KEINE ANGST VOR CYBER Wege aus der Gefahrenzone und was, wenn es doch passiert. Wie helfen Versicherer? Präsentation im Rahmen der des Karlsruher Versicherungstag 2018 11.04.2018

Kurzvita Thomas Pache Dipl. Ing. Maschinenbau und Dipl.-Wirtschaftsing. (- 1989/1994) Technischer Offizier der Bundeswehr (-1994) Haftpflicht-/Financial Lines Underwriter mit Schwerpunkt (informations-) technische Risiken bei Gerling (-1998) Chief Underwriting Officer IT-Haftpflicht Industrie bei Gerling (-2004) Head of Corporate Department bei Gerling Konzern Allgemeine (-2006) Leiter Branchenteam Communications, Media, Technology für Deutschland/Österreich bei Marsh (-2009) Leiter des Regionalbüros für Nord- und Ostdeutschland bei Nassau (-2012) PI Manager Germany mit Schwerpunkt Tech and Cyber bei AIG (-2016) Chief Underwriting Officer Tech & Cyber „DACH“ bei AIG (-09/2017) Verantwortlicher Underwriter Cyber- und Tech bei Riskpoint (seit 10/2017) Nebenberuflich: Mitglied und Sprecher (-10/2017) der GDV-Arbeitsgruppe Cyber-Versicherung Autor und Dozent (DVA, BWV, MWV, MCC, Versicherungsforum, Phi, etc.) Mitglied der GDV-Arbeitsgruppe „IT-Haftpflicht“

Wege aus der Gefahrenzone Gefahrenzone ”Cyber” ... Nur ein Hype? Schadenbeispiele aus der Versichererpraxis Ansätze für eine eigene Risikoeinschätzung Cyberversicherung - noch eine Versicherung?!? Was decken andere Versicherungen? Was leistet eine Cyberversicherung?

CYBER Begriffe cyber: adjective – relating to or characteristics of the culture of computers, information technology, and virtual reality Cybernetics: plural noun [treated as singular] – the science of communication and automatic control systems in both machines and living things Kubernétés: Origin in 1940s: from Greek: „steersman“, from kubernan „to steer“ Quelle: www.oxforddictionaries.com Cyber-Risiken-Versicherung: (Eigene Definition): Eine um Assistance-Leistungen ergänzte gruppierte Vermögensschadenver-sicherung mit Dritt- und Eigenschadenkomponenten für Schadenfälle aufgrund von Informationssicherheitsverletzungen (Vertraulichkeits-, Integritäts- oder Verfügbarkeitsverletzungen von Daten oder IT-Systemen).

Gibt es eine Gefahrenzone? 35 Jahre Web2.0 Facebook Personal Computer Google SMS Fernsehen Transistor WWW Buchdruck Internet Telefon Radio Quelle: Leitfaden Big Data im Praxiseinsatz –Abbildung 2: Wachstum der Datenmengen über die Zeit 1438 1878 1896 1926 1938 1969 1981 1991 1993 1998 2004 2006 Daten- volumen Zettabyte Exabyte Petabyte Terrabyte Gigabyte Megabyte Zeit

Gibt es eine Gefahrenzone? Gesetze Es gibt nur wenige “ITK-„Spezialgesetze“: TKG, TDG, TDDSG, SigG, BDSG ab 20.05.2018: DSGVO … Insofern finden natürlich Anwendung: BGB, ProdHaft, KUG, UWG, MarkenG, PatG, StGB, … … aber auch: Internationale und Rechtsnormen anderer Nationen Zur Operationalisierung stützen sich Juristen auf Normen und Standards wie: GdPdU, ITIL, Cobit, DIN …, DIN ISO/IEC 27000, PS 330, VDS3473 … aber auch PCI DSS / PA DSS … soweit also kaum Neues … … hier wird es schon etwas spezifischer

Informationssicherheit: Vertraulichkeitsrisiko 2017 2012 2008 Quelle: information is beautiful http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/

Informationssicherheit: Verfügbarkeitsrisiko am Beispiel DDoS 2016 2012 2008 Quelle: Arbor Networks

Informationssicherheit: Integritätsrisiko 2015 2012 2008 Quelle: FireEye‘s 2016 ICS Vulnerability Trend Report

Wege aus der Gefahrenzone Gefahrenzone ”Cyber” ...Nur ein Hype? Schadenbeispiele aus der Versichererpraxis Ansätze für eine eigene Risikoeinschätzung Cyberversicherung - noch eine Versicherung?!? Was decken andere Versicherungen? Was leistet eine Cyberversicherung?

und was wenn es doch passiert ... und was wenn es doch passiert? Schadenbeispiele aus der Versichererpraxis Fall a) Das Warenwirtschaftssystem eines produzierenden Unternehmens ist Ziel einer DDoS-Attacke und erleidet in Folge einen partiellen Produktionsausfall. Fall b) Eine Rechtsanwalts- und Steuerberaterkanzlei kann nicht mehr auf ihre Korrespondenzdaten zugreifen, da diese durch einen Verschlüsselungsvirus verschlüsselt wurden. Eine tiefergehende forensische Analyse deutet darauf hin, dass weitere Schadcodes nachgeladen wurden. Unter anderem wurden wahrscheinlich Codes zum Stehlen von Bankdaten installiert. Fall c) Ein Dienstleistungsunternehmen erhält eine erpresserische Nachricht. Bei Nichtzahlung sollen „gestohlene“ Kundendaten im Internet veröffentlicht und die Presse informiert werden. Das Unternehmen hat Vertriebsstandorte im Ausland.

und was wenn es doch passiert ... und was wenn es doch passiert? Schadenbeispiele aus der Versichererpraxis Fall d) In einem Industrieunternehmen wurde festgestellt, dass auf einem Bediener-PC unzulässige Software installiert war, um urheberrechtlich geschützte Filme von Torrent-Servern herunterzuladen. Dadurch wurde eine mobile Datenanbindung des Bediener-PC zum zentralen Internetzugang überlastet und wichtige IT-gestützte Geschäftsprozesse beeinträchtigt. Fall e) Nach Ausspionieren der Server eines Zielunternehmens werden die dort gewonnenen Daten von Kriminellen für eine „Fake President“-Attacke verwendet (= der Personalchef wird dazu gebracht, sämtliche Mitarbeiterdaten per E-Mail zu versenden). Fall f) Es wurde bei einer Routineprüfung festgestellt, dass auf einem Server in einem für alle User frei zugänglichen Share über einen längeren Zeitraum vertrauliche Daten gespeichert wurden und die Ports 55555 und 10001 „offen“ sind.

Quelle: QuBit-Vortrag 2016 von: Beispiel Quelle: QuBit-Vortrag 2016 von:

Wege aus der Gefahrenzone Gefahrenzone ”Cyber” ...Nur ein Hype? Schadenbeispiele aus der Versichererpraxis Ansätze für eine eigene Risikoeinschätzung Cyberversicherung - noch eine Versicherung?!? Was decken andere Versicherungen? Was leistet eine Cyberversicherung?

Eigene Risikoeinschätzung Riskolandkarte Finanzielle Auswirkung Provider-Ausfall groß Betriebsunterbrechung Produkt-/Leistungsschäden Verfügbarkeit von Kommunikationsnetzen Datenverlust Mitarbeiter in Schlüsselfunktionen DSGVO (BDSG) u.ä. Datenschutzgesetze Internet-Risiken Cyber Erpressung Cash Flow Liquidität Abhängigkeit von IT-Systemen Abhängigkeit von Partnern, Zulieferern Geistiges Eigentum Unzureichende Compliance mit - Gesetzen - Technische Normen (z.B. PCI DSS) Spionage Marktschwankungen Wettbewerb Technologische Innovation Altersvorsorge Geschäfts- modell Multinationale Compliance unspezifisch spezifisch Kraftfahrtzeuge Outsourcing Lizenzen und Rechte Naturkatstrophen Umweltrisiken konv. Diebstahl Politische Entwicklungen Währungsrisiken IKT/Cyber - Risiko IT-nahes Risiko gering 15

Eigene Risikoeinschätzung Schematischer Ansatz Schadcodes Fehler Hacker techn. Versagen Zugriff Eingriff Externer Interner Ursachenart (Was ist der Auslöser?) Integrität Vertraulichkeit Verfügbarkeit (Authentizität) Ursachenort (Wer setzt die Ursache?) Wirkungsart (Was passiert?) Wirkungsort (Wo passiert etwas / Wer hat den Schaden?) VN VN-Mitarbeiter VN-Vertragspartner Dritter Schadenart / -position (Was ist der Schaden?) VDS-Quickchecks: DSGVO Cyber-Security ICS Schadenersatzforderung Geldbuße Kosten für … Betriebsunterbrechung Reputationsverlust

Eigene Risikoeinschätzung Klassifizierung Cyber-Bedrohungen - Eine Klassifizierungs- Möglichkeit: Ursache Verursacher (außen/innen) Wirkung(s-Art) Wirkungsort (außen/innen) Wirkungsfolge / Schaden => Identifikation der kritischsten Prozesse (ABC-Analyse) Herunterladen infizierter Dateien Mitarbeiter/in Verschlüsselung von Daten Unternehmen Datenverlust Betriebsunterbrechung Kunden Ausbleibende Lieferungen Kosten Finanzielle Verluste Schadensersatzforderung von Kunden

Eigene Risikoeinschätzung Grenzkostenbetrachtung Cyber Versicherungen sind eine Ergänzung der IT-Sicher- heitsmaßnahmen, keine Alternative! Informationssicherheitslevel IT-Sicherheitskosten Sicherheitszugewinn (sinnvolle) Ausgaben

Eigene Risikoeinschätzung Geschäftsmodellspezifische Schwerpunkte Schwerpunkte aus Unternehmenssicht Betriebsunter- brechung Haftpflicht Produzierende Betriebe und Energiewirtschaft Krankenhäuser und Hotel/Gastronomie IT- und Kommunikations- dienstleistungsanbieter (z. B. Provider) Fernabsatzhandel / E-Commerce Öffentliche Hand, Verbände (z. B. DEHSt) Krisenreaktion & Kosten

Wege aus der Gefahrenzone Gefahrenzone ”Cyber” ...Nur ein Hype? Schadenbeispiele aus der Versichererpraxis Ansätze für eine eigene Risikoeinschätzung Cyberversicherung - noch eine Versicherung?!? Was decken andere Versicherungen? Was leistet eine Cyberversicherung?

”Cyber” in bekannten Versicherungen Eigenschaden Drittschaden Transport- sicherung K&R-Ver- sicherung Rechtsschutz- Versicherung Feuerver- sicherung Kfz-Ver- sicherung Cyber-Risiken- Versicherung Technische Versicherung Betriebshaftpflicht- Versicherung Betriebs- unterbrechungs- Versicherung Produkthaftpflicht- Versicherung All-Risk-Sach- Versicherung Vertrauens- schaden- Versicherung Berufshaftpflicht- Versicherung Umwelthaftpflicht- Versicherung Daten- Versicherung Achtung: Vermögens- schäden!

Wege aus der Gefahrenzone Gefahrenzone ”Cyber” ...Nur ein Hype? Schadenbeispiele aus der Versichererpraxis Ansätze für eine eigene Risikoeinschätzung Cyberversicherung - noch eine Versicherung?!? Was decken andere Versicherungen? Was leistet eine Cyberversicherung?

Auslöser einer Cyberrisiko-Versicherung am Beispiel der GDV AVB Cyber Verletzung der Informationssicherheit durch Angriffe auf elektronische Daten oder informationsverarbeitende Systeme des VN durch Schadprogramme, die auf elektronische Daten oder informations-verarbeitende Systeme des VN wirken durch eine Handlung oder Unterlassung, die zu einer Verletzung von datenschutzrechtlichen Vorschriften durch den Versicherungsnehmer führt durch Eingriffe in informations-verarbeitende Systeme des VN durch unberechtigte Zugriffe auf elektronische Daten des VN Quelle: GDV

Aufbau einer Cyberrisiko-Versicherung am Beispiel der GDV AVB Cyber Gesetzliche Haftung infolge von ISV Freistellungs- und Abwehranspruch BU Datenwieder-herstellung Essentieller Baustein Dienstleistungen (Forensik, PR, etc.) Kosten infolge gesetzlicher Meldepflichten Aufwendungen vor Eintritt des Versicherungsfalls Definitionen Versicherungsfall Obliegenheiten zur Gewährleistung der IT-Sicherheit Generelle Ausschlüsse, etc. Basisbaustein Service-Kosten Drittschaden Eigenschaden Quelle: GDV

Wie helfen Versicherer? Betriebs-unterbrechungs-schäden Daten-/Systemwieder-herstellungs-kosten Daten-/Systemwieder-herstellungs-kosten Erpressungs-kosten Krisenkom-munikations-kosten IT-Forensik-Kosten Schaden-kosten Krisen-reaktion Cyber- Vorfall Benachrichti-gungskosten Mehrkosten Rechtsberatung (-skosten) Rechtsbera-tungskosten Ordnungswidrig-keitenrecht Gesetzliche Haftpflicht Behördliche Ermittlungen Haftpflicht-schäden: (Abwehr und Befriedi-gung) Schadenersatz-forderungen Strafrecht Hilfe durch: Versicherer Fachfirma Fachanwälte Ausl. Rechtsnormen PCI-Verpflichtungen Vertragliche Haftung

Wie helfen Versicherer? am Beispiel der GDV AVB Cyber Vermögensschäden Personenschäden Sachschäden Eigenschäden Kosten/Support Drittschäden Aufgrund von Informationssicherheitsverletzungen: Verlust der Vertraulichkeit Verlust der Integrität Verlust der Verfügbarkeit Ausgelöst durch: Zugriffe auf Daten Angriffe auf Systeme Schadprogramme Datenschutzverletzungen Systemeingriffe von außen oder innen

Eckpunkte der Cyber-Versicherung Krisen- reaktion Haftpflicht- versicherung Kosten- Versiche- rung. Betriebsunter- brechungsver- sicherung

Für Ihre Fragen stehe ich Ihnen gerne zur Verfügung: Thomas Pache Senior Underwriter Tech/Cyber Bockenheimer Landstr. 17/19 DE-60325 Frankfurt Büro: +49 69 710 455 360 Direkt: +49 69 710 455 357 Mobil: +49 151 51651894 Email: thomas.pache@riskpoint.eu www: www.riskpoint.eu