Cyber Risiken und deren

Transfermöglichkeiten –

eine ganzheitliche

Betrachtung

Allianz Global Corporate & Specialty

Jens Krickhahn

Friedrichshafen, 16. Februar 2016

©

Alli

anz S

E 2

015

Agenda

IT-Sicherheit:

Herausforderungen für Unternehmen 1

Risikominimierung und Risikotransfer 2

Risikopotential nach Cyber Vorfällen 3

Vorteile einer Cyber Versicherung am Beispiel der

Allianz-Cyber-Protect-Bedingungen

4

©

Alli

anz S

E 2

015

Allianz Risk Barometer

3

1

©

Alli

anz S

E 2

015

Risikoexponierung von Unternehmen aus Sicht AGCS

Mögliche Anspruchsteller / Geschädigte

- Dritte (Kunden/Lieferanten), da Lieferverpflichtungen innerhalb

Supply Chain nicht eingehalten werden können

- Dritte (Kunden), da Erhebung von Kundendaten

- Konzerngesellschaften durch interne Wechselwirkungsschäden

- eigener Betriebsunterbrechungsschäden

- Mitarbeiter, da Erhebung von personenbezogenen Daten im

Anstellungsverhältnis

- Behörden, da gesetzliche Datenschutzvorgaben nicht erfüllt

wurden.

Mögliche Folgen

- Eigenschäden durch Betriebsunterbrechung

- Haftpflichtforderungen von Kunden durch Unterbrechung der

Supply Chain / Dritten (z.B. Paymentcardindustry)

- Eigenschäden durch Kosten für z.B. forensische

Dienstleistungen, Informationspflichten, etc.

- behördliche Strafzahlungen wegen Nichteinhaltung gesetzliche

Datenschutzbestimmungen

- Vertragstrafen wegen Nichteinhaltung vertraglicher

Verpflichtungen

Ursache

- Manipulation / Entzug / Verlust von

Produktionsdaten

- Manipulation / Entzug / Fremdnutzung / Verlust von

Kundendaten

- Entzug / Manipulation / Verlust / Veröffentlichung

von schützenswerten Daten (Kunden- /

Mitarbeiter- / R&D Daten / etc.)

Geographische Auswirkung

- weltweit verteilte Produktionsstandorte

- weltweit ansässige Kunden / Lieferanten

4

1

©

Alli

anz S

E 2

015

Unternehmen und ihr Vermögen sind bedroht –

konkret, aus dem Netz, in Deutschland

5

1

Quelle: Die Zeit online (Rent a Hacker, 20.01.2015)

©

Alli

anz S

E 2

015

„Distributed Denial-of-Service“ Service Prices

Offering

1-day DDoS service

1-hour DDoS service

1-week DDoS service

1-month DDoS service

6

1

Price

US $ 30 -70

US $ 10

US $ 150

US $ 1,200

Preise beinhalten technischen Support, etc.

Quelle: Trend Micro Incorporated Research Paper 2012 „Russian Underground 101“

©

Alli

anz S

E 2

015

Unternehmen und ihr Vermögen sind bedroht –

konkret, aus dem Netz, in Deutschland

7

1

Sieben von zehn Kunden kehren bei Datenverlust und

Datenschutzverletzungen Unternehmen den Rücken. (Edelman

Privacy Risk Index, 2012)

Nach einem Datenschutzvorfall kostet ein Datensatz urchschnittlich

ca. 152 Euro (2015 Cost of Data Breach Study: Germany)

Ein Drittel der deutschen Maschinen- und Anlagenbauer erlitten

Produktionsausfälle in Folge von IT-Sicherheitsvorfällen. (VDMA,

2013)

Durch Cyber-Crime werden in Deutschland 1,6% des BIPs

vernichtet. (McAfee/CSIS, 2014)

>50% aller Unternehmen verzeichneten Spionageangriffe oder –

verdacht. (Corporate Trust/ Bundesamt für Verfassungsschutz,

2014)

Bitkom: Digitale Angriffe kosten Unternehmen über 51 Mrd. Euro

(16.04.2015)

Verschärfung des Datenschutz

EU Datenschutzreform – Datenschutz Grundverordnung

©

Alli

anz S

E 2

015

EU-Datenschutzreform: Mehr Rechte für Europas

Internetnutzer Wichtigste Änderungen durch die neuen Vorschriften:

Verarbeitung der Daten nur nach ausdrücklicher Einwilligung: Der Nutzer soll Herr seiner Daten werden. Er soll seine Einwilligung auch leicht wieder zurückziehen können dürfen.

Kinder und soziale Medien: Kinder unter einem bestimmten Alter benötigen die Zustimmung der Eltern, um ein Social-Media-Konto zu eröffnen, wie zum Beispiel bei Facebook, Instagram oder Snapchat. Dies ist bereits in den meisten EU-Ländern üblich. Die neuen, flexiblen Vorschriften räumen den Mitgliedstaaten einen Spielraum für die Altersgrenzen ein (allerdings muss diese mindestens bei 13 und höchstens bei 16 Jahren liegen). Diese Flexibilität wurde auf den auf den dringenden Wunsch der Mitgliedstaaten beibehalten. Das Verhandlungsteam des Parlaments hätte eine EU-weite Altersgrenze von 13 Jahren vorgezogen.

Recht auf Vergessenwerden: Die Verbraucher sollten ihre Einwilligung geben müssen, aber genauso einfach sollten sie sie auch wieder zurückziehen können. Sie bekommen ein "Recht auf Vergessenwerden", d.h. ein Recht darauf, dass auf ihren Wunsch ihre persönlichen Daten aus den Speichern von Unternehmen auch wieder gelöscht werden müssen.

Datenlecks oder "gehackte" Daten: Bei Verstößen gegen den Schutz personenbezogener Daten müssen die Anbieter die zuständigen Behörden so schnell wie möglich informieren, so dass die Nutzer geeignete Maßnahmen ergreifen können.

Verständliche Sprache: Die Abgeordneten haben darauf bestanden, dass die neuen Vorschriften die Praxis des "Kleingedruckten" abschaffen müssen. Die Verbraucher sollen in klarer, verständlicher Sprache und mit leicht verständlichen Symbolen informiert werden, bevor die Daten gespeichert werden;

Strafen: Wenn Firmen gegen die Regeln verstoßen, drohen ihnen Strafen von bis zu vier Prozent des Jahresumsatzes;

Unternehmen müssen Datenschutzbeauftragte anstellen: Unternehmen müssen einen Datenschutzbeauftragten benennen, wenn sie im großen Ausmaß sensible Daten verarbeiten oder das Verhalten vieler Verbraucher überwachen. KMU sind von dieser Vorschrift ausgenommen, es sei denn, die Datenverarbeitung ist ihre Haupttätigkeit.

Zentrale Anlaufstellen für Beschwerden und die Durchsetzung der neuen Regeln: Die nationalen Datenschutzbehörden werden ausgebaut und sollen zu zentralen Anlaufstellen für Bürger werden, wo sie ihre Beschwerden über Verstöße gegen die Datenschutzvorschriften einreichen können. Die Zusammenarbeit zwischen diesen nationalen Behörden soll erheblich verstärkt werden, um einen einheitlichen Schutz der personenbezogenen Daten innerhalb der Union sicherzustellen.

Die nächsten Schritte

Über den Kompromisstext für die Verordnung stimmt das Plenum im Frühjahr 2016 (voraussichtlich März oder April) ab. Nach dem Inkrafttreten haben die Mitgliedstaaten zwei Jahre Zeit, die neuen Vorschriften umzusetzen.

Quelle: Pressemitteilung des Europäischen Parlaments vom 17. Dezember 2015

Zustimmung sehr wahrscheinlich.

8

1

©

Alli

anz S

E 2

015

Technische und organisatorische Maßnahmen bieten keinen

100%igen Schutz gegen Cyber-Gefahren. Es bleiben Restrisiken.

9

2

Cyber-Versicherung als Teil eines ganzheitlichen Risikomanagements von Cyber-Gefahren

Risikodialog zwischen Kunden, Allianz, T-

Systems, um Bedrohungsszenarien zu

identifizieren

Abgestimmtes Verständnis von

Geschäftsmodell und

Wertschöpfungskette

Identifikation der „IT-Kronjuwelen“

1) Die jeweiligen Leistungen erfolgen getrennt und selbstständig durch die T-Systems International GmbH

oder die Allianz Global Corporate & Specialty SE und nicht gemeinsam

Cyber

Security

Circle1

Forensische Dienstleistungen

zur Schadenermittlung

Krisenmanagement

und Regulierung im

Schadenfall

Schadenanalyse zur

Vermeidung

ähnlicher Fälle in der Zukunft

Kontinuierliche

Anomalieerkennung

Einsatz von

Frühwarnsystemen

Austausch über

Bedrohungen

Empfehlung von Lösungen

und Produkten

Versicherungskonzepte zur

Absicherung des Restrisikos

©

Alli

anz S

E 2

015

Risikotransfer ist ein wichtiger Baustein in einem

ganzheitlichen Cyber-Risikomanagement

10

Wir können keine 100%ige IT-Sicherheit

aufbauen, da wir dann nicht mehr arbeiten

können und unser Geschäftsmodell nicht

mehr funktioniert. Wir müssen Prozesse

und Technik in manchen Bereichen bewusst

offen lassen und Restrisiken eingehen.

CIO eines deutschen Konzerns

Akzeptieren

Verhindern

Kontrollieren

Transferieren Restrisiken

2

©

Alli

anz S

E 2

015

Risikopotential nach Cyber Vorfällen

11

Drittschäden / Haftung Eigenschäden

Verletzung von

Datenschutzrecht

Verletzung von

Datenvertraulichkeit

Verletzung gewerblicher

Schutzrechte

Verletzung PCI-DSS

(PaymentCardIndustry-

DataSecurityStandards)

Verletzung von

Vertragspflichten

Betriebsunterbrechungs-

schäden

Daten- und

Systemwieder-

herstellungsaufwand

Kosten IT-forensischer

Ermittlungen

CERT-Kosten

Computer-Betrug-

Schäden

Erpressungsschäden

Reputationskrisen-

managementkosten

Kosten für die

Information von Kunden /

Behörden nach

Datenschutz-

verletzungen

Kosten für die Vertretung

in aufsichtsrechtlichen

Verfahren

Rechtsberatungskosten

zu IT- und Datenschutz

Bußgelder

3

©

Alli

anz S

E 2

015

Warum es eine eigenständige Cyberpolice braucht (I)

Wie reagieren meine traditionellen Versicherungen?

12

Bestehende Versicherungspolicen (Betriebshaftpflicht-; Sach-, Betriebsunterbrechung-

versicherung, etc.) bieten keinen umfänglichen Versicherungsschutz gegen Cyber Risiken!

Eine Haftpflichtversicherung setzt i.d.R. ein Verschulden des

Versicherungsnehmer voraus;

In der Betriebsunterbrechungsversicherung ist i.d.R. ein Sachschadenereignis

erforderlich;

In der Sachversicherung wird i.d.R. die beschädigte/entwendete Sache (z.B.

gestohlener Latop) ersetzt nicht aber die Kosten für die Wiederherstellung von

Daten, Kosten forensische Dienstleistungen oder Informationspflichten gegenüber

dem Dateninhaber/Behörden;

Kein Zugriff auf externe Dienstleister über Police sichergestellt;

etc.

4

©

Alli

anz S

E 2

015

Warum es eine eigenständige Cyberpolice braucht (II)

Vorteile einer eigenständigen Allianz Cyber Versicherung:

13

Versicherungsschutz für Haftpflichtansprüche

Vertraulichkeits- und Datenschutzverletzungen

Netzwerksicherheitsverletzungen

Digitale Kommunikation

E-Payment/Vertragsstrafe

Versicherungsschutz für Eigenschäden

Informationskosten

Betriebsunterbrechung und Wiederherstellung

Datenmanipulation (sofern vereinbart)

Versicherungsschutz für behördliche Datenschutzverfahren

Keine Unterscheidung in Innen- oder Außentäter - beide Tätergruppen sind

umfasst.

Zugriff auf Netzwerk von externen Spezialisten (z.B. Forensiker) sichergestellt;

4

©

Alli

anz S

E 2

015

Banken

Experten bieten schnelle Hilfe im Krisenfall

Cyber-Versicherung bietet im Schadenfall

schnelle und umfassende Hilfe aus einer Hand

14

4

Produktionssysteme

Finanzsysteme

Internetanzeigen Kreditkartenindustrie

Zulieferer

Kunden

Computersystem

Schnelle Reaktion und Hilfe durch

Gemeinsam erarbeiteten Krisenplan

Einen Forensiker

Umfassende Schadenregulierung des Führenden

©

Alli

anz S

E 2

015

Allianz bietet Versicherungsschutz

gegen Cyber-Risiken für alle Kundensegmente an!

Konzernkunden (> 500 Mio. EUR Umsatz)

Firmen-/Konzernkunden (150-500 Mio. EUR Umsatz)

Firmenkunden (< 150 Mio. EUR

Umsatz)

AGCS

Cyber Protect/

Cyber Protect Premium

in Kooperation mit AGCS

CyberSchutz

4

©

Alli

anz S

E 2

013