Die GrECo JLT Gruppe

CybercrimeGefahrenlage für Unternehmen

Versicherungslösungen

Tiroler Sparkasse

Schadensszenarien und Versicherungsmöglichkeiten

Innsbruck, 13.06.2017

Ausfall, Haftung und SchadenersatzUnternehmerische Risiken durch Cybercrime

Über GrECo JLT Gruppe

Seite 2

Österreichischer Familienbetrieb mit Sitz in WienEigentümer geführtes Unternehmen mit Aufsichtsräten aus dem industriellen SektorStrikte UnabhängigkeitAusgewogene Verteilung des gemanagten Prämienvolumens von ca € 607 Mio

Pionier in CEE/SEE/CIS mit Tochtergesellschaften in 16 LändernDurch JLT als Shareholder internationale Präsenz und weltweites Service-Netzwerk

Marktführer in Österreich Fokus auf Firmengeschäft (über 5.900 Klienten aus Industrie, Handel, Gewerbe und öffentlichem Sektor)Kundenbindungsfaktor: 94 %

760 Mitarbeiter in der GrECo JLT Gruppe, davon 321 in ÖsterreichZumindest eine Niederlassung in jedem Bundesland ÖsterreichsTirol: 2 Niederlassungen mit insgesamt 19 Mitarbeitern

Über 90 Jahre Erfahrung im Geschäftsfeld des Versicherungsmaklers und –beratersÜber 20 Jahre Erfahrung im Management von internationalen Versicherungsprogrammen globaler Klienten in Österreich

Cyber- und WirtschaftskriminalitätWas sind Cyber-Risiken

Seite 3

Cyber-Risiken gehören in unserer von Daten und Informationssystemen überfluteten Welt zum Alltag.

Kaum ein Unternehmen, das nicht mit elektronischen Daten auf Rechnern, Servern oder online zu tun hat!

Die Risiken reichen vom • Datenverlust auf einzelnen Laptops bis hin zu den Gefahren

des cloud computing• Denial of Service-Attacken oder • Störungen und Unterbrechungen der Web-Präsenz • …

Die Risiken weiten sich immer mehr aus und werden komplexer.

Bisher haben Unternehmen in die Sicherheit und den Schutz physischer Vermögenswerte investiert.

Heute muss der Fokus auch auf Netzwerk- und Systemschutz erweitert werden.

Cyber- und WirtschaftskriminalitätWarum sind Cyber-Risiken von solcher Bedeutung

Seite 4

Für den Schutz vor Cyber-Risiken im eigenen Unternehmen ist eine Strukturierung des Ablaufes eines Vorfalles im Unternehmen notwendig.

Auch für einen effektiven Versicherungsschutz für Cyber-Risiken ist die Umsetzung von Risikobeschreibungen, Notfallplänen u.ä. im eigenen Unternehmen Voraussetzung.

Aus vielen Ratschlägen zur Organisation und den Umgang mit „Cyber“ im eigenen Unternehmen wird auf Grund der Datenschutz-Grundverordnung (Umsetzung zum 25. Mai 2018) eine Pflicht!

DSGVO ab 25. Mai 2018Datenschutz-Grundverordnung

Seite 5

Verschärfung der Meldepflichten bei Hackerangriffen und Datenpannen• Meldepflicht umfasst jede Datenpanne wie Vernichtung, Verlust, Offenlegung, Zugriff

oder Veränderung von Daten• Unabhängig der Ursache der Datenpanne (strafbarer Hackerangriff bis zur

technischen Panne)

Melde-Fristen • Innerhalb 72 Stunden an die Datenschutzbehörde• Betroffene oft auch „unverzüglich“

Bisherige Empfehlungen werden zur PflichtDer Verantwortliche muss • die Datenpannen selbst sowie • alle damit zusammenhängenden Fakten, • Auswirkungen und • ergriffenen Abhilfemaßnahmen dokumentieren.

Cyber- und WirtschaftskriminalitätWarum sind Cyber-Risiken von solcher Bedeutung

Seite 6

Der Eintritt eines CyberCrime-Vorfalles bei einem Unternehmen wird in 5 Phasen beschrieben, welche den Eskalationsablauf eines solchen Vorfalles im Unternehmen

strukturieren undderen möglichen Bedeutungen für das Unternehmen aufzeigen

1. Datenleck – Verlust der Datenhoheit

2. IT-Krise

3. PR-Krise

4. Finanzielle Risiken

5. Krise im Vorstand bei börsennotierten Unternehmen

Cyber- und WirtschaftskriminalitätDie 5 Phasen eines CyberCrime-Vorfalles

Seite 7

Digitale Daten gehen verloren oder entweichen aus dem unternehmenseigenen System:

• Datenverluste auf PCs, Laptops, mobilen Geräten oder Tablets

• Persönliche Daten können weitergegeben worden sein

• Unternehmensdaten werden Opfer eines großen Hackerangriffs

1. Datenleck - Verlust der Datenhoheit2. IT-Krise3. PR-Krise4. Finanzielle Risiken5. Krise im Vorstand bei börsennotierten

Unternehmen

Cyber- und WirtschaftskriminalitätDie 5 Phasen eines CyberCrime-Vorfalles

Seite 8

Ist es ein Datenleck oder ein Verlust von Daten?

Wie gingen die Daten verloren oder wie wurden sie entwendet?

Gab es einen Hackerangriff auf das Unternehmen?

Wo sind die Daten jetzt?

Muss der Server abgeschaltet werden?

Wird Ersatzsoftware für den Server benötigt?

…

Die IT-Abteilung muss sich mit dem Problem befassen und dabei gleichzeitig das Tagesgeschäft weiterführen:

Kennt sich das IT-Team mit Verstößen gegen die Datensicherheit und großen Hackerangriffen aus?

Kann das IT-Team das Leck kontrollieren?

Gibt es einen Notfallplan, und wie wird er umgesetzt?

Brauchen wir externe Hilfe? Wenn ja, von wem?

…

Aber auch die Geschäftsleitung wird mit Fragen konfrontiert:

1. Datenleck – Verlust der Datenhoheit

2. IT-Krise3. PR-Krise4. Finanzielle Risiken5. Krise im Vorstand bei börsennotierten

Unternehmen

Cyber- und WirtschaftskriminalitätDie 5 Phasen eines CyberCrime-Vorfalles

Seite 9

Nachrichten von Cyber-Problemen verbreiten sich schnell (Soziale Medien, Presse).

Das in ein Unternehmen gesetzte Vertrauen kann innerhalb weniger Stunden schwinden.

Diese Situation bedarf eines umsichtigen Handelns, unter Berücksichtigung von Medien, Kunden, Mitarbeitern und Aktionären.

Muss der Kunde erfahren, dass seine Daten verloren gingen?

Wen gilt es noch zu benachrichtigen?

Wie ist dies am Besten zu bewerkstelligen?

Schnelles Handeln und eine sorgfältig geplante PR-Aktion sind vonnöten, um Vertrauen zurückzugewinnen und den Ruf des Unternehmens zu schützen.

1. Datenleck – Verlust der Datenhoheit2. IT-Krise

3. PR-Krise4. Finanzielle Risiken5. Krise im Vorstand bei börsennotierten

Unternehmen

Cyber- und WirtschaftskriminalitätDie 5 Phasen eines CyberCrime-Vorfalles

Seite 10

Und während der Betrieb ganz oder teilweise unterbrochen ist, gehen selbstverständlich Gewinne verloren.

Diese Kosten entstünden zusätzlich zu jenen, die für

die Verlustdiagnose oder

das ausfindig machen der Ursache,

die Re-Konfiguration der Netzwerke und Systeme,

die Wiederherstellung der Sicherheit, der Daten und der Systeme

anfallen.

Gleichzeitig kommt es zu finanziellen Konsequenzen. Dies können sein

Verhängung von Bußgelder wegen Verstößen gegen den Datenschutz

Eventuelle Klagen der vom Datenverlust Betroffenen

Schadenersatzforderungen von Dritten, die ihre eigenen Kunden aufgrundIhres Datenlecks entschädigen müssen

1. Datenleck – Verlust der Datenhoheit2. IT-Krise3. PR-Krise

4. Finanzielle Risiken5. Krise im Vorstand bei börsennotierten

Unternehmen

Cyber- und WirtschaftskriminalitätDie 5 Phasen eines CyberCrime-Vorfalles

Seite 11

Cyber-Krisen können den Aktienkurs erheblich beeinträchtigen.

Dadurch kann das Image

• des Unternehmens und

• das der Unternehmensführung

ernsthaft geschädigt werden.

1. Datenleck – Verlust der Datenhoheit2. IT-Krise3. PR-Krise4. Finanzielle Risiken

5. Krise im Vorstand bei börsennotierten Unternehmen

CyberriminalitätSchadenpotential

Seite 12

• betrifft nicht nur mehr den Datenklau sondern weitet sich Richtung Datenmissbrauch, Erpressung usw. aus

• betrifft nicht nur öffentliche Einrichtungen wie Stadtwerke sondern alle im oder über Internet tätige Unternehmen (Industrie, Handel, Tourismus und hier Groß-, Mittel- und Kleinunternehmen)

• Forcierte Automatisierung bis hin zu Industrie 4.0 ist nicht nur eine weltweite Vision für industrielle Produktionen

Hackerangriffe BetriebsunterbrechungDatenverlust und

Systemwiederherstellung

Vortäuschung falscher IdentitätInterview Fensterhersteller Internorm mit „trend“: Der Rechnungswesenleiter wurde kurz vor Weihnachten per Mail von der Eigentümerin aufgefordert 1,4 Mio. zu überweisen. Zum Glück schöpfte der Rechnungswesenleiter Verdacht und fragte persönlich nach.

CyberriminalitätSchadenpotential

Seite 13

• betrifft nicht nur mehr den Datenklau sondern weitet sich Richtung Datenmissbrauch, Erpressung usw. aus

• betrifft nicht nur öffentliche Einrichtungen wie Stadtwerke sondern alle im oder über Internet tätige Unternehmen (Industrie, Handel, Tourismus und hier Groß-, Mittel- und Kleinunternehmen)

• Forcierte Automatisierung bis hin zu Industrie 4.0 ist nicht nur eine weltweite Vision für industrielle Produktionen

Hackerangriffe BetriebsunterbrechungDatenverlust und

Systemwiederherstellung

Umleitung von ZahlungsverkehrTäter geben sich als Geschäftspartner oder Lieferanten aus und informieren per Mail oder Fax über die Änderung der Bankdaten und leiten so die Zahlungen um.Maschinenbauunternehmen kauft Maschine in Verona. Bei Abholung muss der Kaufpreis bereits eingelangt sein. Kurz vor Überweisung wird unser Klient über die Änderung der Bankverbindung informiert.

CyberriminalitätSchadenpotential

Seite 14

• betrifft nicht nur mehr den Datenklau sondern weitet sich Richtung Datenmissbrauch, Erpressung usw. aus

• betrifft nicht nur öffentliche Einrichtungen wie Stadtwerke sondern alle im oder über Internet tätige Unternehmen (Industrie, Handel, Tourismus und hier Groß-, Mittel- und Kleinunternehmen)

• Forcierte Automatisierung bis hin zu Industrie 4.0 ist nicht nur eine weltweite Vision für industrielle Produktionen

Hackerangriffe BetriebsunterbrechungDatenverlust und

Systemwiederherstellung

Umleitung von WarenverkehrTäter spiegeln professionell eine Identität als Bestandskunde und veranlassen Änderungen zu Stammdaten, wie eine neue Lieferadresse.Die Ware verschwindet!

CyberriminalitätSchadenpotential

Seite 15

• betrifft nicht nur mehr den Datenklau sondern weitet sich Richtung Datenmissbrauch, Erpressung usw. aus

• betrifft nicht nur öffentliche Einrichtungen wie Stadtwerke sondern alle im oder über Internet tätige Unternehmen (Industrie, Handel, Tourismus und hier Groß-, Mittel- und Kleinunternehmen)

• Forcierte Automatisierung bis hin zu Industrie 4.0 ist nicht nur eine weltweite Vision für industrielle Produktionen

Hackerangriffe BetriebsunterbrechungDatenverlust und

Systemwiederherstellung

Anfragen-BombardementRechner werden mit Anfragen bombardiert, bis sie lahmbelegt sind. Dies ist häufig kombiniert mit einer Lösegeld-Forderung.März 2016 bei A1: Forderung € 100.000, Täter scheiterten jedoch an den IT-Technikern von A1

CyberkriminalitätSchadenpotential

Seite 16

Die nicht erkannte oder unterschätzte Gefahr!Was sind die Folgen eines Systemausfalles?

Hackerangriffe BetriebsunterbrechungDatenverlust und

Systemwiederherstellung

CyberkriminalitätSchadenpotential

Seite 17

Wie lange dauert es, bis ein Sicherheitsversagen erkannt wird?

Wie lange dauert die IT Forensik?

Wie lange sind die Systeme nicht nutzbar?

Sind sensible Daten betroffen?

Welche Kosten sind mit einer Systemwiederherstellung verbunden?

Was kostet das System?

Hackerangriffe BetriebsunterbrechungDatenverlust und

Systemwiederherstellung

CyberkriminalitätSchadenpotential

Seite 18

1. Mögliche Eigenschäden / Nachteile des eigenen Unternehmens

Kosten zur Auffindung des Fehlers in vorhandenen Schutzsystemen Finanzieller Aufwand zur Wiederherstellung von Daten / Systemen Produktions- und Ertragsausfälle, Betriebsunterbrechungsschäden

Reputationsverlust, potentieller Verlust der Geschäftsbeziehung durch Auslagerung an Mitbewerber

Erpressungsgelder, Kosten zur Befriedigung von Täterforderungen

2. Haftpflichtansprüche von Dritten

3. Behördliche Verfahren und Strafen

CyberkriminalitätSchutzmaßnahmen und Haftung

Seite 19

„Cyberrisk is just another businessrisk …“

Technische Schutzmaßnahmen zur Verhinderung unerwünschten Datenzugriffs und unerlaubter Datenmanipulation

Erstellung von Guidelines (Compliance, Mitarbeiterschulungen, Sicherheit etc.) Interne Kontrollen Information von Kunden

„… but it needs better management“

Persönliche Haftung und Folgen für die Unternehmensleitung / Verantwortlichen

Managerhaftung gegenüber dem Unternehmen (D&O) Verlust der Position

Cyber- und VertrauensschadenversicherungVersicherungslösungen

Seite 20

Für den Fall, dass alle Sicherungsmaßnahmen versagen, sind finanzielle Einbußen zu erwarten.

Der Versicherungsmarkt unterscheidet bei Cybercrime zwischen Cyber und Crime.

Cyberschadenversicherung (Cyber)

1. Eigenschadenversicherung (Krisenmanagement, IT Dienstleistungen, PR-Maßnahmen)

2. Betriebsunterbrechung3. Haftpflicht aufgrund von

Datenschutzverletzungen4. Verfahren aufgrund von

Datenschutzverpflichtungen

Vertrauensschadenversicherung (VSV)

1. Schäden am Vermögen der versicherten Unternehmen durch Mitarbeiter

2. Schäden am Vermögen der versicherten Unternehmen durch Dritte

3. Ansprüche Dritter auf Grund von Mitarbeitern verursachten Vermögensschäden (Dritter)

4. Geheimnisverrat, Betriebsgeheimnisse (eigene und fremde)

5. Hackerschäden

CyberNachteilige, unerwünschte Störungen und unerlaubten Beeinträchtigungen von persönlichen wie geschäftlichen Daten über (internetbasierten*) internen wie externen Datenaustauschs (PCs, Laptops, Smartphones, cloud-solutions, externe Server etc).

CrimeVon Vertrauenspersonen oder außenstehenden Dritten vorsätzlichbegangene, illegalen und unerlaubten Handlungen gegen ein Unternehmen (z.B. Geheimnisverrat, Diebstahl, Diskreditierung etc.), wodurch ein Vermögensschaden verursacht wird.

Cyber- und Vertrauensschadenversicherung Cyberschadenversicherung – versicherbare Tatbestände (CYBER)

Seite 21

Eigenschäden (aufgrund Hackerangriff und/

oder menschlichen Versagens / Verlust)

Drittschäden/Haftungwegen

Dienstleistungen

• Forensische Ermittlungskosten (Datenverlust, Datenmanipulation)

• Mehraufwand z. B. zur Wiederherstellung von Daten/Systemen

• Betriebsunterbrechung/Ertragsausfall

• Erpressung -Lösegeldforderungen

• Abwehrkosten bei Datenschutzuntersuchungen / Verfahren (tw. Geldbußen)

• Sofortmaßnahmen

• Informationskosten an Kunden und Behörden

• Kredit- und ID- Überwachung

• Datenschutzverletzungen

• fehlende Netzwerksicherheit und Hackerangriffe

• nicht erfolgter Information nach DSG

• Verletzung geschützter Unternehmensinformationen

• Rechtsverletzungen in digitalerKommunikation

• IT- Dienstleistungen

• Rechts-Dienstleistungen

• PR- Dienstleistungen

• Sofortmaßnahmen (Notfallnummer)

Cyber- und Vertrauensschadenversicherung Vertrauensschadenversicherung – versicherbare Tatbestände (CRIME)

Seite 22

Schäden durch VERTRAUENSPERSONEN

Schäden durch DRITTE

Zusätzliche Kosten

• UnmittelbareVermögensschäden des VN verursacht durch vorsätzlicheunerlaubte Handlungen, die zum Schadenersatz verpflichten

• Schäden aus Geheimnisverrat(eigene und fremde Betriebsgeheimnisse)

• Drittschäden wenn Vertrauensperson vorsätzlich Dritten schädigt

• Unmittelbare Vermögensschäden aufgrund vorsätzlicherHandlungen, welche Straftatbestand erfüllen in Bereicherungsabsicht

• Cyber-Schäden durch Dritte

• Raub, Tresoreinbruch

• Fälschen von Zahlungsanweisungen und Rechnungen, Falschgeld

• Überweisungsbetrug, Bank- und Zahlungsanweisungen

• Kreditkartenbetrug, Bargeld, Wertpapiere

• Betrug wie z.B. Fake PresidentFälle

• Schadenermittlung

• Rechtsverfolgung

• PR- Dienstleistungen

• Mehrkosten zur Aufrechterhaltung des Geschäftsbetriebes

• Datenwiederherstellung

• Zinsen

• Abwehrkosten

• Vertragsstrafen

• Kosten zur Feststellung, ob Spionagevorfall

Vorsatz Vorsatz + Straftat + Bereicherung

CyberkriminalitätVersicherungsmarkt

Seite 23

• Österreichische Versicherungen bringen 2017 erste Standardprodukte auf den Markt• Starke Produktunterschiede, starke Unterschiede in den Bedingungswerken• Wenig Schadenerfahrung• Prämien weich

• begrenzte Anzahl von Anbietern• Beispiele: Markel, Hiscox (bis Umsatz € 10 Mio.), TMK (Tokio Marine Kiln) bis Umsatz €

25 Mio., Dual• Prämien (CyberRisk Versicherungssumme € 1 Mio.) ab € 1.200 Jahresbruttoprämie

(abhängig von Branche, Selbstbehalte)• Strukturierte umfangreiche Fragebögen

Österreichische Versicherungen

Produktanbieter für Unternehmen mit € 1 bis 50 Millionen Umsatz

• Intensiver Beratungsprozess mit umfassenden Enterprise-Risk-Management notwendig• Ausschreibung des Risikos am nationalen und internationalen Versicherungsmarkt (AIG,

AGCS, HISCOX)

Für Unternehmen mit mehr als € 50 Millionen Umsatz

CyberkriminalitätPrämienbeispiele für Unternehmen Umsatz größer € 50 Mio. „individuelle Vertragslösungen“

Seite 24

Branche

Produktions- und Dienstleistungsbetriebe,

EnergieversorgungIT, Telekommunikation

ProduktionsbetriebeProduktionsbetriebe

Großindustrie

Umsatz in € 190 Mio. 150 Mio. 1.400 Mio.

Umsatz Nordamerika in € nein 25,5 Mio. nein

Relevanter Onlinehandel nein nein nein

Relevanter Anteil EC- undKreditkartentransaktionen ja nein nein

Versicherungssumme 1.000.000 1.000.000 5.000.000

Selbstbehalt von bis 25.000 – 50.000 10.000 – 25.000 50.000 – 100.000

Prämie brutto von bis 6.500 – 36.100 13.500 – 26.200 39.000 – 40.000

Versicherungssumme 2.000.000 3.000.000 20.000.000

Selbstbehalt von bis 25.000 – 50.000 15.000 – 30.000 100.000 – 200.000

Prämie/Jahr brutto von bis 10.000 – 46.600 27.750 – 52.000 79.000 – 109.000

Prämienbeispiele zur leichteren Einschätzung der Kosten für Versicherungsschutz

CyberkriminalitätVersicherungsmarkt

Seite 25

Nicht bei jeder Versicherung / jedem Produkt versicherbar sind• Branchen wie z. B. Zahlungsabwicklung, Datensammlung, Finanzinstitute, Behörden, …• Direkte Umsätze bzw. Leistungen mit Märkten wie USA, Kanada, Australien, …• rechtlich selbstständige Tochtergesellschaften außerhalb des EWR• Erpressung mit Lösegeldersatz• …

Was beachten?

Parameter, welche die Prämie beeinflussen sind• Branche• Märkte in denen das Unternehmen tätig ist (EU, EWR, weltweit, …• Umsatzhöhe• Kreditkartentransaktionen (Anzahl und Höhe)• IT-Sicherheitskonzept, Stresstests, …• …

Aktuelle Lösungen am Markt• Starke Unterschiede in den Produkten und den dazugehörigen Bedingungswerken• Intensive Beratung und Produktprüfung unumgänglich

GrECo JLT – Denken in Lösungen!

Alle Rechte an dieser Präsentation sind vorbehalten. Das Werk einschließlich seiner Teile ist urheberrechtlich geschützt. Die darin enthaltenen Informationen sind vertraulich.

Die Präsentation und ihre Inhalte dürfen ohne ausdrückliche Zustimmung der GrECo International AG nicht verwendet, übersetzt,

verbreitet, vervielfältigt und in elektronischen Systemen verarbeitet werden. Insbesondere ist eine Weitergabe an Dritte nicht gestattet.