agcs.momentum - Ausgabe Oktober 2016 Cyberversicherung plus - Dienstleister im Schadenfall Erste Erfahrungen mit Cyber-Schadenfällen zeigen: IT-Forensik und andere Dienstleistungen sind ausgesprochen hilfreich, wenn auf Cybervorfälle unmittelbar reagiert und wenn deren Ursache rasch geklärt werden muss. Idealerweise sind die entsprechenden Experten bereits vor einem möglichen Vorfall an Bord was sich am einfachsten (und vergleichs-weise kostengünstig) durch die Einbindung der Dienstleister in eine Versicherungslösung gewährleisten lässt. Cyber-Schadenexpertin Szandra Sardy und Cyber-Produktentwickler Markus Fleck, beide tätig für die AGCS SE in Deutschland, erläutern genauer, warum. I. Neue Servicepartner im Rahmen der Cyberversicherung Mit der Einführung von Versicherungen zur Absicherung von Datenschutzrisiken und Risiken der Informationstechnologie (nachfolgend: Cyber-Versicherungen ) am deutschen Versicherungsmarkt hat sich das Spektrum an Fachleuten, die im Rahmen einer Versicherungslösung ihre Dienste anbieten, deutlich erweitert. Neben Rechtsanwälten und Krisenkommunikationsberatern werden nun auch PCI-DSS 1 zertifizierte und nicht PCI-DSS zertifizierte IT-Forensiker, Cyber-Krisenmanager, Call Center Provider, Letter-Shop-Betreiber, ID Monitoring-Dienstleister, Forensic Accountants oder Cyber-Erpressungsspezialisten als weitere externe Dienstleister im Cyber-Schadenfall eingeführt. Die Vielzahl dieser neuen Servicepartner wirft die Frage auf, ob deren Leistungen in einem Schadenfall tatsächlich benötigt werden. Des Weiteren stellt sich die Frage nach der konkreten Rolle der Servicepartner im Cyber-Schadenfall und nach der bestmöglichen Bereitstellung der Serviceleistungen. II. Cyber-Schadenstudien von NetDiligence Eine mögliche Antwort auf die Frage nach der Notwendigkeit der neuen Serviceleistungen in Cyber-Schadenfällen enthalten die seit dem Jahr 2011 alljährlich veröffentlichten Cyber- Schadenstudien von NetDiligence. 2 Das Unternehmen analysiert jährlich eine Vielzahl versicherter Cyber-Schadenfälle. In den Jahren 2013 2015 wurden 145 (2013), 117 (2014) bzw. 160 (2015) Cyber-Schadenfälle ausgewertet. Die Studien zeigen deutlich, dass Krisenmanagementdienstleistungen in der Form von IT-Forensik-, Notifizierungs-, Credit Monitoring-, 1 PCI-DSS steht für Payment Card Industry Data Security Standard. 2 https://netdiligence.com/portfolio/cyber-claims-study/ 1
Rechtsberatungs- und Krisenkommunikationsberatungs-Dienstleistungen einen Großteil des Schadenaufwandes ausmachen. So entfielen im Jahr 2015 in den untersuchten Schadenfällen 78% des Schadenaufwandes auf Krisenmanagementdienstleistungen, im Jahr 2014 waren es 48 % und im Jahr 2013 50,4%. 3 Abb. 1: Verteilung des Gesamtaufwands bei Cyberschäden Quelle: https://netdiligence.com/portfolio/cyber-claims-study/ In 105 von 160 (2015), 80 von 117 (2014) bzw. 66 von 145 (2013) der untersuchten Schadenfälle wurden Krisenmanagementleistungen im Rahmen eines Schadenfalles in Anspruch genommen. Dabei lag der Schwerpunkt auf Rechtsberatungsdienstleistungen und der IT-Forensik. 4 Abb. 2: Krisenmanagementleistungen in Cyber-Schadenfällen Quelle: https://netdiligence.com/portfolio/cyber-claims-study/ Die Ergebnisse der Studien zeigen also, dass für die Einbindung bestimmter Krisenmanagementdienstleistungen in die Cyber-Versicherungen tatsächlich ein Bedarf besteht. Dies gilt umso mehr, als die Auswahl von einzelnen Anbietern in einem geordneten Ausschreibungsverfahren aufwendig und im Ergebnis für den einzelnen Einkäufer wahrscheinlich teurer ist, als die Bereitstellung über eine Versicherungslösung. 3 NetDiligence 2013 Cyber Liability & Data Breach Insurance Claims, S. 4; NetDiligence Cyber Claims Study 2014, S. 11; NetDiligence 2015 Cyber Claims Study, S. 7. 4 NetDiligence 2013 Cyber Liability & Data Breach Insurance Claims, S. 5; NetDiligence Cyber Claims Study 2014, S. 12; NetDiligence 2015 Cyber Claims Study, S. 9. 2
Nach Einschätzung von NetDiligence liegen die Kosten für das Krisenmanagement für nicht versicherte Unternehmen um ca. 30 % höher als für versicherte Unternehmen. 5 III. IT - Forensikdienstleistungen Wegen der großen Bedeutung des IT-Forensikdienstleisters in Cyber-Schadenfällen soll nachfolgend dessen konkrete Rolle und die bestmögliche Form der Bereitstellung seiner Leistungen vorgestellt werden. 1. Die Aufgabe des IT-Forensikers Eine Hilfestellung zum Verständnis der Aufgabe eines IT-Forensikdienstleisters in Cyber- Schadenfällen bietet der Leitfaden IT-Forensik des Bundesamts für Sicherheit in der Informationstechnik. 6 Dort wird die IT-Forensik als die streng methodisch vorgenommene Datenanalyse auf Datenträgern und in Computernetzen zur Aufklärung von Vorfällen unter Einbeziehung der Möglichkeiten der strategischen Vorbereitung insbesondere aus der Sicht des Anlagenbetreibers eines IT-Systems beschrieben. 7 Aufgrund der zunehmenden Vernetzung der IT-Landschaft hat sich die IT-Forensik von einer Spezialwissenschaft für Ermittlungsbehörden zu einem wichtigen Werkzeug für professionelle Betreiber von IT-Systemen entwickelt. Es wird dazu eingesetzt, Betriebsstörungen durch Fehlfunktionen der eigenen IT oder Auswirkungen von Angriffen auf die eigene IT- Infrastruktur zu erkennen, zu analysieren und aufzuklären. Die IT-Forensik umfasst, im Hinblick auf den Zeitpunkt der Untersuchung, die Post-mortem- Analyse und die Live-Forensik. Bei der Post-mortem-Analyse (sog. Offline-Forensik) wird der Vorfall nachträglich aufgeklärt. Dies geschieht im Wesentlichen durch die Untersuchung von Datenträgerabbildern auf nichtflüchtige Spuren von Vorfällen. Das Hauptaugenmerk liegt dabei auf der Gewinnung und Untersuchung von gelöschten, umbenannten sowie anderweitig versteckten und verschlüsselten Dateien von Massenspeichern. Abb.3: Untersuchungsgegenstände der Post-mortem-Analyse: Datenträger Ernst & Young, 2016 Bei der Live-Forensik (sog. Online-Forensik) hingegen beginnt die Untersuchung bereits während der Laufzeit des Vorfalls. Hier wird vordringlich versucht, so genannte flüchtige Daten zu gewinnen und zu untersuchen. Dazu gehören unter anderem der Hauptspeicherinhalt, Informationen über bestehende Netzwerkverbindungen und gestartete Prozesse. 5 NetDiligence 2015 Cyber Claims Study, S. 1. 6 https://www.bsi.bund.de/shareddocs/downloads/de/bsi/cyber-sicherheit/themen/leitfaden_it- Forensik.html 7 BSI Leitfaden IT-Forensik, Bundesamt für Sicherheit in der Informationstechnik, Bonn 2010, S. 8. 3
Abb. 4: Untersuchungsgegenstand der Live-Forensik: Das gesamte Netzwerk Ernst & Young, 2016 Jede forensische Untersuchung ist Teil der Krisenreaktion in einem Cyber-Schadenfall. Die Krisenreaktion durch den IT-Forensiker schließt neben der Bearbeitung des Cybervorfalls auch das Ziel des Wiederanlaufs und der Wiederherstellung des IT-Systems ein: Sofortmaßnahmen sollen für die Erledigung dringlicher Aufgaben sorgen und den entstandenen Schaden begrenzen. Der Wiederanlauf soll einen Notbetrieb einleiten, Folgeschäden verhindern oder zumindest begrenzen und den Zeitdruck für die Wiederherstellung vermindern. Die Wiederherstellung soll den status quo ante herstellen, alle Auswirkungen des Vorfalls beseitigen, also eine De-Eskalation und damit den Normalbetrieb sicherstellen. Die Komplexität einer forensischen Untersuchung erfordert oftmals Untersuchungen in jeder dieser drei Phasen. Oftmals jedoch stehen sich nach einem Sicherheitsvorfall unterschiedliche Interessen im Hinblick auf die Reaktionsweise und die IT-Forensik gegenüber. Die Reaktion auf einen Sicherheitsvorfall soll beispielsweise eine schnelle Bestätigung liefern, ob ein Vorfall aufgetreten ist; einen Vorfall erkennen und eindämmen; eine Zuordnung ermöglichen, wer und was betroffen ist; Auswirkungen des Vorfalls für die betroffenen IT-Anlagenbetreiber einschätzen; den möglichen entstandenen Schaden benennen. Der Zeitfaktor spielt somit bei der Reaktion auf einen Sicherheitsvorfall eine große Rolle. Die Eindämmung des entstandenen Schadens (u. a. durch Ausgrenzung des Vorfall- Auslösers) steht an erster Stelle. Für die forensische Ermittlung des Täters könnte es hingegen von Interesse sein, diesen nicht sofort vom betroffenen IT-System auszugrenzen, sofern er sich noch auf diesem befindet, denn so lassen sich wichtige Daten über den Angreifer und seine Vorgehensweise gewinnen. Des Weiteren ist es für eine Organisation bzw. für ein Unternehmen entscheidend zu wissen, welche Daten bei einem Vorfall in beliebiger Form verändert oder nur eingesehen wurden. 8 Um trotz dieser Interessenkonflikte schnelle und gute Entscheidungen zu treffen, ist die Unterstützung durch einen Dienstleister, der Erfahrung mit Notfallsituationen hat, von großer Bedeutung. Selbst wenn ein Unternehmen intern auf hervorragende Fachleute im IT-Bereich zurückgreifen kann, ist es wichtig zu hinterfragen, ob das über eigene Ressourcen verfügbare Know-how eher auf die Aufrechterhaltung eines funktionierenden Systems als auf eine Reaktion im Notfall ausgerichtet ist. 8 BSI Leitfaden IT-Forensik, Bundesamt für Sicherheit in der Informationstechnik, Bonn 2010, S. 13f.. 4
2. Einbindung in den Vertrag - On Boarding Workshop und Krisenplan Wegen der Notwendigkeit einer schnellen Reaktion im Cyber-Schadenfall kommt der Einbindung der IT-Forensikdienstleistungen in die Versicherungslösung eine besondere Bedeutung zu. Im Idealfall besteht bereits eine Geschäftsbeziehung zwischen dem IT- Anlagenbetreiber (bzw. Versicherungsnehmer) und einem IT-Forensikdienstleister, und ein individueller Krisenplan für die Reaktion auf einen Cyber-Schadenfall wurde bereits gemeinsam ausgearbeitet. Besteht eine solche Geschäftsbeziehung noch nicht, vermittelt die AGCS SE (AGCS) ihren eigenen Kunden den Kontakt zu einem für dessen Bedürfnisse und Geschäftsmodell passenden IT-Forensikdienstleister, der vom Versicherer in einem aufwendigen Auswahlverfahren ausgesucht wurde. Zudem unterstützt die AGCS Kunden, die einen externen IT-Forensikdienstleister in ihre Cyber-Versicherung einbinden wollen, mit der Vermittlung sogenannter On Boarding Workshops. Hier lernen die Entscheidungsträger des Unternehmens den IT-Forensikdienstleister persönlich kennen, was einen wichtigen Grundstein für eine effiziente Zusammenarbeit im Ernstfall legt. Die Experten des externen IT-Forensikdienstleisters stellen ihre Erfahrung und ihr Leistungsspektrum dar und erläutern, inwiefern sie die internen Ressourcen des Unternehmens ergänzen bzw. bereichern können. So weisen sie zum Beispiel auf etwaiges Verbesserungspotenzial im Cyber-Krisenplan hin. Ein solcher Krisenplan benennt alle Personen, die unternehmensintern von sicherheitsrelevanten Vorfällen informiert werden sollen, und definiert deren Rollen und Verantwortungsbereiche, um eine sofort handlungsfähige Organisationsstruktur zur Abwendung beziehungsweise Bewältigung der Krise zu schaffen. Zum Krisenstab gehören, neben der Geschäftsleitung, Entscheidungsträger aus der IT, der Rechtsabteilung, der Presseabteilung, der Personalabteilung, der Werkssicherheit und aus weiteren Schlüsselbereichen, die für die Betriebsfortführung wesentlich sind. Der Krisenplan baut immer auf einer vorangegangenen Analyse auf, die die wesentlichen und wertvollsten Daten (die Kronjuwelen ) eines Unternehmens, von deren Kenntnis Unberechtigte direkt oder indirekt profitieren könnten, identifiziert hat. Die IT-Architektur des Unternehmens muss deshalb darauf ausgerichtet sein, genau diese Daten vorrangig zu schützen. Unsere Experten: Szandra Sardy ist im Financial Lines Schaden Team der AGCS SE, Region Zentral- und Osteuropa, für die Bearbeitung von Cyber-Schadenfällen verantwortlich. Markus Fleck gehört zum Financial Lines Underwriting Team der AGCS SE, Region Zentralund Osteuropa, für dort im Bereich Produktentwicklung tätig. E-Mail: szandra.sardy@allianz.com / markus.fleck@allianz.com 5