© Cyber-Security, VdS Schadenverhütung GmbHEin Unternehmen des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. www.vds.de

Cyber Security für den Mittelstand Unterstützung durch VdS Schadenverhütung und

praktische Erfahrungen aus der Praxis

ECO/nrwUnit

VdS Schadenverhütung GmbH

30.06.2017 Bochum / G-Data

Christian Schottmüller

Folie 2

Geschichte von VdS

VdS Schadenverhütung GmbH • Cyber-Security • Folie 3

Ansatz von VdS:

den Versicherern praktische Unterstützung bei der Umsetzung zu bieten und

das Konzept der VdS 3473 Richtlinie bei den Versicherern als Baustein ihres eigenen

Produktportfolios für die Kunden nutzbar zu machen.

Gemeinsames Ziel: Steigerung der IT Sicherheit im Mittelstand

Vorteile für den Mittelstand

Cyber Security Konzept für umsetzbare und angemessene IT Sicherheit

wird von der Versicherungswirtschaft akzeptiert

I - Informieren

S - Sensibilisieren

M - Motivieren

S - Strukturieren

Die Versicherungsbranche - GDV- VdS

Folie 4

Überblick

VdS Cyber Konzept

Akzeptanz am Markt

Erste Quick-Check Auswertungen

Quick Audit / Zertifizierungen

Risikoanalysen

Assistance Leistungen

Folie 5

Das VdS Cyber-Konzept

Folie 6

Akzeptanz im Markt

• 80 anerkannte VdS Cyber-Berater

• Verschiedene Systemhäuser schulen nach 3473

• Makler

• Versicherer

• Banken

Cyber-Berater / Systemhäuser

Finanz- und Versicherungs-

wirtschaft

• Verschiedene Zertifizierungen durchgeführt

• Zahlreiche Quick-Audits durchgeführt

• Quick-Check wird als Gesprächsöffner genutzt (ca. 2000 qualifizierte Bewertungen)

• Letztes Jahr zahlreiche Schulungen bei VdS

• Enge Zusammenarbeit mit GDV

Unternehmen/ Verbände

• VdS 3473 sowie Quick-Check ins Englische übersetzt

International

Folie 7

News 2017

• Insgesamt 10 Lehrgangstermine bei VdS (Informationssicherheitsbeauftragter und VdS 3473)

• Durchführung von Inhouse-Schulungen

• VdS 3473 um Anforderungen für die Prozess-und Automatisierungstechnik erweitert

• Einführung VdS Quick-Check Automatisierungstechnik

Schulungen

Weiter-entwicklung

• Viele Anfragen von Behörden

• Unternehmen mit Prozess- und Automatisierungstechnik

Unternehmen

• VdS Quick-Check in Englisch verfügbar

• VdS Richtlinie 3473 auch ins Englische übersetzt

International

Folie 8

Quick-Check

Folie 9

Der schnelle kostenlose Überblick

www.vds-quick-check.de

Folie 10

Ergänzender Quick-Check ICS

für produzierende Unternehmen

VdS bietet einen zusätzlichen Quick-Check für

produzierende Unternehmen an

Beide Checks in deutsch und englisch verfügbar

Folie 11

Vorstellung VdS Quick-Check

39 Fragen – kostenlos - Ergebnisbericht

Folie 12

Struktur des VdS Quick-Checks Insgesamt 2000 valide Ergebnisse (März 2015-Mai. 2017)

ORGANISATION Organisation der IT-Sicherheit Richtlinien Personal Zugänge

58%2017

TECHNIK Mobile Geräte Software Netzwerke IT-Systeme

62%2016

PRÄVENTION Sicherheitsvorfälle Umgebung Datensicherung Ausfälle

58%2016

MANAGEMENT IT-Outsourcing und Cloud

Computing

29%2016

FarblegendeGrün: Relevante Themen zu über 90% erfüllt - Gelb: Relevante Themen zu über 60% erfüllt - Rot: Relevante Themen zu 60% oder weniger erfüllt

57%2016

57%2017

59%2017 46%2017

Folie 13

Im Teilbereich „Organisation“ besteht

weiterhin Nachholbedarf

ORGANISATION

58%2017

46%2016

Organisation der Informations-sicherheit

Richtlinien

Personal

Zugänge

60%

51%2016

70%2016

Der Merkmalsblock „Organisation der Informationssicherheit“ erreicht weiterhin den geringsten Reifegrad.

Insgesamt deutlich solider aufgestellt sind die Teilnehmer beim Umgang mit Zugängen zu Systemen.

Merkmalsblöcke:

FarblegendeGrün: Relevante Themen zu über 90% erfüllt - Gelb: Relevante Themen zu über 60% erfüllt - Rot: Relevante Themen zu 60% oder weniger erfüllt

57%2016 49%2017

59%2017

51%2017

71%2017

2016

Folie 14

Im Teilbereich „Technik“ ist der Reifegrad

2016/17 gegenüber 2015/16 zurückgegangen

TECHNIK

54%2017Mobile Geräte

Mobile Datenträger

Netzwerke

IT-Systeme

53%2017

67%2017

55%2017

Der Reifegrad zur IT-Sicherheit stellt die teilnehmenden Unternehmen mit Blick auf mobile Geräte und mobile Datenträger nicht zufrieden.

In der IT-Sicherheit gibt es weiterhin Optimierungspotenziale mit Blick auf die Merkmale „IT-Systeme “. Hier sind insbesondere regelmäßige Risikoanalysen nicht flächendeckender Standard.

Merkmalsblöcke:

FarblegendeGrün: Relevante Themen zu über 90% erfüllt - Gelb: Relevante Themen zu über 60% erfüllt - Rot: Relevante Themen zu 60% oder weniger erfüllt

57%2017

57%2016

2016: nicht abgefragt

68%2016

54%2016

62%2016

Folie 15

Der Teilbereich „Prävention“ erreicht einen

durchschnittlichen Reifegrad

PRÄVENTION

32%Sicherheitsvorfälle

Umgebung

Datensicherung

Ausfälle

78%2017

80%2017

44%2017

Der Merkmalsblock „Sicherheitsvorfälle“ erreicht zusammen mit dem Merkmalsblock „Ausfälle“ auch in 2016/17 einen nicht zufriedenstellenden Reifegrad.

Merkmalsblöcke:

FarblegendeGrün: Relevante Themen zu über 90% erfüllt - Gelb: Relevante Themen zu über 60% erfüllt - Rot: Relevante Themen zu 60% oder weniger erfüllt

59%

201758%

31%

80%2016

78%2016

43%2016

2016

2017

2017

2016

Folie 16

Der Teilbereich „Management“ findet keine

ausreichende Beachtung

MANAGEMENT

IT-Outsourcing und Cloud Computing

Der Reifegrad der teilnehmenden Unternehmen hat sich zwar verbessert, ist jedoch mit Blick auf die Merkmale „IT-Outsorucing und Cloud-Computing“ auch in 2016/17 nicht zufriedenstellend.

Merkmalsblöcke:

FarblegendeGrün: Relevante Themen zu über 90% erfüllt - Gelb: Relevante Themen zu über 60% erfüllt - Rot: Relevante Themen zu 60% oder weniger erfüllt

46%2017

46%201729%2016

29%2016

Folie 17

Ergebnis der zweiten Auswertungswelle:

Kaum messbare Veränderung!

Klassische Themen, wie die (analoge) Umgebungs-Sicherung sowie die Backup- und IT-Sicherungstechnik, werden von den meisten Unternehmen beherrscht.

Starke Schwächen existieren beim Umgang mit Sicherheitsvorfällen, bei Managementausfällen sowie bei der Integration des Personals und der IT-Dienstleister.

Nur von den wenigsten Firmen werden systematische Risikoanalysen durchgeführt.

Neue Themen wie Cloud-Computing und der Umgang mit mobilen Geräten werden noch nicht systematisch bearbeitet.

Fazit: Informationssicherheit wird vom Management immer noch nicht ausreichend thematisiert. Informationssicherheit endet bei den meisten Unternehmen in den IT-Abteilungen – ein firmenweiter Ansatz existiert häufig nicht.

Folie 18

Quick-Audit / Zertifizierung

Folie 19

Überblick der Auditstufen

Doku-menten-

CheckPrüfung Ergebnis Check-Up

ja Audit Zertifikat jährlich

ja Audit Testat nein

neinSelbst-

auskunftBericht nein

Kompatibel zu ISO 27001

Folie 20

Cyber-Risikoanalyse

Folie 21

Cyber-Risikoanalyse VdS

Workshop

• Anpassung des Risikoberichts auf das Versicherungs-unternehmen

1. Desk Report

• Mittelstand

• Auswertung von Fragebögen (Quick-Check, Wertschöpf-ungskette)

• ggf. Risikodialog

2. Vor-Ort Risikoanalyse

• Industrial

• Risiko-dokumentation

• Cyber-Loss-Prävention-Report

Folie 22

Assistanceleistungen

Folie 23

Assistanceleistung

Telefon Hotline - 24/7

Vor-Ort-Service – max. 100 Km

Quick Intervention

Ziel

Schadenanalyse

Schnelle Herstellung des Regelbetriebs / Notbetriebs

Vermeidung / Begrenzung BU

und weiterer Folgeschäden

Wer macht´s?

Assistanceleistung

Folie 24

Anforderungen:

Kompetenz

Vielseitigkeit

Erreichbarkeit

Präsenz

Verfügbarkeit

Partnerschaften

Zertifizierungen

Wirtschaftlichkeit

Forensik: i.d.R. eigenes Kompetenzfeld

Auswahl Verfahren

Folie 25

ca. 80 Systemhäuser/Berater im Bestand (R 50 – 100 km in BRD)

Vertragsverhältnis zwischen VU/Systemhaus

Assistance - Datenbank beim GDV

Folie 26

Unsere Dienstleistungen

Folie 27

Unsere Dienstleistungen

AusgelagerteRestrisiken:Cyber- PoliceVersicherung

Folie 28

Und jetzt…

Folie 29

Kategorien für Schadenarten/Deckungsbausteine

Direkte Cyberschäden

• Betriebsunterbrechungsschaden• Schäden durch Computerbetrug• Schäden durch Erpressung• Schäden durch Industriespionage• IT-Sachschäden• Schäden durch unkontrollierten

Mittelabfluss bei E-Payment• Wiederherstellungsaufwand für

Produktionskomponenten• Wiederherstellungsaufwand für

IT-Komponenten• Wiederherstellungsaufwand bei

Nichtverfügbarkeit von Komponenten

Schäden aus Krisenmanagement

• Kosten für Krisenberatung• Kosten für Rechtsberatung• Kosten für Cyber-Forensik• Reaktionskosten• PR-Kosten• Informationskosten• E-Discovery• Monitoring Kosten zur eigenen

Kreditwürdigkeit

Haftungsschäden

• Schäden aus Datenschutz und Vertraulichkeitsverletzungen

• Schäden bei Haftungsansprüchen im Medienbereich

• Haftungsansprüche durch Verursachung von Drittschäden

• Haftungsansprüche aus Abfluss von intellektuellem Kapital

• Haftungsansprüche aus E&O• Strafzahlungen und Bußgelder

Cyber-Risiken für Schadenarten/Deckungsbausteine

Folie 30

Dipl.Kfm Christian Schottmüller

Manager Vertrieb

Kooperationen Cyber Security

VdS Schadenverhütung GmbH

Amsterdamer Str. 172

50935 Köln

Tel.: 0221- 7766 372

cschottmueller@vds.de

www.vds.de

Impressum