CYBER-RISIKEN UND DATENSICHERHEIT

Transkript

1 CYBER-RISIKEN UND DATENSICHERHEIT HAFTUNG, SCHADENBEISPIELE & RISIKOMANAGEMENT MAGDEBURG, 22. FEBRUAR 2017 Marc Heitmann Head of Cyber-Risk Practice Marsh GmbH, Leipzig

2 Aus der Praxis Warum sind Cyber-Risiken ein aktuelles Thema? Veränderungen im rechtlichen Umfeld: strengere Regulierung in den Bereichen des Datenschutzes Forderung nach einer Meldepflicht, insbes. bei IT-Störungen kritischer Infrastrukturen Wachsende gesetzliche Verpflichtungen von Rechtsvorschriften und vertraglichen Anforderungen Cyberkriminalität als Top-Risiko für Regierungen, Unternehmen und Privatpersonen Hohe Kosten im Schadenfall (insbes. bei Datenrechtsverletzung und Ausfall der Firmen-IT) Klassische Versicherungen decken Cyber-Risiken und die daraus resultierenden Kosten nur sehr ungenügend ab Auftraggeber verlangen zunehmend Versicherungsschutz für Cyber-Risiken MARSH 22. Februar

3 Haftung und Verantwortung der Unternehmensleitung IT-Compliance als unternehmerische Pflicht Gesellschaftsrecht 91 Abs. 2 AktG Analog für Geschäftsführer der GmbH Handelsrecht 239 Abs. 4 S.2, 261 HGB Bürgerliches Recht Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden IT-Compliance als Bestandteil des Risikomanagements Jeder Kaufmann hat bei der Führung seiner Handelsbücher und der Aufbewahrung seiner Unterlagen in elektronischer Form die Sicherung der IT-Systeme zu gewährleisten Deliktsrecht: Organisationsverschulden bei unzureichender IT-Sicherheit Vertragsrecht: Pflicht zur IT-Compliance kann sich vertraglich ergeben Datenschutz Verpflichtung zur Sicherung der IT-Systeme 9 BDSG Acht Gebote der Datensicherheit 113a, 109 Abs. 2 TKG, 13 Abs. 4 TMG 78a SGB X Insb. Umgang mit Kunden- und Angestelltendaten MARSH 22. Februar

4 Cyber-Sicherheit Herausforderung für Unternehmen Unternehmen in Deutschland müssen nach Einschätzung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ihre Anstrengungen für die Cyber-Sicherheit deutlich verstärken. Trotz einer erheblichen Bedrohung gebe es eine "digitale Sorglosigkeit", sagte BSI-Präsident Michael Hange am Es ist Teil des Risikomanagements eines Unternehmens: - eine möglichst hohe IT-Sicherheit zu erreichen - Regeln aufzustellen, wie mit sensiblen Daten umzugehen ist, z.b. im Falle des Verlustes von Krankendaten - Notfallpläne aufzustellen für den Tag X und Serviceverträge mit kompetenten Partnern abzuschließen, welche forensische und juristische Dienstleistungen sofort durchführen können (365 d/24 h Hotline) - Kunden/Patienten informieren - den Abschluss einer Cyber-Versicherung zu prüfen MARSH 22. Februar

5 Marsh Cyber-Risiko-Befragung Welches Szenario eines Cyber-Angriffs stellt die größte Gefährdung für Ihr Unternehmen dar (max. 3 Antworten)»Es fällt auf, dass die Befragten deutlich differenzierter über mögliche Szenarien nachdenken. Hinsichtlich der Größe der Gefährdung werden besonders hoch eingeschätzt: Betriebsstörung bzw. -unterbrechung (79% 2016 vs. 41% 2015) Daten- oder Software- Schaden (48% 2016 vs. 8% 2015) Verlust von Kundendaten (34% 2015 vs. 11% 2016) Aber auch finanzielle Schäden durch Cyber- Kriminalität werden als größere Gefahr angesehen. (29% 2016 vs. 4% 2015).«MARSH 22. Februar

6 Marsh Cyber-Risiko-Befragung Sofern Ihr Unternehmen die finanziellen Auswirkungen eines Cyber-Angriffs erfasst oder geschätzt hat wie hoch liegt der geschätzte Verlust im schlimmsten Fall?»Weiterhin fällt auf, dass ein Großteil der Unternehmen (61%) nicht einschätzen kann, wie hoch der finanzielle Verlust durch eine Cyber-Attacke für sie wäre.«marsh 22. Februar

7 Cyber-Risikomanagement in 3 Schritten Technische Sicherheitsmaßnahmen (Virenscanner, Firewalls, sonstige Zugangshürden ) Organisatorische Sicherheitsmaßnahmen (Mitarbeiter schulen und sensibilisieren) Kritischen Restrisiken identifizieren und versichern MARSH 22. Februar

8 SCHADENBEISPIELE AUS DER VERSICHERUNGSPRAXIS 22. Februar 2017

9 Schadenbeispiel (Versicherungsfall) Erpressung mit geklauten Daten Schadenszenario Ein Unternehmen wird mit der Veröffentlichung von Kundendaten erpresst. Lösegeldforderung beträgt 1 Mio. Finanzielle Auswirkungen Schadenbild Eine Mitarbeiterin im Marketing hat irrtümlicherweise anstatt der neuesten Broschüre eine Kundendatei auf der Homepage veröffentlicht Der Fehler wurde sofort bemerkt und behoben Tage später wird dem Unternehmen eine Lösegeldforderung in Höhe von 1 Mio zugestellt Es wird angedroht, die teilweise prominenten Namen der Kunden/Patienten zu veröffentlichen Die Verhandlungen mit den Erpressern sind erfolgreich und man einigt sich auf eine geringere Lösegeldforderung Bereitstellung des Lösegeldes Kosten für Krisenmanager Kosten für Rechtsanwälte Kosten für forensische Untersuchungen Kosten für Detektei Versicherte Gesamtkosten MARSH 22. Februar 2017 Quelle: ACE Versicherung,

10 Schadenbeispiel (Versicherungsfall) Stillstand in der Produktion Schadenszenario Böswillige Löschung der Entwicklungsdaten und Produktionsparameter einer gesamten Produktreihe Finanzielle Auswirkungen Schadenbild Durch Personalabbaumaßnahmen wird ein Mitarbeiter der IT-Abteilung entlassen Dieser ist über seine Entlassung so verärgert, dass er Rache an dem Unternehmen übt Er hat Kenntnisse darüber, auf welchen Festplatten sich die sensiblen Produktinformationen einer aktuellen Produktion befinden und löscht diese. Darüber hinaus werden die entsprechenden Backupbänder unbrauchbar gemacht Die Produktion steht 4 Tage still Datenrettung aus verbliebenen Datenfragmenten auf den Festplatten Forensische Untersuchungen Produktionsausfall für 4 Tage Vertragsstrafen an B2B Kunden Aufspielen von Back-up-Daten Kosten für Krisenmanager und Rechtsanwalt Versicherte Gesamtkosten Quelle: ACE Versicherung, 2013 MARSH 22. Februar

11 Schadenbeispiel (Versicherungsfall) Hacker sorgt für Stromausfall im Stadtwerk Schadenszenario Ein Hacker dringt in das System der Stadtwerke ein und verursacht einen Stromausfall, der 46 Stunden andauert Schadenbild Die Stadtwerke werden Opfer mehrerer gezielter Hackerattacken Durch das Ausnutzen einer Sicherheitslücke dringt ein Hacker schließlich unbemerkt in die Systeme der Stadtwerke ein Systemdaten werden so modifiziert, dass es zu einer schweren Störung in der Steuerungstechnik kommt und in Folge dessen das Kraftwerk still steht Es kommt zu einem Ausfall der Stromversorgung Die vollständige Behebung der Störung dauert 46 Stunden an Finanzielle Auswirkungen Umsatzeinbußen durch Stromausfall Forensische Untersuchungen Vertragsstrafen Sachverständigenkosten Versicherte Gesamtkosten MARSH 22. Februar 2017 Quelle: ACE Versicherung,

12 Zahlreiche Schadenbeispiele in der Energieversorgung Datenskandal bei den Stadtwerken Ulm/Neu-Ulm Mails-verschickt;art , Ein Hacker brauchte nur zwei Tage, um die Kontrolle über die Stadtwerke in Ettlingen zu übernehmen Heidelberger Stadtwerke bringen Kundendaten durcheinander Augsburger Stadtwerke verschicken irrtümlich Daten von Kunden Daten-von Kunden-id html Stadtwerke München: Gehälter der Aufsichtsräte in Massen- verschickt Hacker infizieren Schaltzentralen der Stromnetze Stromnetze.html Digitale Sorglosigkeit ist für alle Firmen gefährlich MARSH 22. Februar

13 Ergänzende Informationen und Unterlagen Leitfaden zu den Kosten eines Cyber-Schadenfalls Schadensfalles/ LF-Cybersicherheit.pdf Machen Sie Cyber-Risiken zur Chefsache! MARSH 22. Februar

14 DER VERSICHERUNGSMARKT 22. Februar 2017

15 Überblick Versicherungsmarkt Risikotransfer durch Cyber-Risk-Versicherungen Definition (Annäherung) Anbieter im Markt Wesentliche Deckungsinhalte Zielgruppe Eine um Assistance-Leistungen ergänzte (überspartliche) Vermögensschaden-Versicherung mit Dritt- und Eigenschadenkomponenten für Schadenfälle aufgrund von Datenschutz-, Datensicherheit- oder ITK-Systemsicherheitsverletzungen Zahlreiche Anbieter, hauptsächlich aus dem englischen Markt kommend Sehr unterschiedliche und erklärungsbedürftige Produkte Datenrechtsverletzungen sowohl hinsichtlich der Netzwerksicherheit als auch in Bezug auf physische Verstöße gegen die Sicherheit Verlust/Beschädigung durch betriebsbedingte Fehler Deckung aller Kosten bei Datenrechtsverletzungen Mehrkosten durch Netzwerk-Ausfall Denial-of-Service-Attacken Übermittlung von Viren Erpressung mit geklauten Daten Kosten für (präventives) Krisenmanagement und externes Experten-Team im Schadenfall Firmen, die sensible Personendaten speichern (z.b. Krankenhäuser, Banken, Behörden) Firmen mit vielen Endkundendaten (z.b. Hotels, Händler, Stadtwerke, Datenbanken) Firmen mit starker Abhängigkeit von der IT (z.b. Produktionsbetriebe, ITK-Anbieter) Betreiber kritischer Infrastrukturen (z.b. Energie- und Wasserversorger, Verkehrsbetriebe, Regierungen) MARSH 22. Februar

16 Cyber-Versicherungen in Deutschland Eine aktuelle Studie des Bitkoms MARSH 22. Februar

17 Cyber-Eigenschäden des Unternehmens Deckung von Eigenschäden Cyber-Policen decken in der Regel folgende Eigenschäden: Wiederherstellung von verlorenen Daten und von IT-Systemen Betriebsunterbrechungskosten, d.h. fortlaufende Kosten und entgangener Gewinn, z.b. durch Hacker-Attacken Schadprogramme, wie Viren Computerschäden (Hard- und Software) Krisenmanagement & PR-Beratung Kosten/Entschädigungszahlung bei Cyber-Erpressung Entstandene Mehrkosten durch IT-Ausfall oder Missbrauch der Telefonanlage Nicht gedeckt sind hingegen folgende Eigenschäden: Cyber-Spionage: Die Verwertung des Diebstahls von Geschäftsgeheimnissen, Patenten, Rezepturen etc. Reputationsschäden, gedeckt sind lediglich die Kosten für die PR-Agentur, Forensiker, Rechtsanwälte etc. mit dem Ziel, den Reputationsschaden soweit als möglich zu minimieren Terror-Gefahren: Ist das Kapern einer Website mit der Nachricht Tod für Charlie oder Wir lieben ISIS damit bereits ausgeschlossen? (siehe Frankreich) Klarstellung erforderlich! Diese Schäden können allerdings auch in den klassischen Versicherungsprodukten in der Regel nicht versichert werden MARSH 22. Februar

18 Cyber-Drittschäden Deckung von Drittschäden Cyber-Policen decken in der Regel folgende Drittschäden: Vermögensschäden, aufgrund von: Persönlichkeitsrechtsverletzungen Verletzung des BundesdatenschutzG Verlust der Vertraulichkeit von Daten Austausch von Kreditkarten Produktfehler/Fehler bei der Erbringung von Leistungen Verzug der Leistung Schadenersatz wegen Nichterfüllung Übertragung von Viren Auch Cyber-Policen decken nicht alle Drittschäden: Personen- und Sachschäden sind über die klassische Haftpflicht versichert Manche Cyber-Policen enthalten bis zu 26, andere nur 3 Ausschlüsse Manche Sachverhalte sind sublimitiert, z. B. Vertragsstrafen Vertragsstrafen/Bußgelder MARSH 22. Februar

19 Cyber-Krisenmanagement Extrem kurze Reaktionszeit und hohe Aufmerksamkeit der Öffentlichkeit Verdacht oder tatsächliches Schadenereignis Sofortmaßnahmen einleiten Kurzfristiges Krisenmanagement Mittel- bis langfristige Auswirkungen Verlust vertraulicher oder personenbezogener Daten Störung des Computersystems, z.b. durch Schadsoftware oder eine Hacker-Attacke Hilfe bei externen Spezialisten suchen Computer-Forensik (Aufklärung, Identifikation, Beweissicherung) Rechtsberatung Informationspflichten und Benachrichtigung der Behörden und Dateninhaber Krisenstab einberufen Öffentlichkeitsarbeit Arbeit mit Polizei und Aufsichtsbehörden Klagen und Schadensersatzforderungen Vertragsstrafen und Bußgelder Reputation und Außenwirkung Kosten des Vorfalls, Ertragsausfall, Auswirkungen auf die GuV/Bilanz MARSH 22. Februar

20 KONTAKT Marc Heitmann Head of Cyber-Risk Practice Marsh GmbH Berliner Strasse D Leipzig 0341 / / marc.heitmann@marsh.com

21 Sitz: Frankfurt am Main; Handelsregister: HRB 12141; Amtsgericht: Frankfurt am Main HSBC Trinkaus & Burkhardt (BLZ ) Geschäftsführung: Siegmund Fahrig (Vors.), Dr. jur. Georg Bräuchle, Oliver Dobner, Dr. jur. Peter Hoechst, Jochen Körner, Erwin Lehmann, Thomas Müller Vorsitzender des Aufsichtsrates: Sven Alexander Kado 22. Februar