CYBER-RISIKENMARKTENTWICKLUNG & RISIKOMANAGEMENTFRANKFURT, 12. FEBRUAR 2014

Marc HeitmannLeiter BranchenteamMARSH GmbH

MARSH 112. Februar 2014 1

Agenda 12. Februar 2014

1 Warum sind Cyber-Risiken ein aktuelles Thema?

2 Schadenbeispiele

3 Risikobewusstsein in Deutschland

4 Versicherungsmarkt heute

5 Risikomanagement-Ansätze

MARSH 212. Februar 2014

• Veränderungen im rechtlichen Umfeld: strengere Regulierung in den Bereichen des Datenschutzes

• Forderung nach einer Meldepflicht , insbes. bei IT-Störungen kritischer Infrastrukturen

• Wachsende gesetzliche Verpflichtungen von Rechtsvorschriften und vertraglichen Anforderungen

• Cyberkriminalität als Top-Risiko für Regierungen, Unternehmen und Privatpersonen

• Hohe Kosten im Schadenfall(insbes. bei Datenrechtsverletzung und Ausfall der Firmen-IT)

• Klassische Versicherungen decken Cyber-Risiken und die daraus resultierenden Kosten nur sehr ungenügend ab

• Auftraggeber verlangen zunehmend Versicherungsschutz für Cyber-Risiken

Aus der täglich PraxisWarum sind Cyber-Risiken unverändert ein aktuelles Thema?

SCHADENBEISPIELE

MARSH 412. Februar 2014

Schadenbeispiel (Versicherungsfall)Denial-of-Service-Attacke im E-Commerce

Schadenszenario

Ein Online-Shop wurde Opfer einer Denial-of-Service-Attacke. Der Online-Shop war 23 Stunden für Kunden nicht verfügbar

4

Schadenbild

• Plötzlicher Anstieg des eingehenden Datenflusses

• Allmähliche Überlastung führt zur Nichtverfügbarkeit der Website

• Eingehender Datenfluss wird mit Hilfe des Internetanbieters analysiert und gefiltert, um böswillige Datenbewegungen von der normalen Geschäftsaktivität abzugrenzen

• Schrittweise Rückkehr zur normalen Geschäftstätigkeit

Finanzielle Auswirkungen

Voller Einsatz des IT-Teams (interne Ressourcen) 13.000 €

Mitwirken eines Spezialistenteams(Internetanbieter + Forensik)

18.500 €

Beeinträchtigung beeinflusst den Umsatz über 48h 135.000 €

Beeinträchtigung des Images und Beeinträchtigung des Ratings in Foren → Verstärkte Marketingaktivität

18.500 €

Versicherte Gesamtkosten 185.000 €

Quelle: ACE Versicherung, 2013

MARSH 512. Februar 2014

Schadenbeispiel (Versicherungsfall)Hochregallager mit Virus infiziert

Schadenszenario

Durch einen Virus wird die Datenbank eines Hochregallagers beeinträchtigt. Ein störungsfreier Arbeitsablauf ist nicht mehr gewährleistet.

5

Quelle: ACE Versicherung, 2013

Schadenbild

• Das Antivirus-Programm hat einen neuen Virus identifiziert und gemeldet

• Entsprechende Sicherheitspatches wurden dem Unternehmen bereits zur Verfügung gestellt

• Diese wurden im üblichen Prozedere auf Kompatibilität geprüft

• In der Zwischenzeit wurden Server bereits infiziert

• Die Ortung der eingelagerten Waren war nicht mehr möglich

Finanzielle Auswirkungen

BU-Schaden aufgrund der kontrollierten Systemabschaltung 300.000 €

Dekontamination infizierter Daten 45.000 €

Wiederherstellung der Daten aus Back-up-Sicherungen 15.000 €

Manuelle Auslagerung und Neuerfassung eines Teils der Lagerware 160.000 €

Vertragsstrafen aufgrund verspäteter Auslieferung 175.000 €

Versicherte Gesamtkosten 695.000 €

MARSH 612. Februar 2014

Schadenbeispiel (Versicherungsfall)Stillstand in der Produktion

Schadenszenario

Böswillige Löschung der Entwicklungsdaten und Produktionsparameter einer gesamten Produktreihe

6

Schadenbild• Durch Personalabbaumaßnahmen wird ein Mitarbeiter der

IT-Abteilung entlassen

• Dieser ist über seine Entlassung so verärgert, dass er Rache an dem Unternehmen übt

• Er hat Kenntnisse darüber, auf welchen Festplatten sich die sensiblen Produktinformationen einer aktuellen Produktion befinden und löscht diese. Darüber hinaus werden die entsprechenden Backupbänder unbrauchbar gemacht

• Die Produktion steht 4 Tage still

Finanzielle Auswirkungen

Datenrettung aus verbliebenen Datenfragmente auf den Festplatten 145.000 €

Forensische Untersuchungen 60.000 €

Produktionsausfall für 4 Tage 940.000 €

Vertragsstrafen an B2B Kunden 500.000 €

Aufspielen von Back-up-Daten 40.000 €

Kosten für Krisenmanager und Rechtsanwalt 90.000 €

Versicherte Gesamtkosten 1.775.000 € Quelle: ACE Versicherung, 2013

MARSH 712. Februar 2014

Schadenbeispiel (Versicherungsfall)Datenklau im E-Commerce

SchadenszenarioEin mittelständisches Unternehmen ist im Onlinevertrieb Opfer von Datenklau geworden.

Über mehrere Monate konnten sich Hacker rechtswidrigen Zugang zu dem eigentlich streng gesicherten online-basierten Abrechnungssystem für Bezahlkarten verschaffen (Payment Processing Tool).

Während dieser Zeit konnten die Hacker über rund 2 Millionen Kundendaten kopieren und unrechtmäßig nutzen. Das Schadensausmaß ist sowohl finanziell als auch reputationsmäßig immens.

7

Quelle: Hiscox Versicherung, 2012

Finanzielle Auswirkungen

Forensische Dienstleistungen 150.000 €

Rechtsberatung und Rechtsbeistand 525.000 €

Gesetzliche Informationspflichten 2.170.000 €

Media- und PR-Arbeiten 253.000 €

Geltend gemachter Vermögensschaden der Payment Card Industry 2.000.000 €

Versicherte Gesamtkosten 5.098.000 €

MARSH 812. Februar 2014

Bei einem Datensicherheitsvorfall (in Deutschland) entsteht ein durchschnittlicher Schaden von EUR 3,7 Mio. bzw. EUR 151 pro Datensatzii

Ergebnisse einer aktuellen StudiePonemon Institute – 2013 Cost of Cyber Crime Study

Kernaussagen der Studie:

• Cyber-Attacken sind keine Seltenheit: Bei den 43 untersuchten deutschen Industriefirmen werden im Durchschnitt 48 erfolgreiche Cyber-Angriff pro Woche registriert

• Die Folgekosten durch Datenverluste liegen i.d.R. höher als der direkte Schaden durch Betriebsunterbrechungen

• Schnelles und professionelles Krisenmanagement reduziert die Kosten einer Cyber-Attacke; im Durchschnitt brauchen die Firmen 22 Tage, um auf einen Vorfall abzuschließen

Ursache:

RISIKOMANAGEMENT

MARSH 1012. Februar 2014

Risiko- und VersicherungsmanagementDie Rolle im Unternehmen?

1. Cyber-Risks sind komplex und schwierig

2. Abhängigkeit von IT-Kollegen ist sehr groß, aber IT versteht Business und Risikomanagement nur bedingt. Versicherungen sind Black Box

3. Oft: Schaden passiert � IT löst Issue � IT benachrichtigt Risk Management � danach wird nach Versicherungen gefragt.

4. Cyber-Risks sollten in Risk Management Committee und unter VS/GF Aufsicht behandelt werden

5. Risk Manager wird Prozessmanager

6. Versicherungsmanager sollte früh eingeschaltet sein

7. Passt in Non-Material-BI

MARSH 1112. Februar 2014

Definition (Annäherung)

Eine um Assistance-Leistungen ergänzte (überspartliche) Vermögensschaden-Versicherung mit Dritt- und Eigenschadenkomponenten für Schadenfälle aufgrund von Datenschutz-, Datensicherheit- oder ITK-Systemsicherheitsverletzungen

Anbieter im Markt • Wenige, hauptsächlich aus dem englischen Markt kommend• Tendenz steigend, zunehmendes Interesse deutscher Versicherer

WesentlicheDeckungsinhalte

• Datenrechtsverletzungen sowohl hinsichtlich der Netzwerksicherheit als auch in Bezug auf physische Verstöße gegen die Sicherheit

• Kostenersatz für Informationspflichten, IT-Forensik, externe Berater, Anwälte, PR-Arbeiten• Mehrkosten durch Netzwerk-Ausfall• Denial-of-Service-Attacken• Übermittlung von Viren• Erpressung mit geklauten Daten• Kosten für (präventives) Krisenmanagement und externes Experten-Team im Schadenfall

Zielgruppe • Firmen, die sensible Personendaten speichern (z.B. Krankenhäuser, Banken, Behörden) • Firmen mit vielen Endkundendaten (z.B. (Online-)Händler, Hotels, Datenbanken)• Firmen mit starker Abhängigkeit von der IT (z.B. Produktionsbetriebe, ITK-Anbieter)• Betreiber kritischer Infrastrukturen (z.B. Energie- und Wasserversorger, Verkehrsbetriebe,

Regierungen)

Nachfrage • Fehlendes Risikobewusstsein, trotz zahlreicher Schäden in Deutschland• Die Bedrohung ist häufig nicht sichtbar• Mögliches Schadenausmaß im Mittelstand weitestgehend unbekannt• Eindeutige gesetzliche Regelungen fehlen. Die einschlägigen Vorschriften der §§91 und 93

AktG, 43 GmbHG und 25a KWG sind nicht konkret genug

Überblick VersicherungsmarktRisikotransfer durch Cyber-Risk-Versicherungen

MARSH 1212. Februar 2014

Quick-Check: Wo sind die Lücken in Ihrem Unternehmen?Risiken identifizieren und gezielte Handlungen ableiten

Marc HeitmannLeiter BranchenteamCyber, Media & Technology

Marsh GmbHBerliner Strasse 18-20D-04105 Leipzig

0341 / 44640-230152 / 016200-23marc.heitmann@marsh.com

KONTAKT