WIRTSCHAFTSKRIMINALITÄT IM ZEITALTER DER … · • Vollzugriff und -zugang zum Unternehmensnetz • Innerhalb von 3-4 Stunden erste Adminrechte • mehrere hundert Passwörter geknackt

WIRTSCHAFTSKRIMINALITÄT IM ZEITALTER DER DIGITALISIERUNG – HAFTUNG UND VERSICHERUNGSLÖSUNGEN

Köln ∙ 02. Februar 2017

Agenda

I. Begrüßung

II. IT-Sicherheit und Cybersecurity im Mittelstand

III. Verantwortung der Organe für IT-Sicherheitsvorfälle

IV. Vermögensschäden und Cyber-Risiken:

IT-Due-Dilligence und Absicherungsmöglichkeiten

V. Management von IT-Risiken:

Prävention, Dedektion, Remediation

VI. Ausblick digitale Transformation

2

3

Ebner Stolz im Überblick

Zahlen und Fakten

UNTERNEHMENS-BERATUNG

STEUERBERATUNG

RECHTSBERATUNG

WIRTSCHAFTSPRÜFUNG

Interdisziplinäres Leistungsspektrum Regionale Expertise – 15 Standorte in Deutschland

Berlin Bonn

Bremen Düsseldorf

Frankfurt Hamburg Hannover Karlsruhe

Köln Leipzig

München Reutlingen

Siegen Solingen Stuttgart

> 1.100 Mitarbeiter > 100 Partner Top Ten in Deutschland EUR 170 Mio. Umsatz 2015

IT-Sicherheit und Cybersecurity im Mittelstand

4

add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de 1

@-yet GmbH Wolfgang Straßer Geschäftsführer Dipl.-Kfm.

IT-Sicherheit und Cyber Security im Mittelstand

http://www.add-yet.de/




IT-R

ES

ULTIN

G I

M F

OK

US

Juni 2002 gegründet

Sitz: Leichlingen/Rheinland

IT-Strategie- und Technologieberatung

kein HW- oder SW-Vertrieb

Beratungsschwerpunkte

IT-Risikomanagement

IT-Outsourcing

Zielgruppe:

Mittelständische bis große Organisationen

Firmenportrait


IT-R

ES

ULTIN

G I

M F

OK

US

Der bewusste und gezielte Umgang mit den Risiken,

die sich für Organisationen

durch den Einsatz von IT ergeben können!

Sichergestellt werden müssen die:

Integrität,

Vertraulichkeit,

Verfügbarkeit

von Prozessen und Daten!

IT-Risikomanagement


IT-R

ES

ULTIN

G I

M F

OK

US

Aufgaben von IT Risikomanagement:

Schutz vor Verlust von

Know-how

• Ihr spezielles Firmen Know-how

Wertschöpfung

• Die Firma kann nicht mehr arbeiten wg. IT Ausfall

Geld

Schutz vor Risiken, die sich

vertraglich

• z.B. Kunden-/Lieferantenauflagen etc.

gesetzlich

• z.B. Datenschutzgesetz

aus der IT ergeben können.

IT und Risikomanagement


IT-R

ES

ULTIN

G I

M F

OK

US

Elemente von IT-Risikomanagement

Business Continuity

Business Security

Business Compliance – Datenschutz

IT-Forensik/incidence response

Wenn was passiert ist…

IT und Risikomanagement


IT-R

ES

ULTIN

G I

M F

OK

US

Business Security

Zentraler Baustein von IT-Risikomanagement:


IT-R

ES

ULTIN

G I

M F

OK

US

Auf Servern, Endgeräten und in Netzen liegen

Kundeninformationen

Private Informationen – Datenschutz

Kunden Informationen - Datenschutz

• Ratings

• Auskünfte

• Gesellschafterinformationen

• M&A Informationen

• usw.

Zugang zu Bankverbindungen!

Produktentwicklungen – Know-how

etc.

Warum Business Security?


IT-R

ES

ULTIN

G I

M F

OK

US

Gesetzliche Vorgaben

Datenschutz

Impressum

verbotene email Werbung

etc.



IT-R

ES

ULTIN

G I

M F

OK

US

die Risiken nehmen zu

die Bedrohungslage ist wirklich ernst

es kann jeden treffen

Oft gehört:

Wer interessiert sich für uns?

Antwort: der ganze Planet!

Bei uns ist noch nie was passiert!

Antwort: das wissen Sie gar nicht!

100% Sicherheit gibt es nicht!

Antwort: stimmt, aber 10-20% sind aber definitiv zu wenig!



IT-R

ES

ULTIN

G I

M F

OK

US

Allein der Branche Maschinen- und Anlagenbau ging durch Produktpiraten 2011 Umsatz in Höhe von fast 8 Mrd. Euro verloren - gut ein Viertel mehr als 2010. Das entspricht 37.000 Arbeitsplätzen.

Quelle: Verband Deutscher Maschinen- und Anlagenbau (VDMA) 2012

Know-how Verlust in Deutschland ca. 20 Mrd. Euro p.a.

Quelle: Studie Universität Lüneburg

Umsatzverlust durch Produktpiraterie & Know-how Verlust


IT-R

ES

ULTIN

G I

M F

OK

US

Datenklau, Spionage, Sabotage


IT-R

ES

ULTIN

G I

M F

OK

US

Datenklau, Spionage, Sabotage


IT-R

ES

ULTIN

G I

M F

OK

US

CyberCrime Umsatz übertrifft den Drogenhandel

Einige Fakten zum Thema IT-Sicherheit


IT-R

ES

ULTIN

G I

M F

OK

US

Wer greift an und warum?


IT-R

ES

ULTIN

G I

M F

OK

US

Staaten

Wettbewerber organisierte Kriminalität/Mafia

befürchtet: Terroristen

Innentäter!

sonstige

Wer greift an?


IT-R

ES

ULTIN

G I

M F

OK

US

vor allem wirtschaftliche

Wirtschaftsspionage/Konkurrenzausspähung

Erpressung: Bsp. Locky

Geld: Bsp. CEO Fraud

Rache

ethische Motive

„Spaß am Hacken“

„beleidigt“ sein

und vieles Unvorstellbares mehr

Motive der Angreifer


IT-R

ES

ULTIN

G I

M F

OK

US

Was wird abgegriffen?


IT-R

ES

ULTIN

G I

M F

OK

US

Unternehmens Know-how

Produktneuentwicklungen

Einkaufsinformationen

M&A Informationen

Kontendaten

Kundendaten – Datenschutz!!

Unternehmensstrategie

etc.

Was wird abgegriffen?


IT-R

ES

ULTIN

G I

M F

OK

US

Wie wird angegriffen?


IT-R

ES

ULTIN

G I

M F

OK

US

Hackingangriff von außen

Informationsbeschaffung von innen

Ausnutzen physischer und organisatorischer Schwachstellen - Social Engineering

• z. B. CEO Fraud

Datenträgerklau

Smartphones, Pads, Notebooks etc.

immer mehr über

Websites und –shops

Portale

Cloud

APPS und Mobiles

Wie wird angegriffen?


IT-R

ES

ULTIN

G I

M F

OK

US

Whistle-Blower

Edward Snowden

Julian Assange

Chelsea (Bradley) Manning (WikiLeaks)

IS-Dokumente

Panama Papers

Systemadministratoren – Neugier!?

Systemfehler …

Sorglosigkeit – Surfen, Downloads, Uploads etc.

Mitarbeiter – Datenabfluss(-klau)

etc.

Aber auch - „Innentäter“


IT-R

ES

ULTIN

G I

M F

OK

US

Systematisches Ausprobieren von Passwörtern mit Offline-Wörterbuch bzw. Brute Force

Kopie der verschlüsselten Passwortdatei bzw. Ergebnis von Sniffing

Verschlüsseln gebräuchlicher Worte und Vergleich mit den Einträgen in der Passwortdatei (z.B. mit dem frei erhältlichen Programm Crack)

14 Stellen unter 1 min

Sicher erst ab 18 Stellen

Beispiel: Password-Cracking


IT-R

ES

ULTIN

G I

M F

OK

US

Beispiel 1


IT-R

ES

ULTIN

G I

M F

OK

US

Der Auftrag:

Überprüfung der neuen Unternehmenszentrale auf

• Zugangssicherheit

• Awareness von

Management

Mitarbeitern

Externen Dienstleistern

• Sicherheit der Netzzugänge, falls Zutritt gelingt

• WLAN Sicherheit

Check von draußen

• Endgerätesicherheit

Beispiel 1


IT-R

ES

ULTIN

G I

M F

OK

US

Der Auftraggeber:

Typisches mittelständisches Unternehmen

• innovativ

• weltweit präsent

• ökonomisch erfolgreich

• inhabergeführt

Beispiel 1


IT-R

ES

ULTIN

G I

M F

OK

US

Der Ablauf:

Internetrecherche über

• Gebäudestruktur (GoogleEarth)

• Mitarbeiter (wer macht was)

Eigene Webseiten

SocialNetwork (XING, Linkedin)

Gebäudebeobachtung

• Wann kommen und gehen

Mitarbeiter

Putzdienste

Wachdienst

WLAN Aufnahme

„Angriff“

Beispiel 1


IT-R

ES

ULTIN

G I

M F

OK

US

Der Angriff mit 2 Teams je 2 Personen

Frontdesk/Empfang

• Erfolglos - sehr gut trainiert, sehr höflich, aber bestimmt

Tiefgarage

• erfolgreich

• Mitarbeiter waren sehr bemüht uns zu helfen..

Beispiel 1


IT-R

ES

ULTIN

G I

M F

OK

US

Ablauf tagsüber im Gebäude (3 zügig)

trotz Zugangssicherung mittels SmartCard

• Gebäude

• Etagen

• Büros

• Aufzüge

waren wir überall und stundenlang

Installation von WLAN-Routern in allen 3 Gebäuden

Zugang zu Arbeitsplatzrechnern

• Installation von MalWare mittels USB Stick

an ca. 50 AP´s

in allen Gebäuden und Etagen

Beispiel 1


IT-R

ES

ULTIN

G I

M F

OK

US

@-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen 33 2/7/2017

Diebstahl von materiellen und immatriellen Gegenständen

„Dumpster Diving“

Nutzung interner Ressourcen

Beispiel Social Engineering

Offizieller Zutritt als Besucher / Kunde


IT-R

ES

ULTIN

G I

M F

OK

US


Beispiel Social Engineering

Installation eines Wireless-Access-Points

Installation von Keyloggern

Diebstahl von Daten auf USB-Stick

Sabotage von kritischen Systemen


IT-R

ES

ULTIN

G I

M F

OK

US


Beispiel: Infrastruktur Assessment

außenstehende / Besucher können Gebäude & Räume „ungehindert“ betreten

Verteilerschränke sind nicht abgesperrt

vertrauliche Daten in den Büros werden nicht weggesperrt bzw. Büros nicht abgeschlossen

Firmeninterne Unterlagen einfach zugänglich


IT-R

ES

ULTIN

G I

M F

OK

US

Ablauf abends am und im Gebäude

Versuch von außen auf die WLAN AccessPoints zuzugreifen

• WLAN 1: erfolgreich ins Schulungsnetz gekommen

• WLAN 2: schlecht positioniert, zu weit von der Straße weg

• WLAN 3: hervorragender Empfang, leider Wackelkontakt

Putzkolonne „angegriffen“

• Leiterin extrem hartnäckig

• hat alle AP´s (Chef, Firmenfacilitymanager) versucht zu erreichen – erfolglos

• sie hat uns dann zum defekten WLAn gebracht!!

dort saß jemand….

• WLAN Router erfolgreich ausgetauscht

Beispiel 1


IT-R

ES

ULTIN

G I

M F

OK

US

Ablauf spätabends und nachts

Versuch von außen auf WLAN 3 zuzugreifen

• Vollzugriff und -zugang zum Unternehmensnetz

• Innerhalb von 3-4 Stunden erste Adminrechte

• mehrere hundert Passwörter geknackt

Viel zu kurz und leicht

• im Laufe der Nacht: System- und Applikationsrechte

• Wir hätten unbemerkt Daten abziehen/manipulieren/löschen können

Ablauf Tag 3

Notebook und Smartphonechecks

• Leichter Zugriff auf alles, da

keine Verschlüsselung

zu schwache Pins und Passwörter

Beispiel 1


IT-R

ES

ULTIN

G I

M F

OK

US

Rückschlüsse Beispiel 1


IT-R

ES

ULTIN

G I

M F

OK

US

Ohne Awareness bei Management und Belegschaft

hoher technischer Gebäudeschutz wirkungslos

extrem leichter Zugang zu Endgeräten

nicht ausreichende Passwörter

War man einmal im Gebäude, war alles möglich

kein Netzzugangsschutz

Fremdgeräte wurden nicht erkannt

• WLAN Access Router

• Notebooks

Rückschlüsse Beispiel 1


IT-R

ES

ULTIN

G I

M F

OK

US

Awarenessschulungen für alle

Umgang mit Fremden

keine Unbekannten an das eigene System lassen

fremde Datenträger nicht ungeprüft verwenden

• USB

• CD etc.

das „richtige“ Passwort verwenden

Technische Maßnahmen

USB Blocker

Netzsegmentierung

Netzzugangssperre für Fremdgeräte

Lange und komplexe PW fordern/erzwingen

Festplattenverschlüsselung Notebooks

Maßnahmen Beispiel 1


IT-R

ES

ULTIN

G I

M F

OK

US

Mobile Endgeräte als Angriffsfläche


IT-R

ES

ULTIN

G I

M F

OK

US

Unternehmer, Geschäftsführer, Vertriebler, Ingenieure, Techniker sind oft in

Hotels

Restaurants/Cafes

Flughafen Lounges

Bahnhöfen und Zügen

Kongresszentren

etc.

Ohne mobile Endgeräte geht nichts mehr

Mobile Kommunikation


IT-R

ES

ULTIN

G I

M F

OK

US

alle Basis-Schnittstellen

WLAN

Bluetooth

GSM

und damit auch UMTS

sind gehackt

mobile Dienste und deren Medien sind unsicher bzw. sehr leicht manipulierbar

Unsicherheitsmerkmale mobiler Endgeräte


IT-R

ES

ULTIN

G I

M F

OK

US

Exkurs APPs


IT-R

ES

ULTIN

G I

M F

OK

US

Viele Apps übermitteln vertrauliche Daten

eindeutige Gerätekennungen

Aufenthaltsort

gespeicherte Kontakte

E-Mail-Passwörter

Kaum Möglichkeiten Apps zu überwachen

was wird übermittelt?

worauf wird zugegriffen?

was passiert sonst noch?

Sicherheit von Apps


IT-R

ES

ULTIN

G I

M F

OK

US

Cloud


IT-R

ES

ULTIN

G I

M F

OK

US

Dropbox

iCloud

Google

Amazon EC2

Skydrive

Strato Hidrive

und viele mehr!

Typische Cloudlösungen


IT-R

ES

ULTIN

G I

M F

OK

US

Sicherheit in der Cloud – geht das?

im Prinzip und von den Möglichkeiten her:

ja!!!

aber…

… die Wirklichkeit sieht leider katastrophal aus!

Cloud


IT-R

ES

ULTIN

G I

M F

OK

US

Online Banking

Mobile Payment


IT-R

ES

ULTIN

G I

M F

OK

US

Online Banking

HBCI kann derzeit als einziges sicheres Verfahren gelten

Bei allen anderen Verfahren liegen Schadensfälle vor


IT-R

ES

ULTIN

G I

M F

OK

US

Welche Verfahren gibt es? Wie sicher sind diese

Online Banking

Verfahren

PIN/TAN klassisch Internet

TAN´s per Liste

unsicher

PIN/iTAN Indiziertes Verfahren

TAN´s per Liste, aber

durchnummeriert

unsicher

PIN/mTAN Mobiles TAN-Verfahren,

TAN´s via SMS nach

Zahlungsauftrag

unsicher


IT-R

ES

ULTIN

G I

M F

OK

US

Welche Verfahren gibt es? Wie sicher sind diese?

Online Banking

Verfahren

Sma@rtTAN Plus Online Auftragserfassung

Bank schickt TAN an Kunde

Eingabe mittels Kartenleser

und Karte

Relativ sicher

Sma@rtTAN optic Auftragserfassung wie

Sm@rtTAN,

TAN mittels Codegenerator,

Lesegerät und Karte

ziemlich sicher

HBCI Ohne TAN,

mit Lesegerät und Karte

Generiert die Schlüssel

selber und kommuniziert

über verschlüsselte Wege

sehr sicher


IT-R

ES

ULTIN

G I

M F

OK

US

Mobile Payment

Endgeräte sind grundsätzlich unsicher

Nutzung freier WLAN´s ist grundsätzlich problematisch

• Sie wissen nie so ganz genau, wer der „Besitzer“ ist

Payment APPS

• mehrere geprüft

keine war wirklich gut

manche haarsträubend schlecht


IT-R

ES

ULTIN

G I

M F

OK

US

Mobile Payment

Sicherheit mit Biometrie?

• Sie haben 10 Finger und 2 Augen und das wars

NFC?

• Taschendiebstahl selbst für Gichtkranke einfach


IT-R

ES

ULTIN

G I

M F

OK

US

Was tun?


IT-R

ES

ULTIN

G I

M F

OK

US

Ganzheitliche Betrachtung Business Security

Organisatorische Sicherheit

Security Policies, Prozesse,

System- und Gerätemanagemnt Mitarbeiter+Management Awareness

Informations-Sicherheit

State-of-the-Art Security Produkte &

Technologien

Physische Sicherheit

Gebäude- und Zugangsschutz

Geräteschutz


IT-R

ES

ULTIN

G I

M F

OK

US

Bestimmen Sie Ihren Schutzbedarf

Welche Daten sind für ein Unternehmen wie wichtig?

Datenklassifikation, ISMS

Wer darf auf welche Daten zugreifen und wer entscheidet das?

Welche Prozesse sind wie wichtig?

Business Impact Analyse

Ab wann verliert ein Unternehmen Geld, wenn Prozesse stehenbleiben?

Welche gesetzlichen Mindestauflagen müssen erfüllt sein.

z.B. Datenschutz/BDSG

Vorgehensweise


IT-R

ES

ULTIN

G I

M F

OK

US

Security zu vernachlässigen

ist fahrlässig

kann existentiell werden

vor der Implementierung von Schutzmechanismen und –maßnahmen kommt erst die Definition der Sicherheitsziele

die Technik ist komplex, aber beherrschbar

aber ohne Organisation und bewusstes Umgehen mit der IT ist sie wertlos

Was wollten wir Ihnen vermitteln


IT-R

ES

ULTIN

G I

M F

OK

US

WLAN Hotspots, deren Betreiber man nicht kennt, meiden

Lange, möglichst 18-stellige, komplexe PW nutzen

sicheres Onlinebanking nutzen

HBCI und Tan Generator

Alle Festplatten sollten verschlüsselt sein

Alle Sicherheitspatche der Hersteller umgehend installieren

Firewall immer auf dem neuesten Stand halten

Virenscanner und Spamfilter immer aktuell halten

Vorsicht vor Webseiten und Apps, die man nicht kennt und nicht unbedingt braucht

Clouds möglichst nur verschlüsselt nutzen

Wichtig: nur wenn Sie den Schlüssel selber haben, ist Verschlüsselung zu trauen – wie beim eigenen Haus

möglichst täglich Backup

… und ganz einfach Vorsicht walten lassen

Erste Schritte


Ihre Fragen bitte …

Vielen Dank für Ihre Aufmerksamkeit! Wolfgang Straßer [email protected]




Verantwortung der Organe für IT-Sicherheitsvorfälle

5

Verantwortung der Organe für IT-Sicherheitsvorfälle

6

„Es gibt zwei Arten von Unternehmen –

die, die bereits gehackt wurden, und die Unternehmen,

die noch gehackt werden.“

Robert Mueller, Direktor des FBI

Zahlen, Daten, Fakten Anzahl der Cybercrime-Fälle in Deutschland

7 https://de.statista.com/infografik/1614/faelle-von-cybercrime-in-deutschland/

Zahlen, Daten, Fakten Betroffene Branchen – Top 5

8 Quelle: https://www.bitkom.org/Presse/Pressegrafik/2015/April/150415-Digitaler-Wirtschaftsschutz1.jpg

Zahlen, Daten, Fakten Schäden

9 https://de.statista.com/infografik/3380/schaden-pro-e-crime-fall-bei-unternehmen-in-deutschland/

Zahlen, Daten, Fakten Aktuelle Meldungen

10

Mögliche Haftungsbeziehungen bei IT-Sicherheitsvorfällen

angelehnt an Mehrbrey/Schreibhauer, MMR 2016, 75 11

Ansprüche des Angegriffenen

Ansprüche gegen den Angegriffenen

Angreifer

Hilfsperson

Arbeitnehmer

Betrieblicher Datenschutz-beauftragter

Cyber-Angriff

Vertragspartner

Dritte Bank

Lieferanten und Dienstleister

(z.B. Hersteller von (Sicherheits-)

Software, Serviceprovider)

Leitungsorgane

angegriffenes Unternehmen

Verantwortung der Organe für IT-Sicherheit

12

Schutz des Unternehmens vor Vermögensschäden

Sicherstellung rechtmäßigen Handelns

Unternehmen als Opfer Unternehmen als Täter

IT-Compliance als Teil der Corporate Compliance

Compliance bedeutet: Sicherstellung der Einhaltung von Normen und Geboten, die im

Zusammenhang mit der Unternehmung stehen, dies gilt auch für den Bereich der IT!

IT-Compliance ist Teil der Corporate Compliance.

13

Einführung einer Compliance-Organisation

Teil der Organisationspflichten der Geschäftsführung

Organisationsverschulden bei fehlender rechtmäßiger Organisation

Einrichtung eines Risikomanagementsystems

Einrichtung eines internen Kontrollsystems

(in der Regel interne oder externe Revision)

IT-Compliance als Teil der Corporate Compliance Rechtlicher Rahmen

14

§ 91 Abs. 2 AktG; § 93 Abs. 1 und 2 AktG

§ 43 GmbHG

§§ 239 Abs. 4 S. 2, 261 HGB LG München I, Urt. v. 10.12.2013 – 5 HK O 1287/10

„Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.” „Die Vorstandsmitglieder haben bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden. Eine Pflichtverletzung liegt nicht vor, wenn das Vorstandsmitglied bei einer unternehmerischen Entscheidung vernünftigerweise annehmen durfte, auf der Grundlage angemessener Information zum Wohle der Gesellschaft zu handeln.“ (sog. Business Judgement Rule). Business Judgement Rule gilt über die AG hinaus auch für die GmbH!

„Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden.“ „Geschäftsführer, welche ihre Obliegenheiten verletzen, haften der Gesellschaft solidarisch für den entstandenen Schaden.“

„Jeder Kaufmann hat bei der Führung seiner Handelsbücher und der Aufbewahrung seiner Unterlagen in elektronischer Form die Sicherung der IT-Systeme zu gewährleisten.“

„Im Rahmen seiner Legalitätspflicht hat ein Vorstandsmitglied dafür Sorge zu tragen, dass Unternehmen so organisiert und beaufsichtigt wird, dass keine Gesetzesverstöße … erfolgen. Seiner Organisationspflicht genügt ein Vorstandsmitglied bei entsprechender Gefährdungslage nur dann, wenn er eine auf Schadensprävention und Risikokontrolle angelegte Compliance-Organisation einrichtet. Entscheidend für den Umfang im Einzelnen sind dabei Art, Größe und Organisation des Unternehmens, die zu beachtenden Vorschriften, die geografische Präsenz wie auch Verdachtsfälle aus der Vergangenheit.“

Pflichten der Geschäftsführung

15

IT-spezifische Sorgfaltspflichten

Ergreifen „angemessener technischer und organisatorischer Maßnahmen“

Laufende Überwachung und kontinuierliche Anpassung der Maßnahmen an den aktuellen Stand der

Technik

Erstellung eines Notfallkonzepts

Ggf. Abschluss einer Cyberversicherung


16

Business Judgement Rule

Grenze: positive rechtliche Verpflichtung (z. B. BSIG)

Unterhalb der Grenze: nach pflichtgemäßer Information Ergreifen und Überwachung angemessener

Maßnahmen zur Verhinderung der Verwirklichung des identifizierten Risikos

Str.: Alle erforderlichen Maßnahmen? Berücksichtigung von betriebswirtschaftlichen Aspekten?


17

§ 130 Abs. 1 OWIG

„Wer als Inhaber eines Betriebes oder Unternehmens vorsätzlich oder fahrlässig die Aufsichtsmaßnahmen

unterlässt, die erforderlich sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen gegen Pflichten

zu verhindern, die den Inhaber treffen und deren Verletzung mit Strafe oder Geldbuße bedroht ist, handelt

ordnungswidrig, wenn eine solche Zuwiderhandlung begangen wird, die durch gehörige Aufsicht verhindert

oder wesentlich erschwert worden wäre. Zu den erforderlichen Aufsichtsmaßnahmen gehört auch die

Bestellung, sorgfältige Auswahl und Überwachung von Aufsichtspersonen.”

§ 9 OWiG: auch Vorstände von AG und

Geschäftsführer von GmbH.

Betreiber kritischer Infrastrukturen unterliegen besonderen Anforderungen

Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff durch die Finanzverwaltungen

IT-Sicherheit als Rating-Faktor

fordert spezifische IT-Strategie, die an der Geschäftsstrategie des Institutes ausgerichtet ist


18

„Acht Gebote der Datensicherheit“ § 9 i. V. m. Anlage (zu § 9 Satz 1)

4. Basel II, Solvency II

5. KWG: Kreditwesengesetz

3. GoBD

2. IT-Sicherheitsgesetz

1. Bundesdatenschutzgesetz (BDSG)

Meldepflicht bei Datenschutzverstößen, Hohe Geldbußen, Verstärkte Rechte von Dateninhabern

6. EU-Datenschutz GVO

Gewährleistung der Sicherheit der Daten, Ergreifen technischer Schutzmaßnahmen

7. §§113d, 109 TKG

technische und organisatorische Vorkehrungen 8. § 13 Abs. 4 TMG

Bundesdatenschutzgesetz (BDSG) Anlage (zu § 9 Satz 1)

(Fundstelle des Originaltextes: BGBl. I 2003, 88;

bzgl. der einzelnen Änderungen vgl. Fußnote)

Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche

Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere

Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,

1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt

werden, zu verwehren (Zutrittskontrolle),

2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),

3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer

Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung,

Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können

(Zugriffskontrolle),

4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder

ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass

überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch

Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),

5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in

Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),

19

Bundesdatenschutzgesetz (BDSG) Anlage (zu § 9 Satz 1)

6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des

Auftraggebers verarbeitet werden können (Auftragskontrolle),

7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind

(Verfügbarkeitskontrolle),

8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden

Verschlüsselungsverfahren.

20

Haftung der Organe

21

Verletzt der Geschäftsfü ̈hrer schuldhaft seine Pflicht zur Gewährleistung einer angemessenen IT-Sicherheit drohen insbesondere

Persönliche Haftung gegenüber dem Unternehmen auf Schadensersatz

Pflichtverletzung als Kündigungsgrund

Bußgelder

…

Haftungsvermeidung

22

Haftungs-vermeidung

1. Compliance- Organisation

3. Vermögens-

schadensrechts- schutz-

versicherung

2. D&O

Versicherung

Gibt es organisatorische Regelungen für Mitarbeiter, um möglichst wenig Angriffsfläche zu bieten?

Sind Meldeprozesse installiert, um Verdachtsfälle frühzeitig zu verfolgen?

Gibt es einen Gesamtverantwortlichen für das Thema Cyber Security?

Sind wirksame Detektionsmaßnahmen etabliert?

IT-Sicherheit Fragen an die Geschäftsleitung

23

Kennen Sie Ihre zu schützenden Daten und die damit verbundenen Risiken? Wie werden diese Risiken identifiziert, bewertet und behandelt?

Gibt es einen Krisenplan und wann war die letzte Übung zu dieser Krise?

IT-Sicherheit

24

Stand der Technik

Welche Maßnahmen im Einzelfall angemessen sind und dem Stand der Technik entsprechen, ist von Fall zu

Fall unterschiedlich zu beurteilen.

Maßstab: anerkannte Regelwerke, Standards, Grundschutzkataloge, MaRisk, ISO27001, branchenspezifische

Sicherheitsstandards

„IT-Grundschutz” des BSI oder aber die VDS-Richtlinien zur IT-Sicherheit bieten Anhaltspunkte, die dem Stand

der Technik entsprechenden IT-Sicherheitsmaßnahmen zu identifizieren und umzusetzen.

Technische Maßnahmen – Zwingend

25

Firewall

Intrusion Detection System (N-IDS)

Veränderungsprüfung auf Server und

Systemen

Protokollierung von Administrativen

Zugriffen

Antivirus: auf Dateiablagen (Fileservern)

Technische Maßnahmen – Empfehlenswert

Security Incident Management System

(SIEM)

Intrusion Detection System auf dem Server (H-IDS)

Antivirus – Zentrallösung auf

allen Serversystemen und in allen

Fachanwendungen

Pen Tests auf Infrastrukturen

Source Code Analysen

26

Fallbeispiele

27

Mangelnde Datensicherung

28

Ein Reiseunternehmen hatte eine Firma aus Bochum mit Arbeiten an ihrer Computeranlage beauftragt. Hierfür entstanden Kosten in Höhe von rund 14.000 Euro. Die Computerfirma erhielt anschließend den Auftrag, einer Fehlermeldung nachzugehen. Bei der Vorbereitung der Arbeiten kam es zum Absturz des Servers mit Datenverlust. Für die Beseitigung dieses Schadens entstanden Kosten von ebenfalls nahezu 14.000 Euro. Mit diesen Kosten wollte die Auftraggeberin gegenüber der Rechnung der Computerfirma aufrechnen.

Das Reiseunternehmen hatte seine Daten noch nicht einmal monatlich gesichert, so dass Teile der Daten tatsächlich unwiederbringlich gelöscht waren.

Das OLG Hamm hatte nun zu entscheiden, in wessen Verantwortungsbereich die Datensicherung fällt.

Sachverhalt

Mangelnde Datensicherung

Das OLG Hamm fand in seinem Urteil vom 1. Dezember 2003 (Az:13 U 133/03) deutliche Worte: Bei

mangelnder Datensicherung selbst schuld

Vorwurf an das Unternehmen: keine zuverlässige Sicherheitsroutine, sondern vielmehr grobe

Vernachlässigung dieser

Komplettsicherung auf dem Stand vier Monate vor den Wartungsarbeiten

Dies sei "grob fahrlässig, ja blauäugig", so das OLG Hamm. Schließlich habe eine Sicherung

der Unternehmensdaten "täglich zu erfolgen, eine Vollsicherung mindestens einmal

wöchentlich."

Selbst wenn dem Mitarbeiter des Reparaturdienstes eine Pflichtverletzung im Sinne der

Wahrnehmung seiner Controllerpflichten vorzuwerfen wäre, bliebe es dabei, dass dem

Reiseunternehmen eine Alleinschuld am entstanden Datenverlust und damit am finanziellen

Schaden vorzuwerfen wäre.

29

Erpressungsversuch nach Kompromittierung des Webservers

Quelle: Die Lage der IT-Sicherheit in Deutschland 2015, Bundesamt für Sicherheit und Informationstechnik

30

Ein Unternehmen erhielt ein Erpresserschreiben per E-Mail: Zahlungsaufforderung mit einer Frist von 24 Stunden gefordert wurde.

Drohung bei Nichtzahlung: Veröffentlichung der zuvor über die Kompromittierung der Webseite des Unternehmens ausgespähten Kundendaten.

Als Beleg wurde der E-Mail die Datenbankstruktur der Webanwendung sowie Screenshots beigefügt.

Sachverhalt

Ausnutzung einer bekannten Schwachstelle in dem eingesetzten Content-Management-System (CMS) möglich. Nach Eingang des Erpresseranschreibens wurde ein bereits verfügbares Sicherheitsupdate für das CMS installiert.

Ursache/Auslöser

Erpressungsversuch nach Kompromittierung des Webservers

31

Reputationsverlust durch die Offenlegung der vertraulichen Kundendaten.

personelle und finanzielle Aufwände für Wiederherstellung

Neben Ausspähen von sensiblen Informationen und deren Verwendung für ein

Erpressungsszenario können die Angreifer auch Schadprogramme über die Webseite verteilen oder

den Webserver u. a. für DoS-Angriffe oder den Spam-Versand missbrauchen.

Schadenswirkung

Im Jahre 2015 berichteten dem BSI vorrangig kleine und mittelständische Unternehmen über

kompromittierte Webseiten und ähnlich gelagerte Erpressungsszenarien.

Zielgruppen

Cryptoware im Krankenhaus


32

Unter Einsatz einer Schadsoftware (Cryptoware) infizieren Kriminelle Rechner und verschlüsseln darauf liegende Daten.

Erpressung von Lösegeld gegen Rückgängigmachung der Verschlüsselung.

Im April 2015 war ein System eines Klinikkonsortiums betroffen, die dort Gesundheitsdaten wie Arztbriefe und Abrechnungen verschlüsselte.

Sachverhalt

Die Infektion mit der Schadsoftware ist vermutlich auf Anwendungssoftware zurückzuführen, die nicht auf dem aktuellen Stand in Bezug auf Sicherheitsupdates war.

Ursache

Cryptoware im Krankenhaus


33

Backup konnte eingespielt werden, Datenverlust begrenzt auf eine Zeitspanne von zwölf Stunden

U.U. weiterer finanzieller Schaden, da Abrechnungen ggf. nicht mehr nachvollzogen werden

können

zusätzlicher Aufwand durch erneute Erstellung von Arztbriefen und die Aktualisierung der

medizinischen Dokumentation

Schadenswirkung

Vermögensschäden und Cyber-Risiken:

IT-Due-Diligence und Absicherungsmöglichkeiten

34

WWW.GGW.DE

Wirtschaftskriminalität im Zeitalter der Digitalisierung

Vermögensschäden und Cyberrisiken

IT-Due Diligence und Absicherungsmöglichkeiten

Cengiz Horn, Robert Brixius, Markus Hoffmann

Köln, 02.02.2017

36

DATEN & FAKTEN GGW KREDIT

GGW-Gruppe gegründet 1758 in Hamburg

290 Mitarbeiter

Assekuranzmakler

GGW-Kredit gegründet 1995

Standorte Erkrath, Hamburg,

Leipzig, Meppen

Mitarbeiter 13 Kreditexperten

Service Kreditversicherung

Finanzierung

Avale

Sonderkonzepte

Wirtschaftskriminalität

37

VIER STUFEN DER

INDUSTRIELLEN

REVOLUTION

Ende

18. Jhdt.

Ende

19. Jhdt.

Beginn 70er Jahre

20. Jhdt.

heute Zeit

Grad

d

er K

om

plexität

Erster mechanischer

Webstuhl

1784

Erstes Fließband

Schlachthof Cincinnati

1870

Erste Speicherprogram-

mierbare Steuerung (SPS)

1969

4. Industrielle Revolution

auf Basis von

Cyber – Physical - Systems

Wasser- und

Dampfkraft

Fließbänder- und

elektrische Energie

Einsatz von

Elektronik und IT

Vernetzung von

Maschinen, Sensoren

und Menschen

Entwicklungszyklen werden immer kürzer, Risiken nehmen überproportional zu

38

Versicherer

Risiken

identifizieren

Beherrschbar?

Quantifizierbar?

Können Risiken

atomisiert/geteilt

werden?

Wahrscheinlichkeits-

berechnung Prämie

Markt

Nur kalkulierbare Risiken können versichert werden

VERSICHERBARKEIT VON RISIKEN

39

An

alyse

Deckungsschutz

Notfall-Team

Prop

hylaxe

Geschäftsführer-

haftung

EU-Datenschutz-

verordnung

IT-

Sicher-

heits-

gesetz

KontraG

Geldwäsche

Unterschlagung

Computerbetrug

Hackerrisiken

Bestechung und

Korruption

Manipulation Bilanzen

oder Finanzen

Betrug in M&A

Cybererpressung

Diebstahl

Kartellrechts-

verstöße

Datenschutzvorfall Cyber durch Aussentäter

und Innentäter

Betriebsunterbrechung

durch Cyber

Man in the middle

nicht integre

Mitarbeiter in

Schlüsselpositionen

Fake President

MiLoG

Geheimnisverrat

Vertragsstrafen

Cloud

Untreue

Geschäfts-

führer

Notfall-Team

RISIKOMANAGEMENT WIRTSCHAFTSKRIMINALITÄT

40

COMPLIANCE

Gemäß § 93 AktG n.F. + 43 GmbHG werden Unternehmensleitungen einer persönlichen

Haftung i.d.R. nur noch dann entgehen können, wenn sie nachweisen können, dass sie durch

ein ausreichendes Informations- und Risikomanagement sichergestellt haben,

• dass sie von allen wesentlichen Vorgängen im Unternehmen

Kenntnis erlangen

und

• für alle wesentlichen Risiken angemessene

Sicherheitsmaßnahmen sowie

„Worst-Case“-Absicherungen veranlasst haben

Gesetze zwingen Geschäftsführer zum Handeln

http://ehnet/tb/mc/Miscellaneous pictures for all/Others/iStock_000008932022Small.jpg

41

Diebstahl

Unterschlagung

Betrug

Untreue

Geheimnisverrat

Vertragsstrafen

Fake President

Computerbetrug

Hackerrisiken

Man in the middle

Cloud

Datenschutzvorfall

Cyber durch

- Außentäter

- Innentäter

Betriebs-unterbrechung

durch Cyber

Cybererpressung

Hackerrisiken

Cloud

Risiken

von innen

Risiken

von außen

Geldwäsche Korruption Kartellrechtsverstöße

Manipulation Bilanzunterlagen

Nicht alle Risiken sind versicherbar

Unternehmen

42

» Der Angriff weiß, was er will.

Die Verteidigung befindet sich in dem

Zustand der Ungewissheit.«

Helmuth Graf von Moltke

43

Hacker

Betrüger

Mitarbeiter

DIE DREI ANGRIFFSFELDER

44

RISIKOUMFELD

Das digitale Zeitalter geht mit

neuen Formen der Kriminalität

einher:

47% der Unternehmen

sind bereits Opfer einer Cyber-

Attacke geworden – oder haben

den konkreten Verdacht

45

2016 WURDEN WIRTSCHAFTSKRIMINELLE HANDLUNGEN

ZU GLEICHEN TEILEN (50%/50%)

VON EXTERNEN WIE INTERNEN TÄTER BEGANGEN

GESAMTSCHADEN IN DEUTSCHLAND CA. € 80 MILLIARDEN

JEDES ZWEITE UNTERNEHMEN IST BETROFFEN

RISIKOUMFELD

46

BETRUG, UNTREUE, DIEBSTAHL UND UNTERSCHLAGUNG

SIND BEI ZWEI DRITTEL ALLER BETROFFENEN UNTERNEHMEN

DIE HÄUFIGSTE DELIKTART

AUFGRUND DER MEDIENPRÄSENZ IST DIE RISIKOWAHRNEHMUNG

BEI CYBER- UND DATENDELIKTEN SUBJEKTIV GESEHEN HÖHER

RISIKOUMFELD

47

WAS DECKT DIE VERTRAUENSSCHADENVERSICHERUNG (VSV)?

Diebstahl

Unterschlagung

Betrug

Untreue

Geheimnisverrat

Vertragsstrafen

Fake President

Computerbetrug

Hackerrisiken

Man in the middle

Cloud

Hackerrisiken

Cloud

Risiken

von innen

Risiken

von außen



Zielgerichtete

Betrugsfälle durch

eigene Mitarbeiter oder

Dritte

Nicht versicherbar!

Prophylaxe

Prophylaxe ist essentiell zur Risikovermeidung und Risikominderung

Unternehmen

Erweiterung um

Cyber-Risiken möglich

Vermögensschäden

48

DECKUNGSSCHUTZ VERTRAUENSSCHADENVERSICHERUNG

MAN IN THE MIDDLE-ANGRIFF

Ein Dritter hat mit seinem System vollständige Kontrolle über den Datenverkehr zwischen zwei

oder mehreren Netzwerkteilnehmern

die Informationen können nach Belieben eingesehen und sogar manipulieren werden

der Angreifer täuscht dabei den Kommunikationspartnern vor, das jeweilige Gegenüber zu

sein

Diese Betrugsmasche ist der Schlüssel zu vielfältigen Attacken

49


BETRUGSSZENARIO 1: FAKE PRESIDENT

Mitarbeiter aus der Finanzabteilung werden direkt kontaktiert und

zur Durchführung einer Zahlung bewegt

Angreifer geben sich oft als Vorgesetzte aus (Fake President)

Derzeit eine recht erfolgreiche Betrugsmasche

50

FAKE PRESIDENT-FÄLLE 2016

BETRUGSSZENARIO 1: FAKE PRESIDENT

Leoni AG aus Nürnberg Schaden 40 Mio. EUR

FACC AG aus Ried im Innkreis Schaden 50 Mio. EUR

Euler Hermes hatte in den letzten beiden Jahren

• Mehr als 45 Schadenfälle

• Mit mehr als 130 Mio. EUR Schaden

51


BETRUGSSZENARIO 2: PAYMENT DIVERSION FRAUD

Umleiten von Zahlungsströmen

Betrüger geben sich als Geschäftspartner oder Lieferanten

des Unternehmens aus

• durch gefälschte Mitteilungen erreichen sie, dass die Bezahlung für Waren oder erbrachte

Dienstleistungen auf abweichende Konten erfolgt

Entdeckung meist erst dann, wenn der korrekte Zahlungsempfänger die Zahlung anmahnt

Diese Betrugsmasche ist sehr ausgefeilt und kaum erkennbar


• 8 Schadenfälle

• Mit 3 Mio. EUR Schadenvolumen

52


BETRUGSSZENARIO 3: FAKE IDENTITY FRAUD

Die Betrüger, die sich nun als Kunde/Lieferant ausgeben, bestellen mit plausibler Erklärung

Waren zu einer abweichenden Lieferadresse oder zur abweichenden Selbstabholung

Da dies oft erst dann auffällt, wenn der Kunde, welcher scheinbar bestellt hat, wegen

Zahlungsverzug gemahnt wird, werden die Geschäftsräume der genannten Lieferadresse

leergeräumt vorgefunden

Diese Betrugsmasche ist stark im Aufwind.


• 10 Schadenfälle

• Mit 4 Mio. EUR Schadenvolumen

53

WER BIETET DIE VSV/COMPUTERMISSBRAUCHSVERSICHERUNG IN D AN?

Marktanteile 2015

Die beiden Marktführer haben 75% Marktanteil

Prämienvolumen in D in 2015 ca. 150 Mio. EUR

54

FAZIT VERTRAUENSSCHADENVERSICHERUNG

Bietet Schutz für den überwiegenden Teil von wirtschaftskriminellen Delikten

Derzeit einzige Möglichkeit den Betrugsfall „Fake President“ abzusichern

Vertrauensschadenversicherung ist eine geeignete Basisdeckung für klassische Betrugsfälle

und Cyber-Attacken

55

Diebstahl

Unterschlagung

Betrug

Untreue

Geheimnisverrat

Vertragsstrafen

Fake President

Computerbetrug

Hackerrisiken

Man in the middle

Cloud

Datenschutzvorfall

Cyber durch

- Außentäter

- Innentäter

Betriebs-unterbrechung

durch Cyber

Cybererpressung

Hackerrisiken

Cloud

Risiken

von innen

Risiken

von außen



Nicht alle Risiken sind versicherbar

Unternehmen

56

ENTWICKLUNG DER CYBER-DECKUNG IN DEUTSCHLAND

Ende der 90er Jahre:

• (Vermögensschaden)-Haftpflicht

• Betriebshaftpflicht (IT-Klausel)

• Vertrauensschadenversicherung (Computerbetrug)

2012 erste eigenständige Produkte in Deutschland

2014 Bildung eines (Teil-)Marktes für Cyber-Risiken-Versicherungen

2015 Es gibt mehr als zehn Anbieter von Cyber-Risiken-Versicherungen. Das Prämienvolumen

erreicht zweistellige Millionenbeträge

57

Cyber-

Vorfall

Haftpflicht

Eigenschäden

Assistence

• Datenschutzverletzungen

• Vertraulichkeitsverletzungen

• Wiederherstellungskosten Daten

• Ertragsausfall durch Umsatzverluste

• Cyber-Erpressung

• Rechtsberatung

• PR-Berater

• IT-Forensik

• Information betroffener Dateninhaber nach

Datenschutzvorfall

CYBER VERSICHERUNG

58

DIE KOSTSPIELIGE E-MAIL

Bei der Wüstenrot- Württembergischen wurde versehentlich eine E-Mail mit einer Anlage von

sensiblen Kundendaten an eine falsche E-Mail-Adresse versendet.

Der Mitarbeiter hatte übersehen, dass die Autovervollständigung in Outlook ihm nicht die

Adresse seines Außendienstmitarbeiters anzeigte, sondern die eines Dritten.

Dieser Dritte informierte sofort die Stuttgarter Lokalpresse. Die Württembergische hat die

Betroffenen informiert und der Vorfall war 2 Tage Thema in diversen Medien:

• Kosten für diverse forensische Arbeiten

• Kosten für Rechtsberatung und Rechtsbeistand

• Kosten für gesetzliche Informationspflichten

• Kosten für Media und PR Arbeiten

59

Besteht Versicherungsschutz über eine der klassischen Versicherungssparten?

Betriebshaftpflichtversicherung?

Vertrauensschadenversicherung?

Elektronikversicherung?

D & O?

DIE 208 TEUR –E-MAIL

60

RANSOMWARE (VERSCHLOSSENE TÜREN)

Ein Hotel erhält per E-Mail eine Kryto-Trojaner. Dieser verschlüsselt das gesamte IT-System

Als Folge sind die Codekarten für die Zimmer unbrauchbar. Die Gäste können Ihre Zimmer

nicht mehr öffnen

Die E-Mail enthält die Mitteilung, dass gegen Zahlung von 6 Bitcoin die Verschlüsselung

aufgehoben wird

61

RANSOMWARE (VERSCHLOSSENE TÜREN)

Der IT-Forensiker des Cyber-Versicherers wurde kontaktiert

Dieser kann die Verschlüsselung deaktivieren und das IT-System innerhalb von 2 Stunden

wieder betriebsbereit stellen

Versicherte Kosten in diesem Fall:

• Kosten für IT-Forensik

• Cyber-Lösegeld

• Rechtsberatung

62

ERTRAGSAUSFALL

63

ERTRAGSAUSFALL

64

MARKTÜBERBLICK

VERSICHERER/ DECKUNGSKAPAZITÄTEN

Kapazität bezogen auf einzelne Versicherer zwischen 5 Mio. EUR und 50 Mio. EUR

Marktkapazität bis 200 Mio. EUR

Versicherer-Konsortien sind möglich

Deutliche Unterschiede in den Erfahrungskurven (Schadenabwicklung)

Einige Versicherer geben den IT-Forensiker und die Rechtsanwaltskanzlei vor

65

MARKTÜBERBLICK

AKTUELLE ABSCHLÜSSE UND AUSBLICK

Derzeitige Abschlüsse im Markt

• ca. 2.000 eigenständige Cyber-Versicherungen (Stand-alone)

• ca. 20.000 Teil-Deckungen integriert in andere Konzepte/Kombi-Produkte

Große Anzahl Anbahnungen = Interesse wächst exponentiell

Marktprämie Deutschland z.Zt. ca. 25 bis 30 Mio. EUR

Einschätzung 200 Mio. EUR Prämie in 5-7 Jahren

66

MARKTÜBERBLICK

PRODUKTLANDSCHAFT

Erhebliche Unterschiede in den Produkten (z.B. Obliegenheiten)

Gängige Selbstbehaltsregelungen für Eigenschäden 5.000 EUR bis 25.000 EUR

Gängiger Selbstbehalt bei Ertragsausfallschäden 12 Stunden

Digitale Daten versus analogen Daten

67

ET KÜTT WIE ET KÜTT

In einer Wirtschaftsprüferkanzlei geht ein Anruf ein. Der Anrufer teilt mit, dass er sämtliche

Kundendaten in seinen Besitz gebracht hat.

Es wird eine Summe in Höhe von 100.000 EUR gefordert, sonst werden die Daten

veröffentlicht.

Der Kanzleiinhaber bezweifelt die Glaubwürdigkeit aufgrund der geringen Summe.

Der Erpresser benennt vier “Referenzen“ und sagt zu, sich am nächsten Tag erneut zu melden.

Alle “Referenzen“ bestätigen die Angaben des Erpressers.

Die Kanzlei zahlt die geforderten 100.000 EUR.

68

FAZIT CYBER-DECKUNG

Steigende Abhängigkeit durch Industrie 4.0/ Digitalisierung.

Zunehmende Professionalisierung der Täter (Crime as a Service).

Die Täter agieren international die Strafverfolgung hingegen national.

Großkonzerne investieren zunehmen in IT-Sicherheit damit rückt der Mittelstand in den Focus

der Täter.

Es gibt keinen Marktstandard im Versicherungswesen.

Individuelle Beratung ist zwingend erforderlich.

Prophylaxe ist zwingende Voraussetzung für Deckungsschutz.

69

RISIKO WIRTSCHAFTSKRIMINALITÄT IM UNTERNEHMEN

Diebstahl

Unterschlagung

Betrug

Untreue

Geheimnisverrat

Vertragsstrafen

Fake President

MiLoG

Computerbetrug

Hackerrisiken

Man in the middle

Cloud

Datenschutzvorfall

Cyber durch

- Aussentäter

- Innentäter

Betriebs-

unterbrechung durch

Cyber

Cybererpressung

Geldwäsche

Korruption

Manipulation

Bilanzunterlagen

Kartellrechts-

verstöße

Analyse von

Prozeßabläufen,

Systemen und

Kontrollen

Prophylaxe

Schulungen

nicht versicherbar

Prävention durch Analyse

sowie Kontroll- und

Sicherungssystemen

Absicherung durch

Vertrauensschaden-

versicherung

Hackerrisiken

Cloud

Absicherung durch

Cyber-Deckung

Absicherung durch

Vertrauensschaden-

versicherung als

auch Cyber-Deckung

70

Allgemeine

Unterneh-

mensrisiken

Haftung für strategische

Fehler der

Geschäftsleitung

(Fahrlässigkeit)

Haftung für

Cyber-Schäden

von innen und

außen, Betriebs-

unterbrechung

und Assistance

Haftung für strafbare

Handlungen von

innen und außen

mit Vermögens-

schäden

(Vorsatz)

VSV

Cyber

Betriebs-

haftpflicht

GESCHÄFTSLEITUNG TRÄGT VERANTWORTUNG FÜR DIE RISIKOFÜRSORGE

D&O

71

FAZIT

In immer kürzeren Zeitabständen steigt die Gesamtproduktion in der Wirtschaft und die damit

verbundenen Risiken

Das Cyber-Risiko ist nicht seriös abschätzbar und entwickelt sich dynamisch

Durch Vorgaben des Gesetzgebers nehmen die Haftungsrisiken für die Geschäftsführung

enorm zu

Betrugsdelikte sind nach wie vor die höchsten Schäden

Gesamtheit der Risiken kann nicht durch eine Police gedeckt werden

VSV sollte zumindest als Basisdeckung verwendet werden

Teil der Risiken ist gar nicht versicherbar

Permanentes Risikomanagement und Prophylaxe ist notwendig

72

FAZIT

Aufgrund der Komplexität des Themas ist Fachwissen von Spezialmaklern unabdingbar

Spezialmakler stellt sicher, dass

• Ihr Unternehmen eine bedarfsgerechte Deckung erhält

• Es keine Deckungslücken gibt

• Keine Doppelversicherung besteht (Subsidiaritätsprinzip)

• Keine doppelten Kosten entstehen

• Jegliche Deckungserweiterungen in einem dynamischen Marktumfeld zeitnah kommuniziert

werden

• Schäden schnell und professionell abgewickelt werden

73

FALLS SIE UNS BRAUCHEN, STEHEN WIR IHNEN GERNE ZUR VERFÜGUNG

Cengiz Horn

[email protected]

0211 - 520 555 2310

Robert Brixius

[email protected]

0211 - 520 555 2314

Markus Hoffmann

[email protected]

040 – 328 101 4588

Management von IT-Risiken

Prävention Dedektion Remediation

74

75

Leute, die sich die Finger verbrennen, verstehen nichts vom Spiel mit dem Feuer.

Oscar Wilde

„IT-Sicherheit bezeichnet einen Zustand, in

dem die Risiken, die beim Einsatz von

Informationstechnik aufgrund von

Bedrohungen und Schwachstellen vorhanden

sind, durch angemessene Maßnahmen auf ein

tragbares Maß reduziert sind. IT-Sicherheit ist

also der Zustand, in dem Vertraulichkeit,

Integrität und Verfügbarkeit von

Informationen und Informationstechnik

durch angemessene Maßnahmen

geschützt sind.“ (Quelle: www.bsi.bund.de)

IT-Sicherheit

„Informationssicherheit hat den Schutz von

Informationen als Ziel. Dabei können

Informationen sowohl auf Papier, in Rechnern

oder auch in Köpfen gespeichert sein. […]“ (Quelle: www.bsi.bund.de)

Informations- Sicherheit

Management von IT-Risiken Begriffsdefinition IT-Sicherheit und Informationssicherheit

76

Management von IT-Risiken Begriffsdefinition IT-Sicherheit und Informationssicherheit

77

IT-Sicherheit Informationssicherheit

Personalakten in Papierform

Mitarbeiter-wissen

Stammdaten im ERP-System

Elektronische Workflows

Digitaler Datenaustausch

Computergesteuerte Produktionsanlagen

Vertrauliche Emailnachrichten

Elektronisches Schließsystem für die Lagerhalle

Briefpost

Physische Risiken

Technische Risiken

Rechtliche Risiken

Geschäftliche Risiken

Management von IT-Risiken ISMS als Bestandteil der Corporate Governance

78

Governance

Konkretisierung und Synchronisation von Unternehmens-(IT) und ISMS-Zielen

Vorgabe einer klaren unternehmens- bzw. gruppenweiten Leitlinie für ISMS

Risk

Festlegung einheitlicher Vorgehensweisen i. S. Risikomanagement

Kennen der betrieblichen Risikoexposition und des Schutzbedarfs

Wettbewerb

Steigende Awareness zum ISMS hin bei Wettbewerbern und Stakeholdern

Erfüllung von Vertrags- und Marktanforderungen

Marketingeffekt/ Ausschreibungen

Compliance

Erfüllung der steigenden gesetzlichen Normen (antizipativ und mittelbar)

Festlegung eines ein-heitlichen Frameworks interner Vorgaben

Erfüllung vertraglicher Aufgaben (Wettbewerb)

Management von IT-Risiken Grundlagen eines ISMS

Informationen gibt es in

unterschiedlichen Formen

Digital (IT-Sicherheit,

Informationssicherheit)

Sprache (Informations-

sicherheit)

Papier (Informations-

sicherheit)

Information

Die IT-Sicherheit ist fast

ausnahmslos eine

Teilmenge der

Informationssicherheit

und nicht umgedreht

ISO 27000 Reihe

IT-Sicherheitsgesetz

Energiewirtschaftsgesetz

Verfügbarkeit, Integrität,

Vertraulichkeit,

Authentizität

Sicherheit(s)

Informationssicherheit ist

grundsätzlich eine

Aufgabe des

Managements. Die

Einführung und der

Betrieb eines ISMS ist

Managementaufgabe

Leitlinie zur

Informationssicherheit

Aufgaben können

delegiert werden

ISMS stellt die operative

Umsetzung und Kontrolle

der Leitlinie sicher.

Management

Plan

Erkennen von Risiken

und Verbesserungen

Do

Testen und praktische

Optimierung

Check

Umsetzung auf breiter

Front

Act

Regelm. Überprüfung

System

79

Management von IT-Risiken Grundlagen eines ISMS

80

Organisatorische Maßnahmen Verantwortlichkeiten Sensibilisierung, Gremien Richtlinien…

Vertragsbeziehungen Outsourcing, Vertragsprüfung,

Prüfungsrechte, …

Logische und technische Sicherheit Systemzugang, E-Mail, Malwareschutz, Netzwerke…

Physische Sicherheit Gebäude, RZ, Brandschutz, Zutritt Strom, Klima,…

ISMS-Schnittstellen Risikomanagement, Kontrollsysteme,

Datenschutz, Compliance, …

Betriebsverfahren Change- und Release-

management, Kapazität- und

Verfügbarkeitsmanagement

Notfallmanagement Business Continuity, Notfallplan,

Eskalationsprozesse, Notfalltests Störfallmanagement

ISMS

Management von IT-Risiken Erfassung und Bewertung der Gefährdung

81

1. Cloud-Computing 2. Software-Schwachstellen 3. Hardware-Schwachstellen 4. Kryptografie 5. Mobilkommunikation 6. Internet-Infrastruktur

Verwund- barkeit

Bedrohung

Gefährdung

Eintritts- wahrscheinlich-

keit

Schadenshöhe

IT-Risiko

BE

DR

OH

UN

GS

-U

RSA

CH

EN

1. Malware / Schadsoftware 2. Ransoftware 3. Social Engineering 4. Identitätsdiebstahl

AN

GR

IFFS

-M

ET

HO

DE

5. APT 6. Spam 7. DDoS

Erfassung und Bewertung von IT-Risiken: Prozessanalyse entlang der Wertschöpfungskette

Identifikation der IT-Systeme, die wesentlich sind für die Wertschöpfung sind und von einer Manipulation / Ausfall

betroffen wären (nach Branche) :

82

Produzierendes Unternehmen

Materialbedarfs- und Produktionsplanung, Produktionssteuerung, Lagerhaltung und Logistik

Einzel-Handel Stationär

Warenwirtschaft, Filial-Kassendaten, EC- und Kreditkarten-Terminals

Einzel-Handel Online

Kundendaten, Webshop

Telekommu-nikation

Telefonie-Rohdaten aus dem Wirknetz, Abrechnungssysteme, Kundendaten

Energiesektor/ Betreiber sog. Kritischer Infrastrukturen

besondere Sorgfaltspflicht gem. BSI Gesetz

Erfassung und Bewertung von IT-Risiken: Beispiel einer Prozessanalyse

Was mache ich, wenn meine Prozesse nicht mehr funktionsfähig sind? Oder: Wie stark abhängig von einzelnen Input-Faktoren

(z. B. IT)?

Kann ich noch ausliefern? Kann man bei mir bestellen? Kann ich noch einkaufen?

Kann ich meine Produktion planen? Kann ich produzieren? Kann ich überhaupt meinen Materialbedarf bestimmen?

Kann ich mein Lager bedienen?

Kann ich meinen Kunden und Lieferanten Informationen über meinen aktuellen Stand zukommen lassen?

Kann ich meine Mitarbeiter informieren? Kann ich sie bezahlen, Finanzamt und SV Meldung machen?

Lücken in IT- und Informationssicherheit geben Eindringlingen die Handhabe darüber, was mit Ihren Systemen geschieht.

Eine kurze Presse-Nachschau der letzten Tage:

Angreifer wissen in der Regel VOR den Nachrichtenseiten von kritischen Lücken.

Um unternehmensintern gewappnet zu sein, muss der interne Prozess VOR dem Eintritt eines Ausfalls ansetzen.

83

Prävention von IT-Risiken Organisatorische Maßnahmen zur Einrichtung eines Mindestniveaus

Wie kann ich selbst durch organisatorische Maßnahmen vorsorgen, dass ein Mindestniveau von

Informationssicherheit erlangt wird? Zur Beantwortung der Frage können grundsätzlich nachfolgende

Maßnahmen genannt werden:

84

Schaffung von Awareness in der Belegschaft

Bestellung eines Informationssicherheitsbeauftragten & Verzahnung mit weiteren Stabstellen

Implementierung eines effektiven Incident Managements/CERT-Prozess

Notfallplan konzeptionieren und regelmäßig testen

Nutzung von Threat Intelligence Feeds

Prävention von IT-Risiken Technische Maßnahmen zur Einrichtung eines Mindestniveaus

Wie kann ich selbst durch technische Maßnahmen vorsorgen, dass ein Mindestniveau von

Informationssicherheit erlangt wird? Zur Beantwortung der Frage können grundsätzlich nachfolgende

Maßnahmen genannt werden:

85

Aufbau einer adäquaten Firewallarchitektur

Einsatz von administrierten Virenschutzprogrammen

Durchführung eines geregelten Patchmanagements

Konzeption + Implementierung eines Berechtigungskonzepts über alle kritischen Applikationen

Konzeption einer Kennwortrichtlinie und entsprechend folgende Konfiguration

Überprüfung der Netzwerksicherheit durch regelmäßige Penetrationstests

Konzeption und Implementierung eines Datensicherungskonzepts

Einrichtung von physischer Sicherheit

Don‘t forget: Organisatorische IT-Sicherheit

Dedektion von IT-Risiken Analyse der IT-Systeme nach potentieller Angriffsmethode

86

Bedrohungsursachen

1. Cloud-Computing

2. Software-Schwachstellen

3. Hardware-Schwachstellen

4. Kryptografie

5. Mobilkommunikation

6. Internet-Infrastruktur

Angriffsmethode

1. Malware / Schadsoftware

2. Ransoftware

3. Social Engineering

4. Identitätsdiebstahl

5. APT

6. Spam

7. DDoS

Remediation von IT-Risiken

87

Kommunikationsstrategie Notfallplan

Straf- und Schadensverfolgung Versicherungsanspruch

Integritätsprüfung der

Systemkonfiguration,

des Dateisystems etc.

Wiedereinspielung der

Original-Dateien

Konfiguration/Patches

Dokumentation

…

Sicherung und

Überarbeitung der

physischen und

logische Zugriffs-

regelungen

…

Passwörter

Biometrische Systeme

Blogchain

…

Redundanzen

RZ-/ Cloud-

management

SLA-Regelungen

…

Verfügbarkeit Integrität Vertraulichkeit Authentizität

Ausblick digitale Transformation

88

© Ebner Stolz Management Consultants 89

Machen Sie Digitalisierung zur Chefsache

Digitale Transformation muss Teil der Unternehmensstrategie werden und damit auf oberster Unternehmensebene angesiedelt werden. Chefsache ist beispielsweise auch die Abwehr von Cyberangriffen, besonders in einer komplett vernetzten Produktion. Eine Aufgabe, die nicht in der IT-Abteilung allein gelöst werden kann, sondern auf die Agenda der Unternehmensführung gehört.

Stellen Sie ein Digitalisierungsteam auf

Ein Team aus allen Bereichs und Abteilungsleitern und relevanten Mitarbeitern ist zu bilden, das sich mit der digitalen Transformation befasst und direkt an die Geschäftsleitung berichtet. Ein Chief Digital Officer (CDO) steuert alle Aktivitäten und Maßnahmen und koordiniert sie.

Entwickeln Sie eine Digitalisierungsstrategie

Auf Basis einer umfangreichen Analyse, welche Prozesse, Teile und Bereiche des Unternehmens in welchen Themenfeldern digitalisiert werden sollten, wird eine Digitalisierungsstrategie entwickelt.

Investieren Sie in die digitale Kompetenz Ihrer Mitarbeiter

Welche Fähigkeiten brauchen die Mitarbeiter bei der digitalen Transformation? Welche Kompetenz- und Um-setzungslücken gibt es bei Datenverarbeitung, Automatisierung, Vernetzung und Kundenschnittstellen? Mit einem umfassenden Weiterbildungsangebot erwerben die Mitarbeiter notwendige Zusatzqualifikationen und Kompetenzen. Spezialisten, beispielsweise für die Analyse großer Datenmengen, sind rar. Die Unternehmen müssen sich jetzt darum kümmern, diese Mitarbeiter zu finden und an sich zu binden.


Digitalisieren Sie Ihr Geschäftsmodell

Wenn eine disruptive Technologie das bisherige Geschäftsmodell des Unternehmens bedroht, muss dieses daran angepasst oder völlig neue Geschäftsmodelle, Produkte und Lösungen entwickelt werden.

Nutzen Sie den wertvollen Datenrohstoff

Daten sind die Rohstoffe dieses Jahrhunderts. Unternehmen müssen effizient mit ihnen umgehen. Sie müssen lernen, auf breiter Basis mit ihnen zu arbeiten. Durch den Einsatz von Big-Data-Technologien können entscheidungsrelevante Erkenntnisse gewonnen werden. Auch kleinere Unternehmen können ihre Produkt und Servicequalität mit dem geschickten Einsatz von Big Data deutlich steigern. Die Unternehmen sollten ihre komplette Wertschöpfungskette und die Lebenszyklen ihrer Produkte digital abbilden können. Bisher wird nur rund ein Prozent der in der Produktion anfallenden Daten genutzt.

Setzen Sie die neuesten Technologien ein

Viele verfügbare Technologien können dabei helfen, Geschäftsprozesse schneller, effektiver und kostengünstiger zu erledigen. Die Einführung von Software zur Digitalisierung administrativer Prozesse führt zu schnellen Erfolgen: Performance und Datensicherheit steigen, die Compliance wird verbessert und die Kundenzufriedenheit nimmt zu. Durch eine bedarfsgerechte Form der flexiblen Nutzung von IT-Leistungen per Cloud Computing bezahlen Unternehmen nur noch das, was wirklich genutzt wird.


Entwickeln Sie digitale Lösungen gemeinsam mit Kunden und Partnern

Effizienz verbessern ist gut, Kundenerlebnisse optimieren ist besser: Kunden und Partner sind in die Digitalisierung der Geschäftsprozesse oder des Geschäftsmodells zu integrieren, um neue Lösungen partnerschaftlich zu entwickeln. Unternehmen müssen entscheiden, welche strategischen Schnittstellen sie kontrollieren müssen, um den Kontakt zum Kunden zu behalten und sich gegen neue Wettbewerber zu behaupten.

Erweitern Sie Ihre Wettbewerbsbetrachtung um Tech-Unternehmen

Bei der Wettbewerbsbetrachtung muss zukünftig deutlich breiter gedacht werden. So sollten auch die Entwicklung und Innovationen von Technologieunternehmen beobachtet und analysiert werden. Ein zukünftiger Wettbewerber könnte aus dem Silicon Valley kommen!

Kooperieren Sie mit Startups

Partnerschaften mit Startups und mittelständischen IT-Unternehmen, HighTech-Konzernen und Beratungsgesellschaften sollten erwogen werden. Kooperationskompetenz wird zur neuen Kernkompetenz. Wer schneller und besser mit Partnern kooperiert und diese tiefer integriert, wird im Wettbewerb gewinnen.

Haftungsausschluss

Trotz sorgfältiger Aufbereitung der Unterlagen übernehmen wir keine Gewähr und somit auch keine

Haftung für die Richtigkeit, Aktualität und Vollständigkeit der Inhalte und Darstellungen. Das Skript ist

nicht zum Zwecke erstellt, abschließende Informationen über bestimmte Themen bereitzustellen oder

eine Beratung im Einzelfall ganz oder teilweise zu ersetzen. Hierfür stehen wir auf Wunsch gerne zur

Verfügung.

Nachdruck, auch auszugsweise, nur mit schriftlicher Genehmigung von Ebner Stolz. Dies gilt auch für

die Vervielfältigung auf fotomechanischem Wege.

Rechtsstand: November 2016

92

Documents

WIRTSCHAFTSKRIMINALITÄT IM ZEITALTER DER … · • Vollzugriff und -zugang zum Unternehmensnetz • Innerhalb von 3-4 Stunden erste Adminrechte • mehrere hundert Passwörter geknackt