Cyber-Risiken und Versicherungslösungen Anton Alt, Akad. Vkfm. Graz, 27. Februar 2018 1
q 1992 gegründet q Unabhängiger Versicherungsmakler und Berater in Versicherungsangelegenheiten q Assekuradeur q 10 Mitarbeiter/Innen im Innendienst q Eigene Schadensabteilung q Netzwerke q International tätig
Sorgfaltspflichten eines Managers Die 10 Gebote nach Prof. Marcus Lutter 1. Einhaltung der Gesetze 2. Einhaltung von Satzung (insbesondere zum Unternehmensgegenstand) und Geschäftsordnung 3. Einhaltung der Regel des Anstellungsvertrages 4. Einhaltung der Weisungen der Gesellschafter 5. Ordnungsgemäße Organisation der Gesellschaft 6. Kontrolle und Organisation der Abläufe 7. Ständige Kontrolle von Liquidität und Finanzierung 8. Vermeidung übergroßer Risiken für die Gesellschaft 9. Vermeidung, mindestens aber Offenlegung aller Konflikte zwischen den Interessen der Gesellschaft und den Eigeninteressen des Geschäftsführers * E.g. survey 2005 10. Sorgfältige Vorbereitung geschäftlicher und geschäftspolitischer Entscheidungen. 3
DSGVO Artikel 5: Grundsätze für die Verarbeitung personenbezogener Daten 4
DSGVO Artikel 13: Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person Name und Kontaktdaten des Verantwortlicher, gegebenenfalls des DSBA Zweck sowie Rechtsgrundlage für die Verarbeitung Kategorien von Empfängern Übermittlung in Drittland Speicherdauer Belehrung der Betroffenen über ihre Rechte Einwilligung kann jederzeit widerrufen werden Beschwerderecht bei der Aufsichtsbehörde 5
DSGVO Artikel 30: Verzeichnis von Verarbeitungstätigkeiten Name und Kontaktdaten des Verantwortlicher, gegebenenfalls des DSBA (gesetzlich vorgegeben oder freiwillig) Zweck der Verarbeitung Kategorien betroffener Personen und personenbezogenen Daten Kategorien von Empfängern Übermittlung in Drittland Speicherdauer Technische und organisatorische Datensicherungsmaßnahmen 6
DSGVO Artikel 33: Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde Unverzüglich und möglichst binnen 72 Stunden Beschreibung des Vorfalls Anzahl der betroffenen Personen und Datensätze Kontaktdaten Anlaufstelle oder DSBA Beschreibung der wahrscheinlichen Folgen Beschreibung der ergriffenen und vorgeschlagenen Maßnahmen zur Behebung und Abmilderung Dokumentation: der Verletzungen, Auswirkungen, Abhilfemaßnahmen Muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels ermöglichen. 7
DSGVO Artikel 34: Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person Bei hohem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen Wenn dies mit einem unverhältnismäßigen Aufwand verbunden ist: öffentliche Bekanntmachung Falls keine Benachrichtigung durch Verantwortlichen: Aufsichtsbehörde kann diese verlangen 8
10.08.2015 Verlag Versicherungswirtschaft GmbH 9
Sehr geehrte Kundinnen, sehr geehrte Kunden, leider ist unser Webshop (www.vvw.de) Ziel eines kriminellen Datenangriffs geworden. Die Täter hatten Zugriff auf folgende Angaben: Anrede, Name, Adresse, Geburtsdatum, E-Mail-Adresse, Kundenkonto-Passwort, Bankleitzahl und Kontonummer, Telefon- und Fax-Nummer. Sicher ist, dass die Täter keinen Zugang zu Ihren VISA oder Mastercard-Daten hatten. Wir können nicht ausschließen, dass auch Ihre Daten davon betroffen waren. Wir bedauern dies sehr und versichern Ihnen, dass die Sicherheitslücke unverzüglich geschlossen wurde. Was sollten Sie tun? 1. Wir empfehlen Ihnen dringend die Zugangsdaten zu Ihrem Kundenkonto in unserem Shop vvw.de zu ändern. Zum Kundenkonto 2. Beobachten Sie Bewegungen auf Ihrem Bankkonto genau. Sollten Sie unberechtigte Abbuchungen feststellen, lassen Sie diese durch Ihre Bank zurückgeben. Falls Sie Fragen haben oder Hilfestellung benötigen, zögern Sie bitte nicht, sich bei uns zu melden. 10
DSGVO Artikel 82: Haftung und Recht auf Schadenersatz Jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. 11
DSGVO Artikel 83: Allgemeine Bedingungen für die Verhängung von Geldbußen Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen für Verstöße gegen die DSGVO in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. 12
DSGVO Artikel 83: Allgemeine Bedingungen für die Verhängung von Geldbußen ErwGr 148: Im Interesse einer konsequenteren Durchsetzung der DSGVO sollten bei Verstößen gegen diese Verordnung zusätzlich zu den geeigneten Maßnahmen, die die Aufsichtsbehörde gemäß dieser Verordnung verhängt, oder an Stelle solcher Maßnahmen Sanktionen einschließlich Geldbußen verhängt werden. Zu berücksichtigen sind: Art, Schwere und Dauer des Verstoßes, Maßnahmen zur Minderung des entstandenen Schadens, dem Grad der Verantwortlichkeit, der Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde 13
DSGVO Geldbußen ab 25.5.2018 Verstoß Höchstbuße bisher Grundsätze 20 Mio., bzw. 4 % 25.000,- Informationspflicht 20 Mio., bzw. 4 % 500,- Sicherheit der Verarbeitung 10 Mio., bzw. 2 % 10.000,- Verarbeitungsverzeichnis 10 Mio., bzw. 2 % 10.000,- Meldepflicht gegenüber Behörde 10 Mio., bzw. 2 % - Benachrichtigung Betroffener 10 Mio., bzw. 2 % - 14
Persönliche Risiken eines Geschäftsführers I) Strafrechtliche Verantwortung II) Zivilrechtliche Haftung * E.g. survey 2005
Erfolgreiche Cyber-Angriffe häufen sich 16
Erfolgreiche Cyber-Angriffe häufen sich 17
Erfolgreiche Cyber-Angriffe häufen sich - auch in Österreich: Studie 13.9.2017 von KPMG 236 österreichische Unternehmen wurden befragt 72 % waren in den letzten Monaten Opfer von Cyber-Angriffen (im Vorjahr waren es noch lediglich 49 %) Angriffsquote von 84 % auf Produktionsbetriebe Jedes 2. Unternehmen musste in Folge seine Geschäfte unterbrechen Fast ein Viertel der Angriffe waren zielgerichtete Cyber-Attacken (Verschlüsselungstrojaner) Größtes Sorgenkind: Das Internet der Dinge Es gibt keine sicheren Systeme! 19
Warum eine Cyber-Versicherung? 20
Wer bietet die Cyber-Versicherung mit dem besten Preis- /Leistungsverhältnis????? 21
Cyber-Versicherung I) Cyber-Haftpflichtversicherung II) Abwehrdeckung bei behördlichen Datenschutzverfahren III) Strafrechtsschutz IV) Cyber-Eigenschadenversicherung V) Präventionsmaßnahmen VI) Soforthilfe im Notfall 22
Cyber-Versicherung I) Cyber-Haftpflichtversicherung (Erfüllung / Abwehr) Schadenersatzansprüche Dritter Vermögensschaden-Haftpflichtversicherung (inkl. immaterielle Schäden) wegen einer Datenrechtsverletzung Netzwerkhaftpflicht = Cyberrechtsverletzung (Weitergabe eines Virus, Denial-of-Service-Angriff, ausgehend vom IT-System des VN) Werbehaftpflicht: Werbung und Marketing für das eigene Unternehmen 23
Cyber-Versicherung II) Behördliche Datenschutzverfahren Abwehrkosten in Bezug auf behördliche Verfahren Außergerichtliche und gerichtliche Abwehrkosten Rückzahlung nur, wenn der Verstoß vorsätzlich begangen wurde 24
Cyber-Versicherung III) Strafrechtschutz Kosten der Wahrnehmung der rechtlichen Interessen bei Einleitung eines Strafverfahrens Erfasst sich sämtliche Verfahren, die in Verbindung mit der Vorbereitung, Durchführung oder Abwicklung eines Strafverfahrens stehen Verbandsverantwortlichkeitsgesetz: Firmenstellungnahme 25
Cyber-Versicherung IV) Cyber-Eigenschaden 1. Kosten für IT-Forensik 2. Rechtsberatung durch externe Datenschutzanwälte 3. Kosten für die Anzeige und Bekanntmachung von Datenrechtsverletzungen 4. Kosten für Krisenmanagement- und PR-Maßnahmen 5. Callcenter-Kosten 26
Cyber-Versicherung IV) Cyber-Eigenschaden 6. Umleitung von Geld- und Warenströmen (optional) 7. Telefonmissbrauch (Voice over IP) (optional) 8. Lösegeld 9. Vertragsstrafen an E-Payment Service Provider 10.Vertragsstrafen wegen der Verletzung von Geheimhaltungspflichten 27
Cyber-Versicherung IV) Cyber-Eigenschaden 11. Vertragsstrafen bei verzögerter Leistungserbringung (optional) 12. Bußgelder und Entschädigungen mit Strafcharakter im Ausland (soweit rechtlich zulässig) 13. Kosten für Kreditüberwachungsdienstleistungen 14. Honorar für Sicherheitsanalyse der identifizierten Schwachstelle und Empfehlungen zu Sicherheitsverbesserungen 15. Freistellung externer Dienstleister (Auftragsverarbeiter) 28
Cyber-Versicherung IV) Cyber-Eigenschaden 16. Cyber-Betriebsunterbrechung inkl. Mehrkosten zur Verhinderung oder Verkürzung einer BU 17. Cyber-Betriebsunterbrechung bei Cloud Ausfall (optional) 18. Wiederherstellungskosten 29
Cyber-Versicherung V) Prävention Cyber-Krisenplan Online-Cyber-Training für MA üphishing erkennen und abwehren üsichere Passwörter erstellen und merken üsocial-engineering-angriffe erkennen und abwehren üsicheres Verhalten am Arbeitsplatz üsicher unterwegs üumgang mit mobilen Geräten 30
Cyber-Versicherung VI) Assistanceleistungen im Schadensfall Professioneller Krisendienstleister! Krisenhotline (Soforthilfe im Notfall) - Expertenmeinung zur geschilderten Lage - Empfehlung für Sofortmaßnahmen zur Schadensbegrenzung - Empfehlung für Sofortmaßnahmen zur Ursachenermittlung - Erste Bewertung der bisherigen Maßnahmen Kein SB, keine Anrechnung auf die VSU IT-Forensik, Wiederherstellung, Sicherheitsanalyse und Empfehlungen zur Sicherheitsverbesserung 31
Cyber-Versicherung Weitere Highlights Weltweiter Versicherungsschutz Unbegrenzte Rückwärtsdeckung Keine versteckten Obliegenheiten 32
Beispiele für primäre Obliegenheiten VN hat sämtliche zumutbaren Vorkehrungen zu ergreifen, um Betriebsunterbrechungsschäden gering zu halten Der VN hat alle Herstellerempfehlungen einzuhalten VN hat insbesondere Cyber Angriffe oder den unerlaubten Zugriff auf Daten und Software zu verhindern [ Schadensfall RZ! 33
Cyber-Risiken und Versicherungen Vielen Dank für Ihre Aufmerksamkeit! Fragen?. Anton Alt Akad. Vkfm Staatlich geprüfter Versicherungsberater Allgemein beeideter und gerichtlich zertifizierter Sachverständiger Wirtschaftsmediator Email: anton.alt@alt-walch.at Tel. 03142/21110 34