Cyberkriminalität und IT-Attacken Die Cyber-Risk-Police als Brandschutz des 21. Jahrhunderts AVW Wohnungswirtschaftliche Versicherungstagung Hamburg, 01.10.2015 Natalie Kress Cyber Practice Manager Germany & Austria ACE European Group Limited
AGENDA Über ACE Risikoumfeld Versicherte Gefahren Versicherte Kosten Drittschadendeckung Ausschlüsse Petersberg, Produktbesonderheiten 25. Oktober 2013 Schadenszenarien
3 Starke Marktposition Marktkapitalisierung in Höhe von 37,8 Mrd. USD* Eigene Niederlassungen in 54 Ländern Globaler Service und Expertise in insgesamt 195 Ländern 20.000 Mitarbeiter/innen weltweit ACE Limited, die Muttergesellschaft der ACE Gruppe, ist an der New Yorker Börse (NYSE) notiert und Bestandteil des S&P 500-Index Der weltweit 5 größte Industrieversicherer * Hauptsitz in Zürich, Schweiz Konzentration auf das Versicherungsgeschäft *Stand 31. Dezember 2014
Einführung Umfeld 2015 Es gibt nur zwei Arten von Unternehmen: solche, die schon gehackt wurden und solche, die es noch werden Zitat: Robert S. Mueller, FBI Direktor 4
Viren Hardware BYOD Big Data Cloud Darknet MA Hacker APT Internet 4.0 IT-/Netzwerksicherheit Datenschutz Risikomanagement Cyberversicherung Risiken Maßnahmen Transfer 5
Cyberversicherung Cyberversicherung Kostenpositionen Eigenschäden Drittschäden 6
ACE Data Protect - Versicherte Gefahren (1) (1) Versichert: Verlust, die Zerstörung oder die Beschädigung von Daten oder Programmen durch: Mut- oder böswillige Handlungen durch AN oder Dritte (Malicious Acts) Programme oder Programmteile mit Schadfunktion (Malicious Codes), wie Viren, Würmer, Trojanische Pferde und Logische Bomben Menschliches Versagen Verlust, Zerstörung oder Beschädigung der Hardware Ausfall oder Störung der Hardware durch: Elektrostatische Entladungen oder elektromagnetische Störungen Überspannung, Spannungsabfall Ausfall der Stromversorgung oder des Datennetzes 7
ACE Data Protect - Versicherte Gefahren (2) (2) Versicherbarkeit des Systems/BU Versichert ist die Unterbrechung der normalen Abläufe innerhalb der elektronischen Datenverarbeitung wegen Datenverlust gem. (1) oder eine Störung des Zugangs des elektronischen Datenaustausches durch Mut- oder böswillige Handlungen (Malicious Acts) oder Viren, Würmer, Trojanische Pferde und Logische Bomben und zwar unabhängig davon, ob auch Daten oder Programme negativ verändert oder zerstört werden (Denial-of-Service-Attacken) (3) Erpresserische Bedrohung in Bezug auf die Software 8
ACE Data Protect Versicherte Kosten (1) Softwarewiederherstellungskosten Beschleunigungskosten Kosten für erhöhten Werbeaufwand Sachverständigenkosten, Forensik Kosten der Regressnahme Vertragsstrafen (bei gesonderter Vereinbarung) PCI-Strafen (optional) Leistung bei Schäden durch externe Dienstleister (Cloud, IaaS, PaaS, SaaS) 9
ACE Data Protect Versicherte Kosten (2) Bei einem vermuteten oder tatsächlichen Verlust von Daten Dritter Benachrichtigungskosten (gem. BDSG) (Benachrichtigung der Kunden, Call Center, Multimediaverbreitung etc.) Kosten für Nachforschungen (Monitoring, Forensik, Berater etc.) Kosten für Verhandlungen mit zuständigen Aufsichtsbehörden (Rechtsanwälte, Krisenmanager etc.) NEU: Assistance durch Data Breach Coach & Incident Response Team 10
DataProtect Liability (1) DataProtect Liability auf einen Blick Deckt Vermögensschäden der versicherten Unternehmen aus Schadenersatzansprüchen Dritter wegen einer Datenschutzverletzung Anwalts-, Sachverständigen-, Zeugen- und Gerichtskosten alle weiteren notwendigen gerichtlichen und außergerichtlichen Kosten der Abwehr unberechtigter Ansprüche 11
DataProtect Liability (2) Ursachen für Ansprüche können sein Beleidigung, Verleumdung, üble Nachrede, Diebstahl geistigen Eigentums und ähnliche Rechtsverletzungen Datenschutz und Vertraulichkeit (Recht auf Privatsphäre) Unbefugte Nutzung des Computersystems, Denialof-Service, Verbreitung eines Computerviruses Geltungsbereich Versicherungsschutz erstreckt sich auch auf die Tochterunternehmen der Versicherungsnehmerin Weltweiter Versicherungsschutz 12
ACE Data Protect Ausschlüsse Vorsatz oder grobe Fahrlässigkeit der Repräsentanten Abnutzung/Verschleiß/Überalterung Programmierfehler Nicht wiederherstellbare Daten Verluste oder Ansprüche aus nicht autorisiertem Handel (Finanzmarkttransaktionen) Missbrauch, Veruntreuung, Betrug von Gütern, Waren & Geldern Hoheitsakte, Krieg, kriegsähnliche Ereignisse, Revolution, Rebellion Kernenergie, radioaktive Strahlung Terror 13
14 Produktbesonderheiten Schäden durch selbst reproduzierende / ungezielte Schadsoftware mitversichert Schäden durch mut-/böswillige Interne sind mitversichert Schäden durch menschliche Versagen mitversichert Trigger für BU-Schäden geht über Hacker und DoS-Attacken hinaus Weitestgehender Verzicht auf Sublimits Langjährige Erfahrung auf dem europäischen Markt + internationales Netzwerk ACE Data Breach Coach & Incident Respose Team für den Ernstfall Mitversicherung eventueller Serviceprovider
Mögliche Risiken Vertrauensverlust Schufa CRM Umsatzeinbußen Sensible Informationen Vermögen Viren Benachrichtigung Kompromittieren der Daten Mehrkosten Erpressung Betrug Verletzung der Geheimhaltung Wiederherstellung der Datenbanken Krisenkosten Meldepflichten 15
Bürobetrieb B2C (1) Schadenszenario Die Datenbank eines Bürobetriebes wird von Dritten gehackt. Mit den Kundendaten wird Identitätsdiebstahl begangen. Schadenhöhe 195.000 Schadenbild Durch eine Sicherheitslücke im System können Hacker Zugang zum CRM-System eine mittelständischen Bürobetriebes erlangen Sie können personenbezogene Daten von 30.000 Privatpersonen abschöpfen Im Darknet werden die Kundendaten zum Verkauf angeboten E-Mail-Adressen der Kunden werden zum Versenden von Schadsoftware / Phishing missbraucht Ferner wird Identitätsdiebstahl in 250 Fällen begangen (Abschluss von Verträgen mit falschen Identitäten) 16
Bürobetrieb B2C (2) Auswirkungen Forensikkosten Rechtsanwaltskosten / Meldung bei Aufsichtsbehörde Benachrichtigung der Betroffenen Schadenersatzansprüche Dritter PR-Kosten zur Wiederherstellung der Reputation 50.000,00 60.000,00 15.000,00 55.000,00 15.000,00 195.000,00
Vielen Dank! acegroup.com/de