Cyber Versicherungen Risikomanagement im Zusammenwirken zwischen Unternehmensleitung, IT-Experten und Versicherungen Hamburg 23.10.2014
Agenda 1. Einführung 2. Risikosituation: Schäden, Kosten, Risikomanagement 3. Deckungsinhalte der Cyberpolicen 4. Markt und Ausblick
Einige Daten zur Orientierung Zeitspanne in Tagen zwischen einer Datensicherheitsverletzung und ihrer Entdeckung* 156 Anteil der Unternehmen, die bereits Ziel eines ernsthaften Versuchs waren, rechtswidrig in ihr Netzwerk einzudringen* 100 % Kosten pro Dateninhaber, um einer gesetzlich vorgeschriebenen Informationspflicht nachzukommen ca. 50 Durchschnittliche Anzahl als gestohlen gemeldete Laptops am Pariser Flughafen pro Woche** 733 Quellen: * PriceWaterhouseCoopers, Information Security Breaches Survey 2010 befragt wurden 539 Unternehmen in GB. ** Ponemon Institute ***TrustWave - Global Security Report 2011
Sprachschwierigkeiten Unternehmensleitung Versicherungen IT-Verantwortung
Sprachschwierigkeiten Unternehmensleitung Versicherungen IT-Verantwortung
Agenda 1. Einführung 2. Risikosituation: Schäden, Kosten, Risikomanagement 3. Deckungsinhalte der Cyberpolicen 4. Markt und Ausblick
Cyber-Risiken? Alle Unternehmen 1. steuern wichtige Prozesse und Transaktionen IT-und / oder Webgestützt und / oder 2. speichern, bearbeiten oder verwalten sensible Daten (personenbezogene oder sonstige vertrauliche) ihrer Kunden, Mitarbeiter, Patienten, Vertragspartner.
Risikofelder (1) Produktion durch web-/ IT-gestützte Systeme - Risiko Betriebsunterbrechung - Risiko Fehler in der Produktion - Risiko Erpressungen Risiko Betriebsunterbrechung oder störung => fortlaufende Kosten und entgehender Gewinn
Risikofelder (2) Transaktionen durch IT-gestützte Systeme - Risiko Verfügbarkeit / Betriebsunterbrechung - Risiko Folgeschaden aus Fehltransaktionen - Risiko CyberCrime Welche relevanten Transaktionen werden It-/webgestützt durchgeführt? (online-service, Zahlungsverkehr, Zahlungsterminierung, Lagerhaltung ) Welche besondere Herausforderungen ergeben sich evtl. aus der Nutzung gemeinsamer Systeme und Plattformen in einem Verbund?
Einige Schadenszenarien intentional Durch einen Bedienfehler beim Release-Wechsel einer zentralen Handels/ Zahlungsverkehrs-Applikation kann eine Vielzahl an Systemen nicht hochgefahren werden. Stillstand 3 Tage Über die Anbindung eines neues Handelspartners wird ein Virus in das System der Stammdatenverwaltung eingeschleust: Stillstand 72 Stunden. nicht intentional Hacker infizieren die PC-Landschaft des Unternehmens - bei einem Release-Wechsel wird in Folge der Virus auf die PCs aller Mitarbeiter installiert.
Risikofelder (3) Umgang mit sensiblen Daten (personenbezogene Daten, Kundendaten)? - Risiko Datenschutzverletzungen, Vertraulichkeitsverletzungen - Risiko Reputationsverlust Welche sensiblen Daten befinden sich in Ihrem Unternehmen? (Zahlungsdaten, Kundendaten, Unternehmensdaten, Rezepturen,.)
Einige Schadenszenarien intentional Kriminelle hacken sich in die unternehmensinterne Datenbank und ziehen eine Kopie mit 2.000 Daten prominenter Kunden. Sie drohen mit Veröffentlichung im Netz, sofern nicht ein Schutzgeld gezahlt wird. Unzufriedener Mitarbeiter überwindet die Schutzmechanismen des IT-Systems. Er kann 500.000 personenbezogene Daten entwenden, die Presse informieren und die Daten auf dem Schwarzmarkt anbieten. nicht intentional Mitarbeiter lässt versehentlich seinen Laptop im ungeschütztem Arbeitsmodus im Auto liegen. Auf dem Gerät sind sehr vertrauliche Daten über diverse Kunden gespeichert.
Juli 2014 Quelle: www.tagesschau.de
Mai / Juli 2014 Quelle: www.zdnet.de
Kosten Beispiel Datenklau im E-Commerce Online-Vertrieb mittlerer Größe ist Opfer von Datendiebstahl geworden. Über mehrere Monate konnten sich Hacker rechtswidrigen Zugang zu dem eigentlich streng gesicherten online-portal verschaffen. Während dieser Zeit konnten die Hacker über rund 200.000 Kundendaten kopieren und unrechtmäßig nutzen. Das Schadensausmaß ist sowohl finanziell als auch reputationsmäßig immens. Die bisher entstandenen Kosten sind wie folgt: Kosten für diverse forensische Arbeiten 150.000,00 Kosten für Rechtsberatung und Rechtsbeistand 525.000,00 Kosten für gesetzliche Informationspflichten 2.170.000,00 Kosten für Media und PR Arbeiten 253.000,00 Geltend gemachter Vermögensschaden der Payment Card Industry 2.000.000,00 Gesamtkosten 5.098.000,00
Kosten Beispiel Diebstahl eines Laptops Bei einem Einbruch in die Büroräumlichkeiten wird unter anderem ein Desktop PC gestohlen. Auf diesem Rechner befanden sich Daten von ca. 50 Lieferanten inklusive vertraulicher Daten zum Zentraleinkauf. Folgende Kosten sind entstanden: Rechtsberatung und Info-Pflichten gegenüber betroffenen Dateninhabern 90.000 Forensische Dienstleistungen 20.000 Aufwendungen für PR-Beratung 5.000 Gesamtkosten 115.000
Im Schadenfall entstehen Kosten für : - Rekonstruktion und Wiederherstellung der Daten - Schadensersatzansprüche Dritter wegen Vertraulichkeits- und Datenschutzverletzungen - Betriebsunterbrechung - Aufklärung des Vorfalles, IT-Forensik - Sicherheitsberater oder PR-Berater - Umsatzverluste/Reputationsschaden - Erpressungsgeld, Belohnungen - Vertragsstrafen/Bußgelder
Wie kann man sich dem Thema Risikomanagement und Risikotransfer nähern GENAU WIE SONST AUCH Dreistufige Lösung in der Risikoberatung durch : Schritt 1) Schritt 2) Schritt 3) Schritt 4) IT-Check / Kurzgutachten / Security Audit Risikomanagementberatung / -transfer Schadenmanagement /Expertennetzwerk Jährliche Überprüfung kompakt BVMW Quelle: IT-Sicherheit
Cyber: 1. Ein Risiko, wie jedes andere auch nur noch nicht typisiert 2. Organisatorisches Risikomanagement wichtiger als technisches 3. Sprachbarriere dann nicht vorhanden 4. Schnelle Reaktion entscheidend
Agenda 1. Einführung 2. Risikosituation: Schäden, Kosten, Risikomanagement 3. Deckungsinhalte der Cyberpolicen 4. Markt und Ausblick
Cyber-Versicherung: Versicherbare Schadenpositionen - Schadenersatzansprüche Dritter - Abwehr unberechtigter Ansprüche - Ausgleich berechtigter Ansprüche - Ertragsausfall infolge Unterbrechung des Betriebes - Kosten für forensische Untersuchungen - Kosten für externe Unterstützung bei Aufklärung - Kosten für Einschaltung PR-Berater - Wiederherstellungskosten bei Verlust/Zerstörung eigener Daten und Netzwerke - Erpressungsforderungen durch Hacker - Benachrichtigungskosten bei Verstößen gegen Datenschutz-Vorschriften - Diebstahl von Werten
Cyber-Risiken werden nur ausschnittsweise und begrenzt über Haftpflicht-, Sach- oder Vertrauensschadenversicherung abgedeckt. Der Versicherungsschutz für Cyber-Risiken in diesen Sparten ist unzureichend, da - weitreichende Ausschlüsse für relevante Risiken bestehen - jeweils andere Versicherungsfall-Definitionen zu berücksichtigen - im Schadenfall stets mehrere Versicherer zu involvieren sind. So ist einer Haftpflichtversicherung zum Beispiel der Schadensersatzanspruch eines Dritten erforderlich. Ob dieser Anspruch allerdings bei einem Hacker- Angriff gegeben ist, dürfte fraglich sein.
Eigenschäden Sach / TV Haftpflicht Erpressung VertrauenS Cyber Wiederherstellungskosten Daten / Programme bedingt Benachrichtigungskosten Betriebsunterbrechungssc häden Kosten für IT-Forensik bedingt Wiederherstellungskosten nach Hackerangriff bedingt Kosten Sicherheitsberater Kosten PR-Berater Erpressung / Bedrohung bedingt bedingt Belohnung für Hinweise, die zur Ergreifung des Erpressers führen bedingt Diebstahl Geld oder Vermögenswerte in elektronischer Form bedingt bedingt
Drittschäden Sach / TV Haftpflicht Erpressung VertrauenS Cyber Ansprüche Datenverlust Ansprüche Datenschutz Forderungen der PaymentCard-Industrie Ansprüche Persönlichkeitsrechtsverlet zungen Ansprüche aus Verletzung Rechte des geistigen Eigentums bedingt bedingt bedingt
Was soll eine Versicherungslösung auch gewährleisten? Prävention und Krisenbewältigung durch die Einbeziehung eines professionellen Unternehmens insbesondere zum strategischen, forensischen und juristischem Management von IT-Security-Krisen, z.b.: Im Schadenfall: Im Vorfeld: Erstreaktion & Hotline Forensik Penetrationstests Schulungen, Trainings & Übungen
Agenda 1. Einführung 2. Risikosituation: Schäden, Kosten, Risikomanagement 3. Deckungsinhalte der Cyberpolicen 4. Markt und Ausblick
Versicherer und Kapazitäten Ace AGCS/Allianz AIG Axa /Axa Corso Chubb CNA HDI Gerling Hiscox Kiln R+V (nur Privatprodukt) Württembergische XL Zürich Kapazitäten zw. 5 und 50 Mio. Euro Marktkapazität bis 200 Mio. Euro
Quotierungsverhalten 4.000 10.000 Euro pro Mio. Deckungssumme Umsatz und Branche als wesentliche Kriterien unterschiedliche technische Expertise Mindestprämien zwischen 800 und 2.000 EUR je nach Versicherer Mindest-Selbstbehalt zwischen 1.000 und 10.000 EUR je nach Versicherer
Ausblick - Schätzungen Zur Zeit ca. 120 Abschlüsse (überwiegend in 2013/ 1. Halbjahr 2014) Marktprämie Deutschland z.zt. 5-7 Mio. Euro 200 Mio. Euro Prämie in 5-7 Jahren Ausschreibungen einiger DAX- Unternehmen im Markt Abschluss durch Bosch mit 100 Mio. Euro Versicherungssumme