Cyber Risiken und deren
Transfermöglichkeiten –
eine ganzheitliche
Betrachtung
Allianz Global Corporate & Specialty
Jens Krickhahn
Friedrichshafen, 16. Februar 2016
©
Alli
anz S
E 2
015
Agenda
IT-Sicherheit:
Herausforderungen für Unternehmen 1
Risikominimierung und Risikotransfer 2
Risikopotential nach Cyber Vorfällen 3
Vorteile einer Cyber Versicherung am Beispiel der
Allianz-Cyber-Protect-Bedingungen
4
©
Alli
anz S
E 2
015
Risikoexponierung von Unternehmen aus Sicht AGCS
Mögliche Anspruchsteller / Geschädigte
- Dritte (Kunden/Lieferanten), da Lieferverpflichtungen innerhalb
Supply Chain nicht eingehalten werden können
- Dritte (Kunden), da Erhebung von Kundendaten
- Konzerngesellschaften durch interne Wechselwirkungsschäden
- eigener Betriebsunterbrechungsschäden
- Mitarbeiter, da Erhebung von personenbezogenen Daten im
Anstellungsverhältnis
- Behörden, da gesetzliche Datenschutzvorgaben nicht erfüllt
wurden.
Mögliche Folgen
- Eigenschäden durch Betriebsunterbrechung
- Haftpflichtforderungen von Kunden durch Unterbrechung der
Supply Chain / Dritten (z.B. Paymentcardindustry)
- Eigenschäden durch Kosten für z.B. forensische
Dienstleistungen, Informationspflichten, etc.
- behördliche Strafzahlungen wegen Nichteinhaltung gesetzliche
Datenschutzbestimmungen
- Vertragstrafen wegen Nichteinhaltung vertraglicher
Verpflichtungen
Ursache
- Manipulation / Entzug / Verlust von
Produktionsdaten
- Manipulation / Entzug / Fremdnutzung / Verlust von
Kundendaten
- Entzug / Manipulation / Verlust / Veröffentlichung
von schützenswerten Daten (Kunden- /
Mitarbeiter- / R&D Daten / etc.)
Geographische Auswirkung
- weltweit verteilte Produktionsstandorte
- weltweit ansässige Kunden / Lieferanten
4
1
©
Alli
anz S
E 2
015
Unternehmen und ihr Vermögen sind bedroht –
konkret, aus dem Netz, in Deutschland
5
1
Quelle: Die Zeit online (Rent a Hacker, 20.01.2015)
©
Alli
anz S
E 2
015
„Distributed Denial-of-Service“ Service Prices
Offering
1-day DDoS service
1-hour DDoS service
1-week DDoS service
1-month DDoS service
6
1
Price
US $ 30 -70
US $ 10
US $ 150
US $ 1,200
Preise beinhalten technischen Support, etc.
Quelle: Trend Micro Incorporated Research Paper 2012 „Russian Underground 101“
©
Alli
anz S
E 2
015
Unternehmen und ihr Vermögen sind bedroht –
konkret, aus dem Netz, in Deutschland
7
1
Sieben von zehn Kunden kehren bei Datenverlust und
Datenschutzverletzungen Unternehmen den Rücken. (Edelman
Privacy Risk Index, 2012)
Nach einem Datenschutzvorfall kostet ein Datensatz urchschnittlich
ca. 152 Euro (2015 Cost of Data Breach Study: Germany)
Ein Drittel der deutschen Maschinen- und Anlagenbauer erlitten
Produktionsausfälle in Folge von IT-Sicherheitsvorfällen. (VDMA,
2013)
Durch Cyber-Crime werden in Deutschland 1,6% des BIPs
vernichtet. (McAfee/CSIS, 2014)
>50% aller Unternehmen verzeichneten Spionageangriffe oder –
verdacht. (Corporate Trust/ Bundesamt für Verfassungsschutz,
2014)
Bitkom: Digitale Angriffe kosten Unternehmen über 51 Mrd. Euro
(16.04.2015)
Verschärfung des Datenschutz
EU Datenschutzreform – Datenschutz Grundverordnung
©
Alli
anz S
E 2
015
EU-Datenschutzreform: Mehr Rechte für Europas
Internetnutzer Wichtigste Änderungen durch die neuen Vorschriften:
Verarbeitung der Daten nur nach ausdrücklicher Einwilligung: Der Nutzer soll Herr seiner Daten werden. Er soll seine Einwilligung auch leicht wieder zurückziehen können dürfen.
Kinder und soziale Medien: Kinder unter einem bestimmten Alter benötigen die Zustimmung der Eltern, um ein Social-Media-Konto zu eröffnen, wie zum Beispiel bei Facebook, Instagram oder Snapchat. Dies ist bereits in den meisten EU-Ländern üblich. Die neuen, flexiblen Vorschriften räumen den Mitgliedstaaten einen Spielraum für die Altersgrenzen ein (allerdings muss diese mindestens bei 13 und höchstens bei 16 Jahren liegen). Diese Flexibilität wurde auf den auf den dringenden Wunsch der Mitgliedstaaten beibehalten. Das Verhandlungsteam des Parlaments hätte eine EU-weite Altersgrenze von 13 Jahren vorgezogen.
Recht auf Vergessenwerden: Die Verbraucher sollten ihre Einwilligung geben müssen, aber genauso einfach sollten sie sie auch wieder zurückziehen können. Sie bekommen ein "Recht auf Vergessenwerden", d.h. ein Recht darauf, dass auf ihren Wunsch ihre persönlichen Daten aus den Speichern von Unternehmen auch wieder gelöscht werden müssen.
Datenlecks oder "gehackte" Daten: Bei Verstößen gegen den Schutz personenbezogener Daten müssen die Anbieter die zuständigen Behörden so schnell wie möglich informieren, so dass die Nutzer geeignete Maßnahmen ergreifen können.
Verständliche Sprache: Die Abgeordneten haben darauf bestanden, dass die neuen Vorschriften die Praxis des "Kleingedruckten" abschaffen müssen. Die Verbraucher sollen in klarer, verständlicher Sprache und mit leicht verständlichen Symbolen informiert werden, bevor die Daten gespeichert werden;
Strafen: Wenn Firmen gegen die Regeln verstoßen, drohen ihnen Strafen von bis zu vier Prozent des Jahresumsatzes;
Unternehmen müssen Datenschutzbeauftragte anstellen: Unternehmen müssen einen Datenschutzbeauftragten benennen, wenn sie im großen Ausmaß sensible Daten verarbeiten oder das Verhalten vieler Verbraucher überwachen. KMU sind von dieser Vorschrift ausgenommen, es sei denn, die Datenverarbeitung ist ihre Haupttätigkeit.
Zentrale Anlaufstellen für Beschwerden und die Durchsetzung der neuen Regeln: Die nationalen Datenschutzbehörden werden ausgebaut und sollen zu zentralen Anlaufstellen für Bürger werden, wo sie ihre Beschwerden über Verstöße gegen die Datenschutzvorschriften einreichen können. Die Zusammenarbeit zwischen diesen nationalen Behörden soll erheblich verstärkt werden, um einen einheitlichen Schutz der personenbezogenen Daten innerhalb der Union sicherzustellen.
Die nächsten Schritte
Über den Kompromisstext für die Verordnung stimmt das Plenum im Frühjahr 2016 (voraussichtlich März oder April) ab. Nach dem Inkrafttreten haben die Mitgliedstaaten zwei Jahre Zeit, die neuen Vorschriften umzusetzen.
Quelle: Pressemitteilung des Europäischen Parlaments vom 17. Dezember 2015
Zustimmung sehr wahrscheinlich.
8
1
©
Alli
anz S
E 2
015
Technische und organisatorische Maßnahmen bieten keinen
100%igen Schutz gegen Cyber-Gefahren. Es bleiben Restrisiken.
9
2
Cyber-Versicherung als Teil eines ganzheitlichen Risikomanagements von Cyber-Gefahren
Risikodialog zwischen Kunden, Allianz, T-
Systems, um Bedrohungsszenarien zu
identifizieren
Abgestimmtes Verständnis von
Geschäftsmodell und
Wertschöpfungskette
Identifikation der „IT-Kronjuwelen“
1) Die jeweiligen Leistungen erfolgen getrennt und selbstständig durch die T-Systems International GmbH
oder die Allianz Global Corporate & Specialty SE und nicht gemeinsam
Cyber
Security
Circle1
Forensische Dienstleistungen
zur Schadenermittlung
Krisenmanagement
und Regulierung im
Schadenfall
Schadenanalyse zur
Vermeidung
ähnlicher Fälle in der Zukunft
Kontinuierliche
Anomalieerkennung
Einsatz von
Frühwarnsystemen
Austausch über
Bedrohungen
Empfehlung von Lösungen
und Produkten
Versicherungskonzepte zur
Absicherung des Restrisikos
©
Alli
anz S
E 2
015
Risikotransfer ist ein wichtiger Baustein in einem
ganzheitlichen Cyber-Risikomanagement
10
Wir können keine 100%ige IT-Sicherheit
aufbauen, da wir dann nicht mehr arbeiten
können und unser Geschäftsmodell nicht
mehr funktioniert. Wir müssen Prozesse
und Technik in manchen Bereichen bewusst
offen lassen und Restrisiken eingehen.
CIO eines deutschen Konzerns
Akzeptieren
Verhindern
Kontrollieren
Transferieren Restrisiken
2
©
Alli
anz S
E 2
015
Risikopotential nach Cyber Vorfällen
11
Drittschäden / Haftung Eigenschäden
Verletzung von
Datenschutzrecht
Verletzung von
Datenvertraulichkeit
Verletzung gewerblicher
Schutzrechte
Verletzung PCI-DSS
(PaymentCardIndustry-
DataSecurityStandards)
Verletzung von
Vertragspflichten
Betriebsunterbrechungs-
schäden
Daten- und
Systemwieder-
herstellungsaufwand
Kosten IT-forensischer
Ermittlungen
CERT-Kosten
Computer-Betrug-
Schäden
Erpressungsschäden
Reputationskrisen-
managementkosten
Kosten für die
Information von Kunden /
Behörden nach
Datenschutz-
verletzungen
Kosten für die Vertretung
in aufsichtsrechtlichen
Verfahren
Rechtsberatungskosten
zu IT- und Datenschutz
Bußgelder
3
©
Alli
anz S
E 2
015
Warum es eine eigenständige Cyberpolice braucht (I)
Wie reagieren meine traditionellen Versicherungen?
12
Bestehende Versicherungspolicen (Betriebshaftpflicht-; Sach-, Betriebsunterbrechung-
versicherung, etc.) bieten keinen umfänglichen Versicherungsschutz gegen Cyber Risiken!
Eine Haftpflichtversicherung setzt i.d.R. ein Verschulden des
Versicherungsnehmer voraus;
In der Betriebsunterbrechungsversicherung ist i.d.R. ein Sachschadenereignis
erforderlich;
In der Sachversicherung wird i.d.R. die beschädigte/entwendete Sache (z.B.
gestohlener Latop) ersetzt nicht aber die Kosten für die Wiederherstellung von
Daten, Kosten forensische Dienstleistungen oder Informationspflichten gegenüber
dem Dateninhaber/Behörden;
Kein Zugriff auf externe Dienstleister über Police sichergestellt;
etc.
4
©
Alli
anz S
E 2
015
Warum es eine eigenständige Cyberpolice braucht (II)
Vorteile einer eigenständigen Allianz Cyber Versicherung:
13
Versicherungsschutz für Haftpflichtansprüche
Vertraulichkeits- und Datenschutzverletzungen
Netzwerksicherheitsverletzungen
Digitale Kommunikation
E-Payment/Vertragsstrafe
Versicherungsschutz für Eigenschäden
Informationskosten
Betriebsunterbrechung und Wiederherstellung
Datenmanipulation (sofern vereinbart)
Versicherungsschutz für behördliche Datenschutzverfahren
Keine Unterscheidung in Innen- oder Außentäter - beide Tätergruppen sind
umfasst.
Zugriff auf Netzwerk von externen Spezialisten (z.B. Forensiker) sichergestellt;
4
©
Alli
anz S
E 2
015
Banken
Experten bieten schnelle Hilfe im Krisenfall
Cyber-Versicherung bietet im Schadenfall
schnelle und umfassende Hilfe aus einer Hand
14
4
Produktionssysteme
Finanzsysteme
Internetanzeigen Kreditkartenindustrie
Zulieferer
Kunden
Computersystem
Schnelle Reaktion und Hilfe durch
Gemeinsam erarbeiteten Krisenplan
Einen Forensiker
Umfassende Schadenregulierung des Führenden
©
Alli
anz S
E 2
015
Allianz bietet Versicherungsschutz
gegen Cyber-Risiken für alle Kundensegmente an!
Konzernkunden (> 500 Mio. EUR Umsatz)
Firmen-/Konzernkunden (150-500 Mio. EUR Umsatz)
Firmenkunden (< 150 Mio. EUR
Umsatz)
AGCS
Cyber Protect/
Cyber Protect Premium
in Kooperation mit AGCS
CyberSchutz
4