Ihr unabhängiger Partner für Operatives Risikomanagement

Haftungs- und Schadensszenarien im Bereich Cyber und Data Risks

DI Johannes Vogl

Salzburg, 29. September 2015

GrECo JLT Risk Consulting GmbH

Zur Person

• Studium Montanuniversität Leoben

• 10 Jahre Managementsysteme und Technikverantwortung Automotive und Metall

• 9 Jahre Consulting im Bereich Risiko- und Schadenmanagement

GrECo JLT Risk Consulting - Unser Dienstleistungsspektrum

Risk Engineerin g

Erstellung von Großschadenszenarien, Natur-

gefahrenanalysen sowie Risikobeurteilung

zu Ihrer Wertschöpfungsk e.

Underwriting Services

Risikoanalysen und Info ons-

ereitung zur Op mierung

Ihres Versicherungsschutzes.

Risk Management

Entwicklung und Implemen erung von

unternehmensweiten Program-

men zur Schadenverhütung.

Schadenmanagement

Unterstützung bei der Schadenab-

wicklung um möglichst schnell wieder

Betriebsbereitscha zu gewährleisten.

Trainings und Workshops

Individuelle Themengestaltung aus den

Bereichen Versicherungstechnik, Schaden-

verhütung und Risikomanagement.

Die Sensibilisierung

Pressemeldungen

• BaFin, 02.02.2015, „Cyber-Angriffe: Risiken für Banken und Aktivitäten der Aufsicht“

• ZDNet, 04.02.2015, „Cyber-Angriffe auf Unternehmen werden 2015 zum Massenphänomen“

• Computerbase, 25.02.2015, „Bitkom-Umfrage: Jedes dritte Unternehmen kämpft mit Cyberangriffen“

• Handelsblatt, 16.03.2015, „Cebit warnt vor Sicherheitsrisiken. Cyberangriffe verursachen Milliardenschäden“

• ComputerPartner, 17.03.2015, „Hackerangriff auf Industrieanlagen“

• A.T. Kearney, 18.05.2015: „Cyberangriffe werden in Zukunft häufiger und folgenschwerer“

• Deutsche Wirtschafts Woche, 17.06.2015, Keine russischen Hacker: Die meisten Cyber-Angriffe kommen aus den eigenen Reihen

• Deutschlandfunk, 11.04.2015, „Cyberangriffe auf Unternehmen: Sicherheitslage grundsätzlich angespannt“

• FH St. Pölten, 25.06.2015, „Diskussion: Gezielte Cyberangriffe auf Unternehmen“

• Zeit Online, 19. 05.2015, „Cyberangriff: Offenbar Rechner von Regierungsmitgliedern gehackt“

• Zeit Online, 21.05.2015, „Hacker: Bundestag kann Cyberangriff nicht stoppen“

• Tagesschau, 14.07.2015, „Bundesregierung sucht Strategie gegen Hacker“

• news.orf.at, 24.07.2015 „Millionenrückruf nach Jeep-Hack; der Alptraum aller Autohersteller“

Seite 5

Persönliche Sensibilisierung

• http://www.spiegel.de/netzwelt/web/bsi-bericht-hacker-legten-deutschen-hochofen-lahm-a-1009191.html

• https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2014.pdf?__blob=publicationFile

• Cyber Angriff mittels „Spear Pishing“ auf ein Stahlwerk

Das betrifft schon jeden…

Source: CT Magazin, die Hotspot Falle

Das Ereignis

Schutzziele

Closed_COPYRIGHT@SHUTTERSTOCK.jpg

Hand holding envelope top

secret_COPYRIGHT@SHUTTERSTOCK.jpg

Stethoscope and handcuffs _COPYRIGHT@SHUTTERSTOCK.jpg

Informationen

Prozesse

Compliance

Der Angriff erfolgt von innen“

• Mitarbeiter als Täter

• Fehlbedienung

• Geringes Sicherheitsbewusstsein

• Schwächen im Ablaufprozess (IT)

• unklare Zuständigkeit

• Unzureichende Information über Veränderungsprozesse (Updates, neue Programme, neue Arbeitsplätze …)

• Nutzung von Daten über Clouds, Smartphones, etc.

• Home Offices

„von außen“

• Spam, Phishing

• Emailattacken

• Hackerangriffe

• Illegaler Datendownload

• Kreditkartenbetrug bei Onlinekäufen

• Malversationen im Zuge von Internetbanking

• Trackingmalware, Trojaner,

• Viren

• Spyware

• Würmer

• Social Engineering

Lässt sich der Angriff verhindern?

Was meinen Sie?

Die Auswirkung

Schadenpotentiale – Eigenschäden

Seite 13

Langwierige Rechtsverfahren

Auffindung des Fehlers

Wiederherstellung von Daten/ Systemen

Erpressungsgelder

Diebstahl von Betriebs- und Geschäftsgeheimnissen

Reputationsverlust Produktions- und Ertragsausfälle

Betriebsunterbrechungsschäden

Straf- und Pönalzahlungen

Information von Kunden und Behörden

Langwierige Rechtsverfahren

Cyber & Data Risiken – Versicherungsfälle (Schadenbeispiele)

Seite 14

Ehemaliger Mitarbeiter verkauft persönliche Daten an ein „Verbrechernetzwerk“

Unternehmensart: Einzelhandel

Informationen von: 75.000 Kunden und 2.500 Mitarbeiter wurden verkauft durch unerlaubten Zugriff auf Sicherheitsdatenbank

2,5 Mio. zur Behebung des Schadens 2,5 Mio. Bußgeld

Versicherbare Kosten: forensische Untersuchungen, PR, Monitoring, Benachrichtigungskosten, Datenwiederherstellung, Abwehrkosten

Diebstahl eines Laptops erweist sich als sehr teuer

Unternehmensart: Unternehmensberatung

Laptop wurde gestohlen mit über 7.500 Kundendaten inkl. Finanzdaten

2,5 Mio. zur Behebung des Schadens

Versicherbare Kosten: Benachrichtigungskosten, Krisenmanagementkosten, Abwehrkosten, Datenwiederherstellung, Call Center, Rechtsberatung

Schadenpotentiale - Drittschäden

Kosten zur Aufklärung der Vorfälle (IT-Support)

Kosten im Zuge aufsichtsrechtlicher Verfahren

Datenschutzverletzungen Dritter (Persönlichkeitsrechtsverletzung)

direkter und indirekter finanzieller Verlust

• direkter/indirekter Verlust von Kapital

• Kosten im Zusammenhang mit Wiedererlangung oder Neubeschaffung von Kundendaten

• Zukünftige Vermögensschäden infolge öffentlich zugänglicher Gesundheitsdaten

• Arbeitsrechtliche Verfahren

Seite 15

Regressforderungen gegen „verursachendes Unternehmen“ (= „erweiterter Eigenschaden“)

Cyber & Data Risiken – Versicherungsfälle (Schadenbeispiele)

Seite 16

Fehlbedienung korrumpiert Daten des Warenwirtschaftssystems im Hauptlager

Unternehmensart: Einzelhandel Produktindizes werden geändert, führt zu irrelevante Warenbestellungen und unnötige Lagerbestände – Waren des täglichen Bedarfs nicht verfügbar – fehlender Lagerplatz – Verderb nicht benötigter Produkte – fehlerfreier Geschäftsbetrieb erst nach einer Woche

Schadenhöhe: € 552.000,- Verluste durch beeinträchtige Kundentreue bzw. aus verderblichen Lebensmitteln; Umsatzeinbußen durch Nichtverfügbarkeit der gefragten Produkte

Diebstahl personenbezogener Informationen und Netzwerk-Zusammenbruch

Unternehmensart: Vermögensverwaltung

Informationen von: 25.000 Kunden 250 Mitarbeitern

durch installierten Virus konnte 72h nicht gearbeitet werden + Virusübertragung an Kunden

7,55 Mio. € Schaden

Versicherbare Kosten: E-Business-Betriebsunterbrechung, Benachrichtigungskosten, Krisenmanagementkosten, Abwehrkosten, Datenwiederherstellung, Vermögensschäden Dritter

Schadenpotential- Haftungen

• Unterschiedliche rechtliche Konsequenzen

Haftung für fehlende oder unzureichende Netzwerksicherheit und dadurch ermöglichte Hackerangriffe

Ahndung wegen Rechtsverletzungen

• § 347 UGB1): erhöhter Sorgfaltsmaßstab für Unternehmer (vgl. §1299 ABGB2))

• § 25 (1) GmbHG2): Geschäftsführer: Sorgfaltspflicht eines ordentlichen Geschäftsmannes

• § 84 (1) AktG3): Vorstandsmitglieder: Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters

• § 1293 ff ABGB4): allgemeine Verschuldenshaftung

• § 33 DSG5): Schadenersatz nach ABGB (Verschuldenshaftung), die Kausalität ist vom Betroffenen nachzuweisen

• § 52 Abs 2 DSG: Verwaltungsübertretung – Geldstrafe bis 10.000 EUR (pro Anlassfall) z.B.: Verletzung der Informationspflicht gem. gemäß § 24 DSG oder grob fahrlässige Außerachtlassung erforderlicher Sicherheitsmaßnahmen gemäß § 14 DSG

• Persönliche Haftung und Folgen für die Unternehmensleitung/Verantwortlichen

Managerhaftung gegenüber dem Unternehmen (D&O)

Jobverlust (bifie …)

Seite 17

1) UGB: Unternehmensgesetzbuch; 2) GmbHG: GmbH Gesetz; 3) AktG: Aktiengesetz; 4) ABGB: Allgemeines bürgerliches Gesetzbuch; 5) DSG: Datenschutzgesetz

Cyber & Data Risiken – Versicherungsfälle (Schadenbeispiele)

Seite 18

Virus beeinträchtigt Datenbank eines Hochregallagers

Unternehmensart: Hochregallager

Server wurde durch neuen Virus infiziert. Die Ortung der eingelagerten Waren war nicht mehr möglich

Schadenhöhe: € 695.000,-

Kosten: BU-Schaden aufgrund kontrollierter Systemabschaltung; Dekontamination infizierter Daten; Wiederherstellung der Daten aus Back-up-Sicherungen; manuelle Auslagerung und Neuerfassung eines Teils der Lagerware; Vertragsstrafen aufgrund verspäteter Auslieferung

100.000 EUR mit „Trojaner“ vom Konto abgezapft (Kleine Zeitung, 11.08.2015)

Unternehmensart: Finanzdienstleistung

Acht Männer aus Estland und Lettland haben für eine Bande Konten eröffnet, auf die mit einem "Trojaner" rund 100.000 Euro von neun Opfern überwiesen wurden - via Internet

Schadenhöhe: mehr als € 100.000,--

Kosten: Kosten zur Auffindung des Trojaners; Dekontamination infizierter Computer; Erstattung der abgebuchten Geldsumme;

Die Handlung

Vorbeugen und sich Vorbereiten

Business Continuity Management nach ISO 22301

Krisenmanagement

Risikomanagementmodell nach ISO 31000

Risikomanagement

COSO ERM Modell Committee of Sponsoring Organizations of the Treadway Commission

Information Security System nach ISO 27001

Der Risikomanagementkreislauf

• Risikovermeidung

- Verzicht

- Prozesse neu definieren

• Risikominderung

- Festlegung von Richtlinien

- Schutzstandards entwickeln und installieren

- Schulungen, Trainings

• Risikokompensation

- Redundante Anlagen

- Diversifikation

• Risikoabwälzung

- Versichern von Risiken

- Fremdvergaben

• Risikoakzeptanz

Versicherung?????

Cyber & Data Risiken – Österreichischer Versicherungsmarkt

• 9 namhafte Anbieter mit eigenen Bedingungswerken

• ACE, AIG, Allianz, Hiscox, Chubb, DUAL, HDI, XL Catlin, Zurich

• Know-how noch sehr unterschiedlich ausgeprägt

• Produkte in unterschiedlichen Sparten angeknüpft (Financial Lines, Haftpflicht, Property)

• Spezielle Zielgruppenprodukte für kleinere Risiken und Konzernkunden

• Kapazitäten je Versicherer zwischen 1 Mio. EUR bis 50 Mio. EUR für Drittschäden

• Selbstbehalte: unterschiedlich fixe Eurobeträge bis zeitliche Selbstbehalte

Seite 22

Abgleich mit vorhandenen Versicherungen und individuelle Risikoanalyse und kompetente Beratung erforderlich.

Zusammenfassung

• Die Sensibilisierung

• Risikowahrnehmung fördern

• Schadenbeispiele und Szenarien

• „Angstmacherei“ versus Ignoranz

• Das Ereignis

• Technischer Schutz der IT ist nicht ausreichend

• Gleichbedeutend ist Organisation und physische Sicherheit

• Die Auswirkung

• Was kann und will sich das Unternehmen leisten

• Was kann das Management verantworten

• Die Handlung

• Einbettung in den Risikomanagementprozess

• Im Schadenfall agieren und nicht reagieren (Krisenmanagement als Teil des Business Continuity Managements)

Die Sicherheit im Bereich Cyber und Data Risk im Unternehmen darf nicht

ausschließlich in der Verantwortung der IT-Experten liegen, es ist eine

Managementaufgabe.

Zahlen, Daten, Fakten

Weiterführende Informationen

http://www.internet-sicherheit.de/service/glossar/glossar/

https://www.onlinesicherheit.gv.at/cert/sicherheitswarnungen.html

https://www.onlinesicherheit.gv.at/services/publikationen/sicherheitsberichte/132229.html;jsessionid=3ECDE1E04E5DAC9241ED9B507DD6572D?0

http://www.digitales.oesterreich.gv.at/

http://www.e-control.at/portal/page/portal/medienbibliothek/presse/dokumente/pdfs/02_Roland%20Ledinger_BKA_20140428%20Cyber%20Security.pdf

Seite 27

Ihr Kontakt zu GrECo JLT Risk Consulting

GrECo JLT Risk Consulting GmbH Elmargasse 2-4 1191 Wien Tel.: +43 (0)5 04 04-0 Fax: +43 (0)5 04 04-11 999 office@greco.at www.greco-jlt.com

Christian Oppl Tel.: +43 (0)5 04 04-260 Fax: +43 (0)5 04 04-11 260 c.oppl@greco.at Johannes Vogl Tel.: +43 (0)5 04 04-160 Fax: +43 (0)5 04 04-11 160 j.vogl@greco.at

Danke für Ihre Aufmerksamkeit!

Alle Rechte an dieser Präsentation sind vorbehalten. Das Werk einschließlich seiner Teile ist urheberrechtlich geschützt. Die darin enthaltenen Informationen sind vertraulich.

Die Präsentation und ihre Inhalte dürfen ohne ausdrückliche Zustimmung der GrECo International AG nicht verwendet, übersetzt,

verbreitet, vervielfältigt und in elektronischen Systemen verarbeitet werden. Insbesondere ist eine Weitergabe an Dritte nicht gestattet.