Die GrECo JLT Gruppe. Ausfall, Haftung und Schadenersatz Unternehmerische Risiken durch Cybercrime. Cybercrime. Gefahrenlage für Unternehmen

Transkript

1 Die GrECo JLT Gruppe Ausfall, Haftung und Schadenersatz Unternehmerische Risiken durch Cybercrime Cybercrime Gefahrenlage für Unternehmen Versicherungslösungen Tiroler Sparkasse Schadensszenarien und Versicherungsmöglichkeiten Innsbruck,

2 Über GrECo JLT Gruppe Österreichischer Familienbetrieb mit Sitz in Wien Eigentümer geführtes Unternehmen mit Aufsichtsräten aus dem industriellen Sektor Strikte Unabhängigkeit Ausgewogene Verteilung des gemanagten Prämienvolumens von ca 607 Mio Über 90 Jahre Erfahrung im Geschäftsfeld des Versicherungsmaklers und beraters Über 20 Jahre Erfahrung im Management von internationalen Versicherungsprogrammen globaler Klienten in Österreich Marktführer in Österreich Fokus auf Firmengeschäft (über Klienten aus Industrie, Handel, Gewerbe und öffentlichem Sektor) Kundenbindungsfaktor: 94 % Pionier in CEE/SEE/CIS mit Tochtergesellschaften in 16 Ländern Durch JLT als Shareholder internationale Präsenz und weltweites Service-Netzwerk 760 Mitarbeiter in der GrECo JLT Gruppe, davon 321 in Österreich Zumindest eine Niederlassung in jedem Bundesland Österreichs Tirol: 2 Niederlassungen mit insgesamt 19 Mitarbeitern Seite 2

3 Cyber- und Wirtschaftskriminalität Was sind Cyber-Risiken Cyber-Risiken gehören in unserer von Daten und Informationssystemen überfluteten Welt zum Alltag. Kaum ein Unternehmen, das nicht mit elektronischen Daten auf Rechnern, Servern oder online zu tun hat! Die Risiken reichen vom Datenverlust auf einzelnen Laptops bis hin zu den Gefahren des cloud computing Denial of Service-Attacken oder Störungen und Unterbrechungen der Web-Präsenz Die Risiken weiten sich immer mehr aus und werden komplexer. Bisher haben Unternehmen in die Sicherheit und den Schutz physischer Vermögenswerte investiert. Heute muss der Fokus auch auf Netzwerk- und Systemschutz erweitert werden. Seite 3

4 Cyber- und Wirtschaftskriminalität Warum sind Cyber-Risiken von solcher Bedeutung Für den Schutz vor Cyber-Risiken im eigenen Unternehmen ist eine Strukturierung des Ablaufes eines Vorfalles im Unternehmen notwendig. Auch für einen effektiven Versicherungsschutz für Cyber-Risiken ist die Umsetzung von Risikobeschreibungen, Notfallplänen u.ä. im eigenen Unternehmen Voraussetzung. Aus vielen Ratschlägen zur Organisation und den Umgang mit Cyber im eigenen Unternehmen wird auf Grund der Datenschutz-Grundverordnung (Umsetzung zum 25. Mai 2018) eine Pflicht! Seite 4

5 DSGVO ab 25. Mai 2018 Datenschutz-Grundverordnung Verschärfung der Meldepflichten bei Hackerangriffen und Datenpannen Meldepflicht umfasst jede Datenpanne wie Vernichtung, Verlust, Offenlegung, Zugriff oder Veränderung von Daten Unabhängig der Ursache der Datenpanne (strafbarer Hackerangriff bis zur technischen Panne) Melde-Fristen Innerhalb 72 Stunden an die Datenschutzbehörde Betroffene oft auch unverzüglich Bisherige Empfehlungen werden zur Pflicht Der Verantwortliche muss die Datenpannen selbst sowie alle damit zusammenhängenden Fakten, Auswirkungen und ergriffenen Abhilfemaßnahmen dokumentieren. Seite 5

6 Cyber- und Wirtschaftskriminalität Warum sind Cyber-Risiken von solcher Bedeutung Der Eintritt eines CyberCrime-Vorfalles bei einem Unternehmen wird in 5 Phasen beschrieben, welche den Eskalationsablauf eines solchen Vorfalles im Unternehmen strukturieren und deren möglichen Bedeutungen für das Unternehmen aufzeigen 1. Datenleck Verlust der Datenhoheit 2. IT-Krise 3. PR-Krise 4. Finanzielle Risiken 5. Krise im Vorstand bei börsennotierten Unternehmen Seite 6

7 Cyber- und Wirtschaftskriminalität Die 5 Phasen eines CyberCrime-Vorfalles 1. Datenleck - Verlust der Datenhoheit 2. IT-Krise 3. PR-Krise 4. Finanzielle Risiken 5. Krise im Vorstand bei börsennotierten Unternehmen Digitale Daten gehen verloren oder entweichen aus dem unternehmenseigenen System: Datenverluste auf PCs, Laptops, mobilen Geräten oder Tablets Persönliche Daten können weitergegeben worden sein Unternehmensdaten werden Opfer eines großen Hackerangriffs Seite 7

8 Cyber- und Wirtschaftskriminalität Die 5 Phasen eines CyberCrime-Vorfalles Die IT-Abteilung muss sich mit dem Problem befassen und dabei gleichzeitig das Tagesgeschäft weiterführen: Ist es ein Datenleck oder ein Verlust von Daten? Wie gingen die Daten verloren oder wie wurden sie entwendet? Gab es einen Hackerangriff auf das Unternehmen? Wo sind die Daten jetzt? Muss der Server abgeschaltet werden? Wird Ersatzsoftware für den Server benötigt? Aber auch die Geschäftsleitung wird mit Fragen konfrontiert: 1. Datenleck Verlust der Datenhoheit 2. IT-Krise 3. PR-Krise 4. Finanzielle Risiken 5. Krise im Vorstand bei börsennotierten Unternehmen Kennt sich das IT-Team mit Verstößen gegen die Datensicherheit und großen Hackerangriffen aus? Kann das IT-Team das Leck kontrollieren? Gibt es einen Notfallplan, und wie wird er umgesetzt? Brauchen wir externe Hilfe? Wenn ja, von wem? Seite 8

9 Cyber- und Wirtschaftskriminalität Die 5 Phasen eines CyberCrime-Vorfalles 1. Datenleck Verlust der Datenhoheit 2. IT-Krise 3. PR-Krise 4. Finanzielle Risiken 5. Krise im Vorstand bei börsennotierten Unternehmen Nachrichten von Cyber-Problemen verbreiten sich schnell (Soziale Medien, Presse). Das in ein Unternehmen gesetzte Vertrauen kann innerhalb weniger Stunden schwinden. Diese Situation bedarf eines umsichtigen Handelns, unter Berücksichtigung von Medien, Kunden, Mitarbeitern und Aktionären. Muss der Kunde erfahren, dass seine Daten verloren gingen? Wen gilt es noch zu benachrichtigen? Wie ist dies am Besten zu bewerkstelligen? Schnelles Handeln und eine sorgfältig geplante PR-Aktion sind vonnöten, um Vertrauen zurückzugewinnen und den Ruf des Unternehmens zu schützen. Seite 9

10 Cyber- und Wirtschaftskriminalität Die 5 Phasen eines CyberCrime-Vorfalles Gleichzeitig kommt es zu finanziellen Konsequenzen. Dies können sein Verhängung von Bußgelder wegen Verstößen gegen den Datenschutz Eventuelle Klagen der vom Datenverlust Betroffenen Schadenersatzforderungen von Dritten, die ihre eigenen Kunden aufgrund Ihres Datenlecks entschädigen müssen Diese Kosten entstünden zusätzlich zu jenen, die für die Verlustdiagnose oder das ausfindig machen der Ursache, die Re-Konfiguration der Netzwerke und Systeme, die Wiederherstellung der Sicherheit, der Daten und der Systeme anfallen. Und während der Betrieb ganz oder teilweise unterbrochen ist, gehen selbstverständlich Gewinne verloren. 1. Datenleck Verlust der Datenhoheit 2. IT-Krise 3. PR-Krise 4. Finanzielle Risiken 5. Krise im Vorstand bei börsennotierten Unternehmen Seite 10

11 Cyber- und Wirtschaftskriminalität Die 5 Phasen eines CyberCrime-Vorfalles 1. Datenleck Verlust der Datenhoheit 2. IT-Krise 3. PR-Krise 4. Finanzielle Risiken 5. Krise im Vorstand bei börsennotierten Unternehmen Cyber-Krisen können den Aktienkurs erheblich beeinträchtigen. Dadurch kann das Image des Unternehmens und das der Unternehmensführung ernsthaft geschädigt werden. Seite 11

12 Cyberriminalität Schadenpotential Hackerangriffe Betriebsunterbrechung Datenverlust und Systemwiederherstellung betrifft nicht nur mehr den Datenklau sondern weitet sich Richtung Datenmissbrauch, Erpressung usw. aus betrifft nicht nur öffentliche Einrichtungen wie Stadtwerke sondern alle im oder über Internet tätige Unternehmen (Industrie, Handel, Tourismus und hier Groß-, Mittel- und Kleinunternehmen) Forcierte Automatisierung bis hin zu Industrie 4.0 ist nicht nur eine weltweite Vision für industrielle Produktionen Vortäuschung falscher Identität Interview Fensterhersteller Internorm mit trend : Der Rechnungswesenleiter wurde kurz vor Weihnachten per Mail von der Eigentümerin aufgefordert 1,4 Mio. zu überweisen. Zum Glück schöpfte der Rechnungswesenleiter Verdacht und fragte persönlich nach. Seite 12

13 Cyberriminalität Schadenpotential Hackerangriffe Betriebsunterbrechung Datenverlust und Systemwiederherstellung betrifft nicht nur mehr den Datenklau sondern weitet sich Richtung Datenmissbrauch, Erpressung usw. aus betrifft nicht nur öffentliche Einrichtungen wie Stadtwerke sondern alle im oder über Internet tätige Unternehmen (Industrie, Handel, Tourismus und hier Groß-, Mittel- und Kleinunternehmen) Forcierte Automatisierung bis hin zu Industrie 4.0 ist nicht nur eine weltweite Vision für industrielle Produktionen Umleitung von Zahlungsverkehr Täter geben sich als Geschäftspartner oder Lieferanten aus und informieren per Mail oder Fax über die Änderung der Bankdaten und leiten so die Zahlungen um. Maschinenbauunternehmen kauft Maschine in Verona. Bei Abholung muss der Kaufpreis bereits eingelangt sein. Kurz vor Überweisung wird unser Klient über die Änderung der Bankverbindung informiert. Seite 13

14 Cyberriminalität Schadenpotential Hackerangriffe Betriebsunterbrechung Datenverlust und Systemwiederherstellung betrifft nicht nur mehr den Datenklau sondern weitet sich Richtung Datenmissbrauch, Erpressung usw. aus betrifft nicht nur öffentliche Einrichtungen wie Stadtwerke sondern alle im oder über Internet tätige Unternehmen (Industrie, Handel, Tourismus und hier Groß-, Mittel- und Kleinunternehmen) Forcierte Automatisierung bis hin zu Industrie 4.0 ist nicht nur eine weltweite Vision für industrielle Produktionen Umleitung von Warenverkehr Täter spiegeln professionell eine Identität als Bestandskunde und veranlassen Änderungen zu Stammdaten, wie eine neue Lieferadresse. Die Ware verschwindet! Seite 14

15 Cyberriminalität Schadenpotential Hackerangriffe Betriebsunterbrechung Datenverlust und Systemwiederherstellung betrifft nicht nur mehr den Datenklau sondern weitet sich Richtung Datenmissbrauch, Erpressung usw. aus betrifft nicht nur öffentliche Einrichtungen wie Stadtwerke sondern alle im oder über Internet tätige Unternehmen (Industrie, Handel, Tourismus und hier Groß-, Mittel- und Kleinunternehmen) Forcierte Automatisierung bis hin zu Industrie 4.0 ist nicht nur eine weltweite Vision für industrielle Produktionen Anfragen-Bombardement Rechner werden mit Anfragen bombardiert, bis sie lahmbelegt sind. Dies ist häufig kombiniert mit einer Lösegeld-Forderung. März 2016 bei A1: Forderung , Täter scheiterten jedoch an den IT-Technikern von A1 Seite 15

16 Cyberkriminalität Schadenpotential Hackerangriffe Betriebsunterbrechung Datenverlust und Systemwiederherstellung Die nicht erkannte oder unterschätzte Gefahr! Was sind die Folgen eines Systemausfalles? Seite 16

17 Cyberkriminalität Schadenpotential Hackerangriffe Betriebsunterbrechung Datenverlust und Systemwiederherstellung Wie lange dauert es, bis ein Sicherheitsversagen erkannt wird? Wie lange dauert die IT Forensik? Wie lange sind die Systeme nicht nutzbar? Sind sensible Daten betroffen? Welche Kosten sind mit einer Systemwiederherstellung verbunden? Was kostet das System? Seite 17

18 Cyberkriminalität Schadenpotential 1. Mögliche Eigenschäden / Nachteile des eigenen Unternehmens Kosten zur Auffindung des Fehlers in vorhandenen Schutzsystemen Finanzieller Aufwand zur Wiederherstellung von Daten / Systemen Produktions- und Ertragsausfälle, Betriebsunterbrechungsschäden Reputationsverlust, potentieller Verlust der Geschäftsbeziehung durch Auslagerung an Mitbewerber Erpressungsgelder, Kosten zur Befriedigung von Täterforderungen 2. Haftpflichtansprüche von Dritten 3. Behördliche Verfahren und Strafen Seite 18

19 Cyberkriminalität Schutzmaßnahmen und Haftung Cyberrisk is just another businessrisk Technische Schutzmaßnahmen zur Verhinderung unerwünschten Datenzugriffs und unerlaubter Datenmanipulation Erstellung von Guidelines (Compliance, Mitarbeiterschulungen, Sicherheit etc.) Interne Kontrollen Information von Kunden but it needs better management Persönliche Haftung und Folgen für die Unternehmensleitung / Verantwortlichen Managerhaftung gegenüber dem Unternehmen (D&O) Verlust der Position Seite 19

20 Cyber- und Vertrauensschadenversicherung Versicherungslösungen Für den Fall, dass alle Sicherungsmaßnahmen versagen, sind finanzielle Einbußen zu erwarten. Der Versicherungsmarkt unterscheidet bei Cybercrime zwischen Cyber und Crime. Cyber Nachteilige, unerwünschte Störungen und unerlaubten Beeinträchtigungen von persönlichen wie geschäftlichen Daten über (internetbasierten*) internen wie externen Datenaustauschs (PCs, Laptops, Smartphones, cloudsolutions, externe Server etc). Crime Von Vertrauenspersonen oder außenstehenden Dritten vorsätzlich begangene, illegalen und unerlaubten Handlungen gegen ein Unternehmen (z.b. Geheimnisverrat, Diebstahl, Diskreditierung etc.), wodurch ein Vermögensschaden verursacht wird. Cyberschadenversicherung (Cyber) 1. Eigenschadenversicherung (Krisenmanagement, IT Dienstleistungen, PR-Maßnahmen) 2. Betriebsunterbrechung 3. Haftpflicht aufgrund von Datenschutzverletzungen 4. Verfahren aufgrund von Datenschutzverpflichtungen Vertrauensschadenversicherung (VSV) 1. Schäden am Vermögen der versicherten Unternehmen durch Mitarbeiter 2. Schäden am Vermögen der versicherten Unternehmen durch Dritte 3. Ansprüche Dritter auf Grund von Mitarbeitern verursachten Vermögensschäden (Dritter) 4. Geheimnisverrat, Betriebsgeheimnisse (eigene und fremde) 5. Hackerschäden Seite 20

21 Cyber- und Vertrauensschadenversicherung Cyberschadenversicherung versicherbare Tatbestände (CYBER) Eigenschäden (aufgrund Hackerangriff und/ oder menschlichen Versagens / Verlust) Forensische Ermittlungskosten (Datenverlust, Datenmanipulation) Mehraufwand z. B. zur Wiederherstellung von Daten/Systemen Betriebsunterbrechung/ Ertragsausfall Erpressung - Lösegeldforderungen Abwehrkosten bei Datenschutzuntersuchungen / Verfahren (tw. Geldbußen) Sofortmaßnahmen Informationskosten an Kunden und Behörden Kredit- und ID- Überwachung Drittschäden/Haftung wegen Datenschutzverletzungen fehlende Netzwerksicherheit und Hackerangriffe nicht erfolgter Information nach DSG Verletzung geschützter Unternehmensinformationen Rechtsverletzungen in digitaler Kommunikation Dienstleistungen IT- Dienstleistungen Rechts-Dienstleistungen PR- Dienstleistungen Sofortmaßnahmen (Notfallnummer) Seite 21

22 Cyber- und Vertrauensschadenversicherung Vertrauensschadenversicherung versicherbare Tatbestände (CRIME) Schäden durch VERTRAUENSPERSONEN Unmittelbare Vermögensschäden des VN verursacht durch vorsätzliche unerlaubte Handlungen, die zum Schadenersatz verpflichten Schäden aus Geheimnisverrat (eigene und fremde Betriebsgeheimnisse) Drittschäden wenn Vertrauensperson vorsätzlich Dritten schädigt Schäden durch DRITTE Unmittelbare Vermögensschäden aufgrund vorsätzlicher Handlungen, welche Straftatbestand erfüllen in Bereicherungsabsicht Cyber-Schäden durch Dritte Raub, Tresoreinbruch Fälschen von Zahlungsanweisungen und Rechnungen, Falschgeld Überweisungsbetrug, Bank- und Zahlungsanweisungen Kreditkartenbetrug, Bargeld, Wertpapiere Betrug wie z.b. Fake President Fälle Zusätzliche Kosten Schadenermittlung Rechtsverfolgung PR- Dienstleistungen Mehrkosten zur Aufrechterhaltung des Geschäftsbetriebes Datenwiederherstellung Zinsen Abwehrkosten Vertragsstrafen Kosten zur Feststellung, ob Spionagevorfall Vorsatz Vorsatz + Straftat + Bereicherung Seite 22

23 Cyberkriminalität Versicherungsmarkt Österreichische Versicherungen Österreichische Versicherungen bringen 2017 erste Standardprodukte auf den Markt Starke Produktunterschiede, starke Unterschiede in den Bedingungswerken Wenig Schadenerfahrung Prämien weich Produktanbieter für Unternehmen mit 1 bis 50 Millionen Umsatz begrenzte Anzahl von Anbietern Beispiele: Markel, Hiscox (bis Umsatz 10 Mio.), TMK (Tokio Marine Kiln) bis Umsatz 25 Mio., Dual Prämien (CyberRisk Versicherungssumme 1 Mio.) ab Jahresbruttoprämie (abhängig von Branche, Selbstbehalte) Strukturierte umfangreiche Fragebögen Für Unternehmen mit mehr als 50 Millionen Umsatz Intensiver Beratungsprozess mit umfassenden Enterprise-Risk-Management notwendig Ausschreibung des Risikos am nationalen und internationalen Versicherungsmarkt (AIG, AGCS, HISCOX) Seite 23

24 Cyberkriminalität Prämienbeispiele für Unternehmen Umsatz größer 50 Mio. individuelle Vertragslösungen Branche Produktions- und Dienstleistungsbetriebe, Energieversorgung IT, Telekommunikation Produktionsbetriebe Produktionsbetriebe Großindustrie Umsatz in 190 Mio. 150 Mio Mio. Umsatz Nordamerika in nein 25,5 Mio. nein Relevanter Onlinehandel nein nein nein Relevanter Anteil EC- und Kreditkartentransaktionen ja nein nein Versicherungssumme Selbstbehalt von bis Prämie brutto von bis Versicherungssumme Selbstbehalt von bis Prämie/Jahr brutto von bis Prämienbeispiele zur leichteren Einschätzung der Kosten für Versicherungsschutz Seite 24

25 Cyberkriminalität Versicherungsmarkt Was beachten? Nicht bei jeder Versicherung / jedem Produkt versicherbar sind Branchen wie z. B. Zahlungsabwicklung, Datensammlung, Finanzinstitute, Behörden, Direkte Umsätze bzw. Leistungen mit Märkten wie USA, Kanada, Australien, rechtlich selbstständige Tochtergesellschaften außerhalb des EWR Erpressung mit Lösegeldersatz Parameter, welche die Prämie beeinflussen sind Branche Märkte in denen das Unternehmen tätig ist (EU, EWR, weltweit, Umsatzhöhe Kreditkartentransaktionen (Anzahl und Höhe) IT-Sicherheitskonzept, Stresstests, Aktuelle Lösungen am Markt Starke Unterschiede in den Produkten und den dazugehörigen Bedingungswerken Intensive Beratung und Produktprüfung unumgänglich Seite 25

26 GrECo JLT Denken in Lösungen! Alle Rechte an dieser Präsentation sind vorbehalten. Das Werk einschließlich seiner Teile ist urheberrechtlich geschützt. Die darin enthaltenen Informationen sind vertraulich. Die Präsentation und ihre Inhalte dürfen ohne ausdrückliche Zustimmung der GrECo International AG nicht verwendet, übersetzt, verbreitet, vervielfältigt und in elektronischen Systemen verarbeitet werden. Insbesondere ist eine Weitergabe an Dritte nicht gestattet.