12. Cyber-Sicherheitstag Cyberbasierte Risiken – Inhalt, Identifizierung und Transfermöglichkeiten 02. März 2016, Unna Lars Bachmann Senior Client Executive Region West Einstufung Bedrohungsumfeld 1 - Welche Motivationslagen sind erkennbar? • Motivationslagen 1. Organisierte (Wirtschafts-)Kriminalität: Ziel: Erlangung verwertbarer Daten; digitalisierte Daten einer betrieblichen Organisation sind geldwert, da mindestens an den Berechtigten veräußerbar (z.B. Ver- und Entschlüsselung). 2. Terroristisch oder staatlich motiviert gesteuerte Aktivitäten, auch weltanschauungsabhängig Die Fähigkeit, mit einer bloß immateriell aus der Ferne führbaren Einflußnahme einen realen physischen Schaden zu erzielen, stellt insbesondere ein für staatlich und ideologisch motivierte Täter attraktives, weil sicheres Umfeld dar. MARSH 02.03.2016 1 Einstufung Bedrohungsumfeld 2 - Welche Motivationen sind darüberhinaus erkennbar? 3. „Hacktivisten“ Gruppierungen von Hackern bündeln vorhandene Kapazitäten, um unterschiedlich motiviert Ziele wirksam anzugreifen. Häufige Motive (alternative Aufzählung): 1. Erlangung öffentlicher Aufmerksamkeit zur Verfolgung eines Sekundärzieles 2. Eine branchenweite, mindestens jedoch unternehmensweite Wirkung zu erzielen (Sekundärziel) 3. Wirtschaftliche Motivation (Entgeltliche Dienstleistung ähnlich werkvertraglicher Art) MARSH 02.03.2016 2 Beispielhafter Ablauf unter Berücksichtigung bilanzschützender Transfermöglichkeiten auf Risikoträgermarkt • Voraussetzung: Entsprechende Versicherungslösung • Feststellung des Vorfalls, ausreichend auch bloße Vermutung • Kontaktaufnahme zu BSI (z.B. §8b IV BSIG) – z.B. Meldeerfordernis für KRITIS zu Makler / Versicherer - Auslösung Forensik-/ Reputations-/ Krisenmanagement • Abgestimmte Beauftragung forensischer Untersuchung durch Vr parallel beispielsweise LKA NRW - Cybercrime-Kompetenzzentrum • Ergebnismöglichkeiten Forensik: 1. Angriff gegenwärtig andauernd 2. Kein gegenwärtiger und unmittelbarer Angriff 3. Angriff lag vor, ist abgeschlossen • Kostenpositionen (1.,2.und 3.) und bilanzieller Vermögensschaden (1. und 3.) sind angefallen (Unterschiedlichkeit hinsichtlich Nachweispflichten) MARSH 02.03.2016 3 IT-Compliance als unternehmerische Verpflichtung zur Risikovermeidung Vortragsveranstaltung Taylor Wessing Partnergesellschaft mbB, Hamburg, 2015 MARSH 02.03.2016 4 Haftung / Mögliche Rechtsfolgen bei Verstößen Vortragsveranstaltung Taylor Wessing Partnergesellschaft mbB, Hamburg, 2015 MARSH 02.03.2016 5 Hauptursachen von Störungen in Lieferketten (Quelle: Marsh UK, Stand 2014) Branchenbezogene Einzelbetrachtung kann einzelne Auswirkungsergebnisse weiter verstärken! MARSH 02.03.2016 6 Versicherte Kostenpositionen, ausgelöst durch verwirklichte Cyber-Risiken Kostendeckung, Eigenschadenbereich Ansprüche von außen, Drittschadenbereich Vermögensschäden, insbesondere durch • Persönlichkeitsrechtsverletzungen, auch eigener Mitarbeiter • Urheberrechtsverletzungen • Verletzung des Bundesdatenschutzgesetzes • Verlust der Vertraulichkeit von Daten • Produktfehler / Fehler bei der Erbringung von Leistungen • Übertragung von Viren • Verzug der Leistung • Schadenersatz wegen Nichterfüllung • Austausch von Kreditkarten Betriebsunterbrechungskosten, d.h. fortlaufende Kosten und entgangener Gewinn, insbesondere durch • Hacker-Attacken • Schadprogramme, Viren • Hard- und Softwareschäden • • Krisenmanagement PR-Management, unabhängig von Einstufung Sach- oder Personenschaden Wiederherstellung von verlorenen Daten und IT-Systemen Kosten/Entschädigungszahlung bei CyberErpressung (separater Deckungsschutz) Vertragsstrafen / Bußgelder (PCI), soweit gesetzlich zulässig Entstandene Mehrkosten IT-Ausfall oder Missbrauch Telefonanlage MARSH 02.03.2016 7 Kritik an klassischen Versicherungen Deckungslücken und (evtl. teilweise existente) Doppelversicherungsmöglichkeiten In der Regel angebotener Versicherungsschutz Risiken im Umgang mit Daten Deckungsauslösendes Moment: Sach-Versicherung BetriebsunterbrechungsVersicherung BetriebshaftpflichtVersicherung Versicherter Sachschaden Versicherter Sachschaden eigenes Verschulden Vertrauensschadenversicherung Kriminelle Handlung (Bereicherungsabsicht) ManagerhaftpflichtVersicherung (D&O) Cyber-Risk-Versicherung Pflichtverletzung Verlust von Daten oder IT-Störung Deckung bereits im Verdachtsfall Hackerangriff / Datenkompromittierung Betriebsunterbrechung nach Hackerangriff oder Denial of Service Attacke Diebstahl von Daten Wiederherstellung von Daten, Software, Netzwerken, etc. Verlust von Daten durch blosses Liegenlassen Kosten durch den Verlust von Daten mittelbare und unmittelbare Vermögensschäden Haftung für Vertragsvereinbarungen mit Kreditkartenunternehmen (PCI) Persönlichkeitsrechtsverletzung Übernahme der Kosten bei einem Datenschutzvorfall Zugriff auf externe Sicherheitsexperten Rechtsbeistand PR / Krisenmanagement Zahlung von Erpressungsgeldern Legende: MARSH versichert P! Schnittstellenthematik nicht versichert 02.03.2016 8 Die traurige Wahrheit MARSH 02.03.2016 9 KONTAKT Lars Bachmann Senior Client Executive Marsh GmbH Kasernenstr. 69 D-40213 Düsseldorf +49 (0)211-8987-401 [email protected]
© Copyright 2024 ExpyDoc
