Hiscox meets Apella Onlineschulung Data Risks by Hiscox – Roman Potyka 25. Oktober 2012
Welche Produkte bieten wir an? Vermögenswerte Haus & Kunst Fine Art Mundial Classic Cars Kunst & Sammlung Gallery Musikinstrumente Berufliche Risiken Professions Net IT D&O Media Medienagenturen Consult Wirtschaftsprüfer Client Office Kidnap & Ransom Private Protection Corporate Protection Marine Protection Data Risks Data Liability Data Breach Cost Cyber Liability Cyber Business Interruption Data Extortion Hacker Protection
Was ist Data Risks by Hiscox und warum bieten wir dieses Produkt an? Basis-Versicherungsschutz, der etwaige Haftpflichtansprüche und Kosten abdeckt und DARÜBER HINAUS die kurzfristige Bearbeitung von Schäden durch Hacker-Angriffe und Datenrechtsverletzungen gewährleistet. Jedes Unternehmen, das kartengestützte Zahlungen akzeptiert, ist dazu VERPFLICHTET, bestimmte Obliegenheiten zu erfüllen; wahrscheinlich wissen das viele Unternehmen aber gar nicht: Vorgaben der Kreditkartenbranche (Payment Card Industry, PCI) bei einer Datenrechtsverletzung: Vorlage einer Liste mit allen betroffenen Konten innerhalb von 7 Tagen – i.d.R. unmöglich. Bei > 10.000 betroffenen Dateninhabern ist der forensische Bericht eines Qualified Forensic Investigator (QFI) erforderlich Schadenregulierung muss innerhalb von 90 Tagen abgeschlossen sein. Thematik rückt zunehmend in den Vordergrund – bezügl. der neuen EU-Regelung wird deshalb eine Meldepflicht empfohlen.
Was ist Datenschutz? Datenschutz bezeichnet den Schutz des Einzelnen vor dem Missbrauch personenbezogener Daten.* Heute wird der Zweck des Datenschutzes darin gesehen, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Recht auf informationelle Selbstbestimmung beeinträchtigt wird.* Kundendaten Daten von Mitarbeitern Vertrauliche geschäftliche Informationen Dritter (Verstoß gegen vertragliche Geheimhaltungspflichten) *) Quelle: Wikipedia * Quelle: Wikipedia
Was droht, wenn Daten in meinem Unternehmen verloren gehen? Gemäß BDSG gelten nach einem Datenschutzvorfall gesetzliche Informationspflichten - Kunde, Behörden, Banken müssen informiert werden! Bei Zuwiderhandlung drohen empfindliche Bußgelder bis zu € 300.000,- Erhebliche Kosten für analytische Maßnahmen um das Geschehene gerichtsverwertbar festzustellen und zu dokumentieren (Welche Daten sind betroffen?, Wer ist Dateninhaber?, Wer muss informiert werden?, etc). Erhebliche Kosten zur Erfüllung gesetzlicher Informationspflichten (s.o.), Kosten für PR, Kosten für Kreditüberwachungsdienstleistungen Entgangener Gewinn aufgrund Betriebsunterbrechung ...
Schadensbeispiele aus den Medien Mitarbeiter inszeniert Datenleck Daten von 176.000 Mitarbeitern und Vertragspartnern wurden Unternehmensgegnern gezielt in die Hände gespielt Firmen unterschätzen Cyberrisiken Mittelständler besonders sorglos Millionenfacher Datendiebstahl bei Neckermann Hacker entwenden Informationen von 1,2 Millionen Gewinnspielteilnehmern Sicherheitslücke bei Ryanair Die Onlinebuchungen lassen sich von Dritten leicht manipulieren Zeitung werden Kreditkarteninformationen zugespielt Illegale Weitergabe von 10.000 Kreditkartenabrechnungen mit vertraulichen Daten Uni Potsdam Personalien von 20.000 Studenten standen frei zum Download Kundendaten versehentlich im öffentlichen Müllcontainer entsorgt Sensible Daten von Bankkunden und Patientenakten betroffen Wie aus Datenverlust eine Existenz bedrohende Katastrophe wird Kaum alle Risiken identifiziert BP verliert Laptop mit den Daten von 13000 Personen, die Schadensersatz wegen der Ölkatastrophe im Golf von Mexiko fordern Wiederbeschaffung problematisch und teuer Geklaute Kundendaten von Sony im Internet entdeckt Schaden noch lange nicht abschätzbar Versicherer meldet Verlust von unverschlüsselten Back-up Dateien Finanzdaten von 46.000 Versicherungsnehmern sind weg
Datenschutz - Haftungssituation Datenschutz als unternehmerische Pflicht (§ 91 Abs. 2 AktG / §§ 239 Abs. 4, Satz 2, 261 HGB) Deliktsrecht (§ 823 BGB) § 130 Abs. 1 i.V.m. § 30 OWiG Haftung der Geschäftsleitung für Unterlassen von Aufsichtsmaßnahmen; Haftung des Unternehmens für Ordnungswidrigkeit (Geldstrafe bis € 1,0 Mio) Datenvorfall kann Schadensersatzanspruch des Betroffenen gem. § 7 BDSG begründen Bußgelder (€ 50.000 - € 300.000) gem. § 43 BDSG Vertragliche Ansprüche (PCI = Payment Card Industry) Neue EU-Datenschutzverordnung 2012 (u.a. „unverzügliche Anzeigepflicht“, höhere Strafen etc.)
Datenverlust – Potenzielle Kosten für Unternehmen / Eigenschäden Kosten für forensische Prüfung: Was ist passiert? Kosten für Information betroffener Dateninhaber / Behörden z.B. Kosten für Beauftragung eines Call-Centers Rechtskosten Krisenmanagement / PR-Kosten Wiederherstellung der Systeme Prävention Entgangener Gewinn (Betriebsunterbrechung) Lösegeld (Datenerpressung)
Die Lösung: Data Risks by Hiscox 6 Module in einem Paket Data-Liability Kosten für immaterielle Schäden sowie Verteidigungskosten aufgrund Datenrechtsverletzungen Data-Breach-Cost Kosten für z.B. Forensische Dienst-leistungen des Versicherungsnehmers infolge einer Datenrechtsverletzung Cyber-Liability Haftung des Versicherungsnehmer gegenüber Dritten infolge eines Hackerangriffs Cyber Business- Interruption Kosten des Versicherungsnehmers Betriebsunterbrechungsversicherung (Ertragsausfallschaden) Data-Extortion Kosten des Versicherungsnehmers infolge einer rechtswidrigen Drohung eines Dritten Hacker-Protection Kosten für die Wiederherstellung von Datenprogrammen, Netzwerken etc. des Versicherungsnehmers nach einem Hacker-Angriff
Unsere Zielmärkte Einzelhandel Modeboutiquen, Warenhäuser, Supermärkte Gastronomie/Hotels Restaurants, Bistros/Bars, Hotelketten Professional Services/Beratungsdienstleistungen Rechtsanwälte, Wirtschaftsprüfer Technologie und Telekommunikation Medien (ohne Direktmarketing) Versorger Healthcare/Gesundheitswesen Finanzinstitute Staatliche Behörden Payment Processing Industrie Soziale Netzwerke Glücksspiel oder Webseiten mit pornographischen Inhalten
Data Risks by Hiscox - Antragsmodelle
Vielen Dank!
Schadenbeispiele
Einbruch bei einer wohltätigen Organisation Bei einem Einbruch in die Büroräumlichkeiten wurde unter anderem ein Desktop PC gestohlen. Auf diesem Rechner befanden sich laut des Versicherungsnehmers Daten von ca. 50 bis 100 Spendern. Folgende Kosten sind entstanden: Rechtsberatung und Infopflichten gegenüber Dateninhabern 67.368 € Forensische Dienstleistungen 23.747 € Kreditüberwachungsdienstleistungen 11.640 € PR 2.137 € Gesamtkosten 104.894 €
Datenraub durch Mitarbeiter im Gesundheitswesen Ein Unternehmen aus dem Gesundheitswesen (stark reguliert, hohe Standards auch an Datenschutz, etc.) hat Datenschutz sehr ernst genommen und die IT Abteilung hat entsprechende IT Sicherheit vorgehalten. Ein Mitarbeiter konnte sich finanziellen Zuwendungen einer kriminellen Vereinigung aber nicht entziehen und hat Akten per Hand gescannt und weitergegeben. Die weitergegeben Daten enthielten Infos zu Namen, Anschrift, Sozialversicherungsnummer, etc. Nach geraumer Zeit erhielt der VN einen Anruf einer Strafverfolgungsbehörde, die eine Razzia durchgeführt hatte und dabei Dokumente entdeckte, die persönlich identifizierbare Informationen enthielt, die offensichtlich von unserem VN stammten. Rund 45.000 Personen waren davon betroffen, ein Drittschaden ist jedoch noch nicht entstanden. Aber folgende Kosten: Rechtsberatung 12.000 € Infopflichten gegenüber Dateninhaber 14.500 € Call Center 45.000 € Forensische Dienstleistungen 6.500 € Kreditüberwachungsdienstleistungen 300.000 € PR 50.000 € Gesamtkosten 428.000 €
Hätten Sie das gedacht? Zeitspanne in Tagen zwischen der Datenrechtsverletzung und der Entdeckung* Anzahl der Unternehmen, die bereits Ziel eines ernsthaften Versuchs waren, rechtswidrig in ihr Netzwerk einzudringen* Kosten pro Dateninhaber, um einer gesetzlich vorgeschriebenen Informationspflicht nachzukommen Als gestohlen gemeldete Laptops am Pariser Flughafen pro Woche** Kosten zur Identifikation personenbezogener Daten auf einem abhanden gekommenen Laptop Datenrechtsverletzungen im Zusammenhang mit mobilen Endgeräten*** Durchschnittliche Rechtsverteidigungskosten in einem Datenschutzverstoß Durchschnittliche Ansprüche Dritter nach einem Datenschutzverstoß 156 61 % ca. € 10 733 € 10.000 - 35.000 36 % € 500.000 € 1 Mio. * PriceWaterhouseCoopers, Information Security Breaches Survey 2010 – befragt wurden 539 Unternehmen in GB. ** Ponemon Institute ***TrustWave - Global Security Report 2011
Datenrechtsverletzungen Arten von Datenrisiken Statistische Daten Datenrechtsverletzungen Arten von Datenrisiken TrustWave - Global Security Report 2011