Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

KEINE ANGST VOR CYBER Wege aus der Gefahrenzone und was,

Veröffentlicht von:Klara Maier Geändert vor über 6 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "KEINE ANGST VOR CYBER Wege aus der Gefahrenzone und was,"—  Präsentation transkript:

1 KEINE ANGST VOR CYBER Wege aus der Gefahrenzone und was,
wenn es doch passiert. Wie helfen Versicherer? Präsentation im Rahmen der des Karlsruher Versicherungstag 2018

2 Kurzvita Thomas Pache Dipl. Ing. Maschinenbau und Dipl.-Wirtschaftsing. (- 1989/1994) Technischer Offizier der Bundeswehr (-1994) Haftpflicht-/Financial Lines Underwriter mit Schwerpunkt (informations-) technische Risiken bei Gerling (-1998) Chief Underwriting Officer IT-Haftpflicht Industrie bei Gerling (-2004) Head of Corporate Department bei Gerling Konzern Allgemeine (-2006) Leiter Branchenteam Communications, Media, Technology für Deutschland/Österreich bei Marsh (-2009) Leiter des Regionalbüros für Nord- und Ostdeutschland bei Nassau (-2012) PI Manager Germany mit Schwerpunkt Tech and Cyber bei AIG (-2016) Chief Underwriting Officer Tech & Cyber „DACH“ bei AIG (-09/2017) Verantwortlicher Underwriter Cyber- und Tech bei Riskpoint (seit 10/2017) Nebenberuflich: Mitglied und Sprecher (-10/2017) der GDV-Arbeitsgruppe Cyber-Versicherung Autor und Dozent (DVA, BWV, MWV, MCC, Versicherungsforum, Phi, etc.) Mitglied der GDV-Arbeitsgruppe „IT-Haftpflicht“

3 Wege aus der Gefahrenzone
Gefahrenzone ”Cyber” ... Nur ein Hype? Schadenbeispiele aus der Versichererpraxis Ansätze für eine eigene Risikoeinschätzung Cyberversicherung - noch eine Versicherung?!? Was decken andere Versicherungen? Was leistet eine Cyberversicherung?

4 CYBER Begriffe cyber: adjective – relating to or characteristics of the culture of computers, information technology, and virtual reality Cybernetics: plural noun [treated as singular] – the science of communication and automatic control systems in both machines and living things Kubernétés: Origin in 1940s: from Greek: „steersman“, from kubernan „to steer“ Quelle: Cyber-Risiken-Versicherung: (Eigene Definition): Eine um Assistance-Leistungen ergänzte gruppierte Vermögensschadenver-sicherung mit Dritt- und Eigenschadenkomponenten für Schadenfälle aufgrund von Informationssicherheitsverletzungen (Vertraulichkeits-, Integritäts- oder Verfügbarkeitsverletzungen von Daten oder IT-Systemen).

5 Gibt es eine Gefahrenzone?
35 Jahre Web2.0 Facebook Personal Computer Google SMS Fernsehen Transistor WWW Buchdruck Internet Telefon Radio Quelle: Leitfaden Big Data im Praxiseinsatz –Abbildung 2: Wachstum der Datenmengen über die Zeit 1991 1993 1998 2004 2006 Daten- volumen Zettabyte Exabyte Petabyte Terrabyte Gigabyte Megabyte Zeit

6 Gibt es eine Gefahrenzone?
Gesetze Es gibt nur wenige “ITK-„Spezialgesetze“: TKG, TDG, TDDSG, SigG, BDSG ab : DSGVO … Insofern finden natürlich Anwendung: BGB, ProdHaft, KUG, UWG, MarkenG, PatG, StGB, … … aber auch: Internationale und Rechtsnormen anderer Nationen Zur Operationalisierung stützen sich Juristen auf Normen und Standards wie: GdPdU, ITIL, Cobit, DIN …, DIN ISO/IEC 27000, PS 330, VDS3473 … aber auch PCI DSS / PA DSS … soweit also kaum Neues … … hier wird es schon etwas spezifischer

7 Informationssicherheit: Vertraulichkeitsrisiko
2017 2012 2008 Quelle: information is beautiful

8 Informationssicherheit: Verfügbarkeitsrisiko am Beispiel DDoS
2016 2012 2008 Quelle: Arbor Networks

9 Informationssicherheit: Integritätsrisiko
2015 2012 2008 Quelle: FireEye‘s 2016 ICS Vulnerability Trend Report

10 Wege aus der Gefahrenzone
Gefahrenzone ”Cyber” ...Nur ein Hype? Schadenbeispiele aus der Versichererpraxis Ansätze für eine eigene Risikoeinschätzung Cyberversicherung - noch eine Versicherung?!? Was decken andere Versicherungen? Was leistet eine Cyberversicherung?

11 und was wenn es doch passiert
... und was wenn es doch passiert? Schadenbeispiele aus der Versichererpraxis Fall a) Das Warenwirtschaftssystem eines produzierenden Unternehmens ist Ziel einer DDoS-Attacke und erleidet in Folge einen partiellen Produktionsausfall. Fall b) Eine Rechtsanwalts- und Steuerberaterkanzlei kann nicht mehr auf ihre Korrespondenzdaten zugreifen, da diese durch einen Verschlüsselungsvirus verschlüsselt wurden. Eine tiefergehende forensische Analyse deutet darauf hin, dass weitere Schadcodes nachgeladen wurden. Unter anderem wurden wahrscheinlich Codes zum Stehlen von Bankdaten installiert. Fall c) Ein Dienstleistungsunternehmen erhält eine erpresserische Nachricht. Bei Nichtzahlung sollen „gestohlene“ Kundendaten im Internet veröffentlicht und die Presse informiert werden. Das Unternehmen hat Vertriebsstandorte im Ausland.

12 und was wenn es doch passiert
... und was wenn es doch passiert? Schadenbeispiele aus der Versichererpraxis Fall d) In einem Industrieunternehmen wurde festgestellt, dass auf einem Bediener-PC unzulässige Software installiert war, um urheberrechtlich geschützte Filme von Torrent-Servern herunterzuladen. Dadurch wurde eine mobile Datenanbindung des Bediener-PC zum zentralen Internetzugang überlastet und wichtige IT-gestützte Geschäftsprozesse beeinträchtigt. Fall e) Nach Ausspionieren der Server eines Zielunternehmens werden die dort gewonnenen Daten von Kriminellen für eine „Fake President“-Attacke verwendet (= der Personalchef wird dazu gebracht, sämtliche Mitarbeiterdaten per zu versenden). Fall f) Es wurde bei einer Routineprüfung festgestellt, dass auf einem Server in einem für alle User frei zugänglichen Share über einen längeren Zeitraum vertrauliche Daten gespeichert wurden und die Ports und „offen“ sind.

13 Quelle: QuBit-Vortrag 2016 von:
Beispiel Quelle: QuBit-Vortrag 2016 von:

14 Wege aus der Gefahrenzone
Gefahrenzone ”Cyber” ...Nur ein Hype? Schadenbeispiele aus der Versichererpraxis Ansätze für eine eigene Risikoeinschätzung Cyberversicherung - noch eine Versicherung?!? Was decken andere Versicherungen? Was leistet eine Cyberversicherung?

15 Eigene Risikoeinschätzung Riskolandkarte
Finanzielle Auswirkung Provider-Ausfall groß Betriebsunterbrechung Produkt-/Leistungsschäden Verfügbarkeit von Kommunikationsnetzen Datenverlust Mitarbeiter in Schlüsselfunktionen DSGVO (BDSG) u.ä. Datenschutzgesetze Internet-Risiken Cyber Erpressung Cash Flow Liquidität Abhängigkeit von IT-Systemen Abhängigkeit von Partnern, Zulieferern Geistiges Eigentum Unzureichende Compliance mit - Gesetzen - Technische Normen (z.B. PCI DSS) Spionage Marktschwankungen Wettbewerb Technologische Innovation Altersvorsorge Geschäfts- modell Multinationale Compliance unspezifisch spezifisch Kraftfahrtzeuge Outsourcing Lizenzen und Rechte Naturkatstrophen Umweltrisiken konv. Diebstahl Politische Entwicklungen Währungsrisiken IKT/Cyber - Risiko IT-nahes Risiko gering 15

16 Eigene Risikoeinschätzung Schematischer Ansatz
Schadcodes Fehler Hacker techn. Versagen Zugriff Eingriff Externer Interner Ursachenart (Was ist der Auslöser?) Integrität Vertraulichkeit Verfügbarkeit (Authentizität) Ursachenort (Wer setzt die Ursache?) Wirkungsart (Was passiert?) Wirkungsort (Wo passiert etwas / Wer hat den Schaden?) VN VN-Mitarbeiter VN-Vertragspartner Dritter Schadenart / -position (Was ist der Schaden?) VDS-Quickchecks: DSGVO Cyber-Security ICS Schadenersatzforderung Geldbuße Kosten für … Betriebsunterbrechung Reputationsverlust

17 Eigene Risikoeinschätzung Klassifizierung
Cyber-Bedrohungen - Eine Klassifizierungs- Möglichkeit: Ursache Verursacher (außen/innen) Wirkung(s-Art) Wirkungsort (außen/innen) Wirkungsfolge / Schaden => Identifikation der kritischsten Prozesse (ABC-Analyse) Herunterladen infizierter Dateien Mitarbeiter/in Verschlüsselung von Daten Unternehmen Datenverlust Betriebsunterbrechung Kunden Ausbleibende Lieferungen Kosten Finanzielle Verluste Schadensersatzforderung von Kunden

18 Eigene Risikoeinschätzung Grenzkostenbetrachtung
Cyber Versicherungen sind eine Ergänzung der IT-Sicher- heitsmaßnahmen, keine Alternative! Informationssicherheitslevel IT-Sicherheitskosten Sicherheitszugewinn (sinnvolle) Ausgaben

19 Eigene Risikoeinschätzung Geschäftsmodellspezifische Schwerpunkte
Schwerpunkte aus Unternehmenssicht Betriebsunter- brechung Haftpflicht Produzierende Betriebe und Energiewirtschaft Krankenhäuser und Hotel/Gastronomie IT- und Kommunikations- dienstleistungsanbieter (z. B. Provider) Fernabsatzhandel / E-Commerce Öffentliche Hand, Verbände (z. B. DEHSt) Krisenreaktion & Kosten

20 Wege aus der Gefahrenzone
Gefahrenzone ”Cyber” ...Nur ein Hype? Schadenbeispiele aus der Versichererpraxis Ansätze für eine eigene Risikoeinschätzung Cyberversicherung - noch eine Versicherung?!? Was decken andere Versicherungen? Was leistet eine Cyberversicherung?

21 ”Cyber” in bekannten Versicherungen
Eigenschaden Drittschaden Transport- sicherung K&R-Ver- sicherung Rechtsschutz- Versicherung Feuerver- sicherung Kfz-Ver- sicherung Cyber-Risiken- Versicherung Technische Versicherung Betriebshaftpflicht- Versicherung Betriebs- unterbrechungs- Versicherung Produkthaftpflicht- Versicherung All-Risk-Sach- Versicherung Vertrauens- schaden- Versicherung Berufshaftpflicht- Versicherung Umwelthaftpflicht- Versicherung Daten- Versicherung Achtung: Vermögens- schäden!

22 Wege aus der Gefahrenzone
Gefahrenzone ”Cyber” ...Nur ein Hype? Schadenbeispiele aus der Versichererpraxis Ansätze für eine eigene Risikoeinschätzung Cyberversicherung - noch eine Versicherung?!? Was decken andere Versicherungen? Was leistet eine Cyberversicherung?

23 Auslöser einer Cyberrisiko-Versicherung am Beispiel der GDV AVB Cyber
Verletzung der Informationssicherheit durch Angriffe auf elektronische Daten oder informationsverarbeitende Systeme des VN durch Schadprogramme, die auf elektronische Daten oder informations-verarbeitende Systeme des VN wirken durch eine Handlung oder Unterlassung, die zu einer Verletzung von datenschutzrechtlichen Vorschriften durch den Versicherungsnehmer führt durch Eingriffe in informations-verarbeitende Systeme des VN durch unberechtigte Zugriffe auf elektronische Daten des VN Quelle: GDV

24 Aufbau einer Cyberrisiko-Versicherung am Beispiel der GDV AVB Cyber
Gesetzliche Haftung infolge von ISV Freistellungs- und Abwehranspruch BU Datenwieder-herstellung Essentieller Baustein Dienstleistungen (Forensik, PR, etc.) Kosten infolge gesetzlicher Meldepflichten Aufwendungen vor Eintritt des Versicherungsfalls Definitionen Versicherungsfall Obliegenheiten zur Gewährleistung der IT-Sicherheit Generelle Ausschlüsse, etc. Basisbaustein Service-Kosten Drittschaden Eigenschaden Quelle: GDV

25 Wie helfen Versicherer?
Betriebs-unterbrechungs-schäden Daten-/Systemwieder-herstellungs-kosten Daten-/Systemwieder-herstellungs-kosten Erpressungs-kosten Krisenkom-munikations-kosten IT-Forensik-Kosten Schaden-kosten Krisen-reaktion Cyber- Vorfall Benachrichti-gungskosten Mehrkosten Rechtsberatung (-skosten) Rechtsbera-tungskosten Ordnungswidrig-keitenrecht Gesetzliche Haftpflicht Behördliche Ermittlungen Haftpflicht-schäden: (Abwehr und Befriedi-gung) Schadenersatz-forderungen Strafrecht Hilfe durch: Versicherer Fachfirma Fachanwälte Ausl. Rechtsnormen PCI-Verpflichtungen Vertragliche Haftung

26 Wie helfen Versicherer? am Beispiel der GDV AVB Cyber
Vermögensschäden Personenschäden Sachschäden Eigenschäden Kosten/Support Drittschäden Aufgrund von Informationssicherheitsverletzungen: Verlust der Vertraulichkeit Verlust der Integrität Verlust der Verfügbarkeit Ausgelöst durch: Zugriffe auf Daten Angriffe auf Systeme Schadprogramme Datenschutzverletzungen Systemeingriffe von außen oder innen

27 Eckpunkte der Cyber-Versicherung
Krisen- reaktion Haftpflicht- versicherung Kosten- Versiche- rung. Betriebsunter- brechungsver- sicherung

28 Für Ihre Fragen stehe ich Ihnen gerne zur Verfügung:
Thomas Pache Senior Underwriter Tech/Cyber Bockenheimer Landstr. 17/19 DE Frankfurt Büro: Direkt: Mobil: www:

Herunterladen ppt "KEINE ANGST VOR CYBER Wege aus der Gefahrenzone und was,"

Ähnliche Präsentationen

Entstehung.

Entstehung.
Trend SWM EDV-Beratung GmbH & Co. KG Kundenforum 2006 Datenschutz und Sicherheit Datenschutzbeauftragter Bernardo AVILES.

Trend SWM EDV-Beratung GmbH & Co. KG Kundenforum 2006 Datenschutz und Sicherheit Datenschutzbeauftragter Bernardo AVILES.
Cloud-Computing Tomic Josip.

Cloud-Computing Tomic Josip.
Grundlagen des E-Business

Grundlagen des E-Business
DI Ramin Sabet Seite 1 06.10.2009 Mobile Signatur 06. Okt 2009.

DI Ramin Sabet Seite Mobile Signatur 06. Okt 2009.
Linkliste zu CYBER RISKS – GEFÄHRDUNGEN UND VERSICHERUNGSLÖSUNGEN

Linkliste zu CYBER RISKS – GEFÄHRDUNGEN UND VERSICHERUNGSLÖSUNGEN
Www.greco.eu Aktuelle Herausforderungen an den Versicherungsmakler 7. Alpbacher Expertentreffen 29. August 2012 Mag. Andreas Krebs.

Aktuelle Herausforderungen an den Versicherungsmakler 7. Alpbacher Expertentreffen 29. August 2012 Mag. Andreas Krebs.
1 Geschäftsmodelle im Internet Berlin, 28. September 2011 SuMa-eV Kongresses 2011: Geld verdienen im Internet? Dr. Ferdinand Pavel, DIW-econ GmbH.

1 Geschäftsmodelle im Internet Berlin, 28. September 2011 SuMa-eV Kongresses 2011: Geld verdienen im Internet? Dr. Ferdinand Pavel, DIW-econ GmbH.
Landespolizeikommando für Kärnten Kindeswohl –(Gefährdung) in der Familie erkennen – helfen - intervenieren Workshop-Thema: GEWALT DURCH „NEUE MEDIEN“

Landespolizeikommando für Kärnten Kindeswohl –(Gefährdung) in der Familie erkennen – helfen - intervenieren Workshop-Thema: GEWALT DURCH „NEUE MEDIEN“
Österreichische Beamtenversicherung (ÖBV) Seit der Gründung 1895 sind wir eine unabhängige, österreichische Versicherung. Als Versicherungsverein auf.

Österreichische Beamtenversicherung (ÖBV) Seit der Gründung 1895 sind wir eine unabhängige, österreichische Versicherung. Als Versicherungsverein auf.
D.A.S. Maklerforum® PV Ost - Direkthilfe -Schadenmeldung und Beratungsscheck -Elke Herzog (RS Wien)

D.A.S. Maklerforum® PV Ost - Direkthilfe -Schadenmeldung und Beratungsscheck -Elke Herzog (RS Wien)
Untreue, § 266. Einleitung Was fällt Ihnen ein, wenn man Ihnen eine Norm aus dem StGB vorstellt und hinzufügt, sie sei verfassungsgemäß? Fällt Ihnen nichts.

Untreue, § 266. Einleitung Was fällt Ihnen ein, wenn man Ihnen eine Norm aus dem StGB vorstellt und hinzufügt, sie sei verfassungsgemäß? Fällt Ihnen nichts.
Funktionsweise eines Funambolservers Natascha Graf Aachen, 01. Februar 2010.

Funktionsweise eines Funambolservers Natascha Graf Aachen, 01. Februar 2010.
H. Grottenegg 1 Geodaten – zur Prüfung bitte!. H. Grottenegg2 Um welche Prüfung gehts?  Prüfung von (Geo-)Daten gegen eine Richtlinie/Vorgabe (z.B.Naturbestand,

H. Grottenegg 1 Geodaten – zur Prüfung bitte!. H. Grottenegg2 Um welche Prüfung gehts?  Prüfung von (Geo-)Daten gegen eine Richtlinie/Vorgabe (z.B.Naturbestand,
Aus der Ferne beseh'n ist alles schön? Die Bereitstellung digitaler Unterlagen für Behörden und Öffentlichkeit Dr. Herbert HUTTERER.

Aus der Ferne beseh'n ist alles schön? Die Bereitstellung digitaler Unterlagen für Behörden und Öffentlichkeit Dr. Herbert HUTTERER.
Eveline Jordi Raum für Entwicklung Möglichkeiten der Prävention sexueller Ausbeutung in Institutionen.

Eveline Jordi Raum für Entwicklung Möglichkeiten der Prävention sexueller Ausbeutung in Institutionen.
SAP und Oracle: Was das Internet über Anwender verrät Jochen Hein Senior Architekt SAP R/3 Basis SerCon GmbH, Mainz

SAP und Oracle: Was das Internet über Anwender verrät Jochen Hein Senior Architekt SAP R/3 Basis SerCon GmbH, Mainz
Internet Universität zu Köln WS 2011/12 Dozent: Prof. Dr. Manfred Thaller AM 2: Digitale Langzeitarchivierung Referentin: Rasa Sommer.

Internet Universität zu Köln WS 2011/12 Dozent: Prof. Dr. Manfred Thaller AM 2: Digitale Langzeitarchivierung Referentin: Rasa Sommer.
Zehn Schritte zu Linux Der Weg in eine andere Welt...

Zehn Schritte zu Linux Der Weg in eine andere Welt...
Ein Projekt der FU Berlin Im Auftrag der FU Berlin Gefördert durch Netzwerk für Nachhaltige Schülerfirmen

Ein Projekt der FU Berlin Im Auftrag der FU Berlin Gefördert durch Netzwerk für Nachhaltige Schülerfirmen

Ähnliche Präsentationen

Google-Anzeigen