CYBER RISK MANAGEMENTCyber Risiken professionell managen

1

2

André WohlertBetriebswirt (IHK) | Versicherungsmakler

Ausbildung und Erfahrung

• Versicherungskaufmann (IHK), Versicherungsfachwirt (IHK)

• Datenschutzbeauftragter (TÜV-Süd)

• Experte Betriebliche Haftpflichtversicherung (DMA)

• Experte Gewerbliche und Industrielle Sachversicherung

(DMA)

• Dozent an der Deutsche Makler Akademie, Wiesbaden

• Autor verschiedener Fachveröffentlichungen

Ihr Ansprechpartner

3

IT-Sicherheit in den Medien

4

Quelle: Bundeslagebild des BKA, 2013

Gefährdungslage

64.426 Cybercrime Fälle in 2013

nur 9% aller Straftaten kommen zur Anzeige

5

Typische Straftaten sind:

Diebstahl der digitalen Identität

Phishing

digitale Erpressung

Computerbetrug

Ausspähen und Abfangen von Daten

Datenveränderung und Computersabotage

Gefährdungslage

6

Klassische Phishing-E-Mails

Gefährdungslage

7

Ein Angreifer versucht über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Zugangsdaten des Nutzer zum Firmennetzwerk zu kommen, um sich so einen unerkannten Zugang zum Netzwerk zu verschaffen (Phishing).

Möglichkeiten:

Weiterleiten auf scheinbar bekannte Seiten mit Login-Bereich Versteckter Key-Logger oder Malware im Anhang der E-Mail

Quelle: Hiscox

Gefährdungslage

8

Beispiele für digitale Erpressung

Gefährdungslage

9

Daten in mittelständischen Unternehmen

Personenbezogene Daten von Kunden, Mitarbeitern und Dienstleistern Kommunikationsdaten (E-Mail-Adressen, Zugangsdaten zu sozialen

Netzwerken) Bankdaten, Kreditkartendaten eigene geschäftliche Unterlagen geschäftliche Unterlagen von Kunden

Gefährdungslage

10

IT-Infrastrukturen im Cyber-Raum werden immer komplexer (elektronische Kommunikationswege, Soziale Netzwerke, Online-Shops, automatisierter Informations- und Datenaustausch zwischen Endgeräten M2M, Nutzung von Clouds, hohe Verbreitung von mobilen Endgeräten)

fehlendes Sicherheitsbewusstsein führt zu unzureichend abgesicherten Systemen

sorglose Informationsaustausch über das Internet und der „Always-On“-Status mobiler Systeme erleichtern den Zugriff auf schützenswerte Informationen

Aus der Komplexität der Technik ergibt sich ein breites Spektrum möglicher Angriffsvektoren (Angriffswege und Angriffstechniken)

Cyber-Angriffe werden mittlerweile gezielt und mehrstufig durchgeführt

Gefährdungslage

11

Typische Sicherheitsmängel in Unternehmen und Behörden

Patchstände von Betriebssystemen und Applikationen sind veraltet Passwörter sind leicht zu ermitteln Mobile Endgeräte werden nicht verschlüsselt Maßnahmen zu Netzwerkmanagement und –überwachung sind nicht oder

lediglich als Insellösungen existent und werden nur anlassbezogen manuell ausgewertet

Schulungen und Sensibilisierungsmaßnahmen finden für Anwender nicht oder nur in geringfügigem Umfang statt

IT-Sicherheitskonzepte sind unvollständig und inkonsistent die Verantwortlichkeit für die Informationssicherheit ist oftmals nicht klar

geregelt der Datenschutz ist mangelhaft (0rganisatorisch-technische Maßnahmen

werden nicht stringend umgesetzt)

Quelle: Die Lage der IT-Sicherheit in Deutschland 2014

Gefährdungslage

12

Im Internet kann man alles kaufen…

…Herzschrittmacher, Viagra, WM-Tickets, Musik, Videos, Drogen, Waffen,

Hehlerware…

…und natürlich auch gestohlene Nutzerdaten, Malware-Baukästen, Hacking-

Tools, […]

Cyber-Schwarzmärkte (Darknet-Markt) funktionieren hoch-professionell

nach den üblichen Regeln des e-Commerce und genauso wie Ebay, Amazon

Gefährdungslage

13

Im Internet kann man alles kaufen…das sind die Preise…

- Gestohlene E-Mail-Accounts kosten zwischen 0,50 – 10,00 US-Dollar (je 1.000

Stück)

- Kreditkarten-Datensatz kostet zwischen 0,50 – 20,00 US-Dollar

- Scan-Kopie eines Personalausweises kostet zwischen 1,00 – 2,00 US-Dollar

- DDoS-Attacke (Distributed Denial of Service) kostet pro Tag ab 10,00 US-

Dollar

- ein gestohlenes IT- icherheitszertifikat kostet ca. 1.000 EUR

Gefährdungslage

14

Quelle: Bundeslagebild des BKA, 2013

Gefährdungslage

15

Typische Hackerangriffe lassen sich grob in folgende Phasen gliedern:

Phase 1 Recherche von interessanten Zielen

Phase 2 Festlegung des Angriffsziels

Phase 3 Suche von Schwachstellen im IT-System

Phase 4 Festlegung von Angriffspunkt, Angriffsart, Angriffswerkzeug und Angriffstarnung

Phase 5 Zugang zum System

Phase 6 Informationssammlung und -abschöpfung

Phase 7 Spurenbeseitigung

Phase 8 Vermarktung der Daten

Phase 9 Folgeangriff

Cyber-Angriffe auf ein Unternehmen erfolgen nicht zufällig, sondern gezielt und hochprofessionell!

Gefährdungslage

16

Quelle: Bundeslagebild des BKA, 2013

Gefährdungslage

17

Mittelständische Unternehmen sind beliebte Angriffsziele für Cyber-Kriminelle

IT-Sicherheitsstandards sind schwach bis mäßig IT-Sicherheitsvorfälle werden zu spät oder gar nicht erkannt und häufig

auch nicht angezeigt es erfolgt keine strafrechtliche und zivilrechtliche Verfolgung betroffene Kunden werden nicht informiert, die Daten sind damit über

einen längeren Zeitraum nutzbar

Mittelständische Firmen sind häufig Zulieferer für größere Firmen und damit optimale Schwachstellen für einen Angriff auf „Schlüsselindustrie“-Unternehmen

KMU im Visier

18

Finanzieller Schaden- Kosten für die IT-Forensik- Kosten für die Datenrettung und Datenwiederherstellung- Kosten für Sicherheitsverbesserungen des IT-Systems- Vertragsstrafen (z.B. aus Verletzung von PCI-Sicherheitsstandards)- Erpressungsgelder- Schadenersatzansprüche von Kunden und Dienstleistern- Betriebsunterbrechungsschäden durch behördliche Stilllegungsverfügungen,

Netzwerkunterbrechung / Netzwerkausfall, Cloud-Ausfall- Umsatzeinbußen durch die Nichterreichbarkeit des Online-Shops- Kosten für das Krisenmanagement- Information der Kunden- Kosten für die Kreditüberwachung von Kundenkonten- Bußgelder- Bertrugsschaden- Rechtsverfolgungskosten

Schaden eines Cyber-Angriffs

19

Schadenersatzansprüche von Kunden können sich ergeben aus

- Verstoß gegen vertragliche Datenschutzbestimmungen und Geheimhaltungspflichten

- Weitergabe eines Virus- Verletzung von Persönlichkeitsrechten- Verletzung von Lieferterminen und Fristen- aus kompromittierte Kreditkartendaten

Schaden eines Cyber-Angriffs

20

Reputationsschaden

Verlust von Kunden

Ermittlung von Datenschutzbehörden

Schaden eines Cyber-Angriffs

21

Reputationsschaden

Schaden eines Cyber-Angriffs

Bundesdatenschutzgesetz (BDSG)

§ 42a Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten

Stellt eine nichtöffentliche Stelle im Sinne des § 2 Absatz 4 oder eine öffentliche Stelle nach § 27 Absatz 1 Satz 1 Nummer 2 fest, dass bei ihr gespeicherte

1. besondere Arten personenbezogener Daten (§ 3 Absatz 9),2. personenbezogene Daten, die einem Berufsgeheimnis unterliegen,3. […]4. personenbezogene Daten zu Bank- oder Kreditkartenkonten

unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen, hat sie dies nach den Sätzen 2 bis 5 unverzüglich der zuständigen Aufsichtsbehörde sowie den Betroffenen mitzuteilen. Die Benachrichtigung des Betroffenen muss unverzüglich erfolgen, sobald angemessene Maßnahmen zur Sicherung der Daten ergriffen worden oder nicht unverzüglich erfolgt sind und die Strafverfolgung nicht mehr gefährdet wird. Die Benachrichtigung der Betroffenen muss eine Darlegung der Art der unrechtmäßigen Kenntniserlangung und Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen enthalten. Die Benachrichtigung der zuständigen Aufsichtsbehörde muss zusätzlich eine Darlegung möglicher nachteiliger Folgen der unrechtmäßigen Kenntniserlangung und der von der Stelle daraufhin ergriffenen Maßnahmen enthalten. Soweit die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, insbesondere aufgrund der Vielzahl der betroffenen Fälle, tritt an ihre Stelle die Information der Öffentlichkeit durch Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch eine andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleich geeignete Maßnahme

Auszug

22

Reputationsschaden

Schaden eines Cyber-Angriffs

Auszug

Bundesdatenschutzgesetz (BDSG)

§ 43 Bußgeldvorschriften

(2) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig

[…]

7. entgegen § 42a Satz 1 eine Mitteilung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht.

(3) Die Ordnungswidrigkeit kann im Fall des Absatzes 1 mit einer Geldbuße bis zu fünfzigtausend Euro, in den Fällen des Absatzes 2 mit einer Geldbuße bis zu dreihunderttausend Euro geahndet werden . Die Geldbuße soll den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen. Reichen die in Satz 1 genannten Beträge hierfür nicht aus, so können sie überschritten werden.

23

Schaden durch Cybercrime in Deutschland allein in 2013

46.000.000.000 EUR

Schaden eines Cyber-Angriffs

24

1. Cyber-Haftpflichtversicherung:Absicherung von Haftpflichtansprüchen Dritter (Kunden, Dienstleistern, PCI)

2. Cyber-Eigenschadendeckung:Abdeckung eigener Kosten und Schäden

3. Vertrauensschadensversicherung:Vermögensschäden aus unerlaubten Handlungen, die von Betriebsangehörigen oder sonstigen Vertrauenspersonen des Unternehmens begangen werden

Assistance-Leistungen

Vermittlung von spezialisierten

Dienstleistern und deren Kostenübernahme

Cyber-Versicherungen

25

1. Cyber-Haftpflichtversicherung:Absicherung von Haftpflichtansprüchen Dritter (Kunden, Dienstleistern, PCI)

2. Cyber-Eigenschadendeckung:Abdeckung eigener Kosten und Schäden

3. Vertrauensschadensversicherung:Vermögensschäden aus unerlaubten Handlungen, die von Betriebsangehörigen oder sonstigen Vertrauenspersonen des Unternehmens begangen werden

Assistance-Leistungen

Vermittlung von spezialisierten

Dienstleistern und deren Kostenübernahme

Cyber-Versicherungen

D&O-VersicherungElektronik-/ Maschinen-

versicherung

Software- und Datenträger-versicherung

Basis-Deckung

Basis-Deckung

Basis-Deckung

Zielgruppe

Internetdienstanbieter Betreiber von Online-Shops IT-Unternehmen Softwarehersteller Hidden Champions (kleinere und meist unbekannte Markt-/Weltmarktführer in

Spezialsegmenten) Hotels Beratende Berufe (Rechtsanwälte, Steuerberater, Wirtschaftsprüfer) Medizinische Berufe (Krankenhäuser, Kliniken, Ärzte) Produzierendes Gewerbe Unternehmen der deutschen Schlüsselindustrie (Automobilbau, Maschinenbau,

alternative Energietechnik, Bioelektronik, Nanotechnologie, Mikroelektronik) Energieversorger

26

Cyber-Versicherungen

Quelle Datum

http://www.faz.net/aktuell/politik/inland/nach-hacker-angriff-bundestag-benoetigt-neues-computer-netzwerk-13640703.html 10.06.2015

http://www.tagesschau.de/wirtschaft/ebay-passwoerter100.html 10.06.2015

http://www.deutschlandfunk.de/internetsicherheit-hacker-knacken-16-millionen-e-mail-konten.1818.de.html?dram:article_id=275207

10.06.2015

http://www.faz.net/aktuell/wirtschaft/netzwirtschaft/chronik-die-wichtigsten-hackerangriffe-13345391.html 10.06.2015

http://www.chip.de/news/BSI-warnt-vor-gigantischem-Identitaetsdiebstahl-So-testen-Sie-ob-auch-Ihre-Daten-betroffen-sind_66679710.html

10.06.2015

http://www.connect.de/news/hackerangriff-auf-fritzboxen-1943982.html 10.06.2015

Quellen-Nachweise

Diese Unterlage basiert auf Beurteilungen und rechtlichen Einschätzungen des Autors zum Zeitpunkt der Erstellung.

Die Unterlagen dienen ausschließlich zu Informationszwecken und ersetzen keine individuelle Beratung. Eine Gewähr für die Richtigkeit und Vollständigkeit kann nicht übernommen werden. Durch die Überlassung der Unterlagen wird eine Haftung gegenüber dem Empfänger oder Dritten nicht begründet.

© Copyright André Wohlert. Alle Rechte vorbehalten. Jedes Veräußern oder sonstiges Verbreiten, auch auszugsweise, bedarf der Zustimmung.