Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

KEINE ANGST VOR CYBER Wege aus der Gefahrenzone und was,

Ähnliche Präsentationen


Präsentation zum Thema: "KEINE ANGST VOR CYBER Wege aus der Gefahrenzone und was,"—  Präsentation transkript:

1 KEINE ANGST VOR CYBER Wege aus der Gefahrenzone und was,
wenn es doch passiert. Wie helfen Versicherer? Präsentation im Rahmen der des Karlsruher Versicherungstag 2018

2 Kurzvita Thomas Pache Dipl. Ing. Maschinenbau und Dipl.-Wirtschaftsing. (- 1989/1994) Technischer Offizier der Bundeswehr (-1994) Haftpflicht-/Financial Lines Underwriter mit Schwerpunkt (informations-) technische Risiken bei Gerling (-1998) Chief Underwriting Officer IT-Haftpflicht Industrie bei Gerling (-2004) Head of Corporate Department bei Gerling Konzern Allgemeine (-2006) Leiter Branchenteam Communications, Media, Technology für Deutschland/Österreich bei Marsh (-2009) Leiter des Regionalbüros für Nord- und Ostdeutschland bei Nassau (-2012) PI Manager Germany mit Schwerpunkt Tech and Cyber bei AIG (-2016) Chief Underwriting Officer Tech & Cyber „DACH“ bei AIG (-09/2017) Verantwortlicher Underwriter Cyber- und Tech bei Riskpoint (seit 10/2017) Nebenberuflich: Mitglied und Sprecher (-10/2017) der GDV-Arbeitsgruppe Cyber-Versicherung Autor und Dozent (DVA, BWV, MWV, MCC, Versicherungsforum, Phi, etc.) Mitglied der GDV-Arbeitsgruppe „IT-Haftpflicht“

3 Wege aus der Gefahrenzone
Gefahrenzone ”Cyber” ... Nur ein Hype? Schadenbeispiele aus der Versichererpraxis Ansätze für eine eigene Risikoeinschätzung Cyberversicherung - noch eine Versicherung?!? Was decken andere Versicherungen? Was leistet eine Cyberversicherung?

4 CYBER Begriffe cyber: adjective – relating to or characteristics of the culture of computers, information technology, and virtual reality Cybernetics: plural noun [treated as singular] – the science of communication and automatic control systems in both machines and living things Kubernétés: Origin in 1940s: from Greek: „steersman“, from kubernan „to steer“ Quelle: Cyber-Risiken-Versicherung: (Eigene Definition): Eine um Assistance-Leistungen ergänzte gruppierte Vermögensschadenver-sicherung mit Dritt- und Eigenschadenkomponenten für Schadenfälle aufgrund von Informationssicherheitsverletzungen (Vertraulichkeits-, Integritäts- oder Verfügbarkeitsverletzungen von Daten oder IT-Systemen).

5 Gibt es eine Gefahrenzone?
35 Jahre Web2.0 Facebook Personal Computer Google SMS Fernsehen Transistor WWW Buchdruck Internet Telefon Radio Quelle: Leitfaden Big Data im Praxiseinsatz –Abbildung 2: Wachstum der Datenmengen über die Zeit 1991 1993 1998 2004 2006 Daten- volumen Zettabyte Exabyte Petabyte Terrabyte Gigabyte Megabyte Zeit

6 Gibt es eine Gefahrenzone?
Gesetze Es gibt nur wenige “ITK-„Spezialgesetze“: TKG, TDG, TDDSG, SigG, BDSG ab : DSGVO … Insofern finden natürlich Anwendung: BGB, ProdHaft, KUG, UWG, MarkenG, PatG, StGB, … … aber auch: Internationale und Rechtsnormen anderer Nationen Zur Operationalisierung stützen sich Juristen auf Normen und Standards wie: GdPdU, ITIL, Cobit, DIN …, DIN ISO/IEC 27000, PS 330, VDS3473 … aber auch PCI DSS / PA DSS … soweit also kaum Neues … … hier wird es schon etwas spezifischer

7 Informationssicherheit: Vertraulichkeitsrisiko
2017 2012 2008 Quelle: information is beautiful

8 Informationssicherheit: Verfügbarkeitsrisiko am Beispiel DDoS
2016 2012 2008 Quelle: Arbor Networks

9 Informationssicherheit: Integritätsrisiko
2015 2012 2008 Quelle: FireEye‘s 2016 ICS Vulnerability Trend Report

10 Wege aus der Gefahrenzone
Gefahrenzone ”Cyber” ...Nur ein Hype? Schadenbeispiele aus der Versichererpraxis Ansätze für eine eigene Risikoeinschätzung Cyberversicherung - noch eine Versicherung?!? Was decken andere Versicherungen? Was leistet eine Cyberversicherung?

11 und was wenn es doch passiert
... und was wenn es doch passiert? Schadenbeispiele aus der Versichererpraxis Fall a) Das Warenwirtschaftssystem eines produzierenden Unternehmens ist Ziel einer DDoS-Attacke und erleidet in Folge einen partiellen Produktionsausfall. Fall b) Eine Rechtsanwalts- und Steuerberaterkanzlei kann nicht mehr auf ihre Korrespondenzdaten zugreifen, da diese durch einen Verschlüsselungsvirus verschlüsselt wurden. Eine tiefergehende forensische Analyse deutet darauf hin, dass weitere Schadcodes nachgeladen wurden. Unter anderem wurden wahrscheinlich Codes zum Stehlen von Bankdaten installiert. Fall c) Ein Dienstleistungsunternehmen erhält eine erpresserische Nachricht. Bei Nichtzahlung sollen „gestohlene“ Kundendaten im Internet veröffentlicht und die Presse informiert werden. Das Unternehmen hat Vertriebsstandorte im Ausland.

12 und was wenn es doch passiert
... und was wenn es doch passiert? Schadenbeispiele aus der Versichererpraxis Fall d) In einem Industrieunternehmen wurde festgestellt, dass auf einem Bediener-PC unzulässige Software installiert war, um urheberrechtlich geschützte Filme von Torrent-Servern herunterzuladen. Dadurch wurde eine mobile Datenanbindung des Bediener-PC zum zentralen Internetzugang überlastet und wichtige IT-gestützte Geschäftsprozesse beeinträchtigt. Fall e) Nach Ausspionieren der Server eines Zielunternehmens werden die dort gewonnenen Daten von Kriminellen für eine „Fake President“-Attacke verwendet (= der Personalchef wird dazu gebracht, sämtliche Mitarbeiterdaten per zu versenden). Fall f) Es wurde bei einer Routineprüfung festgestellt, dass auf einem Server in einem für alle User frei zugänglichen Share über einen längeren Zeitraum vertrauliche Daten gespeichert wurden und die Ports und „offen“ sind.

13 Quelle: QuBit-Vortrag 2016 von:
Beispiel Quelle: QuBit-Vortrag 2016 von:

14 Wege aus der Gefahrenzone
Gefahrenzone ”Cyber” ...Nur ein Hype? Schadenbeispiele aus der Versichererpraxis Ansätze für eine eigene Risikoeinschätzung Cyberversicherung - noch eine Versicherung?!? Was decken andere Versicherungen? Was leistet eine Cyberversicherung?

15 Eigene Risikoeinschätzung Riskolandkarte
Finanzielle Auswirkung Provider-Ausfall groß Betriebsunterbrechung Produkt-/Leistungsschäden Verfügbarkeit von Kommunikationsnetzen Datenverlust Mitarbeiter in Schlüsselfunktionen DSGVO (BDSG) u.ä. Datenschutzgesetze Internet-Risiken Cyber Erpressung Cash Flow Liquidität Abhängigkeit von IT-Systemen Abhängigkeit von Partnern, Zulieferern Geistiges Eigentum Unzureichende Compliance mit - Gesetzen - Technische Normen (z.B. PCI DSS) Spionage Marktschwankungen Wettbewerb Technologische Innovation Altersvorsorge Geschäfts- modell Multinationale Compliance unspezifisch spezifisch Kraftfahrtzeuge Outsourcing Lizenzen und Rechte Naturkatstrophen Umweltrisiken konv. Diebstahl Politische Entwicklungen Währungsrisiken IKT/Cyber - Risiko IT-nahes Risiko gering 15

16 Eigene Risikoeinschätzung Schematischer Ansatz
Schadcodes Fehler Hacker techn. Versagen Zugriff Eingriff Externer Interner Ursachenart (Was ist der Auslöser?) Integrität Vertraulichkeit Verfügbarkeit (Authentizität) Ursachenort (Wer setzt die Ursache?) Wirkungsart (Was passiert?) Wirkungsort (Wo passiert etwas / Wer hat den Schaden?) VN VN-Mitarbeiter VN-Vertragspartner Dritter Schadenart / -position (Was ist der Schaden?) VDS-Quickchecks: DSGVO Cyber-Security ICS Schadenersatzforderung Geldbuße Kosten für … Betriebsunterbrechung Reputationsverlust

17 Eigene Risikoeinschätzung Klassifizierung
Cyber-Bedrohungen - Eine Klassifizierungs- Möglichkeit: Ursache Verursacher (außen/innen) Wirkung(s-Art) Wirkungsort (außen/innen) Wirkungsfolge / Schaden => Identifikation der kritischsten Prozesse (ABC-Analyse) Herunterladen infizierter Dateien Mitarbeiter/in Verschlüsselung von Daten Unternehmen Datenverlust Betriebsunterbrechung Kunden Ausbleibende Lieferungen Kosten Finanzielle Verluste Schadensersatzforderung von Kunden

18 Eigene Risikoeinschätzung Grenzkostenbetrachtung
Cyber Versicherungen sind eine Ergänzung der IT-Sicher- heitsmaßnahmen, keine Alternative! Informationssicherheitslevel IT-Sicherheitskosten Sicherheitszugewinn (sinnvolle) Ausgaben

19 Eigene Risikoeinschätzung Geschäftsmodellspezifische Schwerpunkte
Schwerpunkte aus Unternehmenssicht Betriebsunter- brechung Haftpflicht Produzierende Betriebe und Energiewirtschaft Krankenhäuser und Hotel/Gastronomie IT- und Kommunikations- dienstleistungsanbieter (z. B. Provider) Fernabsatzhandel / E-Commerce Öffentliche Hand, Verbände (z. B. DEHSt) Krisenreaktion & Kosten

20 Wege aus der Gefahrenzone
Gefahrenzone ”Cyber” ...Nur ein Hype? Schadenbeispiele aus der Versichererpraxis Ansätze für eine eigene Risikoeinschätzung Cyberversicherung - noch eine Versicherung?!? Was decken andere Versicherungen? Was leistet eine Cyberversicherung?

21 ”Cyber” in bekannten Versicherungen
Eigenschaden Drittschaden Transport- sicherung K&R-Ver- sicherung Rechtsschutz- Versicherung Feuerver- sicherung Kfz-Ver- sicherung Cyber-Risiken- Versicherung Technische Versicherung Betriebshaftpflicht- Versicherung Betriebs- unterbrechungs- Versicherung Produkthaftpflicht- Versicherung All-Risk-Sach- Versicherung Vertrauens- schaden- Versicherung Berufshaftpflicht- Versicherung Umwelthaftpflicht- Versicherung Daten- Versicherung Achtung: Vermögens- schäden!

22 Wege aus der Gefahrenzone
Gefahrenzone ”Cyber” ...Nur ein Hype? Schadenbeispiele aus der Versichererpraxis Ansätze für eine eigene Risikoeinschätzung Cyberversicherung - noch eine Versicherung?!? Was decken andere Versicherungen? Was leistet eine Cyberversicherung?

23 Auslöser einer Cyberrisiko-Versicherung am Beispiel der GDV AVB Cyber
Verletzung der Informationssicherheit durch Angriffe auf elektronische Daten oder informationsverarbeitende Systeme des VN durch Schadprogramme, die auf elektronische Daten oder informations-verarbeitende Systeme des VN wirken durch eine Handlung oder Unterlassung, die zu einer Verletzung von datenschutzrechtlichen Vorschriften durch den Versicherungsnehmer führt durch Eingriffe in informations-verarbeitende Systeme des VN durch unberechtigte Zugriffe auf elektronische Daten des VN Quelle: GDV

24 Aufbau einer Cyberrisiko-Versicherung am Beispiel der GDV AVB Cyber
Gesetzliche Haftung infolge von ISV Freistellungs- und Abwehranspruch BU Datenwieder-herstellung Essentieller Baustein Dienstleistungen (Forensik, PR, etc.) Kosten infolge gesetzlicher Meldepflichten Aufwendungen vor Eintritt des Versicherungsfalls Definitionen Versicherungsfall Obliegenheiten zur Gewährleistung der IT-Sicherheit Generelle Ausschlüsse, etc. Basisbaustein Service-Kosten Drittschaden Eigenschaden Quelle: GDV

25 Wie helfen Versicherer?
Betriebs-unterbrechungs-schäden Daten-/Systemwieder-herstellungs-kosten Daten-/Systemwieder-herstellungs-kosten Erpressungs-kosten Krisenkom-munikations-kosten IT-Forensik-Kosten Schaden-kosten Krisen-reaktion Cyber- Vorfall Benachrichti-gungskosten Mehrkosten Rechtsberatung (-skosten) Rechtsbera-tungskosten Ordnungswidrig-keitenrecht Gesetzliche Haftpflicht Behördliche Ermittlungen Haftpflicht-schäden: (Abwehr und Befriedi-gung) Schadenersatz-forderungen Strafrecht Hilfe durch: Versicherer Fachfirma Fachanwälte Ausl. Rechtsnormen PCI-Verpflichtungen Vertragliche Haftung

26 Wie helfen Versicherer? am Beispiel der GDV AVB Cyber
Vermögensschäden Personenschäden Sachschäden Eigenschäden Kosten/Support Drittschäden Aufgrund von Informationssicherheitsverletzungen: Verlust der Vertraulichkeit Verlust der Integrität Verlust der Verfügbarkeit Ausgelöst durch: Zugriffe auf Daten Angriffe auf Systeme Schadprogramme Datenschutzverletzungen Systemeingriffe von außen oder innen

27 Eckpunkte der Cyber-Versicherung
Krisen- reaktion Haftpflicht- versicherung Kosten- Versiche- rung. Betriebsunter- brechungsver- sicherung

28 Für Ihre Fragen stehe ich Ihnen gerne zur Verfügung:
Thomas Pache Senior Underwriter Tech/Cyber Bockenheimer Landstr. 17/19 DE Frankfurt Büro: Direkt: Mobil: www:


Herunterladen ppt "KEINE ANGST VOR CYBER Wege aus der Gefahrenzone und was,"

Ähnliche Präsentationen


Google-Anzeigen