Die Lage der IT-Sicherheit in Deutschland

Quelle: Munich Re / Myrzik Jarisch
Cyber Liability Versicherungen
FKH-Tagung in Bern 2015
Bern, den 18.05.2015
André Grochowy
Agenda
1. Die Entwicklung des globalen Cyber-Versicherungsmarktes
2. US-Datenschutzgesetze und IT-Standards
3. Gesetzliche Regelungen in Deutschland, der Schweiz und Richtlinien der EU
4. Großschadenfälle aus den USA und aus Deutschland
5. Klassifizierung von Cyber-Schadenfällen
6. Hauptbestandteile von Cyber-Deckungen in US- und in EU-Policen
7. Exponierte Cyber-Risiken in den verschiedenen Märkten
8. Grundsätzliche Underwriting-Überlegungen in Bezug auf Cyber-Risiken
9. Die Grenzen der Versicherbarkeit von Cyber-Risiken
10. Ausblick
André Grochowy / Cyber-Deckungen / FKH-Tagung in Bern 2015
18.05.2015
2
1. Die Entwicklung des globalen Cyber-Versicherungsmarktes von 1990 - 2015
 Definition CYBER:
Synonym für Informatik, Computer und internetbasierte Anwendungen
 Beginn der kommerziellen Nutzung des Internets:
ab 1990
 Erste Internet-Haftpflichtpolicen in Deutschland:
ab 1995
 Geschätzter Erstversicherungsmarkt für Cyber in 2014:
≈ 2,3 Mrd. USD
(Quellen: Marsh, Advisen, ACI, Wikipedia)
André Grochowy / Cyber-Deckungen / FKH-Tagung in Bern 2015
18.05.2015
3
2. US-Datenschutzgesetze und IT-Standards
Federal Regulations
Wichtige Gesetze und technische Standards
 Payment Card Industry Data Security Standard (PCI DSS)
 Fair and Accurate Credit Transaction Act of 2003 (FACTA)
 Health Insurance Portability and Accountability Act (HIPAA)
 Identity Theft Enforcement and Restitution Act - Subsection (b) of the
 Computer Fraud and Abuse Act (CFAA)
Data Breach Response Cycle
André Grochowy / Cyber-Deckungen / FKH-Tagung in Bern 2015
18.05.2015
4
2.1 The "Data Breach Response Cycle„
Credit Card / Health Industry
Breach Coach
Consultation
Forensic Analysis
Breach Coach
Consultation
Data breach costs per record in 2014: $ 201
(US National Security Agency)
(Source: Ponemon Institute 2014)
Public Relations
Quelle: Verwendung unter Lizenz von Shutterstock.com
Notification
Design & Mailing
Credit / Fraud
Monitoring
Call Center
Operations
André Grochowy / Cyber-Deckungen / FKH-Tagung in Bern 2015
18.05.2015
5
3. Gesetzliche Regelungen in Deutschland
Schadenersatz / Compliance / Reputationsschaden
 Deliktische Haftung nach § 823 BGB
 Basel II / Solvency II
 Sicherheitsstandards zum Risikomanagement
 BDSG (Bundesdatenschutzgesetz)
 §42a Verletzung des Schutzes personenbezogener Daten
 §43 Verletzung der Meldepflicht
André Grochowy / Cyber-Deckungen / FKH-Tagung in Bern 2015
18.05.2015
6
3. Gesetzliche Regelungen in der Schweiz
Datensicherheit und -transfer / Schadenersatz
 Bundesgesetz vom 19.06.1992 über den Datenschutz (DSG)
o Art. 7 Datensicherheit: „Personendaten müssen durch angemessene technische und
organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden.“
o Art. 15 Rechtsansprüche: Klagen zum Schutz der Persönlichkeit richten sich nach
den Artikeln 28, 28a sowie 28l des Zivilgesetzbuchs (Klagen auf Schadenersatz und
Genugtuung)
 Verordnung vom 14.06.1993 zum Bundesgesetz über den Datenschutz (VDSG)
 Datenschutzrichtlinie der Europäischen Union
Die Datenschutzrichtlinie der Europäischen Union ist für die Schweiz nicht bindend, aber
trotzdem nicht bedeutungslos: Sie sieht vor, dass ein voraussetzungsloser
Personendatentransfer aus einem EU-Land in ein Drittland nur zulässig ist, „wenn dieses
Drittland ein angemessenes Schutzniveau gewährleistet“ (Art. 25).
(Quelle: Christoph Tschumi / Schweizerische Mobiliar Vers. AG 2015)
André Grochowy / Cyber-Deckungen / FKH-Tagung in Bern 2015
18.05.2015
7
3. Richtlinie der Europäische Gemeinschaft
EU-Datenschutzverordnung
Vereinheitlichung nationaler Datenschutzvorschriften durch die EU
1995
Direktive 95/46/ EG – Datenschutzrichtlinie
25. Januar 2012
Die Europäische Kommission beschloss eine umfassende Reform der Direktive 95/46/EG
mit den folgenden Eckpunkten:
 Meldepflicht innerhalb von 24 Stunden
 Data Protection Officer für Unternehmen mit mehr als 250 Mitarbeitern
 Bussgelder von bis zu 2% des weltweiten globalen Jahresumsatzes
Realisierungszeitpunkt derzeit nicht absehbar, geplant für 2016
André Grochowy / Cyber-Deckungen / FKH-Tagung in Bern 2015
18.05.2015
8
4. Großschadenfälle aus den USA
Cyber crime
Kreditkartenbetrug
Quelle: Verwendung unter Lizenz von Shutterstock.com
Target Corporation / TJX Retail Stores (2014 / 2008)
(Quelle: Advisen Ltd. in 2015)
 “A massive data breach
took place during the
height of the Christmas
buying season.”
 “That loss could exceed
$1bn. Reports also
indicated that Target has
$100mm in Cyber
coverage.”
 ”Hackers stole credit /
debit card numbers for
more than 45 million
customers. TJX has said
that, it has spent or set
aside about $250 million
in breach-related costs”
André Grochowy / Cyber-Deckungen / FKH-Tagung in Bern 2015
18.05.2015
9
4. Großschadenfälle aus den USA
Privacy breach
 “Concentra Health
Services suffered a
breach when an
unencrypted laptop was
stolen from a physical
therapy center in
Springfield, Missouri.”
Gestohlener Laptop mit Kundendaten
 “The matter was settled
for $1,725,220”
Quelle: Getty Images / Ale Ventura
Concentra Health Services
(Quelle: Advisen Ltd. in 2015)
André Grochowy / Cyber-Deckungen / FKH-Tagung in Bern 2015
18.05.2015
10
4. Großschadenfälle aus den USA
Privacy breach
$25 million fine for 'lax data security practices'
 “AT&T has agreed to a
$25 million fine from the
Federal Communications
Commission to end an
investigation into data
breaches of nearly
280,000 US customers”
 “The employees
obtained information to
unlock cellphones and
handed over the
information to thirdparties.”
Quelle: Kim Steele/Getty Images
AT&T Inc.
(Quelle: Advisen Ltd. 04/2015)
André Grochowy / Cyber-Deckungen / FKH-Tagung in Bern 2015
18.05.2015
11
4. Schadenbeispiele aus Deutschland
Spear-Phishing
Bericht des Bundesministers des Innern in 2014
„Angriff auf ein Stahlwerk in
Deutschland.“
Methode:
„Mittels Spear-Phishing
erlangten Angreifer initialen
Zugriff auf das Büronetz des
Stahlwerks.“
Schadenswirkung:
Quelle: Verwendung unter Lizenz von Shutterstock.com
„Die Lage der IT-Sicherheit in Deutschland“
(Quelle BSI Bund 2014)
„Es häuften sich Ausfälle
einzelner Steuerungskomponenten oder ganzer
Anlagen. Die Ausfälle führten
dazu, dass ein Hochofen nicht
geregelt heruntergefahren
werden konnte.“
André Grochowy / Cyber-Deckungen / FKH-Tagung in Bern 2015
18.05.2015
12
4. Schadenbeispiele aus Deutschland
Schadprogramme
Bericht des Bundesministers des Innern in 2014
„Angriff auf Produktionsanlagen
in Deutschland.“
Methode:
„Die Täter griffen die Hersteller
von Software für Industriesteuerungssysteme an und
sammelten gezielt
Informationen über die
verwendeten Geräte und
Systeme.“
Schadenswirkung:
„Es wurde Schadsoftware
eingesetzt, um Informationen
zu sammeln.“
Quelle: Verwendung unter Lizenz von Shutterstock.com
„Die Lage der IT-Sicherheit in Deutschland“
(Quelle BSI Bund 2014)
André Grochowy / Cyber-Deckungen / FKH-Tagung in Bern 2015
18.05.2015
13
4. Schadenbeispiele aus Deutschland
Phishing Mails
Bericht des Bundesministers des Innern in 2014
„Mitarbeiter deutscher
Großkonzerne wurden mit
Phishing Mails attackiert.“
Methode:
„Mit fingierten E-Mails wurden
die Mitarbeiter darüber
aufgefordert, eine Kopie eines
amtlichen Lichtbildausweises
und die Bankverbindung ihres
Gehaltskontos zu übermitteln.“
Schadenswirkung:
Quelle: Verwendung unter Lizenz von Shutterstock.com
Quelle: Verwendung unter Lizenz von Shutterstock.com
„Die Lage der IT-Sicherheit in Deutschland“
(Quelle BSI Bund 2014)
„Bei Antwort an den Absender
wurden neue EC-Karten incl.
PIN an eine Adresse in China
ausgestellt.“
André Grochowy / Cyber-Deckungen / FKH-Tagung in Bern 2015
18.05.2015
14
5. Klassifizierung von Cyber-Schadenfällen
Unabhängig von der jeweiligen Deckung
 Cyber crime
 Diebstahl von Kreditkarteninformationen
 Diebstahl von geistigem Eigentum
 Betriebsunterbrechungen
 Datenschutzverletzungen
 Benachrichtigungskosten
 Krisenmanagement / Reputationsverluste
 Urheberrechts- oder Persönlichkeitsrechtsverletzungen
 Bussgelder
Nur teilweise Deckung in den Cyber-Spezialpolicen vorhanden
André Grochowy / Cyber-Deckungen / FKH-Tagung in Bern 2015
18.05.2015
15
6. Hauptbestandteile von Cyber-Deckungen in D / EU
Cyber Spezialpolicen
Hauptsächlich “3rd Party”
Hauptsächlich “1st Party”
 Datenschutzverletzung
 Krisenmanagement
 Netzwerksicherheitsverletzung
 Schadenminderung
 Multimedia-Haftpflicht
 Benachrichtigungskosten
 Prüfung der Ansprüche und
Kostenübernahme bei Deckung
 Reputationsverlust
 Betriebsunterbrechungen
 Wiederherstellungskosten
 Passiver Rechtsschutz
André Grochowy / Cyber-Deckungen / FKH-Tagung in Bern 2015
18.05.2015
16
6. Hauptbestandteile von Cyber-Deckungen in US
Cyber Spezialpolicen
Primarily 3rd Party
Primarily 1st Party
 Suits from customers and vendors and
from business partners
 Crisis management
 3rd Party revenue losses
 Forensic investigation
 3rd Party losses through illegal use of
credit card data
 Class action litigation
 Cost to restore reputation
 Notification
 Restoration of credit card identity
 Call center costs
 Business interruption losses
 Loss of income
 Recovery costs
 Cost to recreate lost or stolen data
 Redesign of critical infrastructure
 Devaluation of intellectual property
André Grochowy / Cyber-Deckungen / FKH-Tagung in Bern 2015
18.05.2015
17
7. Exponierte Cyber-Risiken in verschiedenen Märkten
Bei vorhandener Deckung
 Multinationale E-Commerce Unternehmen
 Unternehmen mit bargeldlosem Zahlungsverkehr (Tankstellen, Hotels)
 Finanzinstitute, Versicherungs-Makler, Kreditkarten-Firmen
 Gesundheitsindustrie, Universitäten (“data breach”)
 Wartungs- und Servicetechnik im KFZ- Automobilbau
 Gewerbliche Unternehmen mit bis zu 250 Mio. Euro Umsatz p.a.
Unternehmen mit einem Zugang durch das Internet sind gefährdet
André Grochowy / Cyber-Deckungen / FKH-Tagung in Bern 2015
18.05.2015
18
8. Grundsätzliche Überlegungen bei Cyber-Risiken
Underwriting
 Selbstbehalte? (time retention versus cost sharing)
 Welcher Trigger ist risikoadäquat?
 Wie erfolgt die Prämienfindung?
 Verwendung von Policen ohne expliziten “Cyber-Ausschluss”
 Sind “Loss-Prevention“ Prüfungen mit der VN durchzuführen?
 Prüfung der Rechtssprechung zu Cyber
 Patentrechtsverletzungen
 Gerichtsstands-Regelung bei grenzüberschreitenden Deckungen
Eine zusätzliche technische Risikoeinschätzung ist zu empfehlen
André Grochowy / Cyber-Deckungen / FKH-Tagung in Bern 2015
18.05.2015
19
9. Die Grenzen der Versicherbarkeit von Cyber-Risiken
Fragestellungen für den Versicherer
 Ist Underwriting Expertise in Sach-und Haftpflicht vorhanden?
 Definition “data loss”?
 BU mit “non-physical damage” Deckung?
 Schadenursache: Kriminelle Handlungen / Vertragserfüllungsschäden (AHB-Ausschluss)
 Kausalität und Haftung sind häufig strittig
 Versicherbarkeit von Bussgeldern möglich?
 Ist technischer Support durch Risiko-Ingenieure vorhanden?
Hohes technisches Know-how und fundierte UW-Expertise erforderlich
André Grochowy / Cyber-Deckungen / FKH-Tagung in Bern 2015
18.05.2015
20
10. Ausblick
Herausforderungen für die Versicherungswirtschaft
Gesetzgebung:
 Hohe Bussgelder für
Unternehmen geplant
 Harmonisierung der
Datenschutzrichtlinien
innerhalb der EU
Deckung:
 Schutz von “geistigem
Eigentum”
 Versicherung von
Bussgeldern
 Wiederherstellung der
Reputation
Quelle: Mischa Keijser/cultura/Corbis
André Grochowy / Cyber-Deckungen / FKH-Tagung in Bern 2015
18.05.2015
21
© 2015 Münchener Rückversicherungs-Gesellschaft © 2015 Munich Reinsurance Company
Quelle: Verwendung unter Lizenz von Shutterstock.com
Vielen Dank für Ihre Aufmerksamkeit
André Grochowy, FCII
Senior Underwriter / Casualty Facultative
Member of the Topic Network “Information Technology“
Member of the “Cyber Practice Group”
Global Clients / North America
Telefon: +49 (89) 3891-3371
Telefax: +49 (89) 3891-73371
[email protected]
Quelle: Verwendung unter Lizenz von Shutterstock.com