Seminar zur Cyber-Versicherung - uni-muenster.de
Transcript of Seminar zur Cyber-Versicherung - uni-muenster.de
Seminar zur Cyber-Versicherung
Forschungsstelle für Versicherungswesen - Universität Münster
Münster, 14. Februar 2017
Aon Risk Solutions Ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
2
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Referenten | Vorstellung
Johannes Behrends
Studierte Rechtswissenschaften in Tübingen und Hamburg
Nach seinem Referendariat in Düsseldorf arbeitete er zunächst als Anwalt für Medien-, Internetrecht und gewerblichen Rechtsschutz
Ist Absolvent des Masterstudienganges „Versicherungsrecht“ an der Westfälischen Wilhelms-Universität Münster
Arbeitet seit 2009 für Aon Risk Solutions und ist seit 2011 für das Thema Cyber verantwortlich
Leitet seit 2015 die Specialty Cyber bei Aon Risk Solutions
Thomas Droberg
Cyber Specialist
Johannes Behrends
Head of Specialty Cyber,
Germany
Thomas Droberg
Studierte Rechtswissenschaften in Bochum
Verbrachte sein Referendariat unter anderem bei einem großen deutschen Industriekonzern in New Jersey, USA
Ist Absolvent des Masterstudienganges „Versicherungsrecht“ an der Westfälischen Wilhelms-Universität Münster
Arbeitet seit 2011 für Aon Risk Solutions und beschäftigt sich seitdem mit dem Thema Cyber
Seit 2015 ist er Teil der Specialty Cyber bei Aon Risk Solutions
3
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Cyber Risiken | Die Bedrohungslage
4
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Cyber Risiken | Die Bedrohungslage
„Wer heute glaubt als Wirtschaftsunternehmen, man wird nicht
angegriffen, der muss sich wirklich Gedanken machen, ob sie
noch das richtige Geschäftsmodell haben. Offenbar sind sie dann
nicht mehr attraktiv für die Angreifer.“ Matthias Gärtner, Pressesprecher BSI
5
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Cyber Risiken | Welche Risiken fürchten deutsche Unternehmen?
Quelle: Allianz Risk Barometer 2017
6
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Agenda
Was sind Cyber Risiken?
Schadenszenarien und wirtschaftliche Bedeutung
Case Study
1 2 3
Inhalte einer Cyber-Versicherung und Abgrenzungsprobleme
Cyber-Versicherung in der Praxis
Marktüberblick und Themen der Zukunft
4 5 6
7
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Cyber Risiken | Definition „Cyber(space)“
Wikipedia
„Cyberspace (englisch cyber als Kurzform für „Kybernetik“, space
„Raum, Weltall“: kybernetischer Raum, Kyberraum) bezeichnet im
engeren Sinne eine konkrete virtuelle Welt oder Realität
(„Scheinwelt“), im erweiterten Sinne die Gesamtheit mittels
Computern erzeugter räumlich anmutender oder ausgestalteter
Bedienungs-, Arbeits-, Kommunikations- und
Erlebnisumgebungen. In der verallgemeinernden Bedeutung als
Datenraum umfasst der Cyberspace das ganze Internet. Die
Sozialwissenschaften verstehen den Cyberspace weitergehend
als „computermedial erzeugten Sinnhorizont“ und als Teil der
Cybergesellschaft (siehe auch Cyberanthropologie).“
www.wikipedia.de
Weitere Definitionen
„Das Wort Cyber ist abgeleitet vom englischen Cybernetics, der
Kybernetik, der Lehre von Regel- und Steuervorgängen. Im
Internet wird das Wort Cyber häufig als Präfix benutzt, um eine
künstliche Realität zu beschreiben. So spricht man vom
Cyberspace, von Cyber Cafe oder von Cybermoney, wobei
Cyberspace auch assoziativ für das Internet genutzt wird.
Cyberspace hat seinen Ursprung in dem Roman Newromancer
des amerikanischen Science-Fiction-Autors William Gibson.
Dort wird eine künstliche Welt im Computer, die mittels Bio-
Chips und spezieller Tastatur zugänglich ist, als Cyberspace
beschrieben.“
www.itwissen.info
Duden
Wortbildungselement mit der Bedeutung »die von Computern erzeugte virtuelle Scheinwelt betreffend«, z. B. Cyberspace
Key Facts
Wortursprung: Kybernetik
Bedeutung: „virtuelle Welt“, „Scheinwelt“, „künstliche Realität“
Wortgebrauch: „das Internet“
8
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Cyber Risiken | Big Data
2013 4,4 Zettabyte = 4,4 Billionen Gigabyte
2020 44 Zettabyte = 44 Billionen Gigabyte
Quelle: EMC/IDC Digital Universe, „The Digital Universe of opportunities”, April 2014
52 % der schützenswerten Informationen
wie medizinische oder personenbezogene
Daten sind nicht geschützt.
2013 kamen weniger als 20 % aller Daten
mit der Cloud „in Berührung“
Bis 2020 wird sich der Anteil auf 40 %
verdoppeln
9
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Cyber Risiken | Internet der Dinge/ Industrie 4.0
Industrie 4.0
IoT
• „Samsung-TV via DVB-T geknackt - Und plötzlich glotzt
der Hacker ins Wohnzimmer“ (stern.de, 27. April 2015)
• „Sicherheitsrisiko Smart Home - Die Hacker kommen
durch den Kühlschrank“ (wiwo.de, 5. November 2014)
• „Hacker steuern Jeep Cherokee fern“ (heise.de,
22.07.2015)
• „Vernetztes Spielzeug im Visier von Hackern -
Sicherheitslücke in neuer Barbie“ (tagesschau.de, 7.
Dezember 2015)
• „Erpressung durch Hacker: Cyberattacke in der
Keksfabrik“ (spiegel.de, 17.08.2015)
• „Cyber-Angriff auf Stahlwerk - Hacker bringen Hochofen
unter ihre Kontrolle“ (n-tv.de, 19. Dezember 2014)
• „Computervirus legt Klinik in Neuss lahm“
(sueddeutsche.de, 12. Februar 2016)
„Fremde im Babyfone -
Hackerangriff auf das Kinderzimmer“
(wiwo.de, 4. September 2015)
10
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Cyber Risiken | Internet of Things
11
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Cyber Risiken | Malware
12
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Cyber Risiken | Advanced Persistent Threats (APT)
1. Auskundschaften
Informationen nutzen und das Ziel besser verstehen
2. Eindringen
Social Engineering
Zero-day vulnerabilities
“Spray and pray” phishing scams
3. Entdeckung
Angreifer erkunden die Systeme des Unternehmens
und suchen nach vertraulichen Daten
4. Eroberung
Erreichen ungesicherter Systembereiche
Erfassen von Informa-tionen über längere Zeit
Weitere Einflussnahme auf Systeme
5. Ernte
Diebstahl von geistigem Eigentum oder anderer
vertraulicher Daten
Ein APT kann
monate- oder
sogar jahrelang
andauern.
13
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Cyber Risiken | Cyber Threat Maps
14
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Cyber Risiken | Was versteht die Versicherungsbranche unter Cyber-Risiken?
Vertraulichkeit Integrität Verfügbarkeit
Schutzziele der Informationssicherheit
Daten müssen vor unbefugten
Zugriffen geschützt werden
Das unautorisierte Lesen und
Übertragen von Daten muss
verhindert werden
Daten dürfen nicht unbemerkt
verändert werden
Alle Änderungen müssen
nachvollziehbar sein
Verhindern von
Systemausfällen
Der berechtigte Zugriff auf
Daten und Systeme muss zu
jeder Zeit gewährleistet sein
Risiko: Datenverlust
Verlust von Handy oder
Laptop; Versehentliches
Versenden von sensiblen
Daten per E-Mail
Hacker entwenden
Kundendaten
Risiko: Datenlöschung
oder -manipulation
Löschen von
systemrelevanten Daten
Manipulation von
systemrelevanten Daten
Risiko: Betriebsunter-
brechung
Webseite
Produktion
Logistik
Übergreifendes Risiko: Erpressung Veröffentlichen von entwendeten Daten
Unterbrechen der Produktion
15
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Cyber Risiken | Ursache für Datenverluste
52%
18%
30% Schadsoftware/ Cyberangriffe
Menschliches Versagen
Systemstörung
Quelle: Ponemon Institute, 2016 Cost of Data Breach Study: Germany
16
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Cyber Risiken | Detektion
185 131 99 0
20
40
60
80
100
120
140
160
180
200
Böswillige Angriffe Systemfehler Menschliches Versagen
Durchschnittliche Zeit bis ein Datenverlust bemerkt wird (in Tagen)
Quelle: Ponemon Institute, 2016 Cost of Data Breach Study: Germany
17
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Cyber Risiken | Wie gehen Hacker vor?
• Einflussnahme auf einen Mitarbeiter mit dem Ziel, an geheime Daten zu gelangen.
• In der Regel geschieht dies telefonisch. Der Anrufer gibt z.B. vor, ein Kollege aus der IT-Abteilung zu sein und bittet um das Passwort des Mitarbeiters.
Social Engineering
• „DoS“ steht für Denial of Service (Dienstverweigerung).
• Angriffe auf ein Computersystem, die durch gezielte Überlastung des Systems dessen Funktion stören oder außer Kraft setzen.
DoS-Attacke
• Der Angreifer schleust eigene Befehle in die (SQL-) Datenbank des Systems ein.
• Das spätere automatische Ausführen dieser Befehle soll den Zugriff auf die Datenbank ermöglichen. Der Hacker gelangt so an sensible Daten oder erhält unter Umständen sogar die Kontrolle über den Server.
SQL-Injection
• Der Angreifer verschafft sich Zutritt zum Gebäude.
• Installieren von Hardware oder Abgreifen von Daten an nicht gesicherten Rechnern.
Physischer Zugang
18
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Cyber Risiken | Risiken am Beispiel ERP-System
ERP-System Gefahren u.a. Risiken
Forschung &
Entwicklung
Produktion
Beschaffung
Logistik
Vertrieb
Personal-
wesen
Finanz- &
Rechnungs-
wesen
Malware
Social
Engineering
Physischer
Zugang
Datenverlust
Datenlöschung und
-manipulation
Betriebsunter-
brechung
Erpressung
19
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Cyber Risiken | Rent a hacker
* Quelle: Trend Micro, „Der russische Untergrund 2.0”, 2015
20
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Cyber Risiken | Rent a hacker
* Quelle: Trend Micro, „Der russische Untergrund 2.0”, 2015
21
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Cyber Risiken | Cyber Risiken in der Presse
Hacker legen Hochofen von Stahlhersteller
lahm
Quelle: welt.de.de vom 18.12.2014
22
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Cyber Risiken | Neue Dimensionen
23
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Cyber Risiken | Ransomware
Quelle: Kaspersky Lab
24
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Cyber Risiken | Ransomware – Ausbreitung „Locky“
Quelle: Kaspersky Lab
„Krypto-Trojaner Locky wütet in Deutschland: Über 5000 Infektionen pro Stunde“
Quelle: heise.de vom 19.02.2016
25
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Agenda
Was sind Cyber Risiken?
Schadenszenarien und wirtschaftliche Bedeutung
Case Study
1 2 3
Inhalte einer Cyber-Versicherung und Abgrenzungsprobleme
Cyber-Versicherung in der Praxis
Marktüberblick und Themen der Zukunft
4 5 6
26
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Schäden | Mögliche Kosten und Schäden
Datenschutzrechtsverletzung
Persönlichkeitsrechtsverletzung
Verletzung geistiger Eigentumsrechte
Übermittlung von Malware auf Drittsysteme
DDoS-Attacken auf Drittsysteme
Drittschäden
Kosten für das Krisenmanagement
Benachrichtigungskosten
Kosten für Wiederherstellung oder Reparatur von Daten, Netzwerken etc.
Betriebsunterbrechungsschaden
Reputationsschaden
Zahlung von Erpressungsgeld
Eigenschäden
27
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
75%
3%
9%
1%
1% Krisendienstleistungen
Rechtsverteidigung
Rechtlicher Vergleich
Behördliche Verfahren
PCI Strafen
Schäden | Kosten eines Cyber-Schadens
Quelle: NetDiligence, 2016 Cyber Claims Study
Der durchschnittliche Schaden
betrug $665.000, bei großen
Unternehmen $5,97 Millionen.
28
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Schäden | Kosten für die Ermittlung und das Schadenmanagement
760.000 € 750.000 €
890.000 €
1.000.000 € 970.000 €
1.020.000 € 1.000.000 €
0 €
500.000 €
1.000.000 €
1.500.000 €
2010 2011 2012 2013 2014 2015 2016
Quelle: Ponemon Institute, 2016 Cost of Data Breach Study: Germany
Durchschnittliche Kosten für z.B. Forensik und Krisenmanagement
29
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Schäden | Kosten eines Datenverlustes (gesamt/ je Datensatz)
2.580.000 €
3.380.000 € 3.400.000 € 3.670.000 €
3.420.000 € 3.520.000 € 3.610.000 €
132 €
138 €
146 € 151 €
140 €
152 € 154 €
0 €
20 €
40 €
60 €
80 €
100 €
120 €
140 €
160 €
180 €
0 €
500.000 €
1.000.000 €
1.500.000 €
2.000.000 €
2.500.000 €
3.000.000 €
3.500.000 €
4.000.000 €
2010 2011 2012 2013 2014 2015 2016
Koste
n je D
ate
nsatz
Org
anis
ato
rische K
oste
n
Quelle: Ponemon Institute, 2010 bis 2016 Cost of Data Breach Study: Germany
Durchschnittliche Kosten eines Datenverlustes für deutsche Unternehmen
30
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Schäden | Schadenszenario: Virus legt Hochregallager lahm
Durch einen Virus wird die Datenbank eines Hochregallagers beeinträchtigt. Ein
störungsfreier Arbeitsablauf ist nicht mehr gewährleistet. Plötzlicher Anstieg des
eingehenden Datenflusses.
Das Antivirus-Programm hat einen neuen Virus identifiziert und gemeldet
Entsprechende Sicherheitspatches wurden dem Unternehmen bereits zur Verfügung
gestellt
Diese wurden im üblichen Prozedere auf Kompatibilität geprüft
In der Zwischenzeit wurden Server bereits infiziert
Die Ortung der eingelagerten Waren war nicht mehr möglich
Quelle: ACE European Group Limited
31
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Schäden | Schadenszenario: Virus legt Hochregallager lahm
Auswirkungen
BU-Schaden aufgrund der kontrollierten Systemabschaltung 300.000 EUR
Dekontamination infizierter Daten 45.000 EUR
Wiederherstellung der Daten aus Back-up-Sicherungen 15.000 EUR
Manuelle Auslagerung und Neuerfassung eines Teils der
Lagerware 160.000 EUR
Vertragsstrafen aufgrund verspäteter Auslieferung 175.000 EUR
695.000 EUR
Quelle: ACE European Group Limited
32
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Schäden | Schadenszenario: Ehemaliger Mitarbeiter legt Produktion still
Böswillige Löschung der Entwicklungsdaten und Produktionsparameter einer gesamten
Produktreihe.
Durch Personalabbaumaßnahmen wird ein Mitarbeiter der IT-Abteilung entlassen
Dieser ist über seine Entlassung so verärgert, dass er Rache an dem Unternehmen
übt
Er hat Kenntnisse darüber, auf welchen Festplatten sich die sensiblen
Produktinformationen einer aktuellen Produktion befinden und löscht diese. Darüber
hinaus werden die entsprechenden Backupbänder unbrauchbar gemacht
Die Produktion steht 4 Tage still
Quelle: ACE European Group Limited
33
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Schäden | Schadenszenario: Ehemaliger Mitarbeiter legt Produktion still
Auswirkungen
Datenrettung aus verbliebenen Datenfragmenten auf den
Festplatten 145.000 EUR
Forensische Untersuchungen 60.000 EUR
Produktionsausfall 940.000 EUR
Vertragsstrafen an B2B Kunden 500.000 EUR
Aufspielen von Back-up-Daten 40.000 EUR
Kosten für Krisenmanager und Rechtsanwalt 90.000 EUR
Reputationsschaden (erhöhte B2B-Marketingaktivität) 95.000 EUR
1.870.000 EUR
Quelle: ACE European Group Limited
34
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Schäden | Auswirkungen auf M&A-Transaktionen
83%
90%
der Befragten gaben an, dass es das Ende
eines Verkaufsprozesses bedeuten kann,
wenn entdeckt wird, dass die Zielgesellschaft
von einer Cyberattacke betroffen war.
der Befragten erwarten einen Einfluss auf den
erzielbaren Kaufpreis.
Quelle: Freshfields Bruckhaus Deringer, Cyber Security in M&A
35
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Schäden | Exkurs: IT Compliance
Pflichten des Geschäftsführers oder Vorstands
u.a. Sicherstellung der Einhaltung rechtlicher Bestimmungen und interner Regeln
(Organisation / Corporate Compliance)
Aktiengesetz § 91 Abs. 2 AktG Analog für GF der GmbH
Informationssicherheits-
gesetze ITSiG, NIS-Richtlinien
Bürgerliches Recht Datenschutzgesetze BDSG, DS-GVO, TKG, TMG
Einrichtung eines
Überwachungs-
systems zur
Früherkennung von
gesellschafts-
gefährdenden
Entwicklungen
IT Compliance als
Bestandteil des
Risikomanagements
Pflicht, angemessene
organisatorische und
technische Vorkehrungen
und sonstige Maßnahmen
zum Schutz derjenigen
informationstechnischen
Systeme, Komponenten
oder Prozesse zu treffen,
die für die Funktions-
fähigkeit der von ihnen
betriebenen Kritischen
Infrastrukturen maßgeblich
sind. Dabei ist der Stand
der Technik zu
berücksichtigen.
Deliktsrecht
Gewährleistung von
ausreichender IT-
Sicherheit, um
Organisations-
verschulden
auszuschließen
Vertragsrecht
ggf. vertragliche
Pflicht zur IT-
Compliance
Sicherstellung aller
erforderlichen
technischen und
organisatorischen
Maßnahmen zur
Gewährleistung eines
optimalen
Datenschutzes
36
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Schäden | Management
Quelle: welt.de vom 25.07.2016
37
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Schäden | Management
38
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Agenda
Was sind Cyber Risiken?
Schadenszenarien und wirtschaftliche Bedeutung
Case Study
1 2 3
Inhalte einer Cyber-Versicherung und Abgrenzungsprobleme
Cyber-Versicherung in der Praxis
Marktüberblick und Themen der Zukunft
4 5 6
39
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Cyber Risiken | Die Bedrohungslage
40
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Case Study | Der TalkTalk Hack - Sachverhalt
Umsatz: £ 1.795 Mio.
Kunden: Ca. 4 Mio.
TalkTalk Telecom Group plc
DDoS-Angriff
Datendiebstahl
21. Oktober 2015
41
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Case Study | Der TalkTalk Hack - Schadenverlauf
22. Oktober 2015,
Kundeninformation
Pressemitteilung
Information auf der Webseite
Das Unternehmen warnt
vorsorglich vier Millionen
Kunden
Behörden ermitteln
Berichterstattung in der Folgezeit
“TalkTalk criticised for poor security and
handling of hack attack” (theguardian.com,
23.10.15)
“TalkTalk’s problems go beyond cyber
security” (ft.com, 25.10.15)
„Nach Hacker-Angriff: TalkTalk wird
erpresst, Daten waren nicht
verschlüsselt“ (heise.de, 26.10.15)
„Angriff auf TalkTalk - 15-Jähriger soll
vier Millionen Kundendaten gehackt
haben“ (rp-online.de, 27.10.15)
Pressemitteilung vom 6. November 2015
“…we are now able to confirm which customers were
affected:
• The total number of customers whose personal
details were accessed is 156,959;
• Of these customers, 15,656 bank account
numbers and sort codes were accessed;
• The 28,000 obscured credit and debit card
numbers that were accessed cannot be used for
financial transactions, and were ‘orphaned’,
meaning that customers cannot be identified by
the stolen data.”
“TalkTalk share price plunges twice
as deep as Sony, Carphone Ware-
house, Barclays and EBay after
cyber attacks
In the weeks that followed, TalkTalk
shares plummeted 20 per cent.”
(cityam.com, 13. November 2015)
“TalkTalk warns cyber attack
costs could rise to £35m” (bbc.com, 11. November 2015)
Dido Harding, CEO of TalkTalk:
“that's covering
• the response to the incident
• the incremental calls into our call
centres
• the additional IT and technology
costs
• online sales sites have been
down, so there will be lost revenue
as a result”
“TalkTalk hack toll: 100k
customers and £60m”
Financial results from TalkTalk show
the company suffered a £15m trading
impact and extra "exceptional" costs of
£40 to £45m during the third quarter of
2015. The company's stats say that
95,000 of the 101,000 subscribers it
lost during three months were because
of the hack.
(wired.co.uk, 02. Februar 2016)
42
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Talk Talk
Hack
Case Study | Der TalkTalk Hack – Ergebnisse
Schnelle Information der Kunden
Benachrichtigung aller Kunden
Services (Kreditkartenmonitoring)
angeboten
Information über Webseite, E-Mail und
Presse
Zusammenarbeit mit den Behörden
Good Reactions
Good
Reactions
Lessons
Learned
Strukturierte Notfallpläne erstellen um
auf den Schadenfall vorbereitet zu sein
Detailliertere Informationen
herausgeben
Kontrolle über Berichterstattung
behalten
Benachrichtigung aller Kunden
erforderlich?
Englisches „BSI“ einschalten?
CIO zu Wort kommen lassen
Aussagen der CEO besser abstimmen
Angebote müssen funktionieren
(Monitoring)
Angebot Vertragsauflösung nicht im
Interesse der Kunden und des
Unternehmens
Lessons Learned
43
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Case Study | Praxisbeispiel: Benachrichtigung von Betroffenen
Benachrichtigung über Datenleck
Sie haben möglicherweise die jüngsten Berichte über ein Sicherheitsproblem bei LinkedIn gelesen. Wir möchten Sie darüber informieren, was
genau passiert ist, welche Daten betroffen sind und welche Maßnahmen wir zu Ihrem Schutz ergriffen haben.
Was ist passiert?
Am 17. Mai 2016 erfuhren wir, dass Daten, die im Jahr 2012 von LinkedIn gestohlen wurden, im Internet veröffentlicht wurden. Es handelt sich
hierbei um keine neue Sicherheitslücke. Wir haben unverzüglich Maßnahmen ergriffen, die Passwörter aller möglicherweise betroffenen
Konten ungültig zu machen. Dies betraf nur Konten, die vor der Sicherheitsverletzung im Jahr 2012 erstellt wurden und deren Passwörter seit
dieser Verletzung nicht zurückgesetzt wurden.
Welche Daten waren betroffen?
E-Mail-Adessen von Mitgliedern, gehashte Passwörter und LinkedIn Mitglieder-IDs (eine interne Kennung, die LinkedIn jedem Mitgliederprofil
zuweist) aus dem Jahr 2012.
Unsere Maßnahmen
Wir haben die Passwörter aller LinkedIn Konten, die vor der Sicherheitsverletzung im Jahr 2012 erstellt und deren Passwörter seither nicht
zurückgesetzt wurden, ungültig gemacht. Darüber hinaus nutzen wir automatisierte Tools, um jegliche verdächtige Aktivitäten auf den
betroffenen Konten sofort zu erkennen und zu blockieren. Wir arbeiten außerdem aktiv mit den Strafverfolgungsbehörden zusammen.
LinkedIn hat seit 2012 wesentliche Schritte unternommen, um die Sicherheit der Mitgliederkonten zu verbessern. Beispielsweise wird bei der
Speicherung von Passwörtern nun das Salting- und Hashing-Verfahren verwendet. Unsere Mitglieder haben mit der zweistufigen Überprüfung
außerdem noch eine weitere Möglichkeit, Ihre Konten zu schützen.
Was Sie tun können
Wir haben mehrere Teams, die engagiert daran arbeiten, die Daten aller LinkedIn Mitglieder zu schützen. Wir empfehlen unseren Mitgliedern
außerdem, den LinkedIn Sicherheitsbereich zu besuchen, um mehr über die zweistufige Überprüfung und die Verwendung starker Passwörter
zu erfahren, um die Sicherheit ihres Kontos sicherzustellen. Wir empfehlen Ihnen, Ihr LinkedIn Passwort regelmäßig zu ändern. Wenn Sie
dasselbe oder ein ähnliches Passwort für andere Online-Dienste verwenden, raten wir Ihnen, auch diese Passwörter zu ändern.
Weitere Informationen
Bei Fragen wenden Sie sich bitte an unser Trust & Safety-Team ([email protected]). Weitere Informationen finden Sie in unserem
offiziellen Blog.
44
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Agenda
Was sind Cyber Risiken?
Schadenszenarien und wirtschaftliche Bedeutung
Case Study
1 2 3
Inhalte einer Cyber-Versicherung und Abgrenzungsprobleme
Cyber-Versicherung in der Praxis
Marktüberblick und Themen der Zukunft
4 5 6
45
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Cyber-Versicherung | Ursprünge
Cyber Risiken grds. nicht als neu einzustufen, allerdings bringt
die stetig voranschreitende Vernetzung von Gebrauchsgegen-
ständen Gefahren mit sich
70er Jahre des 20. Jahrhunderts: Versicherer in den USA
bieten erste Lösungen für Risiken der Informations- und
Kommunikationstechnik (IKT)
Ende des 20. Jarhunderts bzw. Anfang der 2000er Jahre:
Health Insurance Portability and Accountability Act of 1996
(HIPAA) und das California data breach law in 2003; Höhepunkt
der Entwicklungen der Versicherungslösungen in den USA
Cyberversicherungsmarkt USA: geschätztes jährliches
Prämienvolumen von derzeit ca. 2,8 Mrd. USD
Cyberversicherungsmarkt GER: geschätztes jährliches
Prämienvolumen von ca. 90-100 Millionen EUR
Prognose Cyberversicherungsmarkt GER 2036: geschätztes
jährliches Prämienvolumen von ca. 9 Milliarden EUR
46
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Cyber-Versicherung | Aufbau
Der Aufbau einer Cyber-Versicherung
Drittschäden
Daten-/Vertraulichkeitsverletzungen
Netzwerksicherheitsverletzungen
Persönlichkeitsrechtsverletzungen
Verletzung geistiger Eigentumsrechte
Eigenschäden
Betriebsunterbrechungsschaden
Wiederherstellungskosten
Krisenmanangementkosten
Erpressung
Weitere mögliche Inhalte
Benachrichtigungskosten
Call-Center Kosten
Kundenbindungsaktionen
Vertragsstrafen der Payment Card Industry
Kreditkartenmonitoring
Behördliche Verfahren
Entschädigungen mit Strafcharakter,
Bußgelder, etc.
Cyber-Diebstahl und Cyber-Betrug
Vertragsstrafen im Rahmen der BU
47
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Cyber-Versicherung | Haftpflicht
Leistung des Versicherers:
Der Versicherungsschutz umfasst die Prüfung der Haftpflichtfrage, die Abwehr einer unberechtigten Inanspruchnahme und
die Freistellung des Versicherungsnehmers von berechtigten Schadensersatzverpflichtungen.
Vermögenschadenhaftpflichtversicherung:
Absicherung von reinen Vermögensschäden (d.h. solche Schäden, die weder Personenschäden noch Sachschäden sind,
noch sich aus solchen herleiten)
Auslösendes Ereignis:
Datenschutz- bzw. Vertraulichkeitsverletzung
Netzwerksicherheitsverletzung, Cyber Attacke, Cyberrechtsverletzung, etc.
Versicherungsfall
Unterschiedlich (z.B. Claims-Made oder Schadenereignis)
Ausgelagerte Datenverarbeitung (Deckungserweiterung):
Ansprüche gg. einen Versicherten, da dieser sich für die Datenverarbeitung eines externen Unternehmens bedient hat
und es hierbei zu einem Versicherungsfall kommt für den der Versicherte gesetzlich einzustehen hat.
Ansprüchen gg. ein externes Unternehmen, das mit der Datenverarbeitung beauftragt ist, sofern aus der Beauftragung
eine Freistellungsverpflichtung des Versicherten gegenüber diesem Unternehmen besteht.
Verletzung von Persönlichkeits-, Urheber-, Marken, oder Wettbewerbsrechten (Deckungserweiterung)
48
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Cyber-Versicherung | Betriebsunterbrechung
Leistung des Versicherers:
Die Versicherer ersetzen regelmäßig den Betriebsgewinn und die fortlaufenden Kosten, die der Versicherungsnehmer
infolge der Betriebsunterbrechung während der Haftzeit nicht erwirtschaften konnte.
Auslösendes Ereignis:
Datenschutz- bzw. Vertraulichkeitsverletzung (nur bedingte Relevanz)
Netzwerksicherheitsverletzung, Cyber Attacke, Cyberrechtsverletzung, etc.
Versicherungsfall
Unterschiedlich (z.B. Feststellung oder Schadenereignis)
Cloud-Service-Ausfall (Deckungserweiterung)
Systemausfall als Folge einer unvorhersehbaren Nichtverfügbarkeit eines Cloud-Services, welchen die Versicherten von
einem Cloud-Service-Provider, der selbst kein versichertes Unternehmen ist, entgeltlich in Anspruch nehmen
Bedienungsfehler (Deckungserweiterung)
Die fehlerhafte Bedienung eines Computersystems durch fahrlässiges Handeln oder Unterlassen eines Mitarbeiters, die eine
nachteilige Veränderung oder den Verlust von Daten oder Computerprogrammen zur Folge hat,
Vertragsstrafen (Deckungserweiterung)
Versicherungsschutz kann teilweise für vertraglich vereinbarte Leistungen wegen Nichterfüllung von Liefer- oder
Abnahmeverpflichtungen, die auf einer Betriebsunterbrechung durch ein versichertes Ereignis beruhen, erweitert werden.
Besonderheiten
zeitliche Selbstbehalte bzw. Wartefristen
Haftzeit
49
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Cyber-Versicherung | Wiederherstellung und Erpressung
Wiederherstellungskosten
Leistung des Versicherers:
Aufwendungen, die dem Versicherungsnehmer für die Wiederherstellung oder erneuten Erfassung bzw. Erhebung von Daten
und Software entstehen.
Systemwiederherstellung (Deckungserweiterung):
Die Reparatur bzw. Wiederherstellung des Netzwerks bzw. des Computersystems kann bei einigen Versicherern mit
abgesichert werden
Erpressung
Leistung des Versicherers:
Erpressungsgelder, die unmittelbar aufgrund einer angedrohten Informationssicherheitsverletzung von einem Versicherten
gezahlt werden.
Mögliche Deckungserweiterungen
Verlust von Erpressungsgeldern während des Transports/Übergangs
Krisenberaterkosten wie z.B. Reisekosten, Unterbringungskosten, Kommunikationskosten, Zahlung von Belohnungen
für Informanten
Aktuelle Herausforderung
BaFin Hinweis auf Rundschreiben 3/98 (Geheimhaltungsgebot/Bündelungsverbot)
Lösungen am Markt variieren von getrennten Annex-Vereinbarungen bis hin zu separaten Policen
50
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Cyber-Versicherung | Krisenmanagementkosten
Kosten für IT-Forensik:
Diese Kosten umfassen alle Aufwendungen
für forensische Untersuchungen, um festzustellen, ob und gegebenenfalls welche Art der Verletzung vorliegt, wodurch
diese verursacht wurde und für Empfehlungen zur Vorbeugung oder Reaktion auf derartige Verletzungen
für die Identifizierung der Betroffenen
im Zusammenhang mit der Minderung des Schadens
für eigene Mitarbeiter, die bei den vorgenannten Maßnahmen unterstützend tätig sind
Kosten für Public-Relations-Maßnahmen:
Von Versicherten beauftragte PR-Berater, um die Reputation zu wahren oder wiederherzustellen. Hierbei geht es
insbesondere um die Erstellung und Durchführung einer Public Relations-Strategie.
Kosten für Rechtsberatung:
Rechtliche Prüfung des vorliegenden Sachverhalts einschließlich einer Empfehlung zur weiteren rechtlichen Vorgehensweise
zur Minderung eines unter dieser Police gedeckten Schadens. Abzugrenzen von den Abwehrkosten im Haftpflicht-Teil.
Kosten für proaktives Krisenmanagement (Deckungserweiterung):
Versicherungsschutz auch bereits in den Fällen, in denen Anhaltspunkte für ein versichertes Ereignis bestehen und noch
keine Schäden gemäß den versicherten Deckungsbausteinen entstanden sind:
Zeitliche Begrenzung (z.B. 48h)
Kosten werden regelmäßig nicht auf die Versicherungssumme angerechnet
Ein Selbstbehalt kommt meist nicht zur Anwendung
Benachrichtigungskosten
Kosten, um die Betroffenen über die Datenvorfälle zu informieren und ihnen gegebenenfalls zusätzliche Dienste anzubieten.
Der Versicherungsschutz umfasst hierbei regelmäßig auch Honorare von Rechtsanwälten hinsichtlich der rechtlichen
Beratung im Zusammenhang mit der Pflicht über die Benachrichtigung der Betroffenen.
51
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Cyber-Versicherung | Sonderinhalte
Cyber-Diebstahl und Cyber-Betrug
Geldbetrag, um den Zustand herzustellen, der bestehen würde, wenn der Cyber-Diebstahl/-betrug nicht eingetreten wäre.
Umfasst sind hier regelmäßig
Der Verlust von Geld oder Waren infolge eines Eingriffes in von Versicherten genutzte Computersysteme;
Schäden, die dadurch entstehen, dass aufgrund eines Eingriffes in die von Versicherten genutzten Computersysteme
irrtümlich und ohne Rechtsgrund Geld überwiesen wird.
Call-Center Kosten
um nach dem Versand der Benachrichtigung an die Betroffenen Anfragen dieser Personen zu beantworten
Kundenbindungsaktionen
Preisnachlässe, Gutscheine oder Rabatte, die nach Zustimmung durch den Versicherer den von einem versicherten Ereignis
Betroffenen gewährt werden
Vertragsstrafen der Payment Card Industry
PCI-Vertragsstrafen aus der Verletzung des PCI-Data Security Standards
52
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Cyber-Versicherung | Sonderinhalte
Kreditkartenmonitoring
ein Monitoring der Kreditkarten zur Prüfung und Benachrichtigung, wenn ein Missbrauch mit personenbezogenen Daten
Betroffener vermutet wird.
Nicht zielgerichtete Angriffe
Behördliche Verfahren
Kosten der Verteidigung in strafrechtlichen Ermittlungsverfahren
Kosten der Verteidigung in Ordnungswidrigkeitsverfahren
Kosten im Rahmen behördlicher Meldeverfahren, die bei der Anzeige und Meldung des Datenvorfalles entsprechend
der gesetzlichen Vorgaben entstehen.
Entschädigungen mit Strafcharakter, Bußgelder, etc.
Sofern kein gesetzliches Versicherungsverbot entgegensteht
53
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Cyber-Versicherung | Wesentliche Ausschlüsse
Vorsatz
Schäden durch die vorsätzliche Herbeiführung des versicherten Ereignisses
Hier wird regelmäßig auf die Repräsentanten Bezug genommen. Wichtig ist daher insbesondere, den Umfang der
Repräsentantenklausel an dieser Stelle im Blick zu halten
Krieg, Terror
Schäden durch Krieg, kriegsähnliche Ereignisse, Terror, etc.
Teilweise ist eine Abbedingung des „Terror“-Teils möglich, was insbesondere in der Praxis große Bedeutung haben kann (z.B.
TV5Monde)
Vertragliche Haftung
Haftpflichtansprüche, soweit sie aufgrund eines Vertrages oder besonderer Zusage über den Umfang der gesetzlichen
Haftpflicht hinausgehen. Versicherte Vertragsstrafen bleiben hiervon unberührt
Nicht betriebsfertige Computerprogramme
Umstellung auf neue IT-Systeme und -verfahren
Patentrechtsverletzungen/Industriespionage
54
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Cyber-Versicherung | weitere Klauseln
Anderweitige Versicherung
Zahlreiche Versicherungsbedingungen enthalten Subsidiaritätsklauseln („einfache“ und „qualifizierte“). Hierbei kann es bei
Überschneidungen mit anderen Deckungen schnell zur Kollision mehrerer Subsidiaritätsklauseln kommen. Die z.T.
unerwünschten Folgen können durch Vereinbarung einer invertierten Klausel vermieden werden, so dass die Cyber-
Versicherung als eine Art Krisenversicherung im Schadenfall als die speziellere Versicherung vorgeht.
„Stand der Technik“ Klausel
Einige Versicherer geben den Versicherungsnehmern als Obliegenheit auf, dass die Computersysteme auf dem neusten
Stand der Technik gehalten werden. Diese Hürde kann in der Praxis zu zahlreichen Problemen führen und ist daher aus
Versicherungsnehmersicht möglichst zu entschärfen.
Repräsentantenklausel
In der Praxis finden sich hier zum Teil recht weitgehende Formulierungen, die z.B. den Leiter der IT-, Personal-,
Risikomanagement oder Rechtsabteilung erfassen. Im Sinne eines möglichst umfassenden Versicherungsschutzes sollte die
Klausel daher nach Möglichkeit eng gefasst sein.
55
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Cyber-Versicherung | Vergleich
Sach/TV Haftpflicht K&R VSV Cyber
Eigenschäden
Kosten für IT-Forensik x x x
Kosten für PR-Berater x x x
Kosten für Rechtsberatung (nicht die Abwehr von Ansprüchen im
Haftpflichtfall) x x x
Kosten für die Benachrichtigung der Betroffenen nach einem
Datenverlust x x x x
Kosten für die Wiederherstellung der Daten nach einem Hackerangriff x x
Betriebsunterbrechungsschäden nach einem Hackerangriff
(sachschadenunabhängig) x/ x x
Erpressung/ Bedrohung x x x
Belohnung für Hinweise, die zur Ergreifung des Erpressers führen x x x
Drittschäden
Ansprüche wegen Datenschutzrechtsverletzung x x x
Ansprüche wegen Persönlichkeitsrechtsverletzung (nach einem
Datenverlust) x x x
Ansprüche wegen Verletzung geistiger Eigentumsrechte x x x
Ansprüche wegen Übermittlung von Malware auf Drittsysteme x x x
versichert X nicht versichert Einschluss möglich
56
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Cyber-Versicherung | Abgrenzungsthematiken
Überschneidungen mit der Vertrauensschadenversicherung
Cyber-Versicherung: ganzheitlicher Lösungsansatz zur Absicherung von Cyber Risiken
VSV: dient - historisch bedingt – der Absicherung von Wirtschaftskriminalität („Griff in die Kasse des Unternehmens“) und ist als
reine Eigenschadenversicherung (mit Ausnahme der in geringem Umfang versicherbaren Fremdschäden) ausgestaltet
VSV ist reine Vorsatzversicherung
Überschneidungen: ausschließlich im Eigenschadenteil
Entscheidend ist letztlich in welchen Fällen die Policen getriggert werden:
Cyber: Informationssicherheitsverletzung, Cyber Angriff, etc.
VSV: Ersatz von Schäden am Vermögen, die durch vorsätzliche unerlaubte Handlungen, die nach gesetzlichen
Bestimmungen zum Schadensersatz verpflichten, unmittelbar verursacht werden
Überschneidungen mit der IT-Haftpflichtversicherung
Cyber-Versicherung: ganzheitlicher Lösungsansatz zur Absicherung von Cyber Risiken
IT-Haftpflicht dient der Absicherung der Haftpflichtrisiken aus der Geschäftstätigkeit als IT-Dienstleister
IT-Haftpflicht: reine Drittschadendeckung, auch wenn am Markt bereits Ergänzungen durch Eigenschadenkomponenten zu
sehen sind. Aufgrund der branchen- und risikospezifischen Zielrichtung des Produktes ist der Deckungsumfang einer
marktüblichen IT-Haftpflichtlösung z.T. weiter als die Drittschadendeckung eines Cyber-Produktes.
Überschneidungen: Wesentliche Überschneidungen im Drittschadenteil
Eine vollwertige Cyber-Eigenschadendeckung ist nicht durch die IT-Haftpflichtversicherung ersetzbar
Herausforderung: Immer mehr Produkte enthalten Software, die vom Hersteller nach dem Verkauf des Produktes gewartet wird
57
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Agenda
Was sind Cyber Risiken?
Schadenszenarien und wirtschaftliche Bedeutung
Case Study
1 2 3
Inhalte einer Cyber-Versicherung und Abgrenzungsprobleme
Cyber-Versicherung in der Praxis
Marktüberblick und Themen der Zukunft
4 5 6
58
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Absicherung | Risikomanagementprozess
Was kann passieren?
- potentielle
Schadenszenarien
Wie hoch ist der
mögliche Schaden?
Wie behandle ich die
ermittelten Risiken?
- Verhindern/ Mindern
- Akzeptieren
- Kontrollieren
- Versichern
Bin ich ausreichend
versichert?
- Werden die ermittelten
Risiken über bestehende
Deckungen abgesichert?
- Welchen zusätzlichen
Schutz bietet eine Cyber-
Versicherung
Risiko-
qualifikation
Risiko-
quantifikation
Risiko-
management
Risiko-
transfer
Risikoanalyse
59
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Absicherung | Risikoanalyse (Qualifikation und Quantifikation)
Speichert Ihr Unternehmen sensible oder personenbezogene Daten?
Auf welchem Weg können Dritte an diese Daten gelangen?
Welche Kosten könnten dem Unternehmen durch einen Datenverlust entstehen?
Welche Ansprüche Dritter sind nach einem Datenverlust oder Angriff denkbar?
Welche Netzwerke oder Systeme könnten ein mögliches Ziel für einen Hackerangriff sein?
Welcher Schaden könnte Ihrem Unternehmen durch eine Unterbrechung dieser Systeme entstehen?
Kernfragen im Rahmen der Analyse
Frühzeitige Einbeziehung von IT, Recht, Personal UND Management
60
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Absicherung | Risikomanagement – Vermeiden und Kontrollieren
Geeignete Maßnahmen
Erstellen eines Krisenplans, der auf einen Datenverlust oder Hackerangriff abgestimmt ist
Zugriffsrechte kontrollieren
Software aktuell halten
Sensible Daten verschlüsseln
Risikobewusstsein der Mitarbeiter stärken
Regelmäßige Überprüfung der IT-Sicherheit z.B. durch Penetrationstests
Die richtige Kommunikation mindert Reputationsschäden und verhindert personelle Konsequenzen
61
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Absicherung | Risikomanagement – Wie behandle ich die ermittelten Risiken?
Verhindern
Kontrollieren
Akzeptieren
Versichern
Herausforderungen beim Risikotransfer
Welche Abteilungen sollten an dem Prozess beteiligt werden?
→ Idealerweise IT/ CISO, Personal, Recht und Controlling
Die IT-Abteilung des Unternehmens sollte unbedingt in den Prozess einbezogen
werden. Allerdings sehen die entsprechenden Mitarbeiter häufig das eigene
Budget in Gefahr oder fühlen sich kritisiert.
→ Klarstellen, dass es nicht um entweder/oder (Investition in IT oder Ver-
sicherung) geht. Es sollen keine Fehler oder Schwachstellen in der IT-Sicherheit
behoben werden, sondern die bestehenden Restrisiken abgesichert werden.
Welche Risiken werden versichert?
Typischerweise werden Unternehmen versuchen, die identifizierten Risiken zu
verhindern oder zu kontrollieren.
Die nicht vermeidbaren Restrisiken werden von den Unternehmen entweder
selbst getragen oder versichert.
Beispiel für ein Risiko, dass nicht verhindert und nur schwer kontrolliert werden
kann, ist der Datenverlust im Rahmen des Online-Geschäftes. Das
Unternehmen sollte also entweder bereit sein, den möglichen Schaden selbst zu
tragen oder das bestehenden Restrisiko auf einen Versicherer übertragen.
62
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Absicherung | Underwriting/Renewal Prozess
Abschlüsse können über ein Jahr dauern
Erstgespräch
Indikationen Risikoanalyse
und -bewertung
Folgegespräch Managementvorlage
Einholen von
Angeboten
Risikodialog
Finale
Verhandlungen
Abschluss
Aufgrund der sich stetig ändernden Risikolage, sind bestehende Cyberdeckungen regelmäßig
an den Marktstandard anzupassen
63
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Absicherung | Risikofragen der Versicherer
Typische Fragen der Versicherer sind unter anderem:
Speichern, verarbeiten oder übertragen Sie vertrauliche Daten? Wenn ja, welche Art von Daten (Kreditkartendaten, Gesundheitsdaten,
Kundendaten etc.
Setzen Sie zum Schutz von sensiblen und unternehmenskritischen Daten Sicherungsverfahren ein (z.B. Verschlüsselung)?
Verfügen Sie über ein Backup-Konzept bzw. Richtlinien zur Dokumentenaufbewahrung und Löschung?
Werden für den Zugang der Anwender zu den Informationssystemen personalisierte Zugangskontrollen eingesetzt?
Verwenden Sie Anti-Virus-Software auf Systemen, die üblicherweise von Schadsoftware betroffen sind (insbesondere
Arbeitsplatzrechner und Server) und wird diese regelmäßig aktualisiert?
Haben Sie Bereiche Ihrer EDV (z.B. Netzwerks, Systeme, Informationssicherheit) ausgelagert?
Gibt es physische Zugangskontrollen/ Zutrittsbeschränkungen zu Räumen, die kritische Systeme (z.B. Server und Rechenzentrum)
enthalten?
Hat Ihr Unternehmen interne Richtlinien oder Anweisungen zur Wahrung und Sicherstellung von Datensicherheit/ -schutz und
Vertraulichkeit implementiert
Vorschäden?
Wieso wird häufig ein zusätzlicher Risikodialog durchgeführt?
Antworten im Risikofragebogen stellen nur eine Momentaufnahme dar
Versicherer möchte Unternehmensstruktur und die Umsetzung von internen Richtlinien näher beleuchten
Zukünftige Geschäftsmodelle (z.B. ein Ausbau der Online Aktivitäten) werden erörtert
Ggf. ergeben sich im Dialog Risikofelder, die zuvor nicht berücksichtigt wurden und die in den Versicherungsschutz integriert werden
müssen
64
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Formell ist der Schaden unverzüglich und in Textform an den Versicherer
zu melden (bzw. an den Makler bei entsprechend vereinbarter
Maklerklausel)
Zudem findet regelmäßig eine direkte Kontaktaufnahme des
Versicherungsnehmers mit den im Versicherungsschein hinterlegten
Krisenberatern statt
Die Krisenberater unterstützen das eigentliche Schadenmanagement
24/7 Hotline
IT-Forensik, PR-Beratung, Rechtsberatung stehen regelmäßig von
Beginn an zur Verfügung
Proaktive Beratung (bei Bestehen tatsächlicher Anhaltspunkte) häufig mit
abgesichert
Erstattung der Eigenschäden (z.B. Übernahme der Kosten, Ausgleich
des Ertragsausfalls, etc.). Bei Drittschäden übernimmt der Versicherer
die Prüfung der Haftpflicht-frage, die Abwehr einer unberechtigten
Inanspruchnahme und die Frei-stellung des Versicherungsnehmers von
berechtigten Schadensersatzverpflichtungen
Begleitung des VN im Schadenfall und Abstimmung, welche Kosten
erstattet werden und welche Maßnahmen getroffen werden sollten
Absicherung │ Schadenabwicklung
Schadenmeldung
Krisenberater
Versicherer/ Makler
65
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Agenda
Was sind Cyber Risiken?
Schadenszenarien und wirtschaftliche Bedeutung
Case Study
1 2 3
Inhalte einer Cyber-Versicherung und Abgrenzungsprobleme
Cyber-Versicherung in der Praxis
Marktüberblick und Themen der Zukunft
4 5 6
66
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Marktüberblick | Unterschiede
Versicherungsfall Versicherte Ereignisse Klauseln
Versicherungsfälle im Haftpflichtteil
Claims-Made
Verschärftes Claims-Made Prinzip
Schadenereignis
Versicherungsfälle im Haftpflichtteil
Feststellungsprinzip
Schadeneintritt
Versicherungsfälle im Eigenschadenteil
Anspruchstellung Schadeneintritt
Feststellung Schadenereignis
67
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Marktüberblick | Unterschiede
Versicherungsfall Versicherte Ereignisse Klauseln
Informationssicherheitsverletzung
Cyber Angriff
Ausspähung, Datenangriff, Rechteverletzung, verhinderter Zugang und Rufschädigung
Verstöße gegen die Cyber-Sicherheit
Cyberrechtsverletzung
Datenverkehrsverletzungen
68
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Marktüberblick | Unterschiede
Versicherungsfall Versicherte Ereignisse Klauseln
Proaktives Krisenmanagement
Mitversicherung von Public Clouds
Mitversicherung Diebstahl und Betrug
Kosten für die Wiederherstellung betrifft unterschiedliche Maßnahmen
Obliegenheiten
Ausschlüsse
Bedienungsfehler
69
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Marktüberblick | Marktüberblick – Europa (Primary und Excess) u.a.
Derzeit sind ca. 60
Versicherer und
Londoner Syndikate auf
dem europäischen Cyber-
Versicherungsmarkt aktiv
Die Marktkapazität für
Cyber-Risiken übersteigt
inzwischen 400 Mio.
EUR
ACE/ Chubb Beazley Mitsui
Aegis Berkshire Hathaway Munich Re
AGM Brit Navigators
AIG Catlin Novae
AIG Cat xs CFC Pembroke (Ironshore)
AGCS und Allianz Vers. CNA Hardy Principia
Amlin Cove Underwriting QBE
ANV DUAL Sagicor
Arch Endurance Scor
Argo HCC Starr
Ascent HDI Global Swiss Re
Aspen Hiscox TokioMarineKiln
AWAC Lexington XL
Axa-CS und AXA Vers. Liberty Zurich
Axis Markel etc.
Barbican Marketform
70
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Marktüberblick | Unternehmenswerte / PML / Versicherung
Quelle: Aon/Ponemon 2015 Global Cyber Impact Report
$648 $617
0
100
200
300
400
500
600
700
PP&E InformationAssets
Property, Plant & Equipment Information assets Probable maximum loss in $millions
Total value of PP&E = $848 million
Percentage of PP&E covered by insurance = 51%
Total value of IA = $815 million
Percentage of IA covered by insurance = 12%
71
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Marktüberblick | Gründe für das zögerliche Abschlussverhalten - Deutschland
Unternehmen wollen ihre Risiken
verstehen, bevor Sie eine
Versicherungslösung kaufen.
Unternehmen vertrauen auf
deutsche Technik und
Ingenieurskunst...
Unternehmen können sich
Schäden durch Hackerangriffe
und Datenverluste noch schwer
vorstellen.
Mentalität
Vertrauen
Verständnis
72
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Marktüberblick | Europäischer Vergleich – Was wird gekauft?
€
€ € €
€ € € € €
€ € € € € € €
72
18
36
54
€
€ € €
€ € € € €
€ € € € € € €
Versicherungssummen Zeitlicher Selbstbehalt Finanzieller Selbstbehalt
Durchschnitt
€ 13.393.945
Maximum
€ 202.316.275
Durchschnitt
€ 534.717
Maximum
€ 33.726.598
Minimum
6 Std.
Durchschnitt
14 Std.
Maximum
72 Std.
Quelle: Aon Risk Solutions
73
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Marktüberblick | Status Quo und Ausblick
Risikobewusstsein
ist vorhanden
Beratungsbedürfnis
so hoch wie nie
Viele Unternehmen
befinden sich in der
Analyse- und
Bewertungsphase
Thema gelangt
in die Management-
ebene
Abschlussquote
vor allem bei
großen
Unternehmen steigt
Erste versicherte
Schäden
74
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Marktüberblick | Status Quo und Ausblick
1. Cyber-Risiken sind in der deutschen
Wirtschaft angekommen
2. Aufgrund umfangreicher
Beratungsleistungen steigt das
Verständnis für Risiken und Schäden
3. Steigende Abschlussquoten in 2016 und
2017
75
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Ausblick | Risiken für das Produkt – Direkter Angriff
76
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Ausblick | Risiken für das Produkt – Angriff über Hersteller/ Zulieferer
77
Aon Risk Solutions – ein Geschäftsbereich der Aon Versicherungsmakler Deutschland GmbH
Specialty Cyber | Forschungsstelle für Versicherungswesen – Universität Münster | Seminar zur Cyberversicherung
Ausblick | Sach- und Personenschäden
2008
2010
2014
Cyber Attacke bringt türkische Ölpipeline zur Explosion
Computerwurm Stuxnet zerstört iranische Uran-Zentrifugen
Hackerangriff auf deutsches Stahlwerk
2015 Hackerangriff führt zu Stromausfall in der Ukraine
2016 Krypto-Trojaner infiziert mehrere Krankenhäuser
2017 ?
Thomas Droberg, LL.M.
Aon Risk Solutions | Cyber Specialist
Luxemburger Allee 4
45481 Mülheim an der Ruhr
__________________________________
+49 208 7006 3044
+49 176 1266 3044
Johannes Behrends, LL.M.
Aon Risk Solutions | Head of Specialty Cyber
Luxemburger Allee 4
45481 Mülheim an der Ruhr
__________________________________
+49 208 7006 2250
+49 176 1266 2250