Cyber-Großrisiken Das unplanbare Planen 22. Juni 2016
Ihre Referenten Ole Sieverding Product Head Cyber & Data Risks Hiscox Deutschland Mathias Köppe Senior Consultant HiSolutions AG
Recap des letzten Cyber Webinars Cyber-Risiken das unplanbare Planen 1 Marktsituation 2 Deckungshighlights 3 Zielgruppen 4 Krisenprävention 3
Was ist sonst neu? Alle Infos an einem Ort https://www.hiscox.de/ Klick Überarbeitetes Antragsmodell Attraktivere Einstiegsprämien ( 445 netto p.a. bis 150.000 Jahresumsatz) Monatliche Zahlweise möglich Krisenplan wird direkt mit dem Versicherungsschein verschickt Jetzt auch elektronisch im Makler-Portal abschließbar 4
Jedes zweite Unternehmen in Deutschland ist schon Opfer von Internetkriminalität geworden. Anteil Unternehmen, die in den letzten 2 Jahren von Datendiebstahl, digitaler Wirtschaftsspionage oder Sabotage betroffen waren vermutlich betroffen 28% 51 Milliarden Euro Schaden pro Jahr 51% betroffen nicht betroffen 21% Quelle: Bitkom Research 2015 5
Der Umgang mit Cyber-Kriminalität ist eine aktive Businessentscheidung! Eine Frage des Risikomanagements Gesetzesgrundlage: Vorstands und Geschäftsführerhaftung 91 Abs. 2 AktG Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. Gilt für Vorstände und Geschäftsführer gleichermaßen Organhaftung Frühwarnsystem und Organisationsverschulden 6
Cyber-Attacken oft auf Insider zurückzuführen. Weltweite Cyberattacken auf Unternehmen nach Verursacher 2015 40% 60% 15,5% Unabsichtlich 44,5% Absichtlich Outsider 1) Insider 2) 1) Angreifer ohne Zugriffsrechte 2) Angestellte, Dritte mit Systemzugriff Quelle: IBM X-Force Cyber Security Intelligence Index 2016
Angreifer und Angreifer-Typologie Cyber-Kriminelle versuchen mithilfe der Informationstechnik auf illegalen Wegen Geld zu verdienen Nachrichtendienste Spionage und Wirtschaftsspionage Hacktivismus und Cyber-Aktivisten nutzen Computersysteme und Netzwerke vorgeblich als Protestmittel, um politische oder ideologische Ziele zu erreichen Innentäter Tätergruppe, die für Angriffe auf firmeninterne oder vertrauliche Informationen sowie Sabotage in Frage kommt 8
Fragestellungen im eigenen Unternehmen Was sind meine Kronjuwelen? Welche Daten hat das Unternehmen? In welcher Form werden diese vorgehalten? Kundendaten (natürliche wie juristische Personen) Mitarbeiterdaten Kreditkartendaten Bestelllisten Eigene vertrauliche Geschäftsgeheimnisse Vertrauliche geschäftliche Daten meiner Kunden Elektronisch (Server, mobile Endgeräte wie Laptops, USB Sticks, Smartphones,...) Papierform Welcher Schaden kann entstehen, wenn die Vertraulichkeit, Verfügbarkeit oder Integrität dieser Daten verletzt wird? Reputationsschaden Kundenabgänge Finanzieller Schaden 9
Nicht nur Unternehmen mit vielen Daten sind betroffen, sondern auch die Industrie. Typische IT Architektur früher Office Netzwerk Internet F&E Zulieferer Fertigung 10
Nicht nur Unternehmen mit vielen Daten sind betroffen, sondern auch die Industrie. Typische IT Architektur heute Office Netzwerk Internet F&E Zulieferer Home Office Fertigung 11
Reifegradvergleich der IT-Landschaften gut schlecht Office-IT IT von F&E, Fertigung Betriebssystem Personal Firewalls Virenschutz Security-Patching Software-Management Rollen & Berechtigungen Password-Policies Nutzung Privatgeräte Standardisiert Ja Ja Standardisiert Zentralisiert Genormt Stark Wird erkannt/verhindert Viele????? PIN?? 12
Cyberspace und reale Welt sind mittlerweile fast überall miteinander verbunden. 13
Was also tun, wenn Sie Opfer eines Cyber-Angriffs werden? 14
Spezielle Anforderungen an das Unternehmen Fragen wenn der Plan und das Training fehlen... Was sollen wir den verärgerten Kunden sagen? Was sagt man der Polizei und den Journalisten? Wie gehen wir mit dem Shitstorm bei Facebook und Twitter um? Wer hat jetzt den Hut für welche Maßnahme auf? Und welche Abteilungen und Prozesse sind denn betroffen? Können wir ohne Mail und Fileserver weiterarbeiten? Wurde die Ursache schon gefunden? Welche Risiken haben die Hilfsmaßnahmen? 15
Was benötigt ein Unternehmen, um angemessen auf diese Gefahren zu reagieren? Bewertung des individuellen Cyber-Risikos Definition von Worst-Case Szenarien Einen speziell auf Cyber-Gefahren abgestimmten Krisenplan Training der Abläufe im Vorfeld Spezialisierte IT-Forensiker für den Ernstfall Spezielle rechtliche Beratung zum Thema Datenschutz PR-Experten für solche Unternehmenskrisen Eine Cyber-Krise blockiert den normalen Geschäftsbetrieb! 16
Der Hiscox Ansatz Wie unterstützen wir Sie? Vertrieb Prävention Versicherungsschutz Response (Assistance) Underwriter vor Ort Endkundentermine Events Webinare Krisenprävention Risk-Audits Empfehlungen zu Schutzmaßnahmen Drittschäden (+Abwehrschutz) Eigenschäden Betriebsunterbrechung Krisenmanagement IT-Forensik PR-Maßnahmen Rechtliche Beratung 17
Krisenmanagement
Advanced Persistent Threats stellen eine neue Dimension der Sicherheitsbedrohungen, insbesondere für große Unternehmen, dar. Angriff lediglich auf ein bestimmtes Opfer oder zumindest eine sehr stark eingegrenzte Anzahl von Opfern. Anstelle nur einer einzigen Schadsoftware wird auf eine größere Anzahl von Techniken und Taktiken zurückgegriffen. Die Täter sammeln Zugangsdaten zu weiteren Systemen im Opfernetz. Das Opfer wird vor einem vorgesehenen Angriff genauestens sondiert und die für den Angriff verwendete Schadsoftware so weit wie möglich optimal auf den Einsatzzweck angepasst. Personen, wie einzelne Hacker, werden in der Regel nicht als APT bezeichnet. In manchen Fällen konnten APT-Angriffe auf Organisationen zurückgeführt werden. 19
In mehreren Phasen verschaffen sich die Angreifer mit verschiedenen Angriffstechniken einen Zugang zum Netzwerk. 1. Vorbereitung 2. Infektion 3. Verteilung 4. Persistenz 5. Ex-Filtration Quelle: Symantec Advanced Persistent Threats 2011 20
Die bekanntesten Angriffe waren bislang gegen Regierungseinrichtungen gerichtet. 21
Aber einige prominente Vorfälle enthalten ebenfalls Hinweise auf eine ähnliche Vorgehensweise. 70 Millionen Datensätze Angreifer hatten über 1 Monat Zugang zum Netzwerk Eine Bedrohung für Geschäftspartner, Angestellte und Kunden Hacker haben ihre Spuren verwischt 145 Millionen Kundendaten kopiert Kunden bekamen anschließen Phishing-Mails Angreifer hatten über 5 Monate Zugang zum Netzwerk 56 Millionen Kunden-Kreditkarten Hacker verkleiden sich als Service-Techniker und installieren KVM-Switch (vgl. Key-Logger) 22
Zur Bewältigung werden im Krisenmanagement alle notwendigen Kompetenzen und Ressourcen gebündelt. Dies beinhaltet... Lagefeststellung und -beurteilung aus Unternehmenssicht Der Krisenstab ist eine Sonderorganisationsform mit Rahmenanweisungen für ungeplante Ereignisse. Entwicklung von Strategien und Szenarioarbeit Handlungsoptionen identifizieren und Maßnahmen festlegen 23
Der Krisenplan ermöglicht eine strukturierte und verzugsfreie Reaktion auf Cyber-Krisen... Der Krisenplan ist ein reaktives Dokument, das auf die Bereitstellung einer allgemeinen Reaktionsfähigkeit für unvorhergesehene Ereignisse fokussiert. Dies beinhaltet... Kurze übersichtliche Darstellung der Rahmenanweisungen Beschreibung der Grundsätze, Richtlinien und Verfahrenselemente Regelungen zu Training, Übung und Evaluation 24
... und beinhaltet alle für die Bewältigung erforderlichen Informationen und Hilfsmittel 1 Allgemeiner Teil Ziele, Alarmierung, Krisendefinition 4 Erstreaktion Checkliste Sofortmaßnahmen Krisenorganisation Rollen, Aufgaben, Schnittstellen 2 5 Krisenkommunikation Stakeholder, Strategie, Texte 3 Methodik im Krisenstab Führungssystem, Lagearbeit, Prinzipien 6 Anhang Alarm-/ Gebäudepläne, Templates, Kontaktdaten 25
Eine effektive Krisenreaktion erfordert ein eingespieltes Team. Dies beinhaltet... Meldewesen, Alarmierung und Eskalation Zusammenarbeit im Krisenstab Cyber-Krisenübungen ermöglichen eine risikofreie Auseinandersetzung mit Cyber- Szenarien in einer kontrollierten Umgebung. Lagebilderstellung und Entscheidungsfindung Protokollierung und Visualisierung Die Reaktionsfähigkeit und Zusammenarbeit des Krisenstabs kann in Abhängigkeit des individuellen Reifegrads erhöht werden. 26
In Übungen werden die Herausforderungen eines eskalierenden Cyber-Krisenszenarios simuliert. Sie sind Mitglied des Krisenstabs bei einem Versicherungsdienstleister: 100 Angestellte 20 Mio. Kunden 4 Niederlassungen Der Erpresser twittert über seinen Hack und veröffentlicht ein Datenfragment Kunden melden sich bei der Hotline Bild-Zeitung titelt über einen Verlust von Kundendaten Der Erpresser meldet sich erneut, er fordert nun eine Summe von 500 BTC Vor dem Gebäude haben sich einige Kunden versammelt Erste Interviews im Fernsehen auch eigene Mitarbeiter A 1 2 3 4 5 IT meldet Lücke durch die vermutlich Daten abgezogen wurden (Kundendatenbank) Sie erhalten ein Bekennerschreiben mit der Forderung den Vorstand zu entlassen Erste Presseanfragen Die Kundenhotline ist überlastet DDoS Angriff auf Unternehmenshomepage Mitarbeiter halten sich nicht an die Kommunikationsstrategie Kunden fangen an, sich in Foren und sozialen Plattformen Luft zu machen Angestellte vermuten, auch ihre Daten wurden gehackt, und sind wütend Am Empfang findet sich eine Gruppe von aufgebrachten Angestellten zusammen Der Erpresser veröffentlicht sämtliche erbeuteten Daten im Internet 27
Der individuelle Weg zum Cyber- Versicherungsschutz für Großkunden +? Versicherungsunterlagen Ansprechpartner identifizieren Individueller Krisenplan Krisenübung 28
Eine Krise ist ein produktiver Zustand. Man muss ihr nur den Beigeschmack der Katastrophe nehmen. (Max Frisch)
Vielen Dank für Ihre Aufmerksamkeit