? 1. Einführung eines Informationssicherheitsmanagements (ISMS) Das Thema IT-Sicherheit in Verkehrs-, Entsorgungs- und Versorgungsunternehmen sowie auch in Unternehmen der öffentlichen Hand gewinnt immer mehr an Relevanz. Mit dem Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) sind insbesondere Versorgungsunternehmen gefordert. Die Neuregelungen sollen den Schutz der Integrität und Authentizität datenverarbeitender Systeme für kritische Infrastrukturen verbessern und der gestiegenen Bedrohungslage anpassen. Die aus der Presse bekannten Schäden (u. a. Krankenhausbereich) haben die versicherungsnehmende Wirtschaft sensibilisiert. Unternehmen mit kritischen Versorgungsaufgaben müssen laut dem Gesetzentwurf der Bundesregierung des neuen IT-Sicherheitsgesetzes künftig umfassende Vorkehrungen treffen: Als Betreiber kritischer Infrastrukturen sollen sie für die IT-Systeme, Komponenten und Prozesse, die zur Abwicklung der Geschäftsprozesse notwendig sind, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind treffen. Die Erfüllung dieser Anforderungen ist unter Berücksichtigung des aktuellen Standes der Technik mindestens alle zwei Jahre auf geeignete Weise nachzuweisen. Im Klartext heißt dies, dass die betroffenen Unternehmen innerhalb von zwei Jahren nach Inkrafttreten des Gesetzes ihre prozessrelevante Informations- und Kommunikationstechnik in ein Informationssicherheitsmanagementsystem (ISMS) einbinden und nach einem gängigen Standard (z. B. ISO 2700) auditieren lassen müssen. Energieversorger müssen ihr ISMS darüber hinaus nach ISO 27001 auf der Basis von IT- Grundschutz (BSI 1 ) oder ISO 27001 zertifizieren lassen. Ferner müssen die betroffenen Unternehmen einen Informationssicherheitsbeauftragten benennen sowie ein Meldewesen zu unverzüglichen Meldung von Informationssicherheitsvorfällen einrichten. Die organisatorischen und technischen Anforderungen an die Informationssicherheit werden sich daher durch die konkreten Anforderungen des Gesetzgebers erhöhen. 1 Bundesamt für Sicherheit in der Informationstechnik
PricewaterhouseCoopers / WIBERA, 6. Oktober 2016 Seite 2 2. Risikoanalyse als erster Schritt Selbst bei der Einhaltung aller gesetzlichen Vorgaben ist der Ausfall eines Rechners oder ein Programmabsturz nicht auszuschließen. Die Folgekosten eines derartigen Ereignisses sind jedoch zumeist beherrschbar. Verstärkte Bedeutung haben in der jüngsten Vergangenheit Ereignisse durch sogenannte Cyber-Kriminalität erlangt. Hierbei stehen nicht nur der reine Datendiebstahl im Vordergrund, sondern auch die konkreten Folgeschäden, welche durch die Manipulation der Unternehmens-IT entstehen können. Neben Schadenersatzforderungen von geschädigten Dritten sind hier insbesondere die Kosten für die Sachverhaltsermittlung gegebenenfalls durch spezialisierte Forensiker und eventuelle Betriebsunterbrechungsschäden zu nennen. Den meisten (kommunalen) Unternehmen war bisher nicht bewusst, dass es für die beschriebenen Schadenereignisse Versicherungslösungen gibt. Von Seiten der Versicherer etabliert sich erst seit Kurzem ein wirklicher Anbietermarkt. Bei Cyber- Attacken handelt es sich um eine neue Form der Wirtschaftskriminalität. Zu Beginn der Risikobetrachtung sollte, wie bei allen Vorüberlegungen zum Einkauf von zusätzlichem Versicherungsschutz, zunächst die Einschätzung der konkreten Risikosituation liegen. Ein IT-Check oder Security Audit bietet einen vernünftigen Ansatzpunkt. Mögliche Feststellungen sind hierbei: Welche Hardware, welche Software sind vorhanden und wie sind diese vernetzt? Wofür werden die Systeme eingesetzt und wie sind diese gegen Angriffe geschützt? Wie robust sind die Regelungen zur Authentisierung und Autorisierung sowie zur Sicherstellung von Verfügbar- und Vertraulichkeit? Wie schnell können Bedrohungen erkannt und wie schnell kann darauf angemessen reagiert werden? Welche Schadenszenarien sind trotz technischer und organisatorischer Vorsichtsmaßnahmen möglich und welche Auswirkungen können diese haben? Welcher finanzielle Verlust ist verkraftbar?
PricewaterhouseCoopers / WIBERA, 6. Oktober 2016 Seite 3 3. Versicherungsumfang von Cyber- Deckungen Die uns bekannten Versicherungskonzepte gliedern sich regelmäßig in die folgenden Deckungsbestandteile: I. Absicherung von Ansprüchen Dritter Abwehr unberechtigter Ansprüche; Ausgleich berechtigter Ansprüche. II. Versicherung von Eigenschäden Ertragsausfall infolge Unterbrechung des Betriebes. III. Deckung von Kostenpositionen Kosten für forensische Untersuchungen; Wiederherstellungskosten eigener Daten, Systeme und Netzwerke Erpressungsforderungen durch Hacker; Benachrichtigungskosten bei Verstößen gegen Datenschutz Vorschriften. Bei der Betrachtung des Versicherungsumfanges der Cyber-Policen stellt sich immer die Frage nach der bereits vorhandenen Absicherung über bestehende Versicherungspolicen. Für Haftpflichtansprüche Dritter im Rahmen von Datenschutzverletzungen oder der direkten Schädigung beispielsweise die Infizierung von Fremdsystemen durch Viren oder Ähnliches ist zunächst der vorhandene Versicherungsschutz in der bestehenden Betriebshaftpflichtversicherung zu betrachten. Bei Versorgungsunternehmen, welche ihre Haftungsrisiken bei einem Kommunalversicherer oder bei einem kommunalen Schadenausgleich absichern, ist oftmals bei gesetzlichen Haftpflichtansprüchen ein umfassender Versicherungsschutz vorhanden. Benachrichtigungskosten bei der Verletzung von Datenschutzrechten und die vorhergehende Sachverhaltsermittlung sind jedoch regelmäßig nicht Gegenstand der üblichen Versicherungskonzepte. Unterstellt man bei einem Cybervorfall Schadenkosten zwischen 50 und 60 je Datensatz 2, können bei der massenhaften Speicherung von Kundendaten erhebliche Schadenssummen die Folge sein. Da es sich bei Cyber-Vorfällen nicht um Sachschäden im Sinne der Definition der einschlägigen Versicherungsbedingungswerke handelt, kann bei einer möglichen Unterbrechung des Versorgungsbetriebes ebenso keine Leistung über eine klassische Betriebsunterbrechnungs- oder Mehrkostensicherung geltend gemacht werden. 2 Die Studie Cost of data breach 2014 des Ponemon Institute LLC geht in Deutschland von einem durchschnittlichen Kostensatz von $ 195 je Datensatz aus. In unserer Kostenschätzung orientieren wir uns an den Aussagen von firmeneigenen Forensikexperten und Versicherungsunternehmen.
PricewaterhouseCoopers / WIBERA, 6. Oktober 2016 Seite 4 Festzuhalten ist, dass nicht für alle Risiken, welche sich aus einem Cyber- Vorfall für die Versorgungsunternehmen ergeben können, über die üblicherweise bestehenden Versicherungspolicen Absicherung erreicht werden kann. 4. Fazit Cyber-Sicherheitsvorfälle nehmen zu. Die Bewertung mit derartigen Vorfällen verbundener Schäden stellt jedoch für die meisten Unternehmen eine große Herausforderung dar. Um im Cyber-Risk-Management zwischen den Maßnahmen zur Informationssicherheit und Versicherungsschutz die richtige Risiko-Balance zu finden, sollten im ersten Schritt der Stand der Informationssicherheit sowie dessen Schwachstellen sachgerecht ermittelt und bewertet werden. Für die Absicherung des nach Umsetzung aller organisatorisch möglichen Maßnahmen verbleibenden Restrisikos empfehlen wir, die bestehende versicherungsvertragliche Situation zu analysieren. Anschließend kann über die Notwendigkeit einer zusätzlichen Cyber-Versicherung faktenbasiert entschieden werden. Ansprechpartner Bei dieser Herausforderung unterstützen wir Sie gerne. Scheuen Sie sich nicht, uns anzusprechen. Ihre Ansprechpartner für die Region West: Düsseldorf und Köln Eike Christian Westermann Tel.: +49 211 981-1741 eike.christian.westermann@de.pwc.com Matthias Beier Tel.: +49 211 981-2473 Tel.: +49 211 981-2185 matthias.beier@de.pwc.com volker.mockenhaupt@de.pwc.com Tel.: +49 211 981-4743 wolfgang.uellenberg@de.pwc.com Ihre Ansprechpartner für die Region Mitte: Hessen und Rheinland-Pfalz Dr. Michael Bierle Harald Maas Tel.: +49 69 9585-3856 Tel.: +49 69 9585-5396 michael.bierle@de.pwc.com harald.maas@de.pwc.com
PricewaterhouseCoopers / WIBERA, 6. Oktober 2016 Seite 5 Antje Probst Tel.: +49 69 9585-5025 Tel.: +49 211 981-2185 antje.probst@de.pwc.com volker.mockenhaupt@de.pwc.com Tel.: +49 211 981-4743 wolfgang.uellenberg@de.pwc.com Ihre Ansprechpartner für die Region West-Nord: Hamburg, Bremen und Schleswig-Holstein Christoph Fabritius Dr. Erik Ohde Tel.: +49 40 6378-1306 Tel.: +49 40 6378-1316 christoph.fabritius@de.pwc.com erik.ohde@de.pwc.com Ihre Ansprechpartner für die Region Süd: Bayern Karl-Hubert Eckerle Tel.: +49 89 5790-6756 karl-hubert.eckerle@de.pwc.com Ihre Ansprechpartner für die Region Süd: Saarland Matthias Fischer Thorsten Ehrhard Tel.: +49 621 40069-113 Tel.: +49 621 40069-117 matthias.fischer@de.pwc.com thorsten.ehrhard@de.pwc.com Markus Morsch Stefanie Lisson Tel.: +49 681 9814-110 Tel.: +49 681 9814-116 markus.morsch@de.pwc.com stefanie.lisson@de.pwc.com
PricewaterhouseCoopers / WIBERA, 6. Oktober 2016 Seite 6 Ihre Ansprechpartner für die Region Süd: Baden-Württemberg Thomas Bettenburg Dr. Michael Klett Tel.: +49 711 25034-3564 Tel.: +49 711 25034-4260 thomas.bettenburg@de.pwc.com michael.j.klett@de.pwc.com Matthias Fischer Thorsten Ehrhard Tel.: +49 621 40069-113 Tel.: +49 621 40069-117 matthias.fischer@de.pwc.com thorsten.ehrhard@de.pwc.com Ihre Ansprechpartner für die Region West-Nord: Nordrhein-Westfalen Arnulf Starck Tel.: +49 511 5357-5745 Tel.: +49 211 981-4743 arnulf.starck@de.pwc.com wolfgang.uellenberg@de.pwc.com Tel.: +49 211 981-2185 volker.mockenhaupt@de.pwc.com Ihre Ansprechpartner für die Region Ost: Sachsen, Brandenburg, Berlin, Thüringen, Sachsen-Anhalt und Mecklenburg-Vorpommern Rainer Schindler Steffen Döring Tel.: +49 341 9856-162 Tel.: +49 30 26363909 rainer.schindler@de.pwc.com steffen.doering@de.pwc.com Im nächsten Teil unserer Herbstserie befassen wir uns mit dem Thema Cash-pool und Besicherung.