View
68
Download
0
Category
Preview:
Citation preview
CYBER RISK MANAGEMENTCyber Risiken professionell managen
1
2
André WohlertBetriebswirt (IHK) | Versicherungsmakler
Ausbildung und Erfahrung
• Versicherungskaufmann (IHK), Versicherungsfachwirt (IHK)
• Datenschutzbeauftragter (TÜV-Süd)
• Experte Betriebliche Haftpflichtversicherung (DMA)
• Experte Gewerbliche und Industrielle Sachversicherung
(DMA)
• Dozent an der Deutsche Makler Akademie, Wiesbaden
• Autor verschiedener Fachveröffentlichungen
Ihr Ansprechpartner
3
IT-Sicherheit in den Medien
4
Quelle: Bundeslagebild des BKA, 2013
Gefährdungslage
64.426 Cybercrime Fälle in 2013
nur 9% aller Straftaten kommen zur Anzeige
5
Typische Straftaten sind:
Diebstahl der digitalen Identität
Phishing
digitale Erpressung
Computerbetrug
Ausspähen und Abfangen von Daten
Datenveränderung und Computersabotage
Gefährdungslage
6
Klassische Phishing-E-Mails
Gefährdungslage
7
Ein Angreifer versucht über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Zugangsdaten des Nutzer zum Firmennetzwerk zu kommen, um sich so einen unerkannten Zugang zum Netzwerk zu verschaffen (Phishing).
Möglichkeiten:
Weiterleiten auf scheinbar bekannte Seiten mit Login-Bereich Versteckter Key-Logger oder Malware im Anhang der E-Mail
Quelle: Hiscox
Gefährdungslage
8
Beispiele für digitale Erpressung
Gefährdungslage
9
Daten in mittelständischen Unternehmen
Personenbezogene Daten von Kunden, Mitarbeitern und Dienstleistern Kommunikationsdaten (E-Mail-Adressen, Zugangsdaten zu sozialen
Netzwerken) Bankdaten, Kreditkartendaten eigene geschäftliche Unterlagen geschäftliche Unterlagen von Kunden
Gefährdungslage
10
IT-Infrastrukturen im Cyber-Raum werden immer komplexer (elektronische Kommunikationswege, Soziale Netzwerke, Online-Shops, automatisierter Informations- und Datenaustausch zwischen Endgeräten M2M, Nutzung von Clouds, hohe Verbreitung von mobilen Endgeräten)
fehlendes Sicherheitsbewusstsein führt zu unzureichend abgesicherten Systemen
sorglose Informationsaustausch über das Internet und der „Always-On“-Status mobiler Systeme erleichtern den Zugriff auf schützenswerte Informationen
Aus der Komplexität der Technik ergibt sich ein breites Spektrum möglicher Angriffsvektoren (Angriffswege und Angriffstechniken)
Cyber-Angriffe werden mittlerweile gezielt und mehrstufig durchgeführt
Gefährdungslage
11
Typische Sicherheitsmängel in Unternehmen und Behörden
Patchstände von Betriebssystemen und Applikationen sind veraltet Passwörter sind leicht zu ermitteln Mobile Endgeräte werden nicht verschlüsselt Maßnahmen zu Netzwerkmanagement und –überwachung sind nicht oder
lediglich als Insellösungen existent und werden nur anlassbezogen manuell ausgewertet
Schulungen und Sensibilisierungsmaßnahmen finden für Anwender nicht oder nur in geringfügigem Umfang statt
IT-Sicherheitskonzepte sind unvollständig und inkonsistent die Verantwortlichkeit für die Informationssicherheit ist oftmals nicht klar
geregelt der Datenschutz ist mangelhaft (0rganisatorisch-technische Maßnahmen
werden nicht stringend umgesetzt)
Quelle: Die Lage der IT-Sicherheit in Deutschland 2014
Gefährdungslage
12
Im Internet kann man alles kaufen…
…Herzschrittmacher, Viagra, WM-Tickets, Musik, Videos, Drogen, Waffen,
Hehlerware…
…und natürlich auch gestohlene Nutzerdaten, Malware-Baukästen, Hacking-
Tools, […]
Cyber-Schwarzmärkte (Darknet-Markt) funktionieren hoch-professionell
nach den üblichen Regeln des e-Commerce und genauso wie Ebay, Amazon
Gefährdungslage
13
Im Internet kann man alles kaufen…das sind die Preise…
- Gestohlene E-Mail-Accounts kosten zwischen 0,50 – 10,00 US-Dollar (je 1.000
Stück)
- Kreditkarten-Datensatz kostet zwischen 0,50 – 20,00 US-Dollar
- Scan-Kopie eines Personalausweises kostet zwischen 1,00 – 2,00 US-Dollar
- DDoS-Attacke (Distributed Denial of Service) kostet pro Tag ab 10,00 US-
Dollar
- ein gestohlenes IT- icherheitszertifikat kostet ca. 1.000 EUR
Gefährdungslage
14
Quelle: Bundeslagebild des BKA, 2013
Gefährdungslage
15
Typische Hackerangriffe lassen sich grob in folgende Phasen gliedern:
Phase 1 Recherche von interessanten Zielen
Phase 2 Festlegung des Angriffsziels
Phase 3 Suche von Schwachstellen im IT-System
Phase 4 Festlegung von Angriffspunkt, Angriffsart, Angriffswerkzeug und Angriffstarnung
Phase 5 Zugang zum System
Phase 6 Informationssammlung und -abschöpfung
Phase 7 Spurenbeseitigung
Phase 8 Vermarktung der Daten
Phase 9 Folgeangriff
Cyber-Angriffe auf ein Unternehmen erfolgen nicht zufällig, sondern gezielt und hochprofessionell!
Gefährdungslage
16
Quelle: Bundeslagebild des BKA, 2013
Gefährdungslage
17
Mittelständische Unternehmen sind beliebte Angriffsziele für Cyber-Kriminelle
IT-Sicherheitsstandards sind schwach bis mäßig IT-Sicherheitsvorfälle werden zu spät oder gar nicht erkannt und häufig
auch nicht angezeigt es erfolgt keine strafrechtliche und zivilrechtliche Verfolgung betroffene Kunden werden nicht informiert, die Daten sind damit über
einen längeren Zeitraum nutzbar
Mittelständische Firmen sind häufig Zulieferer für größere Firmen und damit optimale Schwachstellen für einen Angriff auf „Schlüsselindustrie“-Unternehmen
KMU im Visier
18
Finanzieller Schaden- Kosten für die IT-Forensik- Kosten für die Datenrettung und Datenwiederherstellung- Kosten für Sicherheitsverbesserungen des IT-Systems- Vertragsstrafen (z.B. aus Verletzung von PCI-Sicherheitsstandards)- Erpressungsgelder- Schadenersatzansprüche von Kunden und Dienstleistern- Betriebsunterbrechungsschäden durch behördliche Stilllegungsverfügungen,
Netzwerkunterbrechung / Netzwerkausfall, Cloud-Ausfall- Umsatzeinbußen durch die Nichterreichbarkeit des Online-Shops- Kosten für das Krisenmanagement- Information der Kunden- Kosten für die Kreditüberwachung von Kundenkonten- Bußgelder- Bertrugsschaden- Rechtsverfolgungskosten
Schaden eines Cyber-Angriffs
19
Schadenersatzansprüche von Kunden können sich ergeben aus
- Verstoß gegen vertragliche Datenschutzbestimmungen und Geheimhaltungspflichten
- Weitergabe eines Virus- Verletzung von Persönlichkeitsrechten- Verletzung von Lieferterminen und Fristen- aus kompromittierte Kreditkartendaten
Schaden eines Cyber-Angriffs
20
Reputationsschaden
Verlust von Kunden
Ermittlung von Datenschutzbehörden
Schaden eines Cyber-Angriffs
21
Reputationsschaden
Schaden eines Cyber-Angriffs
Bundesdatenschutzgesetz (BDSG)
§ 42a Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten
Stellt eine nichtöffentliche Stelle im Sinne des § 2 Absatz 4 oder eine öffentliche Stelle nach § 27 Absatz 1 Satz 1 Nummer 2 fest, dass bei ihr gespeicherte
1. besondere Arten personenbezogener Daten (§ 3 Absatz 9),2. personenbezogene Daten, die einem Berufsgeheimnis unterliegen,3. […]4. personenbezogene Daten zu Bank- oder Kreditkartenkonten
unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen, hat sie dies nach den Sätzen 2 bis 5 unverzüglich der zuständigen Aufsichtsbehörde sowie den Betroffenen mitzuteilen. Die Benachrichtigung des Betroffenen muss unverzüglich erfolgen, sobald angemessene Maßnahmen zur Sicherung der Daten ergriffen worden oder nicht unverzüglich erfolgt sind und die Strafverfolgung nicht mehr gefährdet wird. Die Benachrichtigung der Betroffenen muss eine Darlegung der Art der unrechtmäßigen Kenntniserlangung und Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen enthalten. Die Benachrichtigung der zuständigen Aufsichtsbehörde muss zusätzlich eine Darlegung möglicher nachteiliger Folgen der unrechtmäßigen Kenntniserlangung und der von der Stelle daraufhin ergriffenen Maßnahmen enthalten. Soweit die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, insbesondere aufgrund der Vielzahl der betroffenen Fälle, tritt an ihre Stelle die Information der Öffentlichkeit durch Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch eine andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleich geeignete Maßnahme
Auszug
22
Reputationsschaden
Schaden eines Cyber-Angriffs
Auszug
Bundesdatenschutzgesetz (BDSG)
§ 43 Bußgeldvorschriften
(2) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig
[…]
7. entgegen § 42a Satz 1 eine Mitteilung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht.
(3) Die Ordnungswidrigkeit kann im Fall des Absatzes 1 mit einer Geldbuße bis zu fünfzigtausend Euro, in den Fällen des Absatzes 2 mit einer Geldbuße bis zu dreihunderttausend Euro geahndet werden . Die Geldbuße soll den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen. Reichen die in Satz 1 genannten Beträge hierfür nicht aus, so können sie überschritten werden.
23
Schaden durch Cybercrime in Deutschland allein in 2013
46.000.000.000 EUR
Schaden eines Cyber-Angriffs
24
1. Cyber-Haftpflichtversicherung:Absicherung von Haftpflichtansprüchen Dritter (Kunden, Dienstleistern, PCI)
2. Cyber-Eigenschadendeckung:Abdeckung eigener Kosten und Schäden
3. Vertrauensschadensversicherung:Vermögensschäden aus unerlaubten Handlungen, die von Betriebsangehörigen oder sonstigen Vertrauenspersonen des Unternehmens begangen werden
Assistance-Leistungen
Vermittlung von spezialisierten
Dienstleistern und deren Kostenübernahme
Cyber-Versicherungen
25
1. Cyber-Haftpflichtversicherung:Absicherung von Haftpflichtansprüchen Dritter (Kunden, Dienstleistern, PCI)
2. Cyber-Eigenschadendeckung:Abdeckung eigener Kosten und Schäden
3. Vertrauensschadensversicherung:Vermögensschäden aus unerlaubten Handlungen, die von Betriebsangehörigen oder sonstigen Vertrauenspersonen des Unternehmens begangen werden
Assistance-Leistungen
Vermittlung von spezialisierten
Dienstleistern und deren Kostenübernahme
Cyber-Versicherungen
D&O-VersicherungElektronik-/ Maschinen-
versicherung
Software- und Datenträger-versicherung
Basis-Deckung
Basis-Deckung
Basis-Deckung
Zielgruppe
Internetdienstanbieter Betreiber von Online-Shops IT-Unternehmen Softwarehersteller Hidden Champions (kleinere und meist unbekannte Markt-/Weltmarktführer in
Spezialsegmenten) Hotels Beratende Berufe (Rechtsanwälte, Steuerberater, Wirtschaftsprüfer) Medizinische Berufe (Krankenhäuser, Kliniken, Ärzte) Produzierendes Gewerbe Unternehmen der deutschen Schlüsselindustrie (Automobilbau, Maschinenbau,
alternative Energietechnik, Bioelektronik, Nanotechnologie, Mikroelektronik) Energieversorger
26
Cyber-Versicherungen
Quelle Datum
http://www.faz.net/aktuell/politik/inland/nach-hacker-angriff-bundestag-benoetigt-neues-computer-netzwerk-13640703.html 10.06.2015
http://www.tagesschau.de/wirtschaft/ebay-passwoerter100.html 10.06.2015
http://www.deutschlandfunk.de/internetsicherheit-hacker-knacken-16-millionen-e-mail-konten.1818.de.html?dram:article_id=275207
10.06.2015
http://www.faz.net/aktuell/wirtschaft/netzwirtschaft/chronik-die-wichtigsten-hackerangriffe-13345391.html 10.06.2015
http://www.chip.de/news/BSI-warnt-vor-gigantischem-Identitaetsdiebstahl-So-testen-Sie-ob-auch-Ihre-Daten-betroffen-sind_66679710.html
10.06.2015
http://www.connect.de/news/hackerangriff-auf-fritzboxen-1943982.html 10.06.2015
Quellen-Nachweise
Diese Unterlage basiert auf Beurteilungen und rechtlichen Einschätzungen des Autors zum Zeitpunkt der Erstellung.
Die Unterlagen dienen ausschließlich zu Informationszwecken und ersetzen keine individuelle Beratung. Eine Gewähr für die Richtigkeit und Vollständigkeit kann nicht übernommen werden. Durch die Überlassung der Unterlagen wird eine Haftung gegenüber dem Empfänger oder Dritten nicht begründet.
© Copyright André Wohlert. Alle Rechte vorbehalten. Jedes Veräußern oder sonstiges Verbreiten, auch auszugsweise, bedarf der Zustimmung.
Recommended