Cyber Security & Privacy. 1. Juni 2016 Christian La Fontaine Financial Lines Underwriting Global Corporate Switzerland

Ähnliche Dokumente
Cyber-Risiken: Welche Absicherungsoptionen bietet der Versicherungsmarkt?

Risiken in der virtuellen Welt: Effektive Absicherungsmöglichkeiten von Cyber Risiken

Cyber Crime Versicherung. Rahmenvereinbarung für Mitglieder der österreichischen Gesellschaft der Wirtschaftstreuhänder

BYTEPROTECT CYBER-VERSICHERUNG VON AXA. It-sa

Sicherheit in der IT, alles fängt mit einem sicheren Passwort an

KASPERSKY INTERNET SECURITY 2011 UND KASPERSKY ANTI-VIRUS 2011 COPY POINTS

CYBER RISK MANAGEMENT by Hiscox hiscox.de

Cyberversicherung für den Mittelstand. Cyber Security Konferenz am Sabine Krummenerl, Provinzial Rheinland

Cyber-Versicherung Die finanzielle Firewall. Achim Fischer-Erdsiek,

Live Hacking. Einblicke in die Methoden der Hacker und Was Sie zum Schutz Ihres Unternehmens tun können.

Entdecken Sie neue Wege im Kampf gegen Cyberkriminelle! Mario Winter Senior Sales Engineer

Security IBM Corporation

WIR SIND INNOVATIONS- BEGLEITER.

Informationssicherheit in Unternehmen Worum geht es und worauf kommt es an?

WIR SIND INNOVATIONS- BEGLEITER.

HDI erweitert Deckungsumfang von Cyber- Versicherungen und dehnt Vertrieb auf 14 Länder aus

IBM Security Systems: Intelligente Sicherheit für die Cloud

CYBER KRIMINALITÄT. und der Umgang als Wirtschaftsprüfer und Berater

Security 2.0: Tipps und Trends rund um das Security Information und Event Management (SIEM)

GANZHEITLICHE -SICHERHEIT

Cyber (-Data) Risks: Herausforderung Lloyd's Cyber Risks Veranstaltung in Frankfurt 12. Februar 2014

STATUS QUO IT-SICHERHEIT IN DEUTSCHEN UNTERNEHMEN

Versicherung von Cyber-Risiken für KMU CYBER PROTECT

Wie Unternehmen 2014 kompromittiert werden

Praktischer Security Guide Zum Schutz vor Cyber-Erpressung

Cyber Security 4.0. Aktuelle Angriffs- Methoden & Gegenmaßnahmen

Absicherung von Cyber-Risiken

WJ Pecha Kucha Christian Kühleis IT-Systemberatung. Chris&an)Kühleis) )IT1Systemberatung) Tel.)09141/901741)

Cyber Risk Management by Spiegel & Pohlers und Hiscox. Warum muss sich heute jedes Unternehmen mit Cyber Risks beschäftigen?

Hacking und die rechtlichen Folgen für die Geschäftsleitung

MEHR KONTROLLE, MEHR SICHERHEIT. Business Suite

Informationsveranstaltung "Digitalisierung im KMU" Herzlich willkommen. Zusammen erfolgreich.

Aktuelle Herausforderungen der IT-Sicherheit Von Ransomware bis Industrie 4.0

DIGITALE WIRTSCHAFTSSPIONAGE, SABOTAGE UND DATENDIEBSTAHL ERGEBNISSE EINER REPRÄSENTATIVEN BEFRAGUNG IM AUFTRAG DES DIGITALVERBANDS BITKOM

Andreas Seiler, M.Sc. IT-Security in der Industrie - Vorfälle und Gegenmaßnahmen Clustertag 2017

Bedrohungen aus dem Netz

Bedrohungslandschaft. in Österreich. Beispiele aus der Praxis BPN

Cyber Risks Frankfurt 9. Mai 2012

Sicherheitsrisiko Mitarbeiter

APTs in der Praxis. 5. Mai 2015 Ulrich Bayer, SBA Research

Cyber-Alarm 10 Tipps, wie Sie Ihre Daten schützen

Haben wir ein Problem, Mission Control?

Ransomware und Kollaborationsspeicher

Versicherungs- und Präventionslösungen für Cyber- Risiken in sozialen Unternehmen

Cyberrisiken in der Logistik. Prof. Dr. Christopher W. Stoller, LL.B.

Die praktische Umsetzung der EU-Datenschutz-Grundverordnung IT-Sicherheitslösungen zum Schutz Ihrer Daten und Infrastruktur

Cyber-Versicherung. Cyber-Risiken und Versicherungslösungen / IHK Aachen

Sicherheit vor den Folgen von Cyberkriminalität Cyber-Versicherung

Bedrohungen aus dem Netz

Petya Ransomware: 11 Schritte, die Ihnen jetzt helfen

Präsentation Cyber Kreative Versicherungsmakler-Schwabach

IT-Sicherheit für KMUs

Aktuelle Bedrohungen im Umfeld von Industrie 4.0

Cyber-Sicherheit. Maßnahmen und Kooperationen. Marc Schober BSI Referat C23 - Allianz für Cyber-Sicherheit, Penetrationszentrum und IS-Revision

lyondellbasell.com Sicherheit im Internet

IT kompetent & wirtschaftlich

Kontrollblatt: Malware Backup Social Engineering Phishing

Fraud und e-crime - Risiken im Zahlungsverkehr

Reale Angriffsszenarien Advanced Persistent Threats

Cyber-Bedrohung, - Risiken und Informationssicherung

How to hack your critical infrastructure

Internet, Datennetze und Smartphone

EINE UNTERSUCHUNG ZEIGT, DASS DRUCKER NICHT VOR CYBER-ANGRIFFEN GESCHÜTZT WERDEN

Allianz CyberSchutz für Unternehmen. Webinar mit Stefan Busse

Moderne APT-Erkennung: Die Tricks der Angreifer

Cybersicherheit in der Smart Factory

Kontrollverlust von jetzt auf gleich. Schützen Sie Ihr Unternehmen vor den Folgen von Cyber-Risiken.

bürgerorientiert professionell rechtsstaatlich Cybercrime Aktuelle Entwicklungen und Lagebild

IT-Security Herausforderung für KMU s

Cyber Crime. Podiumsdiskussion Erste Bank 27. September 2016

Mobile Security Awareness: Überzeugen Sie Ihre Mitarbeiter, mobile Endgeräte sicher zu nutzen! 17. Cyber-Sicherheits-Tag

Cybersecurity 4.0 Schutz vor den Bedrohungen von heute und morgen. Markus Grathwohl Senior Corporate Account Manager

Komplette Website Sicherheit. Sicherheit von A bis Z.

GESCHÜTZT MIT HL SECURE 4.0

Webinar: UC-Sicherheitsbedrohungen für Ihr Unternehmen? Kein Problem!

AGCS Update Fachforum Property

Wirtschaftsschutz in der digitalen Welt

Global State of Information Security Survey 2017

Ich sehe was, was Du nicht siehst Aufspüren von gezielten Angriffen mit der Symantec Unified Security Analytics Platform

Marcus Tausend - Tausend Finanz GmbH. Passende Absicherung der Praxis gegen Elektronik- und Cyber- Schäden

Informationsrisikomanagement

Cyberversicherung plus - Dienstleister im Schadenfall

Informationssicherheit: Praxisnahe Schutzmaßnahmen für kleine und mittlere Unternehmen

Automotive. Competence Center Automotive. IT-Know-how. IT-Dienstleistungen. IT-Personal.

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer

Herzlich Willkommen zur Live Hacking Demonstration. Ralf Wildvang und Thomas Pusch

IT-Sicherheit. Industrie 4.0 im Gebäude. Frei verwendbar Siemens AG 2016

SICHERHEITSPRÜFUNGEN ERFAHRUNGEN

Halten Sie Ihre Daten sicher

Michael Kretschmer Managing Director DACH

Digitale Wirtschaftsspionage, Sabotage und Datendiebstahl

Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen. Rafael Cwieluch 16. Juli Starnberger it-tag

Risikoerfassung Cyber-Risiken Seite 1/5

SECURE YOUR DATA KASPERSKY ONLINE TRAINING PLATTFORM

Risikoerfassung Cyber-Risiken Seite 1/5

Webinar Cyber-Risiken das Unplanbare Planen. 2. März 2016

Cybersicherheit als Wettbewerbsvorteil und Voraussetzung wirtschaftlichen Erfolgs

12601/J. vom (XXV.GP) Anfrage

Mittelstand im Visier: Prävention als Schutz vor Cyberrisiken und Datenklau

Sticky-Keys-Attacke: Wenn sich das Betriebssystem gegen Sie richtet

Transkript:

Cyber Security & Privacy 1. Juni 2016 Christian La Fontaine Financial Lines Underwriting Global Corporate Switzerland

Cyber Risikolandschaft Fakten wo liegt das eigentliche Problem? 243 Tage ist der Median bis eine fortgeschrittene Attacke auf ein Netzwerk entdeckt wird Mandiant 90% der Phishing Kampagnen sind erfolgreich. 10 versendete Emails an das betroffene Unternehmen sind bereits ausreichend. 2014 Verizon DBIR > 95% der Vorfälle berücksichtigen menschliches Versagen als Faktor IBM 2014 Cyber Security Intelligence 23% der Nutzer teilen ihre Netwerk-passwörter mit Kollegen. IS Decisions - FROM Brutus to Snowden 80% der Cyber Attacken können durch einfache Computer und Netzwerk Hygiene, wie sichere Passwörter, sichere Konfigurationen, Patch Management und Zugriffs-Rezertifizierung vermieden werden. 85% der Cyber-Spionage Vorfälle werden von Dritten entdeckt. 2014 Verizon DBIR HÄUFIGSTEN PASSWÖRTER 96% der kritischen Sicherheitslücken bei Windows- Betriebssystemen könnten durch Entfernen von Administrations-Benutzerrechten vermieden werden. 123456, password, 12345, 12345678, qwerty, 123456789, 1234, baseball, dragon, football, 1234567, monkey, letmein, abc123, 111111, mustang, access, shadow, master, michael Splashdata 100% der Verstösse beinhalten gestohlene Zugangsdaten. National Audit Office - The UK cyber security strategy: Landscape review Avecto 2013 Microsoft Vulnerabilities Study Mandiant 2

Low Medium High Grossunternehmen vs. KMU Die Bedrohung der Netz- und Informationssicherheit (Cyber Security) zu unterschätzen birgt grosse Risiken. Wo würden Sie einbrechen? Wahrnehmung von Cyber Risiken Grossunternehmen vs. KMU Bedrohungsbewusstsein «Reife» Strategische Wichtigkeit Quelle: tourist-online.de, wonderopolis.org, aktiv-online.de Quelle: Deloitte 2015, Cyber Security in Switzerland. Finding the balance between hype and complacency 3

Cyber Risikolandschaft Finanzielle Folgen entstehen nicht nur in der IT Auswirkungen auf Betriebskosten Produktivitätsverlust 21% 19% Umsatzeinbussen 8% Compliance Kosten Reputationsschaden 30% 12% Forensische Kosten 10% Kosten für technischen Support Auswirkungen auf IT Kosten Quelle: IBM Global Study on the Economic Impact of IT Risk 4

Potenzielle Auswirkungen eines Cyber Vorfalls 1% 1% Schadenzahlungen nach Kosten 3% Krisenmanagement Durchschnittliche Schadenzahlung 9% Rechtskosten $3.6mio 8% Schadenersatz $2.4mio 78% Regulatorische Abwehrkosten Regulatorische Bussen PCI Bussen $1.0mio $0.7mio $0.7mio 2011 2012 2013 2014 2015 Schadenzahlungen nach Umsatz Schadenzahlungen nach Umsatz 1% 3% < $50mio 12% $50mio - 300mio 28% $300mio - 2bn Umsatzgrösse # Min. Ø Max. < $50mio 36 540 65 906 809 788 $50mio-300mio 25 0 150 018 764 225 1% $2bn - 10bn $300mio-2bn 26 2 598 578 233 4 900 000 $2bn-10bn 12 31 000 910 801 6 700 142 $10bn - 100bn $10bn-100bn 7 31 847 4 790 166 15 000 000 25% 18% > $100bn Unbekannt > $100bn 1 201 233 201 233 201 233 Unbekannt 5 8 510 1 928 544 8 959 000 Quelle: NetDiligence : 2015 Cyber Claims Study 5

Cyber Risiken bestehen industrieübergreifend Wer «online» ist, wird zu einem potenziellen Ziel Schadenzahlungen nach Industrie 1% 13% 13% 2% 10% 1% 11% 4% 9% 5% 5% 3% 2% Industrie # Min. Ø Max. Unterhaltung 1 73 968 73 968 73 968 Finanzen 15 0 141 249 809 788 Glücksspiel 2 80 000 87 275 94 550 Gesundheit 25 2 598 1 325 777 15 000 000 Tourismus 6 30 000 195 447 706 000 Produktion 2 750 65 967 131 184 Medien 3 6 000 68 596 144 490 gemeinnützige Organisation 5 5 900 50 112 101 127 Prof. Diensleistungen 10 6 704 329 845 2 989 966 Restaurants 5 4 000 75 744 250 000 Retail 12 91 359 1 795 266 8 916 432 Technologie 11 0 206 532 641 635 Andere 15 708 713 133 6 700 142 Quelle: NetDiligence : 2015 Cyber Claims Study 6

Quelle: informationisbeautiful.net 7

Individuelle Kundenbedürfnisse Modulare Deckungsstruktur Eigenschaden (1st Party) I Haftpflicht (3 rd Party) Cyber Security & Privacy Haftpflicht II Privacy Breach Costs Betriebsunterbruch III Cyber S&P Kombination Eigen- und Drittschäden Datenschutz/Cyber Kern des Produktes Spezialisiertes Krisenmanagement Spezifische Deckungen wie Coupon Payments, PCI Fines etc. Mitarbeiter als potenzieller Kläger (HR Daten) IV Cyber Erpressung Datenwiederherstellung V Zugang zu Dienstleistungen im Bereich Prävention 8

Eigenschaden 1 st Party Haftpflicht 3 rd Party Cyber Security & Privacy HA = Hacking Angriff PV = Pflichtverletzung eines MA Module Ursache Deckung Kosten Haftpflichtansprüche im Allgemeinen Internet Medien- Haftpflicht HA PV PV Gesetzl. Haftpflicht auf Grund einer Datenschutzverletzung Gesetzl. Haftpflicht auf Grund einer Urheberrechtsverletzung oder irreführender Werbung Prozesskosten (inkl. Regulatorische Verfahren) Verteidigungskosten Schadenersatzkosten I Privacy Breach Costs HA PV Krisenmanagement Meldekosten Rechtsberatung Forensik PR Berater Credit Monitoring II Betriebsunterbruch HA Nettogewinnausfall auf Grund eines Betriebsunterbruchs Netto Gewinnausfall Systemwiederherstellung III Cyber Erpressung HA Einführung eines schädlichen Codes, D.-o.-S. Attacke und Veröffentlichung von vertraulichen Informationen Zahlung von Erpressungsgeldern Belohnungsgeldzahlungen IV Datenwiederherstellung HA Beschädigung und Zerstörung von digitalen Daten Forensik Wiederherstellungskosten V 9

Fallbeispiele Szenario Versicherte Kosten I Eine gewöhnliche E-Mail wird von einem Mitarbeiter/in an einen externen Lieferanten gesendet. Innerhalb weniger Tage erfährt der Lieferant eine signifikante Beeinträchtigung des Computersystems. Untersuchungen führen zu dem Entschluss, dass ein Schadprogramm («Zero-Day Malware») von einer E-Mail Adresse des Versicherten den Schaden verursacht hat. Als Folge stellt der Lieferant Schadenersatzansprüche gegen den Versicherten. Abwehrkosten (auch unbe-gründete Ansprüche) Schadenersatzleistungen II Die Website des Versicherten wurde gehackt und es erscheint die Meldung «You ve been hacked by the Syrian Electronic Army (SEA)!». Das SEA-Logo und eine Version der syrischen Flagge erscheinen auf der Website.¹ Die Website wird zwar wiederhergestellt, jedoch berichten Online-Nachrichten und Blogs über diesen Vorfall und veröffentlichen Screenshots der kompromittierten Website. Als Folge entstehen auf Online-Plattformen Diskussionen inwiefern der Versicherte Sicherheitsvorkehrungen getroffen hat und womöglich auch Sicherheitsmängel bei den angebotenen Produkten bestehen könnten. Forensiche Analyse PR Beratungskosten III Eine gezielte Malware-Kampagne richtet sich gegen den Versicherten. Mittels «Social Engineering» und «Spear- Phishing» infizieren die Hacker mehrere Teile des Netzwerks mit einem Wurm. Der vorhandene Anti-Virus Schutz erkennt sich als nicht zuverlässig und kann die Attacke nicht bewältigen. Die einzige Möglichkeit besteht darin das System «offline» zu nehmen, mit der Folge eines mehrere Tage andauernden Netzwerkunterbruches. Forensiche Analyse Systemwiederherstellung Nettogewinn-ausfall IV Der Versicherte erhält ein Erpressungsschreiben von einem Hacker. Dieser behauptet sensible Daten gestohlen und Daten auf dem Server verschlüsselt zu haben («Ransomware»). Der Hacker droht mit der Veröffentlichung der sensiblen Daten und fordert eine Erpressungsgeldzahlung.² Forensiche Analyse Erpressungsgeldzahlung V Ein Mitarbeiter/in, welcher als Systemadministrator privilegierte Zugriffsrechte hat, erfährt von Plänen einer Restrukturierung. Aus Rache löscht dieser Quellen-Codes von mehreren Applikationen sowie Daten auf einer Backup-Festplatte. Anschliessend erscheint der Mitarbeiter/in nicht mehr zur Arbeit. Der Versicherte stellt fest, dass neben dem gelöschten Daten-Backup keine weiteren Datensicherungen existieren. Forensiche Analyse Datenwiederherstellungskosten ¹ http://www.cnbc.com/2014/11/27/ ² http://www.bbc.com/news/technology-27909096 10

Cyber Attacke Beispiel Hacking Angriff Hacker erbeuten Kundendaten Erste Klage Betroffener reicht Klage ein, mit dem Vorwurf, dass das Unternehmen keine ausreichenden Sicherheitsmassnahmen ergriffen habe. Ursache bekannt Gezielte Attacke von profesionellen Hackern aus Russland. Forensik Zugriff zu Netzwerk durch Zulieferer Zugang Rückritt CEO tritt zurück Mitteilung Unternehmen räumt Fehler bei der Reaktion zur Attacke ein Jan Dez Feb Mrz 2014 2014 Medienaufmerksamkeit Blogger berichtet über den Vorfall und Medien berichten über laufende Untersuchungen der Behörden Umsatzeinbussen Signifikanter Rückgang von Aufträgen Forensik Genaue Aussmass ist weiterhin unbekannt. Auch das Firmennetzwerk ist weiterhin beeinträchtigt. Werbekampagne Unternehmen unternimmt Massnahmen zur Wiederherstellung der Reputation Stellungnahme Mitteilung Unternehmen bestätigt Diebstahl von Informationen Unternehmen informiert über weitere gestohlene Datensätze 11

Kontaktdaten Christian La Fontaine Underwriting Cyber Security & Privacy Zurich Insurance Company Ltd Center of Competence - Financial Lines Switzerland Austrasse 46 CH-8045 Zürich +41 44 628 86 65 christian.la.fontaine@zurich.com www.zurich.ch/financiallines 12

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback