Internetkriminalität - eine Wachstumsbranche. 700.000 Straftaten jedes Jahr in Deutschland, über 46 Mrd. EUR Schaden. Cyber Versicherungen schützen ihr Unternehmen vor den finanziellen Folgen.
7. Ein Angreifer versucht über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche
Zugangsdaten des Nutzer zum Firmennetzwerk zu kommen, um sich so einen unerkannten
Zugang zum Netzwerk zu verschaffen (Phishing).
Möglichkeiten:
Weiterleiten auf scheinbar bekannte Seiten mit Login-Bereich
Versteckter Key-Logger oder Malware im Anhang der E-Mail
Quelle: Hiscox
7
Gefährdungslage
9. Daten in mittelständischen Unternehmen
Personenbezogene Daten von Kunden, Mitarbeitern und Dienstleistern
Kommunikationsdaten (E-Mail-Adressen, Zugangsdaten zu sozialen Netzwerken)
Bankdaten, Kreditkartendaten
eigene geschäftliche Unterlagen
geschäftliche Unterlagen von Kunden
9
Gefährdungslage
10. IT-Infrastrukturen im Cyber-Raum werden immer komplexer (elektronische
Kommunikationswege, Soziale Netzwerke, Online-Shops, automatisierter
Informations- und Datenaustausch zwischen Endgeräten M2M, Nutzung von Clouds,
hohe Verbreitung von mobilen Endgeräten)
fehlendes Sicherheitsbewusstsein führt zu unzureichend abgesicherten
Systemen
sorglose Informationsaustausch über das Internet und der „Always-On“-Status
mobiler Systeme erleichtern den Zugriff auf schützenswerte Informationen
Aus der Komplexität der Technik ergibt sich ein breites Spektrum möglicher
Angriffsvektoren (Angriffswege und Angriffstechniken)
Cyber-Angriffe werden mittlerweile gezielt und mehrstufig durchgeführt
10
Gefährdungslage
11. Typische Sicherheitsmängel in Unternehmen und Behörden
Patchstände von Betriebssystemen und Applikationen sind veraltet
Passwörter sind leicht zu ermitteln
Mobile Endgeräte werden nicht verschlüsselt
Maßnahmen zu Netzwerkmanagement und –überwachung sind nicht oder lediglich
als Insellösungen existent und werden nur anlassbezogen manuell ausgewertet
Schulungen und Sensibilisierungsmaßnahmen finden für Anwender nicht oder nur in
geringfügigem Umfang statt
IT-Sicherheitskonzepte sind unvollständig und inkonsistent
die Verantwortlichkeit für die Informationssicherheit ist oftmals nicht klar geregelt
der Datenschutz ist mangelhaft (0rganisatorisch-technische Maßnahmen werden
nicht stringend umgesetzt)
Quelle: Die Lage der IT-Sicherheit in Deutschland 2014
11
Gefährdungslage
12. Im Internet kann man alles kaufen…
…Herzschrittmacher, Viagra, WM-Tickets, Musik, Videos, Drogen, Waffen,
Hehlerware…
…und natürlich auch gestohlene Nutzerdaten, Malware-Baukästen, Hacking-Tools, […]
Cyber-Schwarzmärkte (Darknet-Markt) funktionieren hoch-professionell nach den
üblichen Regeln des e-Commerce und genauso wie Ebay, Amazon
12
Gefährdungslage
13. Im Internet kann man alles kaufen…das sind die Preise…
Gestohlene E-Mail-Accounts kosten zwischen 0,50 – 10,00 US-Dollar (je 1.000 Stück)
Kreditkarten-Datensatz kostet zwischen 0,50 – 20,00 US-Dollar
Scan-Kopie eines Personalausweises kostet zwischen 1,00 – 2,00 US-Dollar
DDoS-Attacke (Distributed Denial of Service) kostet pro Tag ab 10,00 US-Dollar
ein gestohlenes IT- icherheitszertifikat kostet ca. 1.000 EUR
13
Gefährdungslage
15. Typische Hackerangriffe lassen sich grob in folgende Phasen gliedern:
Phase 1 Recherche von interessanten Zielen
Phase 2 Festlegung des Angriffsziels
Phase 3 Suche von Schwachstellen im IT-System
Phase 4 Festlegung von Angriffspunkt, Angriffsart, Angriffswerkzeug und
Angriffstarnung
Phase 5 Zugang zum System
Phase 6 Informationssammlung und -abschöpfung
Phase 7 Spurenbeseitigung
Phase 8 Vermarktung der Daten
Phase 9 Folgeangriff
Cyber-Angriffe auf ein Unternehmen erfolgen nicht zufällig, sondern gezielt und
hochprofessionell!
15
Gefährdungslage
17. Mittelständische Unternehmen sind beliebte Angriffsziele für Cyber-Kriminelle
IT-Sicherheitsstandards sind schwach bis mäßig
IT-Sicherheitsvorfälle werden zu spät oder gar nicht erkannt und häufig auch nicht
angezeigt
es erfolgt keine strafrechtliche und zivilrechtliche Verfolgung
betroffene Kunden werden nicht informiert, die Daten sind damit über einen
längeren Zeitraum nutzbar
Mittelständische Firmen sind häufig Zulieferer für größere Firmen und damit
optimale Schwachstellen für einen Angriff auf „Schlüsselindustrie“-Unternehmen
17
KMU im Visier
18. Finanzieller Schaden
Kosten für die IT-Forensik
Kosten für die Datenrettung und Datenwiederherstellung
Kosten für Sicherheitsverbesserungen des IT-Systems
Vertragsstrafen (z.B. aus Verletzung von PCI-Sicherheitsstandards)
Erpressungsgelder
Schadenersatzansprüche von Kunden und Dienstleistern
Betriebsunterbrechungsschäden durch behördliche Stilllegungsverfügungen,
Netzwerkunterbrechung / Netzwerkausfall, Cloud-Ausfall
Umsatzeinbußen durch die Nichterreichbarkeit des Online-Shops
Kosten für das Krisenmanagement
Information der Kunden
Kosten für die Kreditüberwachung von Kundenkonten
Bußgelder
Bertrugsschaden
Rechtsverfolgungskosten
18
Schaden eines Cyber-Angriffs
19. Schadenersatzansprüche von Kunden können sich ergeben aus
Verstoß gegen vertragliche Datenschutzbestimmungen und
Geheimhaltungspflichten
Weitergabe eines Virus
Verletzung von Persönlichkeitsrechten
Verletzung von Lieferterminen und Fristen
aus kompromittierte Kreditkartendaten
19
Schaden eines Cyber-Angriffs
21. Reputationsschaden
21
Schaden eines Cyber-Angriffs
Bundesdatenschutzgesetz (BDSG)
§ 42a Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten
Stellt eine nichtöffentliche Stelle im Sinne des § 2 Absatz 4 oder eine öffentliche Stelle nach § 27 Absatz 1 Satz 1 Nummer 2 fest, dass bei ihr
gespeicherte
1. besondere Arten personenbezogener Daten (§ 3 Absatz 9),
2. personenbezogene Daten, die einem Berufsgeheimnis unterliegen,
3. […]
4. personenbezogene Daten zu Bank- oder Kreditkartenkonten
unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, und drohen schwerwiegende
Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen, hat sie dies nach den Sätzen 2 bis 5 unverzüglich der
zuständigen Aufsichtsbehörde sowie den Betroffenen mitzuteilen. Die Benachrichtigung des Betroffenen muss unverzüglich erfolgen,
sobald angemessene Maßnahmen zur Sicherung der Daten ergriffen worden oder nicht unverzüglich erfolgt sind und die Strafverfolgung nicht
mehr gefährdet wird. Die Benachrichtigung der Betroffenen muss eine Darlegung der Art der unrechtmäßigen Kenntniserlangung und
Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen enthalten. Die Benachrichtigung der zuständigen Aufsichtsbehörde
muss zusätzlich eine Darlegung möglicher nachteiliger Folgen der unrechtmäßigen Kenntniserlangung und der von der Stelle daraufhin
ergriffenen Maßnahmen enthalten. Soweit die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde,
insbesondere aufgrund der Vielzahl der betroffenen Fälle, tritt an ihre Stelle die Information der Öffentlichkeit durch Anzeigen, die
mindestens eine halbe Seite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch eine andere, in ihrer
Wirksamkeit hinsichtlich der Information der Betroffenen gleich geeignete Maßnahme
22. Reputationsschaden
22
Schaden eines Cyber-Angriffs
Bundesdatenschutzgesetz (BDSG)
§ 43 Bußgeldvorschriften
(2) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig
[…]
7. entgegen § 42a Satz 1 eine Mitteilung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht.
(3) Die Ordnungswidrigkeit kann im Fall des Absatzes 1 mit einer Geldbuße bis zu fünfzigtausend Euro, in den Fällen
des Absatzes 2 mit einer Geldbuße bis zu dreihunderttausend Euro geahndet werden. Die Geldbuße soll den
wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen. Reichen die in Satz 1
genannten Beträge hierfür nicht aus, so können sie überschritten werden.
23. Schaden durch Cybercrime in Deutschland allein in 2013
46.000.000.000 EUR
23
Schaden eines Cyber-Angriffs
24. 1. Cyber-Haftpflichtversicherung:
Absicherung von Haftpflichtansprüchen Dritter (Kunden, Dienstleistern, PCI)
2. Cyber-Eigenschadendeckung:
Abdeckung eigener Kosten und Schäden
3. Vertrauensschadensversicherung:
Vermögensschäden aus unerlaubten Handlungen, die von Betriebsangehörigen
oder sonstigen Vertrauenspersonen des Unternehmens begangen werden
Assistance-Leistungen
Vermittlung von spezialisierten
Dienstleistern und deren
Kostenübernahme
24
Cyber-Versicherungen
25. 1. Cyber-Haftpflichtversicherung:
Absicherung von Haftpflichtansprüchen Dritter (Kunden, Dienstleistern, PCI)
2. Cyber-Eigenschadendeckung:
Abdeckung eigener Kosten und Schäden
3. Vertrauensschadensversicherung:
Vermögensschäden aus unerlaubten Handlungen, die von Betriebsangehörigen
oder sonstigen Vertrauenspersonen des Unternehmens begangen werden
Assistance-Leistungen
Vermittlung von spezialisierten
Dienstleistern und deren
Kostenübernahme
25
Cyber-Versicherungen
D&O-Versicherung
Elektronik-/
Maschinen-
versicherung
Software- und
Datenträger-
versicherung
26. Zielgruppe
Internetdienstanbieter
Betreiber von Online-Shops
IT-Unternehmen
Softwarehersteller
Hidden Champions (kleinere und meist unbekannte Markt-/Weltmarktführer in Spezialsegmenten)
Hotels
Beratende Berufe (Rechtsanwälte, Steuerberater, Wirtschaftsprüfer)
Medizinische Berufe (Krankenhäuser, Kliniken, Ärzte)
Produzierendes Gewerbe
Unternehmen der deutschen Schlüsselindustrie (Automobilbau, Maschinenbau, alternative
Energietechnik, Bioelektronik, Nanotechnologie, Mikroelektronik)
Energieversorger
Cyber-Versicherungen