CYBER-RISIKEN UND DATENSICHERHEIT HAFTUNG, SCHADENBEISPIELE & RISIKOMANAGEMENT MAGDEBURG, 22. FEBRUAR 2017 Marc Heitmann Head of Cyber-Risk Practice Marsh GmbH, Leipzig
Aus der Praxis Warum sind Cyber-Risiken ein aktuelles Thema? Veränderungen im rechtlichen Umfeld: strengere Regulierung in den Bereichen des Datenschutzes Forderung nach einer Meldepflicht, insbes. bei IT-Störungen kritischer Infrastrukturen Wachsende gesetzliche Verpflichtungen von Rechtsvorschriften und vertraglichen Anforderungen Cyberkriminalität als Top-Risiko für Regierungen, Unternehmen und Privatpersonen Hohe Kosten im Schadenfall (insbes. bei Datenrechtsverletzung und Ausfall der Firmen-IT) Klassische Versicherungen decken Cyber-Risiken und die daraus resultierenden Kosten nur sehr ungenügend ab Auftraggeber verlangen zunehmend Versicherungsschutz für Cyber-Risiken MARSH 22. Februar 2017 1
Haftung und Verantwortung der Unternehmensleitung IT-Compliance als unternehmerische Pflicht Gesellschaftsrecht 91 Abs. 2 AktG Analog für Geschäftsführer der GmbH Handelsrecht 239 Abs. 4 S.2, 261 HGB Bürgerliches Recht Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden IT-Compliance als Bestandteil des Risikomanagements Jeder Kaufmann hat bei der Führung seiner Handelsbücher und der Aufbewahrung seiner Unterlagen in elektronischer Form die Sicherung der IT-Systeme zu gewährleisten Deliktsrecht: Organisationsverschulden bei unzureichender IT-Sicherheit Vertragsrecht: Pflicht zur IT-Compliance kann sich vertraglich ergeben Datenschutz Verpflichtung zur Sicherung der IT-Systeme 9 BDSG Acht Gebote der Datensicherheit 113a, 109 Abs. 2 TKG, 13 Abs. 4 TMG 78a SGB X Insb. Umgang mit Kunden- und Angestelltendaten MARSH 22. Februar 2017 2
Cyber-Sicherheit Herausforderung für Unternehmen Unternehmen in Deutschland müssen nach Einschätzung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ihre Anstrengungen für die Cyber-Sicherheit deutlich verstärken. Trotz einer erheblichen Bedrohung gebe es eine "digitale Sorglosigkeit", sagte BSI-Präsident Michael Hange am 14.01.2015. Es ist Teil des Risikomanagements eines Unternehmens: - eine möglichst hohe IT-Sicherheit zu erreichen - Regeln aufzustellen, wie mit sensiblen Daten umzugehen ist, z.b. im Falle des Verlustes von Krankendaten - Notfallpläne aufzustellen für den Tag X und Serviceverträge mit kompetenten Partnern abzuschließen, welche forensische und juristische Dienstleistungen sofort durchführen können (365 d/24 h Hotline) - Kunden/Patienten informieren - den Abschluss einer Cyber-Versicherung zu prüfen MARSH 22. Februar 2017 3
Marsh Cyber-Risiko-Befragung Welches Szenario eines Cyber-Angriffs stellt die größte Gefährdung für Ihr Unternehmen dar (max. 3 Antworten)»Es fällt auf, dass die Befragten deutlich differenzierter über mögliche Szenarien nachdenken. Hinsichtlich der Größe der Gefährdung werden besonders hoch eingeschätzt: Betriebsstörung bzw. -unterbrechung (79% 2016 vs. 41% 2015) Daten- oder Software- Schaden (48% 2016 vs. 8% 2015) Verlust von Kundendaten (34% 2015 vs. 11% 2016) Aber auch finanzielle Schäden durch Cyber- Kriminalität werden als größere Gefahr angesehen. (29% 2016 vs. 4% 2015).«MARSH 22. Februar 2017 4
Marsh Cyber-Risiko-Befragung Sofern Ihr Unternehmen die finanziellen Auswirkungen eines Cyber-Angriffs erfasst oder geschätzt hat wie hoch liegt der geschätzte Verlust im schlimmsten Fall?»Weiterhin fällt auf, dass ein Großteil der Unternehmen (61%) nicht einschätzen kann, wie hoch der finanzielle Verlust durch eine Cyber-Attacke für sie wäre.«marsh 22. Februar 2017 5
Cyber-Risikomanagement in 3 Schritten 1 2 3 Technische Sicherheitsmaßnahmen (Virenscanner, Firewalls, sonstige Zugangshürden ) Organisatorische Sicherheitsmaßnahmen (Mitarbeiter schulen und sensibilisieren) Kritischen Restrisiken identifizieren und versichern MARSH 22. Februar 2017 6
SCHADENBEISPIELE AUS DER VERSICHERUNGSPRAXIS 22. Februar 2017
Schadenbeispiel (Versicherungsfall) Erpressung mit geklauten Daten Schadenszenario Ein Unternehmen wird mit der Veröffentlichung von Kundendaten erpresst. Lösegeldforderung beträgt 1 Mio. Finanzielle Auswirkungen Schadenbild Eine Mitarbeiterin im Marketing hat irrtümlicherweise anstatt der neuesten Broschüre eine Kundendatei auf der Homepage veröffentlicht Der Fehler wurde sofort bemerkt und behoben Tage später wird dem Unternehmen eine Lösegeldforderung in Höhe von 1 Mio zugestellt Es wird angedroht, die teilweise prominenten Namen der Kunden/Patienten zu veröffentlichen Die Verhandlungen mit den Erpressern sind erfolgreich und man einigt sich auf eine geringere Lösegeldforderung Bereitstellung des Lösegeldes 400.000 Kosten für Krisenmanager 75.000 Kosten für Rechtsanwälte 25.000 Kosten für forensische Untersuchungen 35.000 Kosten für Detektei 30.000 Versicherte Gesamtkosten 565.000 MARSH 22. Februar 2017 Quelle: ACE Versicherung, 2013 8 8
Schadenbeispiel (Versicherungsfall) Stillstand in der Produktion Schadenszenario Böswillige Löschung der Entwicklungsdaten und Produktionsparameter einer gesamten Produktreihe Finanzielle Auswirkungen Schadenbild Durch Personalabbaumaßnahmen wird ein Mitarbeiter der IT-Abteilung entlassen Dieser ist über seine Entlassung so verärgert, dass er Rache an dem Unternehmen übt Er hat Kenntnisse darüber, auf welchen Festplatten sich die sensiblen Produktinformationen einer aktuellen Produktion befinden und löscht diese. Darüber hinaus werden die entsprechenden Backupbänder unbrauchbar gemacht Die Produktion steht 4 Tage still Datenrettung aus verbliebenen Datenfragmenten auf den Festplatten 145.000 Forensische Untersuchungen 60.000 Produktionsausfall für 4 Tage 940.000 Vertragsstrafen an B2B Kunden 500.000 Aufspielen von Back-up-Daten 40.000 Kosten für Krisenmanager und Rechtsanwalt 90.000 Versicherte Gesamtkosten 1.775.000 Quelle: ACE Versicherung, 2013 MARSH 22. Februar 2017 9 9
Schadenbeispiel (Versicherungsfall) Hacker sorgt für Stromausfall im Stadtwerk Schadenszenario Ein Hacker dringt in das System der Stadtwerke ein und verursacht einen Stromausfall, der 46 Stunden andauert Schadenbild Die Stadtwerke werden Opfer mehrerer gezielter Hackerattacken Durch das Ausnutzen einer Sicherheitslücke dringt ein Hacker schließlich unbemerkt in die Systeme der Stadtwerke ein Systemdaten werden so modifiziert, dass es zu einer schweren Störung in der Steuerungstechnik kommt und in Folge dessen das Kraftwerk still steht Es kommt zu einem Ausfall der Stromversorgung Die vollständige Behebung der Störung dauert 46 Stunden an Finanzielle Auswirkungen Umsatzeinbußen durch Stromausfall 2.300.000 Forensische Untersuchungen 40.000 Vertragsstrafen 1.500.000 Sachverständigenkosten 30.000 Versicherte Gesamtkosten 3.870.000 MARSH 22. Februar 2017 Quelle: ACE Versicherung, 2013 10 10
Zahlreiche Schadenbeispiele in der Energieversorgung Datenskandal bei den Stadtwerken Ulm/Neu-Ulm http://www.swp.de/ulm/lokales/ulm_neu_ulm/swu-hat-bankverbindungen-in-unverschluesselten- Mails-verschickt;art1158544,2428146 Ein Hacker brauchte nur zwei Tage, um die Kontrolle über die Stadtwerke in Ettlingen zu übernehmen http://www.zeit.de/2014/16/blackout-energiehacker-stadtwerk-ettlingen Heidelberger Stadtwerke bringen Kundendaten durcheinander http://www.projekt-datenschutz.de/vorfall/heidelberger-stadtwerke-verwechseln-adressen Augsburger Stadtwerke verschicken irrtümlich Daten von 26.400 Kunden http://www.augsburger-allgemeine.de/augsburg/augsburger-stadtwerke-verschicken-irrtuemlich- Daten-von-26-400-Kunden-id32076747.html Stadtwerke München: Gehälter der Aufsichtsräte in Massen-E-Mail verschickt http://www.projekt-datenschutz.de/vorfall/stadtwerke-m%c3%bcnchen-geh%c3%a4lter-deraufsichtsr%c3%a4te-massen-e-mail-verschickt Hacker infizieren Schaltzentralen der Stromnetze http://www.welt.de/wirtschaft/article129674310/hacker-infizieren-schaltzentralen-der- Stromnetze.html Digitale Sorglosigkeit ist für alle Firmen gefährlich http://www.zeit.de/digital/internet/2015-04/hackerangriff-deutschland-bsi-bericht MARSH 22. Februar 2017 11 11
Ergänzende Informationen und Unterlagen Leitfaden zu den Kosten eines Cyber-Schadenfalls https://www.bitkom.org/publikationen/2016/leitfaden/kosten-eines-cyber- Schadensfalles/160426-LF-Cybersicherheit.pdf Machen Sie Cyber-Risiken zur Chefsache! www.cyber-risikotest.de MARSH 22. Februar 2017 12
DER VERSICHERUNGSMARKT 22. Februar 2017
Überblick Versicherungsmarkt Risikotransfer durch Cyber-Risk-Versicherungen Definition (Annäherung) Anbieter im Markt Wesentliche Deckungsinhalte Zielgruppe Eine um Assistance-Leistungen ergänzte (überspartliche) Vermögensschaden-Versicherung mit Dritt- und Eigenschadenkomponenten für Schadenfälle aufgrund von Datenschutz-, Datensicherheit- oder ITK-Systemsicherheitsverletzungen Zahlreiche Anbieter, hauptsächlich aus dem englischen Markt kommend Sehr unterschiedliche und erklärungsbedürftige Produkte Datenrechtsverletzungen sowohl hinsichtlich der Netzwerksicherheit als auch in Bezug auf physische Verstöße gegen die Sicherheit Verlust/Beschädigung durch betriebsbedingte Fehler Deckung aller Kosten bei Datenrechtsverletzungen Mehrkosten durch Netzwerk-Ausfall Denial-of-Service-Attacken Übermittlung von Viren Erpressung mit geklauten Daten Kosten für (präventives) Krisenmanagement und externes Experten-Team im Schadenfall Firmen, die sensible Personendaten speichern (z.b. Krankenhäuser, Banken, Behörden) Firmen mit vielen Endkundendaten (z.b. Hotels, Händler, Stadtwerke, Datenbanken) Firmen mit starker Abhängigkeit von der IT (z.b. Produktionsbetriebe, ITK-Anbieter) Betreiber kritischer Infrastrukturen (z.b. Energie- und Wasserversorger, Verkehrsbetriebe, Regierungen) MARSH 22. Februar 2017 14
Cyber-Versicherungen in Deutschland Eine aktuelle Studie des Bitkoms MARSH 22. Februar 2017 15
Cyber-Eigenschäden des Unternehmens Deckung von Eigenschäden Cyber-Policen decken in der Regel folgende Eigenschäden: Wiederherstellung von verlorenen Daten und von IT-Systemen Betriebsunterbrechungskosten, d.h. fortlaufende Kosten und entgangener Gewinn, z.b. durch Hacker-Attacken Schadprogramme, wie Viren Computerschäden (Hard- und Software) Krisenmanagement & PR-Beratung Kosten/Entschädigungszahlung bei Cyber-Erpressung Entstandene Mehrkosten durch IT-Ausfall oder Missbrauch der Telefonanlage Nicht gedeckt sind hingegen folgende Eigenschäden: Cyber-Spionage: Die Verwertung des Diebstahls von Geschäftsgeheimnissen, Patenten, Rezepturen etc. Reputationsschäden, gedeckt sind lediglich die Kosten für die PR-Agentur, Forensiker, Rechtsanwälte etc. mit dem Ziel, den Reputationsschaden soweit als möglich zu minimieren Terror-Gefahren: Ist das Kapern einer Website mit der Nachricht Tod für Charlie oder Wir lieben ISIS damit bereits ausgeschlossen? (siehe Frankreich) Klarstellung erforderlich! Diese Schäden können allerdings auch in den klassischen Versicherungsprodukten in der Regel nicht versichert werden MARSH 22. Februar 2017 16
Cyber-Drittschäden Deckung von Drittschäden Cyber-Policen decken in der Regel folgende Drittschäden: Vermögensschäden, aufgrund von: Persönlichkeitsrechtsverletzungen Verletzung des BundesdatenschutzG Verlust der Vertraulichkeit von Daten Austausch von Kreditkarten Produktfehler/Fehler bei der Erbringung von Leistungen Verzug der Leistung Schadenersatz wegen Nichterfüllung Übertragung von Viren Auch Cyber-Policen decken nicht alle Drittschäden: Personen- und Sachschäden sind über die klassische Haftpflicht versichert Manche Cyber-Policen enthalten bis zu 26, andere nur 3 Ausschlüsse Manche Sachverhalte sind sublimitiert, z. B. Vertragsstrafen Vertragsstrafen/Bußgelder MARSH 22. Februar 2017 17
Cyber-Krisenmanagement Extrem kurze Reaktionszeit und hohe Aufmerksamkeit der Öffentlichkeit Verdacht oder tatsächliches Schadenereignis Sofortmaßnahmen einleiten Kurzfristiges Krisenmanagement Mittel- bis langfristige Auswirkungen Verlust vertraulicher oder personenbezogener Daten Störung des Computersystems, z.b. durch Schadsoftware oder eine Hacker-Attacke Hilfe bei externen Spezialisten suchen Computer-Forensik (Aufklärung, Identifikation, Beweissicherung) Rechtsberatung Informationspflichten und Benachrichtigung der Behörden und Dateninhaber Krisenstab einberufen Öffentlichkeitsarbeit Arbeit mit Polizei und Aufsichtsbehörden Klagen und Schadensersatzforderungen Vertragsstrafen und Bußgelder Reputation und Außenwirkung Kosten des Vorfalls, Ertragsausfall, Auswirkungen auf die GuV/Bilanz MARSH 22. Februar 2017 18
KONTAKT Marc Heitmann Head of Cyber-Risk Practice Marsh GmbH Berliner Strasse 18-20 D-04105 Leipzig 0341 / 44640-23 0152 / 016200-23 marc.heitmann@marsh.com
Sitz: Frankfurt am Main; Handelsregister: HRB 12141; Amtsgericht: Frankfurt am Main HSBC Trinkaus & Burkhardt (BLZ 300 308 80) 0500872004 Geschäftsführung: Siegmund Fahrig (Vors.), Dr. jur. Georg Bräuchle, Oliver Dobner, Dr. jur. Peter Hoechst, Jochen Körner, Erwin Lehmann, Thomas Müller Vorsitzender des Aufsichtsrates: Sven Alexander Kado 22. Februar 2017 20