SlideShare ist ein Scribd-Unternehmen logo
CYBER RISK MANAGEMENT
Cyber Risiken professionell managen
1
André Wohlert
Betriebswirt (IHK) | Versicherungsmakler
 Ausbildung und Erfahrung
• Versicherungskaufmann (IHK), Versicherungsfachwirt (IHK)
• Datenschutzbeauftragter (TÜV-Süd)
• Experte Betriebliche Haftpflichtversicherung (DMA)
• Experte Gewerbliche und Industrielle Sachversicherung (DMA)
• Dozent an der Deutsche Makler Akademie, Wiesbaden
• Autor verschiedener Fachveröffentlichungen
2
Ihr Ansprechpartner
3
IT-Sicherheit in den Medien
Quelle: Bundeslagebild des BKA, 2013
4
Gefährdungslage
64.426 Cybercrime Fälle in 2013
nur 9% aller Straftaten kommen
zur Anzeige
Typische Straftaten sind:
 Diebstahl der digitalen Identität
 Phishing
 digitale Erpressung
 Computerbetrug
 Ausspähen und Abfangen von Daten
 Datenveränderung und Computersabotage
5
Gefährdungslage
Klassische Phishing-E-Mails
6
Gefährdungslage
Ein Angreifer versucht über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche
Zugangsdaten des Nutzer zum Firmennetzwerk zu kommen, um sich so einen unerkannten
Zugang zum Netzwerk zu verschaffen (Phishing).
Möglichkeiten:
 Weiterleiten auf scheinbar bekannte Seiten mit Login-Bereich
 Versteckter Key-Logger oder Malware im Anhang der E-Mail
Quelle: Hiscox
7
Gefährdungslage
Beispiele für digitale Erpressung
8
Gefährdungslage
Daten in mittelständischen Unternehmen
 Personenbezogene Daten von Kunden, Mitarbeitern und Dienstleistern
 Kommunikationsdaten (E-Mail-Adressen, Zugangsdaten zu sozialen Netzwerken)
 Bankdaten, Kreditkartendaten
 eigene geschäftliche Unterlagen
 geschäftliche Unterlagen von Kunden
9
Gefährdungslage
 IT-Infrastrukturen im Cyber-Raum werden immer komplexer (elektronische
Kommunikationswege, Soziale Netzwerke, Online-Shops, automatisierter
Informations- und Datenaustausch zwischen Endgeräten M2M, Nutzung von Clouds,
hohe Verbreitung von mobilen Endgeräten)
 fehlendes Sicherheitsbewusstsein führt zu unzureichend abgesicherten
Systemen
 sorglose Informationsaustausch über das Internet und der „Always-On“-Status
mobiler Systeme erleichtern den Zugriff auf schützenswerte Informationen
 Aus der Komplexität der Technik ergibt sich ein breites Spektrum möglicher
Angriffsvektoren (Angriffswege und Angriffstechniken)
 Cyber-Angriffe werden mittlerweile gezielt und mehrstufig durchgeführt
10
Gefährdungslage
Typische Sicherheitsmängel in Unternehmen und Behörden
 Patchstände von Betriebssystemen und Applikationen sind veraltet
 Passwörter sind leicht zu ermitteln
 Mobile Endgeräte werden nicht verschlüsselt
 Maßnahmen zu Netzwerkmanagement und –überwachung sind nicht oder lediglich
als Insellösungen existent und werden nur anlassbezogen manuell ausgewertet
 Schulungen und Sensibilisierungsmaßnahmen finden für Anwender nicht oder nur in
geringfügigem Umfang statt
 IT-Sicherheitskonzepte sind unvollständig und inkonsistent
 die Verantwortlichkeit für die Informationssicherheit ist oftmals nicht klar geregelt
 der Datenschutz ist mangelhaft (0rganisatorisch-technische Maßnahmen werden
nicht stringend umgesetzt)
Quelle: Die Lage der IT-Sicherheit in Deutschland 2014
11
Gefährdungslage
Im Internet kann man alles kaufen…
 …Herzschrittmacher, Viagra, WM-Tickets, Musik, Videos, Drogen, Waffen,
Hehlerware…
 …und natürlich auch gestohlene Nutzerdaten, Malware-Baukästen, Hacking-Tools, […]
 Cyber-Schwarzmärkte (Darknet-Markt) funktionieren hoch-professionell nach den
üblichen Regeln des e-Commerce und genauso wie Ebay, Amazon
12
Gefährdungslage
Im Internet kann man alles kaufen…das sind die Preise…
 Gestohlene E-Mail-Accounts kosten zwischen 0,50 – 10,00 US-Dollar (je 1.000 Stück)
 Kreditkarten-Datensatz kostet zwischen 0,50 – 20,00 US-Dollar
 Scan-Kopie eines Personalausweises kostet zwischen 1,00 – 2,00 US-Dollar
 DDoS-Attacke (Distributed Denial of Service) kostet pro Tag ab 10,00 US-Dollar
 ein gestohlenes IT- icherheitszertifikat kostet ca. 1.000 EUR
13
Gefährdungslage
Quelle: Bundeslagebild des BKA, 2013
14
Gefährdungslage
Typische Hackerangriffe lassen sich grob in folgende Phasen gliedern:
Phase 1 Recherche von interessanten Zielen
Phase 2 Festlegung des Angriffsziels
Phase 3 Suche von Schwachstellen im IT-System
Phase 4 Festlegung von Angriffspunkt, Angriffsart, Angriffswerkzeug und
Angriffstarnung
Phase 5 Zugang zum System
Phase 6 Informationssammlung und -abschöpfung
Phase 7 Spurenbeseitigung
Phase 8 Vermarktung der Daten
Phase 9 Folgeangriff
Cyber-Angriffe auf ein Unternehmen erfolgen nicht zufällig, sondern gezielt und
hochprofessionell!
15
Gefährdungslage
Quelle: Bundeslagebild des BKA, 2013
16
Gefährdungslage
Mittelständische Unternehmen sind beliebte Angriffsziele für Cyber-Kriminelle
 IT-Sicherheitsstandards sind schwach bis mäßig
 IT-Sicherheitsvorfälle werden zu spät oder gar nicht erkannt und häufig auch nicht
angezeigt
 es erfolgt keine strafrechtliche und zivilrechtliche Verfolgung
 betroffene Kunden werden nicht informiert, die Daten sind damit über einen
längeren Zeitraum nutzbar
 Mittelständische Firmen sind häufig Zulieferer für größere Firmen und damit
optimale Schwachstellen für einen Angriff auf „Schlüsselindustrie“-Unternehmen
17
KMU im Visier
 Finanzieller Schaden
 Kosten für die IT-Forensik
 Kosten für die Datenrettung und Datenwiederherstellung
 Kosten für Sicherheitsverbesserungen des IT-Systems
 Vertragsstrafen (z.B. aus Verletzung von PCI-Sicherheitsstandards)
 Erpressungsgelder
 Schadenersatzansprüche von Kunden und Dienstleistern
 Betriebsunterbrechungsschäden durch behördliche Stilllegungsverfügungen,
Netzwerkunterbrechung / Netzwerkausfall, Cloud-Ausfall
 Umsatzeinbußen durch die Nichterreichbarkeit des Online-Shops
 Kosten für das Krisenmanagement
 Information der Kunden
 Kosten für die Kreditüberwachung von Kundenkonten
 Bußgelder
 Bertrugsschaden
 Rechtsverfolgungskosten
18
Schaden eines Cyber-Angriffs
 Schadenersatzansprüche von Kunden können sich ergeben aus
 Verstoß gegen vertragliche Datenschutzbestimmungen und
Geheimhaltungspflichten
 Weitergabe eines Virus
 Verletzung von Persönlichkeitsrechten
 Verletzung von Lieferterminen und Fristen
 aus kompromittierte Kreditkartendaten
19
Schaden eines Cyber-Angriffs
 Reputationsschaden
 Verlust von Kunden
 Ermittlung von Datenschutzbehörden
20
Schaden eines Cyber-Angriffs
 Reputationsschaden
21
Schaden eines Cyber-Angriffs
Bundesdatenschutzgesetz (BDSG)
§ 42a Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten
Stellt eine nichtöffentliche Stelle im Sinne des § 2 Absatz 4 oder eine öffentliche Stelle nach § 27 Absatz 1 Satz 1 Nummer 2 fest, dass bei ihr
gespeicherte
1. besondere Arten personenbezogener Daten (§ 3 Absatz 9),
2. personenbezogene Daten, die einem Berufsgeheimnis unterliegen,
3. […]
4. personenbezogene Daten zu Bank- oder Kreditkartenkonten
unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, und drohen schwerwiegende
Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen, hat sie dies nach den Sätzen 2 bis 5 unverzüglich der
zuständigen Aufsichtsbehörde sowie den Betroffenen mitzuteilen. Die Benachrichtigung des Betroffenen muss unverzüglich erfolgen,
sobald angemessene Maßnahmen zur Sicherung der Daten ergriffen worden oder nicht unverzüglich erfolgt sind und die Strafverfolgung nicht
mehr gefährdet wird. Die Benachrichtigung der Betroffenen muss eine Darlegung der Art der unrechtmäßigen Kenntniserlangung und
Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen enthalten. Die Benachrichtigung der zuständigen Aufsichtsbehörde
muss zusätzlich eine Darlegung möglicher nachteiliger Folgen der unrechtmäßigen Kenntniserlangung und der von der Stelle daraufhin
ergriffenen Maßnahmen enthalten. Soweit die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde,
insbesondere aufgrund der Vielzahl der betroffenen Fälle, tritt an ihre Stelle die Information der Öffentlichkeit durch Anzeigen, die
mindestens eine halbe Seite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch eine andere, in ihrer
Wirksamkeit hinsichtlich der Information der Betroffenen gleich geeignete Maßnahme
 Reputationsschaden
22
Schaden eines Cyber-Angriffs
Bundesdatenschutzgesetz (BDSG)
§ 43 Bußgeldvorschriften
(2) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig
[…]
7. entgegen § 42a Satz 1 eine Mitteilung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht.
(3) Die Ordnungswidrigkeit kann im Fall des Absatzes 1 mit einer Geldbuße bis zu fünfzigtausend Euro, in den Fällen
des Absatzes 2 mit einer Geldbuße bis zu dreihunderttausend Euro geahndet werden. Die Geldbuße soll den
wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen. Reichen die in Satz 1
genannten Beträge hierfür nicht aus, so können sie überschritten werden.
Schaden durch Cybercrime in Deutschland allein in 2013
46.000.000.000 EUR
23
Schaden eines Cyber-Angriffs
1. Cyber-Haftpflichtversicherung:
Absicherung von Haftpflichtansprüchen Dritter (Kunden, Dienstleistern, PCI)
2. Cyber-Eigenschadendeckung:
Abdeckung eigener Kosten und Schäden
3. Vertrauensschadensversicherung:
Vermögensschäden aus unerlaubten Handlungen, die von Betriebsangehörigen
oder sonstigen Vertrauenspersonen des Unternehmens begangen werden
Assistance-Leistungen
Vermittlung von spezialisierten
Dienstleistern und deren
Kostenübernahme
24
Cyber-Versicherungen
1. Cyber-Haftpflichtversicherung:
Absicherung von Haftpflichtansprüchen Dritter (Kunden, Dienstleistern, PCI)
2. Cyber-Eigenschadendeckung:
Abdeckung eigener Kosten und Schäden
3. Vertrauensschadensversicherung:
Vermögensschäden aus unerlaubten Handlungen, die von Betriebsangehörigen
oder sonstigen Vertrauenspersonen des Unternehmens begangen werden
Assistance-Leistungen
Vermittlung von spezialisierten
Dienstleistern und deren
Kostenübernahme
25
Cyber-Versicherungen
D&O-Versicherung
Elektronik-/
Maschinen-
versicherung
Software- und
Datenträger-
versicherung
Zielgruppe
 Internetdienstanbieter
 Betreiber von Online-Shops
 IT-Unternehmen
 Softwarehersteller
 Hidden Champions (kleinere und meist unbekannte Markt-/Weltmarktführer in Spezialsegmenten)
 Hotels
 Beratende Berufe (Rechtsanwälte, Steuerberater, Wirtschaftsprüfer)
 Medizinische Berufe (Krankenhäuser, Kliniken, Ärzte)
 Produzierendes Gewerbe
 Unternehmen der deutschen Schlüsselindustrie (Automobilbau, Maschinenbau, alternative
Energietechnik, Bioelektronik, Nanotechnologie, Mikroelektronik)
 Energieversorger
Cyber-Versicherungen
Quelle Datum
http://www.faz.net/aktuell/politik/inland/nach-hacker-angriff-bundestag-benoetigt-neues-computer-netzwerk-13640703.html 10.06.2015
http://www.tagesschau.de/wirtschaft/ebay-passwoerter100.html 10.06.2015
http://www.deutschlandfunk.de/internetsicherheit-hacker-knacken-16-millionen-e-mail-konten.1818.de.html?dram:article_id=275207 10.06.2015
http://www.faz.net/aktuell/wirtschaft/netzwirtschaft/chronik-die-wichtigsten-hackerangriffe-13345391.html 10.06.2015
http://www.chip.de/news/BSI-warnt-vor-gigantischem-Identitaetsdiebstahl-So-testen-Sie-ob-auch-Ihre-Daten-betroffen-sind_66679710.html 10.06.2015
http://www.connect.de/news/hackerangriff-auf-fritzboxen-1943982.html 10.06.2015
Quellen-Nachweise
Diese Unterlage basiert auf Beurteilungen und rechtlichen Einschätzungen des Autors
zum Zeitpunkt der Erstellung.
Die Unterlagen dienen ausschließlich zu Informationszwecken und ersetzen keine
individuelle Beratung. Eine Gewähr für die Richtigkeit und Vollständigkeit kann nicht
übernommen werden. Durch die Überlassung der Unterlagen wird eine Haftung
gegenüber dem Empfänger oder Dritten nicht begründet.
© Copyright André Wohlert. Alle Rechte vorbehalten. Jedes Veräußern oder sonstiges
Verbreiten, auch auszugsweise, bedarf der Zustimmung.

Weitere ähnliche Inhalte

Andere mochten auch

Cyber crime and security ppt
Cyber crime and security pptCyber crime and security ppt
Cyber crime and security ppt
Lipsita Behera
 
Gründerdiskurs Fernstudium-Infos.de
Gründerdiskurs Fernstudium-Infos.deGründerdiskurs Fernstudium-Infos.de
Gründerdiskurs Fernstudium-Infos.de
Fernstudium-Infos.de Markus Jung e. K.
 
Corporate Social Responsibility im Cyber-Zeitalter
Corporate Social Responsibility im Cyber-ZeitalterCorporate Social Responsibility im Cyber-Zeitalter
Corporate Social Responsibility im Cyber-Zeitalter
Initiative D21
 
Einzelhandelskaufmann
EinzelhandelskaufmannEinzelhandelskaufmann
Einzelhandelskaufmann
andreasblau
 
Taller kate mantenimiento23
Taller  kate mantenimiento23Taller  kate mantenimiento23
Taller kate mantenimiento23
Katerine Mendosa
 
UCS Einsatz im Klinikum Wels Grieskirchen aus strategischer Sicht
UCS Einsatz im Klinikum Wels Grieskirchen aus strategischer SichtUCS Einsatz im Klinikum Wels Grieskirchen aus strategischer Sicht
UCS Einsatz im Klinikum Wels Grieskirchen aus strategischer Sicht
Elmar Flamme
 
Cyberkriminalität: Das unterschätzte Risiko
Cyberkriminalität: Das unterschätzte RisikoCyberkriminalität: Das unterschätzte Risiko
Cyberkriminalität: Das unterschätzte Risiko
Gesamtverband der Deutschen Versicherungswirtschaft e.V.
 
EN 6.3: 1 IT-Sicherheit und Technischer Datenschutz
EN 6.3: 1 IT-Sicherheit und Technischer DatenschutzEN 6.3: 1 IT-Sicherheit und Technischer Datenschutz
EN 6.3: 1 IT-Sicherheit und Technischer Datenschutz
Sven Wohlgemuth
 
PwC: Herausforderungen im öffentlichen Beschaffungsrecht
PwC: Herausforderungen im öffentlichen BeschaffungsrechtPwC: Herausforderungen im öffentlichen Beschaffungsrecht
PwC: Herausforderungen im öffentlichen Beschaffungsrecht
PwC Switzerland
 
Cyber security
Cyber securityCyber security
Cyber security
Siblu28
 
Vertrauen und sicherheit im internet
Vertrauen und sicherheit im internetVertrauen und sicherheit im internet
Vertrauen und sicherheit im internet
webkili
 
Cybercrime presentation
Cybercrime presentationCybercrime presentation
Cybercrime presentation
Rajat Jain
 
Social Media Kanäle 2014 - eine Übersicht und aktuelle Trends
Social Media Kanäle 2014 - eine Übersicht und aktuelle TrendsSocial Media Kanäle 2014 - eine Übersicht und aktuelle Trends
Social Media Kanäle 2014 - eine Übersicht und aktuelle Trends
Stephan Tschierschwitz
 
Berufe
BerufeBerufe
Berufe
Wolle1
 

Andere mochten auch (15)

Cyber crime and security ppt
Cyber crime and security pptCyber crime and security ppt
Cyber crime and security ppt
 
Gründerdiskurs Fernstudium-Infos.de
Gründerdiskurs Fernstudium-Infos.deGründerdiskurs Fernstudium-Infos.de
Gründerdiskurs Fernstudium-Infos.de
 
Corporate Social Responsibility im Cyber-Zeitalter
Corporate Social Responsibility im Cyber-ZeitalterCorporate Social Responsibility im Cyber-Zeitalter
Corporate Social Responsibility im Cyber-Zeitalter
 
Einzelhandelskaufmann
EinzelhandelskaufmannEinzelhandelskaufmann
Einzelhandelskaufmann
 
Taller kate mantenimiento23
Taller  kate mantenimiento23Taller  kate mantenimiento23
Taller kate mantenimiento23
 
UCS Einsatz im Klinikum Wels Grieskirchen aus strategischer Sicht
UCS Einsatz im Klinikum Wels Grieskirchen aus strategischer SichtUCS Einsatz im Klinikum Wels Grieskirchen aus strategischer Sicht
UCS Einsatz im Klinikum Wels Grieskirchen aus strategischer Sicht
 
Cyberkriminalität: Das unterschätzte Risiko
Cyberkriminalität: Das unterschätzte RisikoCyberkriminalität: Das unterschätzte Risiko
Cyberkriminalität: Das unterschätzte Risiko
 
EN 6.3: 1 IT-Sicherheit und Technischer Datenschutz
EN 6.3: 1 IT-Sicherheit und Technischer DatenschutzEN 6.3: 1 IT-Sicherheit und Technischer Datenschutz
EN 6.3: 1 IT-Sicherheit und Technischer Datenschutz
 
PwC: Herausforderungen im öffentlichen Beschaffungsrecht
PwC: Herausforderungen im öffentlichen BeschaffungsrechtPwC: Herausforderungen im öffentlichen Beschaffungsrecht
PwC: Herausforderungen im öffentlichen Beschaffungsrecht
 
Cyber security
Cyber securityCyber security
Cyber security
 
Vertrauen und sicherheit im internet
Vertrauen und sicherheit im internetVertrauen und sicherheit im internet
Vertrauen und sicherheit im internet
 
Berufe
BerufeBerufe
Berufe
 
Cybercrime presentation
Cybercrime presentationCybercrime presentation
Cybercrime presentation
 
Social Media Kanäle 2014 - eine Übersicht und aktuelle Trends
Social Media Kanäle 2014 - eine Übersicht und aktuelle TrendsSocial Media Kanäle 2014 - eine Übersicht und aktuelle Trends
Social Media Kanäle 2014 - eine Übersicht und aktuelle Trends
 
Berufe
BerufeBerufe
Berufe
 

Ähnlich wie Cyber risk

Werner Panhauser (Helvetia Versicherungen)
Werner Panhauser (Helvetia Versicherungen)Werner Panhauser (Helvetia Versicherungen)
Werner Panhauser (Helvetia Versicherungen)
Praxistage
 
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptx
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptxModul 8 - Externe Krisenauslöser - Technologiekrise.pptx
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptx
caniceconsulting
 
Informationssicherheitsmanagment
InformationssicherheitsmanagmentInformationssicherheitsmanagment
Informationssicherheitsmanagment
Claus Brell
 
Slides zum Impulsreferat: NIS2 - Was steckt konkret dahinter? - DNUG Stammtis...
Slides zum Impulsreferat: NIS2 - Was steckt konkret dahinter? - DNUG Stammtis...Slides zum Impulsreferat: NIS2 - Was steckt konkret dahinter? - DNUG Stammtis...
Slides zum Impulsreferat: NIS2 - Was steckt konkret dahinter? - DNUG Stammtis...
DNUG e.V.
 
Social Engineering- Wie Soft Skills zur Sicherheitsfalle werden können
Social Engineering- Wie Soft Skills zur Sicherheitsfalle werden könnenSocial Engineering- Wie Soft Skills zur Sicherheitsfalle werden können
Social Engineering- Wie Soft Skills zur Sicherheitsfalle werden können
LEITWERK AG
 
IT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-SicherheitIT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-Sicherheit
Filipe Felix
 
CyberDirekt_Risikolage_2022_teaser.pdf
CyberDirekt_Risikolage_2022_teaser.pdfCyberDirekt_Risikolage_2022_teaser.pdf
CyberDirekt_Risikolage_2022_teaser.pdf
TobiasBessel
 
Datenschutz-Folgenabschätzung
Datenschutz-FolgenabschätzungDatenschutz-Folgenabschätzung
Datenschutz-Folgenabschätzung
Michael Rohrlich
 
Internet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpointInternet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpoint
Bernd Hoyer
 
Cyberrisiken in der Zahnarztpraxis - Prophylaxe
Cyberrisiken in der Zahnarztpraxis  - ProphylaxeCyberrisiken in der Zahnarztpraxis  - Prophylaxe
Cyberrisiken in der Zahnarztpraxis - Prophylaxe
jiricejka
 
Online Marketing Konzept einer B2B Veranstaltungsreihe
Online Marketing Konzept einer B2B VeranstaltungsreiheOnline Marketing Konzept einer B2B Veranstaltungsreihe
Online Marketing Konzept einer B2B Veranstaltungsreihe
Marco Remmel
 
20070605 Telekom Austria
20070605 Telekom Austria20070605 Telekom Austria
20070605 Telekom Austria
INFOTIME
 
Risikowahrnehmung und Absicherung bei den Agenturen
Risikowahrnehmung und Absicherung bei den AgenturenRisikowahrnehmung und Absicherung bei den Agenturen
Risikowahrnehmung und Absicherung bei den Agenturen
HiscoxDeutschland
 
Hausarbeit-Branchenstrukturanalyse
Hausarbeit-BranchenstrukturanalyseHausarbeit-Branchenstrukturanalyse
Hausarbeit-Branchenstrukturanalyse
Christian Milz
 
Kroll Ontrack Computer Forensik
Kroll Ontrack Computer ForensikKroll Ontrack Computer Forensik
Kroll Ontrack Computer Forensik
Kroll Ontrack GmbH
 
5 Wichtige Erkenntnisse Zu Komplexen Bedrohungen
5 Wichtige Erkenntnisse Zu Komplexen Bedrohungen5 Wichtige Erkenntnisse Zu Komplexen Bedrohungen
5 Wichtige Erkenntnisse Zu Komplexen Bedrohungen
Symantec
 
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
jiricejka
 
It Sicherheit in der Instandhaltung
It Sicherheit in der InstandhaltungIt Sicherheit in der Instandhaltung
It Sicherheit in der Instandhaltung
Branding Maintenance
 
Vernetzung 4.0
Vernetzung 4.0Vernetzung 4.0
Vernetzung 4.0
Bernd Fuhlert
 

Ähnlich wie Cyber risk (20)

Werner Panhauser (Helvetia Versicherungen)
Werner Panhauser (Helvetia Versicherungen)Werner Panhauser (Helvetia Versicherungen)
Werner Panhauser (Helvetia Versicherungen)
 
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptx
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptxModul 8 - Externe Krisenauslöser - Technologiekrise.pptx
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptx
 
Informationssicherheitsmanagment
InformationssicherheitsmanagmentInformationssicherheitsmanagment
Informationssicherheitsmanagment
 
Slides zum Impulsreferat: NIS2 - Was steckt konkret dahinter? - DNUG Stammtis...
Slides zum Impulsreferat: NIS2 - Was steckt konkret dahinter? - DNUG Stammtis...Slides zum Impulsreferat: NIS2 - Was steckt konkret dahinter? - DNUG Stammtis...
Slides zum Impulsreferat: NIS2 - Was steckt konkret dahinter? - DNUG Stammtis...
 
Social Engineering- Wie Soft Skills zur Sicherheitsfalle werden können
Social Engineering- Wie Soft Skills zur Sicherheitsfalle werden könnenSocial Engineering- Wie Soft Skills zur Sicherheitsfalle werden können
Social Engineering- Wie Soft Skills zur Sicherheitsfalle werden können
 
IT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-SicherheitIT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-Sicherheit
 
CyberDirekt_Risikolage_2022_teaser.pdf
CyberDirekt_Risikolage_2022_teaser.pdfCyberDirekt_Risikolage_2022_teaser.pdf
CyberDirekt_Risikolage_2022_teaser.pdf
 
Datenschutz-Folgenabschätzung
Datenschutz-FolgenabschätzungDatenschutz-Folgenabschätzung
Datenschutz-Folgenabschätzung
 
Internet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpointInternet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpoint
 
Cyberrisiken in der Zahnarztpraxis - Prophylaxe
Cyberrisiken in der Zahnarztpraxis  - ProphylaxeCyberrisiken in der Zahnarztpraxis  - Prophylaxe
Cyberrisiken in der Zahnarztpraxis - Prophylaxe
 
Online Marketing Konzept einer B2B Veranstaltungsreihe
Online Marketing Konzept einer B2B VeranstaltungsreiheOnline Marketing Konzept einer B2B Veranstaltungsreihe
Online Marketing Konzept einer B2B Veranstaltungsreihe
 
20070605 Telekom Austria
20070605 Telekom Austria20070605 Telekom Austria
20070605 Telekom Austria
 
E booklet
E bookletE booklet
E booklet
 
Risikowahrnehmung und Absicherung bei den Agenturen
Risikowahrnehmung und Absicherung bei den AgenturenRisikowahrnehmung und Absicherung bei den Agenturen
Risikowahrnehmung und Absicherung bei den Agenturen
 
Hausarbeit-Branchenstrukturanalyse
Hausarbeit-BranchenstrukturanalyseHausarbeit-Branchenstrukturanalyse
Hausarbeit-Branchenstrukturanalyse
 
Kroll Ontrack Computer Forensik
Kroll Ontrack Computer ForensikKroll Ontrack Computer Forensik
Kroll Ontrack Computer Forensik
 
5 Wichtige Erkenntnisse Zu Komplexen Bedrohungen
5 Wichtige Erkenntnisse Zu Komplexen Bedrohungen5 Wichtige Erkenntnisse Zu Komplexen Bedrohungen
5 Wichtige Erkenntnisse Zu Komplexen Bedrohungen
 
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
 
It Sicherheit in der Instandhaltung
It Sicherheit in der InstandhaltungIt Sicherheit in der Instandhaltung
It Sicherheit in der Instandhaltung
 
Vernetzung 4.0
Vernetzung 4.0Vernetzung 4.0
Vernetzung 4.0
 

Cyber risk

  • 1. CYBER RISK MANAGEMENT Cyber Risiken professionell managen 1
  • 2. André Wohlert Betriebswirt (IHK) | Versicherungsmakler  Ausbildung und Erfahrung • Versicherungskaufmann (IHK), Versicherungsfachwirt (IHK) • Datenschutzbeauftragter (TÜV-Süd) • Experte Betriebliche Haftpflichtversicherung (DMA) • Experte Gewerbliche und Industrielle Sachversicherung (DMA) • Dozent an der Deutsche Makler Akademie, Wiesbaden • Autor verschiedener Fachveröffentlichungen 2 Ihr Ansprechpartner
  • 4. Quelle: Bundeslagebild des BKA, 2013 4 Gefährdungslage 64.426 Cybercrime Fälle in 2013 nur 9% aller Straftaten kommen zur Anzeige
  • 5. Typische Straftaten sind:  Diebstahl der digitalen Identität  Phishing  digitale Erpressung  Computerbetrug  Ausspähen und Abfangen von Daten  Datenveränderung und Computersabotage 5 Gefährdungslage
  • 7. Ein Angreifer versucht über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Zugangsdaten des Nutzer zum Firmennetzwerk zu kommen, um sich so einen unerkannten Zugang zum Netzwerk zu verschaffen (Phishing). Möglichkeiten:  Weiterleiten auf scheinbar bekannte Seiten mit Login-Bereich  Versteckter Key-Logger oder Malware im Anhang der E-Mail Quelle: Hiscox 7 Gefährdungslage
  • 8. Beispiele für digitale Erpressung 8 Gefährdungslage
  • 9. Daten in mittelständischen Unternehmen  Personenbezogene Daten von Kunden, Mitarbeitern und Dienstleistern  Kommunikationsdaten (E-Mail-Adressen, Zugangsdaten zu sozialen Netzwerken)  Bankdaten, Kreditkartendaten  eigene geschäftliche Unterlagen  geschäftliche Unterlagen von Kunden 9 Gefährdungslage
  • 10.  IT-Infrastrukturen im Cyber-Raum werden immer komplexer (elektronische Kommunikationswege, Soziale Netzwerke, Online-Shops, automatisierter Informations- und Datenaustausch zwischen Endgeräten M2M, Nutzung von Clouds, hohe Verbreitung von mobilen Endgeräten)  fehlendes Sicherheitsbewusstsein führt zu unzureichend abgesicherten Systemen  sorglose Informationsaustausch über das Internet und der „Always-On“-Status mobiler Systeme erleichtern den Zugriff auf schützenswerte Informationen  Aus der Komplexität der Technik ergibt sich ein breites Spektrum möglicher Angriffsvektoren (Angriffswege und Angriffstechniken)  Cyber-Angriffe werden mittlerweile gezielt und mehrstufig durchgeführt 10 Gefährdungslage
  • 11. Typische Sicherheitsmängel in Unternehmen und Behörden  Patchstände von Betriebssystemen und Applikationen sind veraltet  Passwörter sind leicht zu ermitteln  Mobile Endgeräte werden nicht verschlüsselt  Maßnahmen zu Netzwerkmanagement und –überwachung sind nicht oder lediglich als Insellösungen existent und werden nur anlassbezogen manuell ausgewertet  Schulungen und Sensibilisierungsmaßnahmen finden für Anwender nicht oder nur in geringfügigem Umfang statt  IT-Sicherheitskonzepte sind unvollständig und inkonsistent  die Verantwortlichkeit für die Informationssicherheit ist oftmals nicht klar geregelt  der Datenschutz ist mangelhaft (0rganisatorisch-technische Maßnahmen werden nicht stringend umgesetzt) Quelle: Die Lage der IT-Sicherheit in Deutschland 2014 11 Gefährdungslage
  • 12. Im Internet kann man alles kaufen…  …Herzschrittmacher, Viagra, WM-Tickets, Musik, Videos, Drogen, Waffen, Hehlerware…  …und natürlich auch gestohlene Nutzerdaten, Malware-Baukästen, Hacking-Tools, […]  Cyber-Schwarzmärkte (Darknet-Markt) funktionieren hoch-professionell nach den üblichen Regeln des e-Commerce und genauso wie Ebay, Amazon 12 Gefährdungslage
  • 13. Im Internet kann man alles kaufen…das sind die Preise…  Gestohlene E-Mail-Accounts kosten zwischen 0,50 – 10,00 US-Dollar (je 1.000 Stück)  Kreditkarten-Datensatz kostet zwischen 0,50 – 20,00 US-Dollar  Scan-Kopie eines Personalausweises kostet zwischen 1,00 – 2,00 US-Dollar  DDoS-Attacke (Distributed Denial of Service) kostet pro Tag ab 10,00 US-Dollar  ein gestohlenes IT- icherheitszertifikat kostet ca. 1.000 EUR 13 Gefährdungslage
  • 14. Quelle: Bundeslagebild des BKA, 2013 14 Gefährdungslage
  • 15. Typische Hackerangriffe lassen sich grob in folgende Phasen gliedern: Phase 1 Recherche von interessanten Zielen Phase 2 Festlegung des Angriffsziels Phase 3 Suche von Schwachstellen im IT-System Phase 4 Festlegung von Angriffspunkt, Angriffsart, Angriffswerkzeug und Angriffstarnung Phase 5 Zugang zum System Phase 6 Informationssammlung und -abschöpfung Phase 7 Spurenbeseitigung Phase 8 Vermarktung der Daten Phase 9 Folgeangriff Cyber-Angriffe auf ein Unternehmen erfolgen nicht zufällig, sondern gezielt und hochprofessionell! 15 Gefährdungslage
  • 16. Quelle: Bundeslagebild des BKA, 2013 16 Gefährdungslage
  • 17. Mittelständische Unternehmen sind beliebte Angriffsziele für Cyber-Kriminelle  IT-Sicherheitsstandards sind schwach bis mäßig  IT-Sicherheitsvorfälle werden zu spät oder gar nicht erkannt und häufig auch nicht angezeigt  es erfolgt keine strafrechtliche und zivilrechtliche Verfolgung  betroffene Kunden werden nicht informiert, die Daten sind damit über einen längeren Zeitraum nutzbar  Mittelständische Firmen sind häufig Zulieferer für größere Firmen und damit optimale Schwachstellen für einen Angriff auf „Schlüsselindustrie“-Unternehmen 17 KMU im Visier
  • 18.  Finanzieller Schaden  Kosten für die IT-Forensik  Kosten für die Datenrettung und Datenwiederherstellung  Kosten für Sicherheitsverbesserungen des IT-Systems  Vertragsstrafen (z.B. aus Verletzung von PCI-Sicherheitsstandards)  Erpressungsgelder  Schadenersatzansprüche von Kunden und Dienstleistern  Betriebsunterbrechungsschäden durch behördliche Stilllegungsverfügungen, Netzwerkunterbrechung / Netzwerkausfall, Cloud-Ausfall  Umsatzeinbußen durch die Nichterreichbarkeit des Online-Shops  Kosten für das Krisenmanagement  Information der Kunden  Kosten für die Kreditüberwachung von Kundenkonten  Bußgelder  Bertrugsschaden  Rechtsverfolgungskosten 18 Schaden eines Cyber-Angriffs
  • 19.  Schadenersatzansprüche von Kunden können sich ergeben aus  Verstoß gegen vertragliche Datenschutzbestimmungen und Geheimhaltungspflichten  Weitergabe eines Virus  Verletzung von Persönlichkeitsrechten  Verletzung von Lieferterminen und Fristen  aus kompromittierte Kreditkartendaten 19 Schaden eines Cyber-Angriffs
  • 20.  Reputationsschaden  Verlust von Kunden  Ermittlung von Datenschutzbehörden 20 Schaden eines Cyber-Angriffs
  • 21.  Reputationsschaden 21 Schaden eines Cyber-Angriffs Bundesdatenschutzgesetz (BDSG) § 42a Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten Stellt eine nichtöffentliche Stelle im Sinne des § 2 Absatz 4 oder eine öffentliche Stelle nach § 27 Absatz 1 Satz 1 Nummer 2 fest, dass bei ihr gespeicherte 1. besondere Arten personenbezogener Daten (§ 3 Absatz 9), 2. personenbezogene Daten, die einem Berufsgeheimnis unterliegen, 3. […] 4. personenbezogene Daten zu Bank- oder Kreditkartenkonten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen, hat sie dies nach den Sätzen 2 bis 5 unverzüglich der zuständigen Aufsichtsbehörde sowie den Betroffenen mitzuteilen. Die Benachrichtigung des Betroffenen muss unverzüglich erfolgen, sobald angemessene Maßnahmen zur Sicherung der Daten ergriffen worden oder nicht unverzüglich erfolgt sind und die Strafverfolgung nicht mehr gefährdet wird. Die Benachrichtigung der Betroffenen muss eine Darlegung der Art der unrechtmäßigen Kenntniserlangung und Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen enthalten. Die Benachrichtigung der zuständigen Aufsichtsbehörde muss zusätzlich eine Darlegung möglicher nachteiliger Folgen der unrechtmäßigen Kenntniserlangung und der von der Stelle daraufhin ergriffenen Maßnahmen enthalten. Soweit die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, insbesondere aufgrund der Vielzahl der betroffenen Fälle, tritt an ihre Stelle die Information der Öffentlichkeit durch Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch eine andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleich geeignete Maßnahme
  • 22.  Reputationsschaden 22 Schaden eines Cyber-Angriffs Bundesdatenschutzgesetz (BDSG) § 43 Bußgeldvorschriften (2) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig […] 7. entgegen § 42a Satz 1 eine Mitteilung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht. (3) Die Ordnungswidrigkeit kann im Fall des Absatzes 1 mit einer Geldbuße bis zu fünfzigtausend Euro, in den Fällen des Absatzes 2 mit einer Geldbuße bis zu dreihunderttausend Euro geahndet werden. Die Geldbuße soll den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen. Reichen die in Satz 1 genannten Beträge hierfür nicht aus, so können sie überschritten werden.
  • 23. Schaden durch Cybercrime in Deutschland allein in 2013 46.000.000.000 EUR 23 Schaden eines Cyber-Angriffs
  • 24. 1. Cyber-Haftpflichtversicherung: Absicherung von Haftpflichtansprüchen Dritter (Kunden, Dienstleistern, PCI) 2. Cyber-Eigenschadendeckung: Abdeckung eigener Kosten und Schäden 3. Vertrauensschadensversicherung: Vermögensschäden aus unerlaubten Handlungen, die von Betriebsangehörigen oder sonstigen Vertrauenspersonen des Unternehmens begangen werden Assistance-Leistungen Vermittlung von spezialisierten Dienstleistern und deren Kostenübernahme 24 Cyber-Versicherungen
  • 25. 1. Cyber-Haftpflichtversicherung: Absicherung von Haftpflichtansprüchen Dritter (Kunden, Dienstleistern, PCI) 2. Cyber-Eigenschadendeckung: Abdeckung eigener Kosten und Schäden 3. Vertrauensschadensversicherung: Vermögensschäden aus unerlaubten Handlungen, die von Betriebsangehörigen oder sonstigen Vertrauenspersonen des Unternehmens begangen werden Assistance-Leistungen Vermittlung von spezialisierten Dienstleistern und deren Kostenübernahme 25 Cyber-Versicherungen D&O-Versicherung Elektronik-/ Maschinen- versicherung Software- und Datenträger- versicherung
  • 26. Zielgruppe  Internetdienstanbieter  Betreiber von Online-Shops  IT-Unternehmen  Softwarehersteller  Hidden Champions (kleinere und meist unbekannte Markt-/Weltmarktführer in Spezialsegmenten)  Hotels  Beratende Berufe (Rechtsanwälte, Steuerberater, Wirtschaftsprüfer)  Medizinische Berufe (Krankenhäuser, Kliniken, Ärzte)  Produzierendes Gewerbe  Unternehmen der deutschen Schlüsselindustrie (Automobilbau, Maschinenbau, alternative Energietechnik, Bioelektronik, Nanotechnologie, Mikroelektronik)  Energieversorger Cyber-Versicherungen
  • 27. Quelle Datum http://www.faz.net/aktuell/politik/inland/nach-hacker-angriff-bundestag-benoetigt-neues-computer-netzwerk-13640703.html 10.06.2015 http://www.tagesschau.de/wirtschaft/ebay-passwoerter100.html 10.06.2015 http://www.deutschlandfunk.de/internetsicherheit-hacker-knacken-16-millionen-e-mail-konten.1818.de.html?dram:article_id=275207 10.06.2015 http://www.faz.net/aktuell/wirtschaft/netzwirtschaft/chronik-die-wichtigsten-hackerangriffe-13345391.html 10.06.2015 http://www.chip.de/news/BSI-warnt-vor-gigantischem-Identitaetsdiebstahl-So-testen-Sie-ob-auch-Ihre-Daten-betroffen-sind_66679710.html 10.06.2015 http://www.connect.de/news/hackerangriff-auf-fritzboxen-1943982.html 10.06.2015 Quellen-Nachweise
  • 28. Diese Unterlage basiert auf Beurteilungen und rechtlichen Einschätzungen des Autors zum Zeitpunkt der Erstellung. Die Unterlagen dienen ausschließlich zu Informationszwecken und ersetzen keine individuelle Beratung. Eine Gewähr für die Richtigkeit und Vollständigkeit kann nicht übernommen werden. Durch die Überlassung der Unterlagen wird eine Haftung gegenüber dem Empfänger oder Dritten nicht begründet. © Copyright André Wohlert. Alle Rechte vorbehalten. Jedes Veräußern oder sonstiges Verbreiten, auch auszugsweise, bedarf der Zustimmung.