks, Smartphones,...) Papierform Welcher Schaden kann entstehen, wenn die Vertraulichkeit, Verfügbarkeit oder Integrität dieser Daten verletzt wird? Reputationsschaden Kundenabgänge Finanzieller Schaden 10

11 Welches Unternehmen benötigt eine Cyber- und Datenversicherung? Jedes Unternehmen, dass mit Daten umgeht. Hotels, Restaurants, Supermärkte Tankstellen, Fachhandel Zahlkartendaten Diebstahl & Manipulation Online Handel (ecommerce) Arzt, Zahnarzt, Apotheken, Steuerberater, Rechtsanwalt, Immobilienmakler, Wirtschaftsprüfer IT-Unternehmen & Rechenzentren zusätzlich Betriebsunterbrechung aufgrund von DDoS Angriffen Sensible Daten Diebstahl & Manipulation Kundendaten Vertragsstrafen, IT-Forensik & Wiederherstellung Produzierendes Gewerbe Betriebsunterbrechung aufgrund eines Hackerangriffs 11 Vertragsstrafen 11

12 Auszug: Haftungsrechtliche Grundlage BDSG Verbotsprinzip mit Erlaubnisvorbehalt Weitere Normen BDSG Schadenersatzansprüche für Geschädigte Datenschutzbeauftragter bei mehr als 9 MA Meldepflicht bei bestimmten Datenschutzverstößen Bußgelder von bis EUR Privatrechtliche Vereinbarungen Vertragliche Haftung 2018 EU Datenschutzrichtlinie D&O-Aspekt: Verantwortung bleibt beim Unternehmen, das die Daten verarbeitet / speichert 12

13 Der Umgang mit Cyber-Kriminalität ist eine aktive Businessentscheidung! Eine Frage des Risikomanagements Gesetzesgrundlage: Vorstands und Geschäftsführerhaftung 91 Abs. 2 AktG Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. Gilt für Vorstände und Geschäftsführer gleichermaßen Organhaftung Frühwarnsystem und Organisationsverschulden 13

14 Cyber-Angriffe Grundschutz Firewall und Antivirus Software Ein vollständig wirksamer Schutz gegen Cyber-Angriffe ist heute nicht mehr erreichbar. Neben die Prävention tritt daher die Erkennung von Angriffen als wichtige Aufgabe des Sicherheitsmanagements. Eine Erkennung setzt voraus: aufmerksame Mitarbeiter, aktuelle Schutzsysteme mit Erfassung und Auswertung sicherheitsrelevanter Ereignisse, ein aktives Sicherheitsmanagement 14

15 Cyber Risk Management by Hiscox Mythen & Trends

16 Cyber-Risiken Mythen, Missverständnisse und Fehleinschätzungen Gerade KMU haben oft Schwierigkeiten, die Bedrohungslage realistisch einzuschätzen... I. Wir sind doch viel zu klein und unbekannt, um Hacker anzulocken. Aber: Kleine Unternehmen stellen oftmals ein viel interessanteres Ziel dar Nicht-zielgerichtete Angriffe betreffen sämtliche Unternehmen II. Wir sind eine verschworene Gemeinschaft, auf jeden unserer Mitarbeiter können wir uns voll verlassen. Aber: Bis zu 80%* aller Datenverlust-Vorfälle werden durch Unachtsamkeit von Mitarbeitern zumindest begünstigt *Quelle: Hiscox Research, BIS, Bitkom, Deutsche Telekom, Allianz für Cybersicherheit 16

17 Cyber-Risiken Mythen, Missverständnisse und Fehleinschätzungen III. Cyber Security ist doch ein technisches, keinesfalls ein strategisches Problem. Aber: Cyber-Vorfälle können existenzbedrohende Ausmaße annehmen Cyber Security gehört zum Riskmanagement von Unternehmen (GF-Pflicht) IV. Wir haben eine Top-IT-Abteilung, die hat Störungen immer schnell im Griff. Aber: Störung Krise IT-Abteilung Krisenmanager 17

18 Cyber Risk Management by Hiscox Fallbeispiele

19 Cyber-Angriffe Fallbeispiel: Kryptotrojaner Schadsoftware; typischer Infektionsweg -Anhang oder Web- Browser Für Virenscanner meist nicht detektierbar Massenhafte Verschlüsselung von Dateien auf Serversystemen Entschlüsselung nur gegen anonyme Lösegeldzahlung in BitCoin (oder auch nicht) 19

20 Cyber-Angriffe Hotel Schadenbeispiel Hotel Altes Schlüsselloch Kryptotrojaner, der zu einer Betriebsunterbrechung geführt hat, da keine Reservierungen mehr im System eingesehen und gebucht werden konnten. Die Betriebsunterbrechung dauerte vom um 12:30 Uhr bis zum um 16:00 Uhr. VN hat einen Schaden durch den Angriff von ca Nächte/Buchungen à 153 EUR/Nacht geltend gemacht. Dies ergibt einen Betrag von ca EUR. Auf Empfehlung vom unabhängigen Sachverständigen wirkten EUR realistisch. Die Schadenmeldung erfolgte über den idealen Weg. HiSolutions wurde umgehend informiert und die Maklerin wandte sich zeitgleich umgehend an uns. Insoweit ein Paradebeispiel, da auch die Maklerin sehr kooperativ war. 20

21 Cyber-Angriffe Hotel Schadenbeispiel mit PCI Vertragsstrafe Hotel Zum Hackerwirt Über eine Sicherheitslücke in der Homepage des Hotels sind die Hacker in die Datenbank eingedrungen. Über einen Zeitraum von über drei Monaten wurden mehr als 700 Kreditkartendaten von Hotel- und Restaurantgästen gestohlen bzw. kopiert. Das Hiscox IT-Experten-Netzwerk unterstützte in dieser kritischen Situation und übernahm den Schaden in voller Höhe. Kosten für diverse forensische Arbeiten Kosten für Rechtsberatung und Rechtsbeistand Kosten für gesetzliche Informationspflichten Kosten für Media- und PR-Arbeiten Kosten für die Überwachung der Transaktionen Geltend gemachter Vermögensschaden der Payment Card Industry Betriebsunterbrechungsschaden (keine Internet Umsätze) Wiederherstellung der Daten/Datenbank Gesamtkosten

22 Cyber-Angriffe Fallbeispiel: Advanced Persistent Threats APT = Advanced Persistent Threat, Schlagwort für gezielte Angriffe von organisierten Stellen aus dem Ausland, die mit Beharrlichkeit und erheblichen Ressourcen gezielte Angriffe vorbereiten und durchführen. Motivation im Regelfall Wirtschaftsspionage Individualisierte Angriffe, sehr schwer detektierbar Erkennung oft spät und durch Zufall Angreifer erlangen volle administrative Kontrolle über die IT der Zielorganisation und verschaffen sich mehrere Hintertüren Die Bereinigung ist langwierig, aufwändig und teuer 22

23 Cyber-Angriffe Fallbeispiel: Advanced Persistent Threats Prominentes Beispiel: Deutscher Bundestag Angriff vermutlich am 30. April 2015 Erste Hinweise am 8. Mai 2015; Tragweite des Angriffs wird unterschätzt Beginn der Analyse durch das BSI am 15. Mai 2015 Infiltration des Netzes durch Unbekannte Angreifer haben administrative Rechte Abschluss der Bereinigung am 24. August

24 Cyber-Angriffe Hotel Schadenbeispiel Thema Medienpräsenz Hotel Seehotel Jägerwirt auf der Turracher Höhe Hotel zum vierten Mal von Hackern lahmgelegt - elektronische Zimmerschlüssel lahmgelegt - neue Schlüssel nicht zu codieren - Lösegelderpressung per Bitcoin Zahlung - mehrere vorangegangene Phishing Versuche Als weiteren Schritt überlegt er wieder herkömmliche Schlüssel zu verwenden: "Also zurück zum techniklosen Zeitalter". Quelle: Googletreffer für Seehotel Jägerwirt Hacker : Ungefähr Ergebnisse (0,43 Sekunden) 24

25 Cyber Risk Management by Hiscox Der Hiscox-Ansatz

26 Wie hilft Hiscox Cyber Risk Management? Rundum-Versicherungsschutz in einer Police! Cyber-Haftpflichtversicherung zur Absicherung bei Ansprüchen von Dritten, auch bei Verletzung von vertraglichen Geheimhaltungspflichten Cyber-Eigenschadenversicherung zur Abdeckung intern entstandener Schäden/Kosten Umfassende Assistance im Versicherungsfall, in Zusammenarbeit mit der HiSolutions AG 26

27 Wie verstehen wir Cyber? Aufbau der Cyber-Versicherung Eigenschaden Drittschaden Krisenhotline Krisenmanagement IT-Forensik Systemwiederherstellung Datenwiederherstellung Betriebsunterbrechung Benachrichtigungskosten Datenschutz- Haftpflicht BDSG Geheimhaltungspflicht Netzwerk- Haftpflicht Weitergabe eines Virus Denial-of-Service auf Dritte PCI Vertragsstrafen 27

28 Assistance: IT-Krisen Consulting, Krisenmanagementplan, und Online Mitarbeitertraining

29 HiSolutions als Cybersecurity-Dienstleister und Partner von Hiscox Was uns auszeichnet Umfassende Erfahrung (> 20 Jahre Cybersecurity) Großes Team von unterschiedlichen Spezialisten Vom BSI zertifizierter Dienstleister Mitglied in der Allianz für Cybersicherheit und in diversen Arbeitsgruppen und Expertenkreisen von Wirtschaft und Verwaltung Erprobte Methoden, Hilfsmittel und Spezialausrüstung Kein Lösungsgeschäft objektive und neutrale Beratung 29

30 Cyber-Angriffe Leistungsangebot der HiSolutions AG Telefonische Beratung zu Sofortmaßnahmen Unterstützung beim Krisenmanagement Analyse des Vorfalls und gegebenenfalls des Angriffswegs Elektronische Spurensicherung (IT-Forensik) Ableitung von Verbesserungs- und Korrekturmaßnahmen 30

31 Cyber-Angriffe Schnelle Hilfe Diese Hotline erreicht unser Cyber-Response-Team oder eine Messagebox, die hinterlassene Nachrichten an das Team verteilt. Wir rufen zeitnah zurück! Bitte die Hotline nur für Schadenfälle verwenden! HiSolutions- Hotline- Nummer:

32 Der Krisenplan ermöglicht eine strukturierte und verzugsfreie Reaktion auf Cyber-Krisen... Der Krisenplan ist ein reaktives Dokument, dass auf die Bereitstellung einer allgemeinen Reaktionsfähigkeit für unvorhergesehene Ereignisse fokussiert. Dies beinhaltet... Kurze übersichtliche Darstellung der Rahmenanweisungen Beschreibung der Grundsätze, Richtlinien und Verfahrenselemente Regelungen zu Training, Übung und Evaluation 32

33 Die Online Cyber Schulung Hiscox Kunden können Cyber-Gefahren für ihr Unternehmen durch die Schulung* der Mitarbeiter reduzieren. Schulungsinhalte: - Phishing erkennen und abwehren - Sichere Passwörter erstellen und merken - Social Engineering Angriffe erkennen und abwehren - Sicheres Verhalten am Arbeitsplatz *Nur für Cyber Risk Management by Hiscox Kunden. Trainingsinhalte der HvS Consulting Infos unter

34 Cyber-Angriffe Unterstützung nach Bedarf Hotline Telefonische Erstaufnahme und Bewertung Telefonische Unterstützung Fallabschluss VN Meldung Vor-Ort- Unterstützung, IT-Forensik Kosten- Ausgleich Schadenabteilung Cyber- Krisen- Management Schadenabteilung Experten-Netzwerk (Anwälte, PR, ) 34

35 Hiscox Cyber Readiness Report 2017 Besonders KMUs in Deutschland haben Aufholbedarf Top Prios deutscher Unternehmen für Cyber-Sicherheit Schnelle Reaktionszeit auf Cyber-Vorfälle Bestehende Gefahren und Schwachstellen angehen Aufsetzen und/oder Einhalten von Richtlinien Die häufigsten Gründe für den (geplanten) Abschluss einer Cyber- Versicherung 0 Verbesserung der Verteidigungsfähigkeit 56 Angst vor hohen Kosten 45 Implementierung von Cloud-basierten Management-Systemen 55 Sorge bzgl. Datensicherheit 40 Abschluss/Erweiterung von bestehenden Cyber-Policen 55 Angst vor Kundenklagen 28 Forrester Research Veröffentlichung Februar Befragte Fürhungskräfte, davon 1001 in Deutschland vor allem KMU 35

36 Neue Antragsmodelle bis 10 Mio. Umsatz ab dem ! ANTRAGSMODELL Cyber Risk by Hiscox 04/2016 Umsätze ZUSATZKLAUSELN Cyber-Diebstahl Betriebsunterbrechung durch Cloudausfall Bedienfehler

37 Neue Antragsmodelle bis 10 Mio. Umsatz ab dem ! ANTRAGSMODELL Cyber Risk by Hiscox 04/2016 Umsätze ZUSATZKLAUSELN Cyber-Diebstahl Betriebsunterbrechung durch Cloudausfall Bedienfehler

38 Und was machen Sie? Gibt es Fragen? 38

39 Vielen Dank für Ihre Aufmerksamkeit!