Die Cyberversicherung - Gestern Theorie, heute Praxis TVD Infotag für die Wohnungs- und Immobilienwirtschaft Referent: Henry Raschke Allianz Deutschland AG
Überblick 1 Das Cyber-Risiko - Allianz Risk-Barometer 2017 - Cyber-Kriminalität - Beispiele für Angriffe 2 Die Cyber-Versicherung - Notwendigkeit einer speziellen Deckung - Drittschäden, Eigenschäden, Serviceleistungen - Weitere Bausteine Allianz Versicherungs-AG 2
Überblick 1 Das Cyber-Risiko - Allianz Risk-Barometer 2017 - Cyber-Kriminalität - Beispiele für Angriffe 2 Die Cyber-Versicherung - Notwendigkeit einer speziellen Deckung - Drittschäden, Eigenschäden, Serviceleistungen - Weitere Bausteine Allianz Versicherungs-AG 3
Cyber-Bedrohung nimmt stetig zu Trotzdem gehen viele noch zu sorglos mit ihren Daten um. Allianz Versicherungs-AG 4 Allianz Risk-Barometer 2017 4
Cyber-Kriminalität Die fünf größten Cyberrisiken für Unternehmen 1 1 Cyber-(Un-) Sicherheit 2 Sicherheit innerhalb der Lieferkette 3 Big Data 4 Cloud Computing 5 Mobile Endgeräte Allianz Versicherungs-AG 5 1 Quelle: Information Security Forum, 2013 Täglich entstehen neue Bedrohungen für Unternehmen 5
Cyber-Kriminalität Zahlreiche Gesetze regeln die Haftung - auch bezüglich Cyberrisiken: Ú Allgemeine Regelungen: Bürgerliches Gesetzbuch Aktiengesetz etc. Ú Spezielle Regelungen: Bundesdatenschutzgesetz IT-Sicherheitsgesetz EU-Datenschutz-Grundverordnung Räum- und Streupflicht im virtuellem Raum Allianz Versicherungs-AG 6 6
Cyber-Kriminalität Nur jedes zweite Unternehmen fühlt sich ausreichend geschützt! 2013 2015 1/3 der Mittelständler konkret von Angriffen auf IT-Sicherheit betroffen 35% der Mittelständler hegen den Verdacht einer Cyberattacke 9% der Unternehmen beklagen Überwachung der Unternehmenskommunikation 7% der Unternehmen melden vollständigen Verlust wichtiger Daten. Im Fadenkreuz Hackerangriffe und Datenklau betreffen nicht nur Großkonzerne Wachsender Digitalisierungsgrad im Mittelstand = breitere Angriffsfläche Kleinere KMU häufiger im Visier von Angreifern als größere Mittelständler Vorsorge 85% der Mittelständler haben Maßnahmen für mehr IT-Sicherheit getroffen Selbsteinschätzung 45% der Unternehmen halten ihr Unternehmen für nicht ausreichend geschützt Einfache Maßnahmen (Virenschutz, Firewall) in vielen Unternehmen Aufwändigere Maßnahmen (Schulungen, IT-Fachkräfte) eher selten http://www.gruender-mv.de/2016/02/17/cyber-kriminalitaet-nur-jedes-zweite-unternehmen-fuehlt-sich-ausreichend-geschuetzt/ Allianz Versicherungs-AG 7
Cyberangriffe und unsere Kunden waren auch betroffen Betr. Schadenmeldung Sehr geehrte Damen und Herren, zu der im Betreff angegebenen Schadennummer wurde uns ein Neuschaden gemeldet, die MA von VN stellten nach dem Mittagessen fest, dass eine Vielzahl von Dateien verschlüsselt waren. Durch den IT- Dienstleister werden derzeit die weiteren Schritte geprüft, die Server des VN wurden bereits vom Netz genommen, VN ist seitdem arbeitsunfähig. Lageeinschätzung: 1. Schadsoftwarebefall auf zentraler Dateiablage ( File Share ) sowie mindestens drei Arbeitsplatzrechnern. 2. Externer Dienstleister, der auch für den Betrieb der IT zuständig ist, hat den Schaden aufgenommen und steht in Kontakt mit einem der führenden Hersteller von Anti-Viren-Software und Beratungsunternehmen für die technische Bekämpfung von Schadsoftware, Kaspersky Labs. 3. Es existiert eine laut Virenscanner nicht von der Schadsoftware befallene Kopie des File Share. Diese ist 14 Tage alt. Ob aktuellere Daten von den Arbeitsplatzrechnern gerettet werden können, hängt von der Schadsoftware ab. Geprüft wird aktuell, ob es auch einen entgangenen Gewinn gibt. 4. Worst case: Aufgrund nicht bereinigbarer Schadsoftware müssen die Arbeitsplatzrechner komplett neu aufgesetzt werden und der Kunde verliert die letzten 14 Tage Arbeit. Nächste Schritte: 1. Der VN wartet auf Informationen von Kaspersky. Ohne diese Informationen ist eine Abschätzung eventuell notwendiger nächster Schritte nicht vorzunehmen. 2. Der VN hat meine Mobilnummer. Ich bin für den VN erreichbar. Ransomware im Büro I Mittlerweile Alltag! Allianz Versicherungs-AG 8
Cyberangriffe und unsere Kunden waren auch betroffen Schaden Wohnungswirtschaft Ransomware im Büro II Der IT-Admin selber öffnete eine Mail mit einer Bewerbung im Anhang. Es bewarb sich jedoch kein neuer Mitarbeiter, sondern ein Trojaner auf eine Verschlüsselungsposition im Unternehmen. Ungefragt erbrachte der Trojaner seine Leistungen, verschlüsselte das System und legte das Wohnungsunternehmen eine Woche lang lahm. Nach eigenem Bekunden entstand dem Unternehmen ein Schaden von ca. 25.000 EUR, der sich aus versuchter Entschlüsselung, Datenrettung und weiteren Kosten zusammensetzte. Mittlerweile Alltag! Allianz Versicherungs-AG 9
Cyberangriffe und unsere Kunden waren auch betroffen Feststellungen zum Schaden Am 01. März erhielt die Mitarbeiterin aus der Buchhaltung eine Mail eines Geschäftspartners (Markt für Büroartikel) mit einer Rechnung im Anhang. Leider handelt es sich weder um den gewünschten Absender noch um eine Rechnung. Vielmehr wurden nun alle Festplatten, auf welche die Mitarbeiterin Zugriff hatte, nach und nach verschlüsselt. Betroffen waren 40 PC s und 2 Server, die geprüft und sukzessive wieder in Betrieb genommen wurden. Buchhaltungsdaten waren verschlüsselt. Buchhaltungsprogramm und Warenwirtschaftsprogramm liefen noch, aber auch hier wurden verschlüsselte Dateien festgestellt. DATEV veranlasste die Abschaltung des Systems, da Säuberung und weitere Prüfungen erfolgen mussten Entschädigung und Forensikerkosten 31.013,15 EUR Ransomware im Büro III Mittlerweile Alltag! Allianz Versicherungs-AG 10
Cyberangriffe Cyberangriffe drive-by-exploit greift auch die Allianz an http://www.musterfirma.de/start.html Ob Konzern, Mittelstand oder Start-up jeder ist gefährdet. Allianz Versicherungs-AG 11
Cyberangriffe Risikopotential in der Wohnungswirtschaft Eingriff Dritter in Buchungssysteme Datenschutzvorfall Dritte manipulieren Kontodaten, wodurch MA versehentlich Überweisungen falsch tätigen Informationskosten an die Betroffenen, Abwehr bei behördlichen Datenschutzverfahren, Reputationsschaden Verschlüsselung im Abrechnungssystem Wiederherstellung der Daten, Neuinstallation der Software Erpressung Netzwerksicherheitsverletzung Lösegeldforderung nach Cybererpressung Ansprüche Dritter wegen Übertragung von Schadprogrammen Reduzierung oder Unterbrechung der Dienstleistungen durch Hackerangriff Laufende Kosten und entgangener Betriebsgewinn Telefonmehrkosten Eingriff in die Internettelefonie und exzessives kostenpflichtige Telefonieren Allianz Versicherungs-AG 12
Überblick 1 Das Cyber-Risiko - Allianz Risk-Barometer 2017 - Cyber-Kriminalität - Beispiele für Angriffe 2 Die Cyber-Versicherung - Notwendigkeit einer speziellen Deckung - Drittschäden, Eigenschäden, Serviceleistungen - Weitere Bausteine Allianz Versicherungs-AG 13
Notwendigkeit einer speziellen Deckung Cyberrisiken aus der Sicht der Versicherungswirtschaft Status Quo Herkömmliche Produkte bieten keine bzw. kaum Deckung für Cyberrisiken Haftpflichtversicherung: Datenschutzverletzung, Datenverlust Sachversicherung / TV: Feuer und BU durch Hackerangriff (Sachsubstanzverletzung) VSV: je nach Ausgestaltung des Produktes bestimmte Cyber-Szenarien Beispiel Hackerangriff auf ein Unternehmen Sach /TV Cyber Cyber Physische Beschädigung der Hardware durch Überlastung Ausfall des Buchungssystems wegen blockierter Anwenderssoftware Verschlüsselung der Software mit Lösegeldforderung Allianz Versicherungs-AG 14
Cyberversicherung Worauf ist zu achten? ü Deckung auch bei nicht zielgerichteten Angriffen ü Deckung bei Datenschutzverletzungen (unabhängig von einem Cyberangriff) ü Beitragsfreie Rückwärtsdeckung ü Ausreichende Versicherungssummen und Sublimite ü Forensische Dienstleistungen bereits bei begründetem Verdacht ü Basis-Krisenplan ü 24/7 Schadenhotline ü Faire Deckung der Betriebsunterbrechung (Wartefrist anstatt zeitlicher Selbstbehalt) ü Datenmanipulation, Telefonmehrkosten ü Individuelle, teilweise fakultative Deckungserweiterungen (Fehlbedienung, Systemfehler ) ü Deckung für Ansprüche weltweit ü Fakultativ: Cybererpressung Geben Sie sich nicht mit weniger zufrieden. 15
Mehrbranchenpolice speziell auf Cyberrisiken abgestimmt Aufbau des Versicherungsschutzes Versicherte Bereiche Haft/VH 1 Versicherungsschutz für Haftpflichtansprüche Sach/TV 2 Versicherungsschutz für Eigenschäden RS 3 Versicherungsschutz für behördliche Datenschutzverfahren Assistance 4 Serviceleistungen Allianz Versicherungs-AG 16
Ziffer 1.1 Versicherungsschutz für Haftpflichtansprüche 1.1.1 Datenschutz und Vertraulichkeitsverletzung Abwehrkosten oder Schadenersatz, für die Versicherte infolge einer Datenschutz- oder Vertraulichkeitsverletzung haften 1.1.2 Netzwerksicherheitsverletzungen Abwehrkosten oder Schadenersatz, für die Versicherte infolge eines Cyberangriffes haften 1.1.3 Digitale Kommunikation Abwehrkosten, Vertragsstrafen oder Schadenersatz, für die Versicherte infolge Veröffentlichung digitaler Medieninhalten haften 1.1.4 E-Payment/ Vertragsstrafen Abwehrkosten, Vertragsstrafen oder Schadenersatz, für die Versicherte infolge der Verletzung des PCI-Datensicherheitsstandards haften Allianz Versicherungs-AG 17
Ziffer 1.2 Versicherungsschutz für Eigenschäden 1.2.1 1.2.2 Betriebsunterbrechung Wiederherstellung Entgangener Gewinn und fortlaufende Kosten infolge von Netzwerkeingriffen behördlichen Stilllegungsverfügung wegen Datenschutzverletzung Wiederherstellung der Funktionsfähigkeit des Computersystems sowie Daten infolge von Netzwerkeingriffen behördlichen Stilllegungsverfügungen wegen Datenschutzverletzungen 1.2.3 Systemverbesserung Kosten zur Schließung der für den Cyber Angriff ursächlichen Sicherheitslücke um künftige Angriffe zu vermeiden 1.2.4 Datenmanipulation/ Telefonmehrkosten (sofern vereinbart) Eigenschaden aufgrund der irrtümlichen Überweisung von Geld infolge einer Manipulation des Computersystems. Telefonmehrkosten infolge Angriffs auf das Telefonsystem der versicherten Gesellschaft Allianz Versicherungs-AG 18
Ziffer 1.3 Versicherungsschutz für behördliche Datenschutzverfahren 1.3.1 Behördliche Datenschutzverfahren Kosten für Rechtsanwälte und Sachverständig wenn gegen Versicherte ein Straf-, Ordnungswidrigkeitsoder sonstiges behördliches Verfahren eingeleitet wird Allianz Versicherungs-AG 19
Ziffer 1.4 Versicherungsschutz für Krisenmanagement 1.4.1 Forensische Dienstleistungen inklusive Notfallkosten Kosten eines IT-Forensikers im Falle tatsächlicher oder vermuteter Anhaltspunkte eines versicherten Schadens 1.4.2 1.4.3 1.4.4 Informationskosten Kosten einer freiwilligen Anzeige Krisenkommunikation Kosten die infolge einer Datenschutzverletzung durch die Erfüllung regulatorischer Anforderungen anfallen Aufwendung des VN z.b. für Rechtsanwälte und Sachverständige zur Verminderung versicherter Leistungen Kosten eines Krisenkommunikators in einem Schadenfall zur Abwehr und Minderung eines Reputationsschadens Allianz Versicherungs-AG 20
Ziffer 1.4 Versicherungsschutz für Krisenmanagement 1.4.5 Rettungsaufwendungen Mit dem Versicherer abgestimmte Aufwendungen zur Vermeidung von Drittansprüchen, z.b. Gutscheine für Anspruchsteller Zusätzliche Serviceleistungen Basis Krisenplan Erstellung eines kostenlosen Basiskrisenplans bei Policierung Hotline 24 / 7 - Hotline im Schadenfall Allianz Versicherungs-AG 21
Weitere fakultative Bausteine @ Erpressung Schäden, die versicherte Gesellschaften aufgrund einer Cyber-Erpressung erleiden @ Externe Dienstleister Mitversicherung eigener BU durch den Ausfall von externen Dienstleistern @ Fehlbedienung Mitversicherung eigener BU durch Fehlbedienung des Computersystems Allianz Versicherungs-AG 22
Eckdaten Versicherungssummen von 100.000 EUR bis 5.000.000 EUR (höhere Summen möglich) Sublimits Datenmanipulation bzw. Erpressung von 50.000 EUR bis 500.000 EUR Selbstbehalte von 1.000 EUR bis 10.000 EUR (höhere Selbstbehalte möglich) Allianz Versicherungs-AG 23
Vielen Dank! Henry Raschke Allianz Deutschland AG Firmen Haftpflicht Standorte Berlin/Leipzig Branchenkoordinator Underwriting Haftpflicht Individual Telefon: 0341.4010-28341 Mob.: 0170.7685653 E-Mail: henry.raschke@allianz.de