Upload
lydien
View
221
Download
1
Embed Size (px)
Citation preview
Ihr unabhängiger Partner für Operatives Risikomanagement
Haftungs- und Schadensszenarien im Bereich Cyber und Data Risks
DI Johannes Vogl
Salzburg, 29. September 2015
GrECo JLT Risk Consulting GmbH
Zur Person
• Studium Montanuniversität Leoben
• 10 Jahre Managementsysteme und Technikverantwortung Automotive und Metall
• 9 Jahre Consulting im Bereich Risiko- und Schadenmanagement
GrECo JLT Risk Consulting - Unser Dienstleistungsspektrum
Risk Engineerin g
Erstellung von Großschadenszenarien, Natur-
gefahrenanalysen sowie Risikobeurteilung
zu Ihrer Wertschöpfungsk e.
Underwriting Services
Risikoanalysen und Info ons-
ereitung zur Op mierung
Ihres Versicherungsschutzes.
Risk Management
Entwicklung und Implemen erung von
unternehmensweiten Program-
men zur Schadenverhütung.
Schadenmanagement
Unterstützung bei der Schadenab-
wicklung um möglichst schnell wieder
Betriebsbereitscha zu gewährleisten.
Trainings und Workshops
Individuelle Themengestaltung aus den
Bereichen Versicherungstechnik, Schaden-
verhütung und Risikomanagement.
Die Sensibilisierung
Pressemeldungen
• BaFin, 02.02.2015, „Cyber-Angriffe: Risiken für Banken und Aktivitäten der Aufsicht“
• ZDNet, 04.02.2015, „Cyber-Angriffe auf Unternehmen werden 2015 zum Massenphänomen“
• Computerbase, 25.02.2015, „Bitkom-Umfrage: Jedes dritte Unternehmen kämpft mit Cyberangriffen“
• Handelsblatt, 16.03.2015, „Cebit warnt vor Sicherheitsrisiken. Cyberangriffe verursachen Milliardenschäden“
• ComputerPartner, 17.03.2015, „Hackerangriff auf Industrieanlagen“
• A.T. Kearney, 18.05.2015: „Cyberangriffe werden in Zukunft häufiger und folgenschwerer“
• Deutsche Wirtschafts Woche, 17.06.2015, Keine russischen Hacker: Die meisten Cyber-Angriffe kommen aus den eigenen Reihen
• Deutschlandfunk, 11.04.2015, „Cyberangriffe auf Unternehmen: Sicherheitslage grundsätzlich angespannt“
• FH St. Pölten, 25.06.2015, „Diskussion: Gezielte Cyberangriffe auf Unternehmen“
• Zeit Online, 19. 05.2015, „Cyberangriff: Offenbar Rechner von Regierungsmitgliedern gehackt“
• Zeit Online, 21.05.2015, „Hacker: Bundestag kann Cyberangriff nicht stoppen“
• Tagesschau, 14.07.2015, „Bundesregierung sucht Strategie gegen Hacker“
• news.orf.at, 24.07.2015 „Millionenrückruf nach Jeep-Hack; der Alptraum aller Autohersteller“
Seite 5
Persönliche Sensibilisierung
• http://www.spiegel.de/netzwelt/web/bsi-bericht-hacker-legten-deutschen-hochofen-lahm-a-1009191.html
• https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2014.pdf?__blob=publicationFile
• Cyber Angriff mittels „Spear Pishing“ auf ein Stahlwerk
Das betrifft schon jeden…
Source: CT Magazin, die Hotspot Falle
Das Ereignis
Schutzziele
Hand holding envelope top
Stethoscope and handcuffs [email protected]
Informationen
Prozesse
Compliance
Der Angriff erfolgt von innen“
• Mitarbeiter als Täter
• Fehlbedienung
• Geringes Sicherheitsbewusstsein
• Schwächen im Ablaufprozess (IT)
• unklare Zuständigkeit
• Unzureichende Information über Veränderungsprozesse (Updates, neue Programme, neue Arbeitsplätze …)
• Nutzung von Daten über Clouds, Smartphones, etc.
• Home Offices
„von außen“
• Spam, Phishing
• Emailattacken
• Hackerangriffe
• Illegaler Datendownload
• Kreditkartenbetrug bei Onlinekäufen
• Malversationen im Zuge von Internetbanking
• Trackingmalware, Trojaner,
• Viren
• Spyware
• Würmer
• Social Engineering
Lässt sich der Angriff verhindern?
Was meinen Sie?
Die Auswirkung
Schadenpotentiale – Eigenschäden
Seite 13
Langwierige Rechtsverfahren
Auffindung des Fehlers
Wiederherstellung von Daten/ Systemen
Erpressungsgelder
Diebstahl von Betriebs- und Geschäftsgeheimnissen
Reputationsverlust Produktions- und Ertragsausfälle
Betriebsunterbrechungsschäden
Straf- und Pönalzahlungen
Information von Kunden und Behörden
Langwierige Rechtsverfahren
Cyber & Data Risiken – Versicherungsfälle (Schadenbeispiele)
Seite 14
Ehemaliger Mitarbeiter verkauft persönliche Daten an ein „Verbrechernetzwerk“
Unternehmensart: Einzelhandel
Informationen von: 75.000 Kunden und 2.500 Mitarbeiter wurden verkauft durch unerlaubten Zugriff auf Sicherheitsdatenbank
2,5 Mio. zur Behebung des Schadens 2,5 Mio. Bußgeld
Versicherbare Kosten: forensische Untersuchungen, PR, Monitoring, Benachrichtigungskosten, Datenwiederherstellung, Abwehrkosten
Diebstahl eines Laptops erweist sich als sehr teuer
Unternehmensart: Unternehmensberatung
Laptop wurde gestohlen mit über 7.500 Kundendaten inkl. Finanzdaten
2,5 Mio. zur Behebung des Schadens
Versicherbare Kosten: Benachrichtigungskosten, Krisenmanagementkosten, Abwehrkosten, Datenwiederherstellung, Call Center, Rechtsberatung
Schadenpotentiale - Drittschäden
Kosten zur Aufklärung der Vorfälle (IT-Support)
Kosten im Zuge aufsichtsrechtlicher Verfahren
Datenschutzverletzungen Dritter (Persönlichkeitsrechtsverletzung)
direkter und indirekter finanzieller Verlust
• direkter/indirekter Verlust von Kapital
• Kosten im Zusammenhang mit Wiedererlangung oder Neubeschaffung von Kundendaten
• Zukünftige Vermögensschäden infolge öffentlich zugänglicher Gesundheitsdaten
• Arbeitsrechtliche Verfahren
Seite 15
Regressforderungen gegen „verursachendes Unternehmen“ (= „erweiterter Eigenschaden“)
Cyber & Data Risiken – Versicherungsfälle (Schadenbeispiele)
Seite 16
Fehlbedienung korrumpiert Daten des Warenwirtschaftssystems im Hauptlager
Unternehmensart: Einzelhandel Produktindizes werden geändert, führt zu irrelevante Warenbestellungen und unnötige Lagerbestände – Waren des täglichen Bedarfs nicht verfügbar – fehlender Lagerplatz – Verderb nicht benötigter Produkte – fehlerfreier Geschäftsbetrieb erst nach einer Woche
Schadenhöhe: € 552.000,- Verluste durch beeinträchtige Kundentreue bzw. aus verderblichen Lebensmitteln; Umsatzeinbußen durch Nichtverfügbarkeit der gefragten Produkte
Diebstahl personenbezogener Informationen und Netzwerk-Zusammenbruch
Unternehmensart: Vermögensverwaltung
Informationen von: 25.000 Kunden 250 Mitarbeitern
durch installierten Virus konnte 72h nicht gearbeitet werden + Virusübertragung an Kunden
7,55 Mio. € Schaden
Versicherbare Kosten: E-Business-Betriebsunterbrechung, Benachrichtigungskosten, Krisenmanagementkosten, Abwehrkosten, Datenwiederherstellung, Vermögensschäden Dritter
Schadenpotential- Haftungen
• Unterschiedliche rechtliche Konsequenzen
Haftung für fehlende oder unzureichende Netzwerksicherheit und dadurch ermöglichte Hackerangriffe
Ahndung wegen Rechtsverletzungen
• § 347 UGB1): erhöhter Sorgfaltsmaßstab für Unternehmer (vgl. §1299 ABGB2))
• § 25 (1) GmbHG2): Geschäftsführer: Sorgfaltspflicht eines ordentlichen Geschäftsmannes
• § 84 (1) AktG3): Vorstandsmitglieder: Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters
• § 1293 ff ABGB4): allgemeine Verschuldenshaftung
• § 33 DSG5): Schadenersatz nach ABGB (Verschuldenshaftung), die Kausalität ist vom Betroffenen nachzuweisen
• § 52 Abs 2 DSG: Verwaltungsübertretung – Geldstrafe bis 10.000 EUR (pro Anlassfall) z.B.: Verletzung der Informationspflicht gem. gemäß § 24 DSG oder grob fahrlässige Außerachtlassung erforderlicher Sicherheitsmaßnahmen gemäß § 14 DSG
• Persönliche Haftung und Folgen für die Unternehmensleitung/Verantwortlichen
Managerhaftung gegenüber dem Unternehmen (D&O)
Jobverlust (bifie …)
Seite 17
1) UGB: Unternehmensgesetzbuch; 2) GmbHG: GmbH Gesetz; 3) AktG: Aktiengesetz; 4) ABGB: Allgemeines bürgerliches Gesetzbuch; 5) DSG: Datenschutzgesetz
Cyber & Data Risiken – Versicherungsfälle (Schadenbeispiele)
Seite 18
Virus beeinträchtigt Datenbank eines Hochregallagers
Unternehmensart: Hochregallager
Server wurde durch neuen Virus infiziert. Die Ortung der eingelagerten Waren war nicht mehr möglich
Schadenhöhe: € 695.000,-
Kosten: BU-Schaden aufgrund kontrollierter Systemabschaltung; Dekontamination infizierter Daten; Wiederherstellung der Daten aus Back-up-Sicherungen; manuelle Auslagerung und Neuerfassung eines Teils der Lagerware; Vertragsstrafen aufgrund verspäteter Auslieferung
100.000 EUR mit „Trojaner“ vom Konto abgezapft (Kleine Zeitung, 11.08.2015)
Unternehmensart: Finanzdienstleistung
Acht Männer aus Estland und Lettland haben für eine Bande Konten eröffnet, auf die mit einem "Trojaner" rund 100.000 Euro von neun Opfern überwiesen wurden - via Internet
Schadenhöhe: mehr als € 100.000,--
Kosten: Kosten zur Auffindung des Trojaners; Dekontamination infizierter Computer; Erstattung der abgebuchten Geldsumme;
Die Handlung
Vorbeugen und sich Vorbereiten
Business Continuity Management nach ISO 22301
Krisenmanagement
Risikomanagementmodell nach ISO 31000
Risikomanagement
COSO ERM Modell Committee of Sponsoring Organizations of the Treadway Commission
Information Security System nach ISO 27001
Der Risikomanagementkreislauf
• Risikovermeidung
- Verzicht
- Prozesse neu definieren
• Risikominderung
- Festlegung von Richtlinien
- Schutzstandards entwickeln und installieren
- Schulungen, Trainings
• Risikokompensation
- Redundante Anlagen
- Diversifikation
• Risikoabwälzung
- Versichern von Risiken
- Fremdvergaben
• Risikoakzeptanz
Versicherung?????
Cyber & Data Risiken – Österreichischer Versicherungsmarkt
• 9 namhafte Anbieter mit eigenen Bedingungswerken
• ACE, AIG, Allianz, Hiscox, Chubb, DUAL, HDI, XL Catlin, Zurich
• Know-how noch sehr unterschiedlich ausgeprägt
• Produkte in unterschiedlichen Sparten angeknüpft (Financial Lines, Haftpflicht, Property)
• Spezielle Zielgruppenprodukte für kleinere Risiken und Konzernkunden
• Kapazitäten je Versicherer zwischen 1 Mio. EUR bis 50 Mio. EUR für Drittschäden
• Selbstbehalte: unterschiedlich fixe Eurobeträge bis zeitliche Selbstbehalte
Seite 22
Abgleich mit vorhandenen Versicherungen und individuelle Risikoanalyse und kompetente Beratung erforderlich.
Zusammenfassung
• Die Sensibilisierung
• Risikowahrnehmung fördern
• Schadenbeispiele und Szenarien
• „Angstmacherei“ versus Ignoranz
• Das Ereignis
• Technischer Schutz der IT ist nicht ausreichend
• Gleichbedeutend ist Organisation und physische Sicherheit
• Die Auswirkung
• Was kann und will sich das Unternehmen leisten
• Was kann das Management verantworten
• Die Handlung
• Einbettung in den Risikomanagementprozess
• Im Schadenfall agieren und nicht reagieren (Krisenmanagement als Teil des Business Continuity Managements)
Die Sicherheit im Bereich Cyber und Data Risk im Unternehmen darf nicht
ausschließlich in der Verantwortung der IT-Experten liegen, es ist eine
Managementaufgabe.
Zahlen, Daten, Fakten
Weiterführende Informationen
http://www.internet-sicherheit.de/service/glossar/glossar/
https://www.onlinesicherheit.gv.at/cert/sicherheitswarnungen.html
https://www.onlinesicherheit.gv.at/services/publikationen/sicherheitsberichte/132229.html;jsessionid=3ECDE1E04E5DAC9241ED9B507DD6572D?0
http://www.digitales.oesterreich.gv.at/
http://www.e-control.at/portal/page/portal/medienbibliothek/presse/dokumente/pdfs/02_Roland%20Ledinger_BKA_20140428%20Cyber%20Security.pdf
Seite 27
Ihr Kontakt zu GrECo JLT Risk Consulting
GrECo JLT Risk Consulting GmbH Elmargasse 2-4 1191 Wien Tel.: +43 (0)5 04 04-0 Fax: +43 (0)5 04 04-11 999 [email protected] www.greco-jlt.com
Christian Oppl Tel.: +43 (0)5 04 04-260 Fax: +43 (0)5 04 04-11 260 [email protected] Johannes Vogl Tel.: +43 (0)5 04 04-160 Fax: +43 (0)5 04 04-11 160 [email protected]
Danke für Ihre Aufmerksamkeit!
Alle Rechte an dieser Präsentation sind vorbehalten. Das Werk einschließlich seiner Teile ist urheberrechtlich geschützt. Die darin enthaltenen Informationen sind vertraulich.
Die Präsentation und ihre Inhalte dürfen ohne ausdrückliche Zustimmung der GrECo International AG nicht verwendet, übersetzt,
verbreitet, vervielfältigt und in elektronischen Systemen verarbeitet werden. Insbesondere ist eine Weitergabe an Dritte nicht gestattet.