Cyber Client Awareness Claims & Underwriting

Preview

1

Hiscox Cyber Readiness Report 2019Key Findings

Wenige Firmen sind „cyber ready“

2019 sind im Schnitt nur noch 10% der befragten Firmen gut auf Cyber-Angriffe vorbereitet (2018: 11%)

Cyber-Schäden schmerzen finanziell

Durchschnittlich erlitten geschädigte Firmen durch Cyber-Attacken Schäden in Höhe von 369.000 US-Dollar. Im Vorjahr waren es noch 229.000 US-Dollar.

Große Schäden treiben Kosten in die Höhe

Knapp 200.000 US-Dollar kostete geschädigte Unternehmen im Schnitt die jeweils größte Cyber-Attacke. Im Vorjahr lag die Schadenhöhe noch bei 34.000 US-Dollar.

Cyber-Attacken häufiger denn je

61% der befragten Firmen erlebten 2018 eine Cyber-Attacke. Im Vorjahr waren es nur 45%. In Deutschland erlebten laut aktuellen Ergebnissen 61% einen Cyber-Vorfall, 2018 waren es 48%.

Deutsche Firmen am härtesten getroffen

Im Schnitt kosteten Cyber-Attacken deutsche mittelgroße (50-249 MA) und große deutsche Unternehmen (250-999 MA) 1 Mio US-Dollar, Großkonzerne sogar mehr als 1,5 Mio US-Dollar.

Kleinere Unternehmen werden häufiger attackiert

Größere Unternehmen werden nach wie vor häufig angegriffen. Aber immer mehr kleine Unternehmen (< 50 MA) werden Opfer von Cyber-Attacken: Erlebten 2018 33% mindestens einen Cyber-Vorfall, stieg die Zahl 2019 auf 47%. Bei mittelgroßen Firmen stieg die Zahl von 36% auf 63% in 2019 sprunghaft an.

Cyber-Zwischenfälle über Supply Chain sind eine reale Gefahr

65% der befragten Firmen haben im vergangenen Jahr einen Cyber-Vorfall über die Supply Chain erlebt. 54% der Firmen haben deshalb Cyber Security KPIs in ihre Verträge mit Zulieferern aufgenommen.

Mehr Ausgaben für Cyber-Sicherheit

Im Schnitt geben Unternehmen 1,45 Mio US-Dollar aus. 2/3 der befragten Firmen planen in 2019 ihre Ausgaben für Cyber-Sicherheit um mindestens 5% zu erhöhen.

Über die Studie: Für den „Cyber Readiness Report 2019“ befragte das Marktforschungsinstitut Forrester Consulting im Auftrag von Hiscox insgesamt 5.392 Führungskräfte, Abteilungsleiter, IT-Manager und andere Verantwortliche für Cyber-Sicherheit von Unternehmen in Deutschland, Großbritannien, den USA, Spanien, den Niederlanden, Frankreich und Belgien. Die Befragten wurden aus einem für die Wirtschaftsstruktur ihres jeweiligen Landes (Unternehmensgröße und Branche) repräsentativen Sample ausgewählt. Die Online-Befragung wurde zwischen dem 22.10. 2018 und 7.12.2018 durchgeführt.

1www.hiscox.de/cyber-readiness-report-2019

Hiscox Cyber Readiness Report 2019Cyber Readiness von Unternehmen

Keine nennenswerten FortschritteTrotz strengerer Regulierung und zahlreicher großer, medienwirksamer Cyber-Attacken ist die Zahl der Cyber-Anfänger unverändert hoch. 74% der befragten Unternehmen sind weder technologisch, noch mit Blick die Cyber-Strategie, verfügbare Ressourcen und Prozesse ausreichend auf Cyber-Risiken vorbereitet und werden daher als Cyber-Anfänger eingestuft.

Lediglich 10% aller befragten Unternehmen qualifizieren sich als Cyber-Experten und sind mit ihren etablierten Maßnahmen im Rahmen der Kriterien Strategie, Ressourcen, Technologie sowie Prozesse nah an der „best practice“.

16% haben schon entscheidende Schritte auf dem Weg hin zu bestmöglicher Cyber Readiness getan und zählen zu den Cyber-Fortgeschrittenen.

2www.hiscox.de/cyber-readiness-report-2019

Intensität der Cyber-Attacken nimmt zuVon den befragten deutschen Unternehmen berichteten laut Readiness Report 2019 61% von einem Cyber-Vorfall innerhalb der letzten12 Monate, im Report 2018 waren es noch weniger als die Hälfte (48%).

Insgesamt fielen in den untersuchten Ländern mehr Unternehmen Cyber-Attacken zum Opfer. Berichteten im Cyber Readiness Report 2018 noch 45% der befragten Unternehmen von einem Cyber-Vorfall, stieg die Zahl in 2019 auf 61% an.

Hiscox Cyber Readiness Report 2019Wachsendes Cyber-Risiko

3www.hiscox.de/cyber-readiness-report-2019

Häufigkeit der Cyber-Attacken nimmt zuAuch die Frequenz der Attacken hat sich erhöht: Unter den geschädigten Firmen, die einen Cyber-Vorfall erlebten, stieg der Anteil derjenigen mit mit vier oder mehr registrierten Cyber-Attacken von 20% auf 30% in 2019.

Kleinere Firmen im VisierIn diesem Jahr lag die Wahrscheinlichkeit für KMU, von mehreren Attacken während eines Jahres getroffen zu werden, deutlich höher als zuvor. Im Schnitt erlebten 59% der KMU eine Cyber-Attacke.

Unter den großen Firmen berichteten 21% von fünf oder mehr Cyber-Attacken. Im Vorjahr waren es 16%.

4

Hiscox Cyber Readiness Report 2019Unternehmen verzeichnen mehr Cyber-Attacken

www.hiscox.de/cyber-readiness-report-2019

5

Hiscox Cyber Readiness Report 2019Viren und Ransomware sorgen für Cyber-Vorfälle

„Klassische“ Risiken verursachten die häufigsten SchädenViren und Würmer sind noch immer die häufigsten Schadenursachen, gefolgt von Datenschutzverletzungen, die einen Verlust von Kunden-oder Mitarbeiterdaten zur Folge hatten.

www.hiscox.de/cyber-readiness-report-2019

Höhere Kosten für Cyber-Schäden

Weltweit müssen Unternehmen höhere Cyber-Schäden hinnehmen. Die durchschnittlichen Kosten für alle Schäden der befragten Unternehmen mit mindestens einem Cyber-Vorfall innerhalb eines Jahres stiegen um 61% auf 369.000 US-Dollar (2018: 229.000 US-Dollar).

Im Pharmabereich und Gesundheitswesen waren die Kosten am höchsten: Im Schnitt verzeichneten Unternehmen dieser Branche in allen untersuchten Ländern Schäden in Höhe von 726.000 US Dollar (Report 2018: 103.000 US Dollar).

6

Hiscox Cyber Readiness Report 2019Teure Schäden durch Cyber-Vorfälle

www.hiscox.de/cyber-readiness-report-2019

7

Hiscox Cyber Readiness Report 2019Ausgaben für Cyber-Sicherheit stagnieren

Höhere Bereitschaft, in Cyber-Sicherheitsmaßnahmen zu investieren

Laut den Report-Ergebnissen 2019 planen Unternehmen in den befragten Ländern mehr für iIT-Maßnahmen auszugeben; durchschnittlich 14,7 Millionen US-Dollar sind dafür budgetiert (Report 2018: 11,2 Mio US-Dollar.)

Die Ausgaben für Cyber-Sicherheit steigen allerdings nicht in gleichem Maße: 9,9% gemessen am Gesamtbudget für IT sollen innerhalb der nächsten 12 Monate für Cyber-Maßnahmen aufgewendet werden (Report 2018:10,5%).

www.hiscox.de/cyber-readiness-report-2019

8

Hiscox Cyber Readiness Report 2019Vernetzte Supply Chain als Einfallstor

Cyber-Vorfälle über Supply Chain keine Ausnahme

Durch die zunehmende Vernetzung der Unternehmen finden Cyber-Kriminelle zudem mehr potenzielle Einfallstore, um in fremde Systeme zu gelangen. Besonders die digitalisierte Lieferkette wurde 65% aller betroffenen Unternehmen zum Verhängnis und die Angreifer nutzten Verbindungen zu Zulieferern, um Zugriff zu erlangen.

Um die Risiken zu minimieren, habenlaut Report 2019 54% der Befragten in Verträgen mit Zulieferern mittlerweile Cyber-Standards festgelegt.

www.hiscox.de/cyber-readiness-report-2019

Hiscox bietet in Deutschland seit über acht Jahren Versicherungsschutz vor Cyber-Gefahren, in anderen Ländern sogar bereits seitmehr als 20 Jahren. Wir haben in unserer Schadenpraxis schon zahlreiche Cyber-Angriffe aufgeklärt und reguliert. Wir habenErfahrung und arbeiten mit den Erkenntnissen, die uns der Cyber Readiness Report seit nunmehr drei Jahren liefert. Wann sind Unternehmen gut auf Cyber-Gefahren vorbereitet, und wann nicht? Diese Kriterien machen den Unterschied:

✓ Das Management ist involviert; Cyber-Sicherheit hat Priorität.✓ Verschiedene Stakeholder im Unternehmen haben eine klare Strategie erarbeitet.✓ Es gibt einen dezidierten Cyber-Manager bzw. ein Cyber-Team im Unternehmen.✓ Das Unternehmen stellt ein adequates Cyber-Budget zur Verfügung. Im Schnitt geben Cyber-Experten über 1 Mio US-Dollar mehr für Cyber-

Sicherheit aus als Cyber-Anfänger.✓ Die Sicherheit innerhalb der Lieferkette wird regelmäßig geprüft und in Verträgen werden KPIs für Cyber-Sicherheit festgehalten.✓ Das Unternehmen kann Prozesse verfolgen, dokumentieren und Einflüsse messen.✓ Es werden regelmäßig Cyber-Trainings zur Sensibilisierung aller Mitarbeiter durchgeführt. ✓ Durch simulierte Attacken wird proaktiv die Cyber-Sicherheit getestet.✓ Im Unternehmen werden regelmäßig Phishing-Tests durchgeführt.✓ Das Unternehmen ist bereit zu lernen, zu reagieren und nach einem Cyber-Vorfall Veränderungen umzusetzen.✓ Das Unternehmen ist durch eine Cyber-Versicherung geschützt.

x Das Unternehmen beschäftigt sich lediglich ad-hoc mit Cyber-Sicherheit; es gibt keine klaren Verantwortlichkeiten.x Eine klare Cyber-Strategie existiert genauso wenig wie ein spezielles Budget für Cyber-Sicherheit.x Es ist eine übermäßige Abhängigkeit von der Technologie zu beobachten.x Das Unternehmen reagiert langsam auf Cyber-Angriffe.x Cyber-Trainings für Mitarbeiter werden nur glegentlich und oft lückenhaft durchgeführt.x Schwachstellen innerhalb der Supply Chain erden nicht evaluiert. x Cyber-Attacken oder Mitarbeiter-Reaktionen auf Angriffe werden nicht simuliert. x Das Unternehmen verlässt sich auf eine Standard-Sachversicherung.

9www.hiscox.de/cyber-readiness-report-2019

Hiscox Cyber Readiness Report 2019“Cyber readiness” – Was macht den Unterschied?

11

Schadenbeispiele

11

Schadenszenario

Vorfall

• Auf den Link klicken?

• Wer ist der Absender?

• Welches Motiv gibt es?

• Wer hilft mir?

Krisendienst-leister& IT-Forensiker

Meldung an HiSolutions

FRIST Meldung an Behörde

Abarbeitung der von Kunden geltend gemachten Ansprüche

IT-Forensik bestätigt Datenabfluss

Datenschutz-anwälte

PR-Berater Abwehr & Freistellung von Ansprüchen

Informations-kosten

EUR 45.000 EUR 10.000 EUR 20.000 EUR 15.000 EUR 75.000

Schweigen oderKrisen-kommunikation?

Behördliches Verfahren?

Schaden-ersatz-ansprüche?

Benachrich-tigungder Betroffenen?

12

Schadenfall Nr. 1 – Innentäter (1/3)

Ein ehemaliger Mitarbeiter der VN erpresst die VN. Zitat aus der Erpresser-E-Mail:

„sie haben es geschafft mich in allen Belangen zu schikanieren, Sie haben mein Lohn einbehalten bis vor Gericht. Dies hat mich fast genauso viel gekostet wie Ich nachgezahlt bekommen habe. Einen Punkt für Sie. [...]

Nun bin Ich am Zug. Was glauben Sie was man in einer halben Stunde die man alleine ist mit einem noch aktiven Zugang und einem USB Stick alles anstellen kann? Ich verrate es Ihnen: 3 Excel Listen mit einer Gesamtgröße von 29 MB darauf kopieren. Der Inhalt stellt sich wie folgt dar: [### Es folgen Auszüge aus Datensätzen mit Preisen und Kunden der VN, welche durch die VN bestätigt worden sind. ###]

Eine vorbereitete Mail mit einem Download Link und allen konkurrierenden Firmen als Empfänger ist auf einen automatischen Versand tgl. um 18.00 Uhr eingestellt. Sollte Ich diesen Termin nicht tgl. auf den nächsten Tag verschieben wird Sie versendet. Die Website ist bereits vorbereitet.

Nun bin Ich sehr gespannt was Ihnen die Listen wert sind. Nennen Sie Mir einen Betrag der Ihrerseits angemessen erscheint um eine Auszeit zu finanzieren. Falls Ich darüber lachen muss stelle Ich die Daten ins Netz. Also überlegen Sie gut was Sie antworten.

Ich erwarte Ihre Antwort bis Montag 18.00. dann versende Ich die E-Mail und stelle die Website online.“

Schadenhandling

• Unverzügliche Kontaktaufnahme mit dem IT-Forensiker und telefonische Sofort-Beratung

• Polizei, Cyber Crime Unit

• Vorsorgl. Meldung an Landesdatenschutzbehörde

• Identifizierung des MA, Kontakt zu ihm

• Kontakt zu Website-Provider

• Antrag auf einstw. Vfg. bei Gericht

• Vorsorgl. Einbindung PR

• Regress?

13

Schadenfall Nr. 1 – Innentäter (2/3)

IT-Forensiker- und Sachverständigenkosten

Prüfung Anzeige- und Bekanntmachungspflicht – RA-Kosten

Krisenmanagement und PR-Maßnahmen – Kosten

Schaden-positionen

14

Schadenfall Nr. 1 – Innentäter (3/3)

Ein Mitarbeiter des VN öffnete eine E-Mail mit einem (vermeintlichen) Bewerbungsschreiben. Im Anhang befand sich jedoch ein Verschlüsselungstrojaner, hier die Schadsoftware GandCrab Version 5.0.4.

Nach der Infiltrierung verschlüsselt er die meisten gespeicherten Daten und fügt dem Namen jeder betroffenen Datei die „.GDCB“ Erweiterung hinzu. Ab diesem Zeitpunkt werden Dateien unbenutzbar.

15

Schadenfall Nr. 2 – Ransomware / Kryptotrojaner (1/3)

Schadenhandling

• Unverzügliche Kontaktaufnahme mit dem IT-Forensiker und telefonische Sofort-Beratung

• Einschaltung des lokalen IT-Dienstleisters

• Sofortige Isolation der befallenen Rechner/Systeme

• Feststellung: Entschlüsselung nicht möglich

• Identifizierung und Entfernung des Schädlings vom befallenen System und Überprüfung und Feststellung des Nichtbefalls anderer Systeme

• Wiederherstellung des Systems und Rekonstruktion der beschädigten Dateien

• Prüfung Meldung an Datenschutzbehörden

16

Schadenfall Nr. 2 – Ransomware / Kryptotrojaner (2/3)

Kosten IT-Forensiker

Kosten Wiederherstellung des Systems

Kosten Wiederherstellung der Daten

Betriebsunterbrechung?

Kosten PR-Maßnahmen?

Kosten Rechtsanwälte Datenschutz

Schaden-positionen

17

Schadenfall Nr. 2 – Ransomware / Kryptotrojaner (3/3)

VN ist ein pathologisches Labor. Dieses kann Laboruntersuchungen für Kliniken vor OPs nicht mehr durchführen, da Systeme verschlüsselt sind und entsprechende Daten (z. B. Patientendaten, Vorerkrankungen) nicht verfügbar sind.

18

Schadenfall Nr. 3 –Betriebsunterbrechung (1/2)

Kosten IT-Forensiker

Kosten Wiederherstellung des Systems

Kosten Wiederherstellung der Daten

Kosten PR-Maßnahmen?

Betriebsunterbrechung!

Schaden-positionen

19

Schadenfall Nr. 3 – Betriebsunter-brechung (2/2)

Der VN schürft Monero, weiß aber gar nicht, was das

ist ...

Der Server des VN brach teilweise zusammen. Ein

externer Crypto-Miner hatte eine Lücke bei VN genutzt,

um dessen Serverkapazität für sein eigenes

„Geschäftsmodell“ – das Crypto-Mining – einzusetzen.

Der Angreifer nutzte die CPU des Kundenrechners zur

Geldgewinnung.

20

Schadenfall Nr. 4 – Cyber-Diebstahl (1/2)

Kosten IT-Forensiker

Tipps zur „Härtung“ der Systemevon VN, Einfallstor geschlossen

Erhöhte Nutzungsentgeltewerden ersetzt

Schaden-positionen

21

Schadenfall Nr. 4 – Cyber-Diebstahl (2/2)

Technische Maßnahmen, z.B.

- Virenschutz

- Firewall

- Data-Loss-Prevention

- Intrusion-Detection-System

- Penetrations-Tests

Organisatorische & personelle

Maßnahmen, z.B.

- Benennung Verantwortliche

- Mitarbeitersensibilisierung

- Krisenstabsübungen

Cyberversicherung

- Soforthilfe

- Risikotransfer

- Bilanzschutz

Cyber-SicherheitCyber-Versicherung als 2. Linie der Verteidigung

23

Stufe 1

Drittschaden

Stufe 2

Kostenerstattung

Stufe 3

Assistance

Cyber-

Versicherung

Abwehr und Befriedigung von Ansprüchen Dritter

- IT-Forensik- Datenwiederherstellung - Systemwiederherstellung- Betriebsunterbrechung- PR-Berater- Datenschutz-Anwälte- Benachrichtigungskosten

Soforthilfe im Krisenfall von IT-Spezialisten z.B.

Cyber-VersicherungsschutzAufbau der Hiscox Cyber-Versicherung

24

Cyber-VersicherungschutzHiscox Cyber-Service-Paket

• Kostenfreie Online-Schulung alle MA des versicherten Unternehmens zur Sensibilisierung gegenüber Cyber-Gefahren

• Erstellung eines Cyber-Krisenmanagementplans

• Vor-Ort-Workshops zur Individualisierung

• Telefonische Unterstützung/Qualitätssicherung

• Schulung von Krisenstäben

• Durchführung standardisierter Krisenstabsübungen

Telefonische/Vor-Ort-Unterstützung bei der

• Einleitung von Erst-/Sicherungsmaßnahmen; Bewertung des Ereignisses

• Beratung und Unterstützung bei der Bewältigung

• IT-forensische Analyse zur Aufklärung/Spurensicherung

• Einbindung/Koordination weiterer Partner (Krisen-PR, Rechtsberatung)

• Ableitung von Schutzmaßnahmen/Verbesserung der Prävention

Reaktion: schnelle, unbürokratische Hilfe

Prävention: Training & Krisenmanagement

Hiscox

Arnulfstraße 31, 80636 München

www.hiscox.de/cyber

www.hiscox.de/cyber-readiness-report-2019