Fragebogen AIG CyberEdge 2.0 Firma / Unternehmen: Strasse / Hausnummer: Postleitzahl / Ort: Telefon, E-Mail und Website: Gründungsdatum: Tätigkeitsbeschreibung (ggf. bitte Antwort auf Beiblatt beifügen): Tochterunternehmen und deren Standort (ggf. bitte Antwort auf Beiblatt beifügen): Mitarbeiteranzahl: Ist ein Mitglied Ihrer Geschäftsführung z.b. der Chief Information Officer (CIO) verantwortlich für die Einhaltung der Informationssicherheit (Datensicherheit, Datenschutz etc.) an allen Unternehmensstandorten?... Ja Versicherungsbausteine (bei Bedarf ankreuzen) Versicherungsschutz für Drittschäden (Haftpflicht)... Verletzung der Benachrichtigungspflicht... Outgesourcte Datenverarbeitung (Freistellung)... Multimedia-Haftpflicht... Proaktive Maßnahmen... Verfahrenskosten... Entschädigungen mit Strafcharakter... Bußgelder wegen Datenschutzverletzungen... PCI-Bußgelder... Rechtsberatung... IT-Dienstleistungen... Public Relations... Benachrichtigungskosten... Datenwiederherstellung... (Kreditkarten-) Monitoring... Goodwill-Aktionen... Fehlbedienung... Systemausfall... Cloudausfall... Cyber Erpressungen... Version 2015-07 www.qversicherung.de Seite 1 von 6
Geschäftszahlen Umsätze/ : letztes Jahr aktuelles Jahr Planung nächstes Jahr Umsatzanteil der über Ihre Website generierten Umsätze: % Anteil der über Kreditkarte abgewickelten jährlichen Zahlungen: % Durchschnittliches Transaktionsvolumen/ : Umsatzherkunft: USA / Kanada nach US-amerikanischen / Kanadischen Recht: % Deutsche Kunden nach deutschem Recht: % EU-Kunden nach EU-Recht: % Restliche Welt: % Umsatz von ausländischen Produktionsstandorten: % Werden Umsätze aus IT-Dienstleistungen generiert?... Ja Wenn ja, wie viele? % Netzwerk- und Datensicherheit IT-Budget: letztes Jahr aktuelles Jahr Planung nächstes Jahr Speichern, verarbeiten oder übertragen Sie vertrauliche Daten auf Ihr EDV-System? Kreditkartendaten... Bitte ankreuzen, sofern relevant EC- und andere Zahlungskartendaten... Kundendaten Gesundheitsdaten... Finanzielle / sicherheitsrelevante Informationen Betriebsgeheimnisse.. Immaterialgüterrechte (Urheber- Markenrechte etc.) Verarbeiten Sie Zahlungen für andere (inklusive ecommerce)? Ja Haben Sie Bereiche Ihrer EDV (z.b. Netzwerk, Systeme, Informationssicherheit) outgesourct? Wenn ja: an wen? Data center hosting... Managed Security... Data Processing... Application service Provider... Alert log monitoring... Offsite backup and storage... Bitte ankreuzen, sofern relevant Anbieter der Dienstleistung Existieren Freistellungs- und / oder haftungsbegrenzende Vereinbarungen mit den Dienstleistern? (Wenn ja, bitte beifügen)... Ja Version 2015-07 www.qversicherung.de Seite 2 von 6
Lassen Sie sich von Ihren Outsourcing-Dienstleistern die Geeignetheit und Sicherheit ihrer IT-Systeme und -Prozesse vorführen?... Ja Falls Ja, skizzieren Sie bitte Ihre Überprüfungsmethode(n): Verfügen Sie über detaillierte Prozesse zur Löschung von Nutzerrechten und Wiederherstellung inventarisierter Informationen im Falle einer Mitarbeiterkündigung?... Ja Ist auf allen Ihren Computern, Servern und Netzwerken Anti-Virus-Software installiert und wird diese entsprechend den Empfehlungen der Softwareanbieter aktualisiert?... Ja Verfügen Sie über Firewalls und Intrusion Monitoring Detection Systeme um nichtautorisierte Zugriffe zu verhindern bzw. feststellen zu können?... Ja Verfügen Sie über physikalische Zugangskontrollen zu Ihren Serverräumen?... Ja Nutzen Sie Zugangskontrollprozeduren und Datenträgerverschlüsselungen für Laptops, PDAs, Smartphones und Home-Office-PCs um unautorisierte Datenzugriffe zu verhindern?... Ja Ist Ihr Netzwerk so konfiguriert, dass nur ein enger, genau definierter Personenkreis Zugang zu sensiblen Daten erhält?... Ja Sind sämtliche sensiblen Daten und vertraulichen Informationen in verschlüsselter Form gespeichert?... Ja Verfügen sie über Richtlinien zur Dokumentenaufbewahrung und -löschung?... Ja Führen Sie Schulungen durch, um Ihre Mitarbeiter für Datenschutz, Datensicherheit, gesetzliche Verpflichtungen und gegenüber Methoden Krimineller (wie z.b. phishing) zu sensibilisieren?... Ja Falls Ja skizzieren Sie bitte Art und Häufigkeit solcher Schulungen. Krisenreaktion / -beherrschung Haben Sie einen Krisenreaktionsplan für den Fall einer Sicherheitsverletzung?... Ja Sieht Ihr Krisenreaktionsplan alternative Outsourcingkapazitäten für einen möglichen Ausfall Ihres derzeitigen Outsourcingproviders vor?... Ja Haben Sie alle rechtlichen und branchenüblichen Compliance-Richtlinien identifiziert?.. Ja Bitte geben Sie uns weitere Informationen zu den nachfolgenden Compliance-Richtlinien: Compliant ISO-27000-Reihe Ja Datum des letzten Audits Falls Ja, welche Norm(en)? Payment Card Industry (PCI) Data Security Standard Ja Falls Ja, für welche Anforderungsstufe? 1 2 3 4 Version 2015-07 www.qversicherung.de Seite 3 von 6
Welche anderen Normen berücksichtigen Sie im Rahmen Ihrer Informationssicherheit? Verfügen Sie über einen Business Continuity Plan (BCP) oder einen Notfall-/Disaster recovery (DR) -Plan?... Ja Wie dauert es, bis Ihre Systeme nach einer Hackerattacke oder einem Datenverlust wieder komplett verfügbar sind? < 12Std. 13-24Std. > 24Std. Ab wann führt die Nichtverfügbarkeit Ihrer Systeme zu signifikanten Auswirkungen?... sofort nach 6Std. nach 12Std. nach 24Std. nach 48Std. Sind funktionierende und vernetzte EDV-Systeme für Sie geschäftskritisch?... Ja Ab wann hätte eine Nichterreichbarkeit Ihrer Website spürbare Auswirkungen auf Ihre Geschäftstätigkeit?... sofort nach 6Std. nach 12Std. nach 24Std.h nach 48Std. Beschreiben Sie bitte kurz Ihre Notfall-/Ausweichpläne oder alternativen Arbeitsprozesse zur Vermeidung von Betriebsunterbrechungen in Folge eines IT-Versagens. Fragen zum bisherigen Risikoverlauf Wurde schon einmal eine ähnliche Versicherung wie die zu diesem Fragebogen von einen Versicherer abgelehnt oder gekündigt?... Ja Sind Ihnen Umstände bekannt, die zu einem über CyberEdge versicherbaren Schadenersatz-/Anspruch führen könnten?... Ja Falls Ja beschreiben Sie sie bitte näher: Sind Ihnen Umstände oder Vorfälle bekannt, die zu einem über CyberEdge oder vergleichbare Konzepte versicherbaren Schadenersatzanspruch geführt haben?... Ja Standen Sie, andere (auch ehemalige) Betriebsangehörige schon einmal wegen Ihrer beruflichen Aktivitäten im Fokus einer behördlichen Ermittlung?... Ja Gab es in Ihrem Unternehmen in den letzten drei Jahren schon einmal ungeplante Betriebsunterbrechungen mit einer Dauer von mehr als vier Stunden?... Ja Wurde gegenüber Ihrem Unternehmen schon einmal gezielt IT-Sicherheitsverletzung, Netzwerkunterbrechungen, Systemabstürze oder Datenverluste verübt?... Ja Haben Sie sich schon einmal einem Einbruch in Ihre Systeme, einer Erpressung, Schadprogrammattacke, Datenverlust, Datendiebstahl oder einer vergleichbaren Situation gegenüber gesehen?... Ja Hat in den letzten drei Jahren ein Kunde, eine andere Person oder eine Organisation behauptet, dass ihre persönlichen Daten kompromittiert wurden?... Ja Haben Sie Ihre Kunden oder andere Personen in den letzten drei Jahren schon einmal darüber informiert, dass ihre persönlichen Daten ggf. kompromittiert seien?... Ja Version 2015-07 www.qversicherung.de Seite 4 von 6
Haben Sie schon einmal Ereignisse, Schadenersatzansprüche oder Verluste an Versicherer gemeldet, die Versicherungsverträge mit (teilweise) gleichen Deckungsinhalten wie denen der Cyber Edge betrafen?... Ja Händlerspezifische Fragen Beschreiben Sie bitte, wie Zahlungskartendaten erfasst und an das Abrechnungsunternehmen gesendet werden und ob sie innerhalb anderen Unternehmenssystemen übertragen werden. (z.b. sind die Point-Of-Sale-Systeme von anderen Unternehmenssystemen abgekoppelt; werden die Daten über das öffentliche Internet übertragen; etc.): Kontrolliert der Antragsteller Point-Of-Sale-Systeme nach Schadprogrammen und prüft die Passwortsicherheit?... Ja Haben die Point-Of-Sale-Systeme Funktionen, um Betrug und Sabotage vorzubeugen?... Ja Werden Protokolldaten von Point-Of-Sale-Systemen gesammelt und regelmäßig gesichtet?... Ja Wenn ja, wie oft geschieht das, durch wen werden sie gesichtet und wer behält die Daten: Löst die Veränderung von individuellen Daten im Point-Of-Sale-System einen Alarm aus?... Ja Nutzt der Antragsteller Verschlüsselungstechnik in seinem Point-Of-Sale-System?... Ja Wenn ja, beschreiben Sie bitte die Art der Verschlüsselung, ob die Daten Ende-zu-Ende verschlüsselt sind bis zum Abrechnungsunternehmen, etc.:... Benutzt der Antragsteller SSL-Untersuchung, um den Datenstrom durch die verschlüsselten Kanäle zu prüfen?... Ja Hat der Antragsteller einen standardisierten, Risiko-basierten Veränderungsmanagementprozess für Point-of-Sale-Systeme... Ja Benötigen Veränderungen an Point-Of-Sale-Systemen eine Bestätigung um umgesetzt zu werden?... Ja Beschreiben Sie bitte: Wie wird festgestellt, dass die Kontrollen der Systeme ähnlich der des Antragsstellers sind, wenn ein Dritter die Point-Of-Sale-Systeme betreibt?... Ja Bitte listen Sie die wichtigsten Drittanbieter auf, die der Antragsteller beschäftigt. Benötigt der Antragsteller Kreditoren um eine Cyber-Versicherung zu unterhalten?... Ja Wenn ja, in welcher Höhe? In welchen Situationen verzichtet der Antragsteller auf sein Recht des Gläubigerwechsels gegenüber einem Kreditor? Version 2015-07 www.qversicherung.de Seite 5 von 6
Sofern der Platz für Ihre Antworten nicht ausreicht, oder Sie ergänzende Informationen haben, fügen Sie die gesonderten Blätter bitte mit Hinweis auf die Zahl der Anlagen diesem Fragebogen bei. Besonderer Hinweis auf die Folgen einer Anzeigepflichtverletzung gemäß 19 ff. VVG Der Versicherungsnehmer hat bis zur Abgabe seiner Vertragserklärung die ihm bekannten Gefahrumstände, die für den Entschluss des Versicherers, den Vertrag mit dem vereinbarten Inhalt zu schließen, erheblich sind und nach denen der Versicherer in Textform gefragt hat, dem Versicherer anzuzeigen. Stellt der Versicherer nach der Vertragserklärung des Versicherungsnehmers, aber vor Vertragsannahme Fragen im Sinn des Satzes 1, ist der Versicherungsnehmer auch insoweit zur Anzeige verpflichtet. Verletzt der Versicherungsnehmer seine Anzeigepflicht nach Absatz 1, kann der Versicherer vom Vertrag zurücktreten. Das Rücktrittsrecht des Versicherers ist ausgeschlossen, wenn der Versicherungsnehmer die Anzeigepflicht weder vorsätzlich noch grob fahrlässig verletzt hat. In diesem Fall hat der Versicherer das Recht, den Vertrag unter Einhaltung einer Frist von einem Monat zu kündigen. Das Rücktrittsrecht des Versicherers wegen grob fahrlässiger Verletzung der Anzeigepflicht und sein Kündigungsrecht nach Absatz 3 Satz 2 sind ausgeschlossen, wenn er den Vertrag auch bei Kenntnis der nicht angezeigten Umstände, wenn auch zu anderen Bedingungen geschlossen hätte. Die anderen Bedingungen werden auf Verlangen des Versicherers rückwirkend, bei einer von dem Versicherungsnehmer nicht zu vertretenden Pflichtverletzung ab der laufenden Versicherungsperiode Vertragsbestandteil. Die Rechte sind ausgeschlossen, wenn der Versicherer den nicht angezeigten Gefahrumstand oder die Unrichtigkeit der Anzeige kannte. Im Falle eines Rücktritts nach Absatz 2 nach Eintritt des Versicherungsfalles ist der Versicherer nicht zur Leistung verpflichtet, es sei denn, die Verletzung der Anzeigepflicht bezieht sich auf einen Umstand, der weder für den Eintritt oder die Feststellung des Versicherungsfalles noch für die Feststellung oder den Umfang der Leistungspflicht des Versicherers ursächlich ist. Hat der Versicherungsnehmer die Anzeigepflicht arglistig verletzt, ist der Versicherer nicht zur Leistung verpflichtet. Das Recht des Versicherers, den Vertrag wegen arglistiger Täuschung anzufechten, bleibt unberührt. Der Unterzeichner des Fragebogens erklärt nach bestem Wissen und Gewissen, dass die hier gemachten Angaben der Wahrheit entsprechen und vollständig sind. Der Unterzeichner hat den Hinweis auf die Folgen einer Anzeigepflichtverletzung gemäß 19 ff. VVG zur Kenntnis genommen. Änderungen, die sich vor Abschluss des Vertrages ergeben, werden unverzüglich dem Versicherer mitgeteilt. Der Unterzeichner bestätigt, dass der Fragebogen nebst evtl. beigefügter Einzelheiten wesentlicher Bestandteil des Vertrages wird. Name des Unterzeichners / Position im Unternehmen: Ort / Datum: Unterschrift / Stempel Version 2015-07 www.qversicherung.de Seite 6 von 6