Cyber risk

625 Aufrufe

Veröffentlicht am

Internetkriminalität - eine Wachstumsbranche. 700.000 Straftaten jedes Jahr in Deutschland, über 46 Mrd. EUR Schaden. Cyber Versicherungen schützen ihr Unternehmen vor den finanziellen Folgen.

Veröffentlicht in: Internet
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
625
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
17
Aktionen
Geteilt
0
Downloads
4
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Cyber risk

  1. 1. CYBER RISK MANAGEMENT Cyber Risiken professionell managen 1
  2. 2. André Wohlert Betriebswirt (IHK) | Versicherungsmakler  Ausbildung und Erfahrung • Versicherungskaufmann (IHK), Versicherungsfachwirt (IHK) • Datenschutzbeauftragter (TÜV-Süd) • Experte Betriebliche Haftpflichtversicherung (DMA) • Experte Gewerbliche und Industrielle Sachversicherung (DMA) • Dozent an der Deutsche Makler Akademie, Wiesbaden • Autor verschiedener Fachveröffentlichungen 2 Ihr Ansprechpartner
  3. 3. 3 IT-Sicherheit in den Medien
  4. 4. Quelle: Bundeslagebild des BKA, 2013 4 Gefährdungslage 64.426 Cybercrime Fälle in 2013 nur 9% aller Straftaten kommen zur Anzeige
  5. 5. Typische Straftaten sind:  Diebstahl der digitalen Identität  Phishing  digitale Erpressung  Computerbetrug  Ausspähen und Abfangen von Daten  Datenveränderung und Computersabotage 5 Gefährdungslage
  6. 6. Klassische Phishing-E-Mails 6 Gefährdungslage
  7. 7. Ein Angreifer versucht über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Zugangsdaten des Nutzer zum Firmennetzwerk zu kommen, um sich so einen unerkannten Zugang zum Netzwerk zu verschaffen (Phishing). Möglichkeiten:  Weiterleiten auf scheinbar bekannte Seiten mit Login-Bereich  Versteckter Key-Logger oder Malware im Anhang der E-Mail Quelle: Hiscox 7 Gefährdungslage
  8. 8. Beispiele für digitale Erpressung 8 Gefährdungslage
  9. 9. Daten in mittelständischen Unternehmen  Personenbezogene Daten von Kunden, Mitarbeitern und Dienstleistern  Kommunikationsdaten (E-Mail-Adressen, Zugangsdaten zu sozialen Netzwerken)  Bankdaten, Kreditkartendaten  eigene geschäftliche Unterlagen  geschäftliche Unterlagen von Kunden 9 Gefährdungslage
  10. 10.  IT-Infrastrukturen im Cyber-Raum werden immer komplexer (elektronische Kommunikationswege, Soziale Netzwerke, Online-Shops, automatisierter Informations- und Datenaustausch zwischen Endgeräten M2M, Nutzung von Clouds, hohe Verbreitung von mobilen Endgeräten)  fehlendes Sicherheitsbewusstsein führt zu unzureichend abgesicherten Systemen  sorglose Informationsaustausch über das Internet und der „Always-On“-Status mobiler Systeme erleichtern den Zugriff auf schützenswerte Informationen  Aus der Komplexität der Technik ergibt sich ein breites Spektrum möglicher Angriffsvektoren (Angriffswege und Angriffstechniken)  Cyber-Angriffe werden mittlerweile gezielt und mehrstufig durchgeführt 10 Gefährdungslage
  11. 11. Typische Sicherheitsmängel in Unternehmen und Behörden  Patchstände von Betriebssystemen und Applikationen sind veraltet  Passwörter sind leicht zu ermitteln  Mobile Endgeräte werden nicht verschlüsselt  Maßnahmen zu Netzwerkmanagement und –überwachung sind nicht oder lediglich als Insellösungen existent und werden nur anlassbezogen manuell ausgewertet  Schulungen und Sensibilisierungsmaßnahmen finden für Anwender nicht oder nur in geringfügigem Umfang statt  IT-Sicherheitskonzepte sind unvollständig und inkonsistent  die Verantwortlichkeit für die Informationssicherheit ist oftmals nicht klar geregelt  der Datenschutz ist mangelhaft (0rganisatorisch-technische Maßnahmen werden nicht stringend umgesetzt) Quelle: Die Lage der IT-Sicherheit in Deutschland 2014 11 Gefährdungslage
  12. 12. Im Internet kann man alles kaufen…  …Herzschrittmacher, Viagra, WM-Tickets, Musik, Videos, Drogen, Waffen, Hehlerware…  …und natürlich auch gestohlene Nutzerdaten, Malware-Baukästen, Hacking-Tools, […]  Cyber-Schwarzmärkte (Darknet-Markt) funktionieren hoch-professionell nach den üblichen Regeln des e-Commerce und genauso wie Ebay, Amazon 12 Gefährdungslage
  13. 13. Im Internet kann man alles kaufen…das sind die Preise…  Gestohlene E-Mail-Accounts kosten zwischen 0,50 – 10,00 US-Dollar (je 1.000 Stück)  Kreditkarten-Datensatz kostet zwischen 0,50 – 20,00 US-Dollar  Scan-Kopie eines Personalausweises kostet zwischen 1,00 – 2,00 US-Dollar  DDoS-Attacke (Distributed Denial of Service) kostet pro Tag ab 10,00 US-Dollar  ein gestohlenes IT- icherheitszertifikat kostet ca. 1.000 EUR 13 Gefährdungslage
  14. 14. Quelle: Bundeslagebild des BKA, 2013 14 Gefährdungslage
  15. 15. Typische Hackerangriffe lassen sich grob in folgende Phasen gliedern: Phase 1 Recherche von interessanten Zielen Phase 2 Festlegung des Angriffsziels Phase 3 Suche von Schwachstellen im IT-System Phase 4 Festlegung von Angriffspunkt, Angriffsart, Angriffswerkzeug und Angriffstarnung Phase 5 Zugang zum System Phase 6 Informationssammlung und -abschöpfung Phase 7 Spurenbeseitigung Phase 8 Vermarktung der Daten Phase 9 Folgeangriff Cyber-Angriffe auf ein Unternehmen erfolgen nicht zufällig, sondern gezielt und hochprofessionell! 15 Gefährdungslage
  16. 16. Quelle: Bundeslagebild des BKA, 2013 16 Gefährdungslage
  17. 17. Mittelständische Unternehmen sind beliebte Angriffsziele für Cyber-Kriminelle  IT-Sicherheitsstandards sind schwach bis mäßig  IT-Sicherheitsvorfälle werden zu spät oder gar nicht erkannt und häufig auch nicht angezeigt  es erfolgt keine strafrechtliche und zivilrechtliche Verfolgung  betroffene Kunden werden nicht informiert, die Daten sind damit über einen längeren Zeitraum nutzbar  Mittelständische Firmen sind häufig Zulieferer für größere Firmen und damit optimale Schwachstellen für einen Angriff auf „Schlüsselindustrie“-Unternehmen 17 KMU im Visier
  18. 18.  Finanzieller Schaden  Kosten für die IT-Forensik  Kosten für die Datenrettung und Datenwiederherstellung  Kosten für Sicherheitsverbesserungen des IT-Systems  Vertragsstrafen (z.B. aus Verletzung von PCI-Sicherheitsstandards)  Erpressungsgelder  Schadenersatzansprüche von Kunden und Dienstleistern  Betriebsunterbrechungsschäden durch behördliche Stilllegungsverfügungen, Netzwerkunterbrechung / Netzwerkausfall, Cloud-Ausfall  Umsatzeinbußen durch die Nichterreichbarkeit des Online-Shops  Kosten für das Krisenmanagement  Information der Kunden  Kosten für die Kreditüberwachung von Kundenkonten  Bußgelder  Bertrugsschaden  Rechtsverfolgungskosten 18 Schaden eines Cyber-Angriffs
  19. 19.  Schadenersatzansprüche von Kunden können sich ergeben aus  Verstoß gegen vertragliche Datenschutzbestimmungen und Geheimhaltungspflichten  Weitergabe eines Virus  Verletzung von Persönlichkeitsrechten  Verletzung von Lieferterminen und Fristen  aus kompromittierte Kreditkartendaten 19 Schaden eines Cyber-Angriffs
  20. 20.  Reputationsschaden  Verlust von Kunden  Ermittlung von Datenschutzbehörden 20 Schaden eines Cyber-Angriffs
  21. 21.  Reputationsschaden 21 Schaden eines Cyber-Angriffs Bundesdatenschutzgesetz (BDSG) § 42a Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten Stellt eine nichtöffentliche Stelle im Sinne des § 2 Absatz 4 oder eine öffentliche Stelle nach § 27 Absatz 1 Satz 1 Nummer 2 fest, dass bei ihr gespeicherte 1. besondere Arten personenbezogener Daten (§ 3 Absatz 9), 2. personenbezogene Daten, die einem Berufsgeheimnis unterliegen, 3. […] 4. personenbezogene Daten zu Bank- oder Kreditkartenkonten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen, hat sie dies nach den Sätzen 2 bis 5 unverzüglich der zuständigen Aufsichtsbehörde sowie den Betroffenen mitzuteilen. Die Benachrichtigung des Betroffenen muss unverzüglich erfolgen, sobald angemessene Maßnahmen zur Sicherung der Daten ergriffen worden oder nicht unverzüglich erfolgt sind und die Strafverfolgung nicht mehr gefährdet wird. Die Benachrichtigung der Betroffenen muss eine Darlegung der Art der unrechtmäßigen Kenntniserlangung und Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen enthalten. Die Benachrichtigung der zuständigen Aufsichtsbehörde muss zusätzlich eine Darlegung möglicher nachteiliger Folgen der unrechtmäßigen Kenntniserlangung und der von der Stelle daraufhin ergriffenen Maßnahmen enthalten. Soweit die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, insbesondere aufgrund der Vielzahl der betroffenen Fälle, tritt an ihre Stelle die Information der Öffentlichkeit durch Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch eine andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleich geeignete Maßnahme
  22. 22.  Reputationsschaden 22 Schaden eines Cyber-Angriffs Bundesdatenschutzgesetz (BDSG) § 43 Bußgeldvorschriften (2) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig […] 7. entgegen § 42a Satz 1 eine Mitteilung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht. (3) Die Ordnungswidrigkeit kann im Fall des Absatzes 1 mit einer Geldbuße bis zu fünfzigtausend Euro, in den Fällen des Absatzes 2 mit einer Geldbuße bis zu dreihunderttausend Euro geahndet werden. Die Geldbuße soll den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen. Reichen die in Satz 1 genannten Beträge hierfür nicht aus, so können sie überschritten werden.
  23. 23. Schaden durch Cybercrime in Deutschland allein in 2013 46.000.000.000 EUR 23 Schaden eines Cyber-Angriffs
  24. 24. 1. Cyber-Haftpflichtversicherung: Absicherung von Haftpflichtansprüchen Dritter (Kunden, Dienstleistern, PCI) 2. Cyber-Eigenschadendeckung: Abdeckung eigener Kosten und Schäden 3. Vertrauensschadensversicherung: Vermögensschäden aus unerlaubten Handlungen, die von Betriebsangehörigen oder sonstigen Vertrauenspersonen des Unternehmens begangen werden Assistance-Leistungen Vermittlung von spezialisierten Dienstleistern und deren Kostenübernahme 24 Cyber-Versicherungen
  25. 25. 1. Cyber-Haftpflichtversicherung: Absicherung von Haftpflichtansprüchen Dritter (Kunden, Dienstleistern, PCI) 2. Cyber-Eigenschadendeckung: Abdeckung eigener Kosten und Schäden 3. Vertrauensschadensversicherung: Vermögensschäden aus unerlaubten Handlungen, die von Betriebsangehörigen oder sonstigen Vertrauenspersonen des Unternehmens begangen werden Assistance-Leistungen Vermittlung von spezialisierten Dienstleistern und deren Kostenübernahme 25 Cyber-Versicherungen D&O-Versicherung Elektronik-/ Maschinen- versicherung Software- und Datenträger- versicherung
  26. 26. Zielgruppe  Internetdienstanbieter  Betreiber von Online-Shops  IT-Unternehmen  Softwarehersteller  Hidden Champions (kleinere und meist unbekannte Markt-/Weltmarktführer in Spezialsegmenten)  Hotels  Beratende Berufe (Rechtsanwälte, Steuerberater, Wirtschaftsprüfer)  Medizinische Berufe (Krankenhäuser, Kliniken, Ärzte)  Produzierendes Gewerbe  Unternehmen der deutschen Schlüsselindustrie (Automobilbau, Maschinenbau, alternative Energietechnik, Bioelektronik, Nanotechnologie, Mikroelektronik)  Energieversorger Cyber-Versicherungen
  27. 27. Quelle Datum http://www.faz.net/aktuell/politik/inland/nach-hacker-angriff-bundestag-benoetigt-neues-computer-netzwerk-13640703.html 10.06.2015 http://www.tagesschau.de/wirtschaft/ebay-passwoerter100.html 10.06.2015 http://www.deutschlandfunk.de/internetsicherheit-hacker-knacken-16-millionen-e-mail-konten.1818.de.html?dram:article_id=275207 10.06.2015 http://www.faz.net/aktuell/wirtschaft/netzwirtschaft/chronik-die-wichtigsten-hackerangriffe-13345391.html 10.06.2015 http://www.chip.de/news/BSI-warnt-vor-gigantischem-Identitaetsdiebstahl-So-testen-Sie-ob-auch-Ihre-Daten-betroffen-sind_66679710.html 10.06.2015 http://www.connect.de/news/hackerangriff-auf-fritzboxen-1943982.html 10.06.2015 Quellen-Nachweise
  28. 28. Diese Unterlage basiert auf Beurteilungen und rechtlichen Einschätzungen des Autors zum Zeitpunkt der Erstellung. Die Unterlagen dienen ausschließlich zu Informationszwecken und ersetzen keine individuelle Beratung. Eine Gewähr für die Richtigkeit und Vollständigkeit kann nicht übernommen werden. Durch die Überlassung der Unterlagen wird eine Haftung gegenüber dem Empfänger oder Dritten nicht begründet. © Copyright André Wohlert. Alle Rechte vorbehalten. Jedes Veräußern oder sonstiges Verbreiten, auch auszugsweise, bedarf der Zustimmung.

×