Face - Cyber - 2019 Ausgabe 2 - Chubb
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
2019 Ausgabe 2
Face
Cyber
Aktiv zu mehr IT-Sicherheit
Vielfältiges „Cyber Space Germany“
Cyber InsurTechs –
Konkurrenz oder Unterstützung?
chubb.com/de 1
Willkommen
Das Titelthema dieser Ausgabe ist Cyber und der
Zeitpunkt hätte nicht besser gewählt werden können,
da wir vor allem im Konzernkundengeschäft dieses
Jahr einige „First-Time-Buyer“ haben und die Zahl der
Unternehmen, vor allem im Mittelstand, die sich ernsthaft
mit einem Abschluss einer Cyberpolice beschäftigen,
stetig steigt. Wir wollen aber in dieser Ausgabe nicht
nur das Produkt Cyber etwas genauer unter die Lupe
nehmen, sondern auch die Schadenszenarien und die
Schadenabwicklung mit ihren Assistanceleistungen
vorstellen. Gleichzeitig stellen wir Ihnen im Interview
unsere Cyber-Speziallösung für den deutschen
Maschinenbau vor.
Besonders freut es mich, dass wir Ihnen in
dieser Ausgabe auch eine weitere neue Sparte für
Chubb in Deutschland, Österreich und der Schweiz
vorstellen zu können. Seit Juni bieten wir Kunst- und
L
Wertsachenversicherungslösungen für Privatkunden,
iebe Leserin, lieber Leser, ich begrüße sie ganz Stiftungen und anderen Institutionen an und füllen
herzlich zu unserer zweiten Ausgabe der Face in damit eine wichtige Lücke in unserem Produktangebot.
2019 – nach der Sommerpause, aber rechtzeitig In unserer News-Rubrik finden Sie die dazugehörige
genug, um Ihnen für die spannende Renewal-Phase ein Personalie – weitere detailliertere Informationen hierzu
paar wichtige Informationen mit auf den Weg geben zu erhalten Sie von uns in Kürze.
können.
In unserer ersten Ausgabe der Face hatte ich bereits Und jetzt viel Spaß beim Lesen unserer zweiten Ausgabe
den sich abzeichnenden, unruhigen deutschen der Face in 2019.
Versicherungsmarkt angesprochen, und die letzten
Monate haben diese Entwicklung bestätigt, so dass wir Herzlichst Ihr
auch für den Rest des Jahres weiter mit viel Bewegung
am Markt rechnen. Speziell in der Sachsparte zeigt sich
eine Marktverhärtung, mit der manche so nicht gerechnet
haben.
Wir fühlen uns nicht nur aufgrund der sehr guten Andreas Wania
Geschäftsentwicklung im ersten Halbjahr, sondern auch Country President, Deutschland und Österreich,
durch unsere neu geschaffene Geschäftsstruktur optimal Chubb
für die anstehenden Renewals gewappnet. Durch unsere
Segmentierung in KMU, Mittelstands- und Konzerngeschäft
haben wir unsere Unternehmensstruktur an die aktuellen
Marktverhältnisse angepasst und ermöglichen Ihnen,
unseren Kunden und Maklern, somit einen verbesserten
Zugang zu spezialisierten Teams von Underwritern, die
nicht nur das spartentechnische Underwriting Know-
how mitbringen, sondern auch die ganz individuellen
versicherungstechnischen Bedürfnisse in den jeweiligen
Kundensegmenten kennen.
2 Face 2019 Ausgabe 2
2 Editorial
4 News
8 Drei Fragen an…
10 Aktiv zu mehr IT-Sicherheit 10
14 Das erste Jahr DSGVO in der Praxis
15 Vielfältiges „Cyber Space Germany“
18
Viele Wege führen zum Cyberschaden
20 Cyber InsurTechs –
Konkurrenz oder Unterstützung?
15
22 Interview
Kontaktübersicht
25
27 Impressum
18
20
chubb.com/de 3
News
Neuer Line Manager Chubb etabliert Neue Leitung bei
Terrorismus & neue Sparte Kautionsversicherung
Politische Gewalt Kunstversicherungen
Markus Keller ist neuer Line Manager für die Dr. Thomas Steinruck ist neuer Fine Art & Dirk Gmeiner übernimmt die Position des
Sparte Terrorismus & Politische Gewalt in Specie Manager bei Chubb für die Länder Managers für Kautionsversicherungen (Surety)
Deutschland und Österreich. In dieser neuen Deutschland, Österreich und die Schweiz. für Deutschland, Österreich und die Schweiz
Position wird er für das weitere Wachstum In dieser neu geschaffenen Position wird und wird hierbei für die Weiterentwicklung
sowie die Entwicklung des Segments er für die Produkteinführung der Monoline sowie das Wachstum des Bereiches der
verantwortlich sein. Um der wachsenden verantwortlich sein, die unter anderem Kautionsversicherungen in drei Ländern
Bedeutung des Bereichs Terrorismus & weltweite Deckungen sowie Restaurierungen verantwortlich sein. Gmeiner verfügt über
Politische Gewalt gerecht zu werden, hat und den Ausgleich bei Wertverlust umfasst – zehn Jahre Erfahrung im Underwriting von
Chubb diesen zudem aus der Sparte Property für Privatkunden wie auch für Stiftungen Kautions-, Kredit- und politischen Risiken. In
(Sach) herausgelöst und nun als eigenständige und Unternehmenssammlungen. Dr. Steinruck seiner vorherigen Position war der Volljurist
Einheit aufgestellt. Keller, bisher Senior verfügt über zehn Jahre Erfahrung im Under- als Syndikusanwalt und Senior Underwriter
Underwriter Property in Frankfurt, wird writing von Kunst- und Musikinstrumenten für Risiken im Bereich Financial Lines und
weiterhin von seinem aktuellen Dienstsitz in versicherungen, jeweils in der Schweiz, Cyber tätig. Von seinem Dienstsitz in Frankfurt
Frankfurt aus tätig sein und an Andreas Deutschland und Liechtenstein. Von seinem aus wird Dirk Gmeiner an Andreas Faden,
Faden, P&C Director bei Chubb in Frankfurt, Dienstsitz in Zürich aus wird er an Florian P&C Director bei Chubb für Deutschland und
berichten. Der Versicherungsbetriebswirt ist Eisele, CEO der Chubb in der Schweiz, sowie Österreich, berichten.
bereits seit 2017 im Unternehmen tätig und an Andreas Wania, Country President und
verfügt über fast 30 Jahre Erfahrungen im Hauptbevollmächtigter bei Chubb für
Versicherungsgeschäft, speziell im Bereich Deutschland und Österreich, berichten.
der Sachversicherungen.
Finanzdaten für das zweite Quartal 2019
Chubb Limited (Chubb) hat für das zweite Quartal 2019 ein Bruttoprämienvolumen von 10,4 Milliarden US-Dollar verbucht und übersteigt damit
das Vorjahresergebnis, das bei 9,9 Milliarden US-Dollar lag. Der Betriebsgewinn beläuft sich für diesen Zeitraum auf 1,2 Milliarden US-Dollar,
während dieser im zweiten Quartal 2018 1,3 Milliarden US-Dollar betrug. Die kombinierte Schaden-Kosten-Quote (combined ratio) liegt für 2019
bei 90,1 Prozent (88,4 Prozent in Q2/2018).
Weitere Finanzdaten finden Sie in unserem Unternehmensprofil im Newsroom auf chubb.com/de
4 Face 2019 Ausgabe 2
Kurznachrichten
Neue Direktorin Intensiver Austausch beim fünften Risk Meeting
bei A&H Klassisch im Vorfeld des GVNW in München veranstaltete Chubb auch dieses Mal wieder das
Risk Meeting für weibliche Führungskräfte der Industrieversicherung. Die Fachveranstaltung
in ihrer inzwischen fünften Auflage bot am 4. September 2019 auch in diesem Jahr wieder
eine große Bandbreite an aktuellen Themen, den Start hierzu gab Tina Lakickas, Head of
Major Accounts Division bei Chubb in Paris, mit ihrem Vortrag zum Thema Industriekunden
in Europa und auf globaler Ebene. Daraufhin zeigte Angelika Trotta, Vice President, Chief
Underwriter – International Global Property Facultative bei General Reinsurance AG in Köln,
in ihrem Gastbeitrag das steigende Risiko durch Naturkatastrophen aus der Sicht eines Rück
versicherers auf – eine Thematik, die die Teilnehmerinnen bewegte und zu einer lebhafte
Diskussion führte. Intensiv erörtert wurde das Thema dann auch im anschließenden Powertalk
mit Uta Stobbe, Risikoingenieurin bei Chubb in Frankfurt, und Clarissa Hasse, Underwriter
Property bei Chubb in München. Moderiert von Kerstin Hartung Alexandre, Head of Marketing &
Communications D/A/CH (ebenfalls Chubb in Frankfurt), kam es hierbei zum regen
Austausch, welche Auswirkungen, unter anderem, Naturkatastrophen auf die Sachversicherung
haben. Komplettiert
wurde das Risk Meeting
Silke Rusch ist neue Direktorin für den Bereich schließlich durch die
Personenversicherungen (A&H) bei Chubb Beiträge von Natalie Kress-
für Deutschland und Österreich. In ihrer Happel, Line Manager
neuen Position wird sie für die weitere Ent- Cyber, und Silke Rusch,
wicklung sowie das Wachstum der A&H-Sparte A&H Direktorin für die
in den beiden Ländern verantwortlich sein, Länder Deutschland und
zusätzlich dazu unterstützt sie ebenfalls die Österreich, die zusammen
Direkt Marketing-Aktivitäten in der Schweiz. mit den Risk Managerinnen
Rusch, die bereits seit 2012 im Unternehmen ist und Maklerinnen auf die
und dort zuletzt als Underwriting Manager A&H neuesten Trends im
Germanic tätig war, verfügt über 24 Jahre Bereich Cyber beziehungs
Erfahrung in der Versicherungsbranche, speziell weise das Neueste aus der
im Bereich der Unfall- und Krankenversicher Personenversicherung
ungen sowie im dazugehörigen Underwriting. eingingen. Brigitte Vorrath, Global Client Executive Continential Europe (alle bei Chubb in
Von ihrem Dienstsitz in Frankfurt aus wird Silke Frankfurt), resümierte nach der abwechslungsreichen Veranstaltung: „Auch in diesem Jahr
Rusch an Andreas Wania, Country President war es wieder eine rundum gelungene Veranstaltung, bei der wir für die aktive, rege
und Hauptbevollmächtigter bei Chubb für Teilnahme, das konstruktive Feedback und den wertvollen Input unserer Kundinnen
Deutschland und Österreich, berichten. dankbar sind.“
Chubb beim GVNW Symposium 2019
Mit dem alljährlichen Symposium des Gesamtverbandes der versicherungsnehmenden Wirtschaft e.V. (GVNW) fand vom 4. bis 6. September 2019
in München wieder der größte Industrieversicherungskongress in Deutschland statt. Mehr als 600 Risk Manager, Versicherer und Makler diskutierten
über aktuelle Trends und Entwicklungen der Branche. Wie schon in den Vorjahren war Chubb mit eigenem Stand vor Ort, der zur Anlaufstelle
für zahlreiche „Meet & Greets“ zwischen Kunden, Brokern und Chubb- Experten wurde. „Wie immer ist das GVNW eine sehr gute Plattform, um
sich mit Großkunden und wichtigen Maklerpartnern auszutauschen und zu vernetzen. Gerade das Timing der Veranstaltung ist perfekt, um über
anstehende Renewals und neue Geschäftsmöglichkeiten zu sprechen“, erklärt Andreas Wania, Country President und Hauptbevollmächtigter
der Chubb in Deutschland. Dies bestätigt auch Christian Kruppa, Director Sales & Distribution Germany bei Chubb in Düsseldorf: „Wir hatten
mehrere produktive Makler- und Kunden-Meetings und auch in den Pausen und während der Abendveranstaltungen konnten wir einige gute
Gespräche mit den Risk Managern unserer großen Industriekunden sowie mit Maklern führen.“
chubb.com/de 5
News
Cyberrisiken zum Frühstück
22 Teilnehmerinnen und Teilnehmer aus diversen Maklerhäusern folgten am 14. Mai 2019 der Einladung von Chubb in Österreich und kamen
zum erstmals stattfindenden Cyber Business Breakfast in Wien zusammen. Natalie Kress-Happel, Cyber Line Manager für Deutschland
und Österreich bei Chubb in Frankfurt, erläuterte den Maklervertreterinnen und -vertretern dabei zunächst, was unter dem Begriff Cyber
überhaupt zu verstehen ist und was genau dies umfasst, bevor sie in ihrem Beitrag auf das Neueste zu der Risikoart sowie Aktuellem auf
dem Cyberversicherungsmarkt einging. Dabei stellte sich auch heraus, dass in Österreich ein sehr hohes Cybergefahrenpotential besteht,
die Alpenrepublik sogar quasi Weltmeister in Sachen Cyberangriffe ist. Welche Folgen solch ein Cyberangriff dann haben kann, erfuhren die
Maklerinnen und Makler anhand verschiedener Schadenbeispiele. Hierdurch erhielten sie gleichzeitig einen tieferen Einblick in den Ablauf eines
Cyberschadenfalls und inwiefern etwa die Schadenbegleitung durch das Incident Response System von Chubb Unternehmen im Cybernotfall
unterstützen kann. Die Teilnehmerinnen und Teilnehmer zeigten sich von der großen Bandbreite an Themen begeistert und bestätigten durch ihr
durchweg positives Feedback, dass das Cyber Business Breakfast ein voller Erfolg war.
Der Einfluss von Eine weitere Auflage in 2020
Naturkatastrophen Am 12. Juni fand im Hilton Airport in Frankfurt die zweite deutsch-
15 Risk Managerinnen und Manager trafen sich am 27. Juni österreichische Cornerstone Broker-Veranstaltung statt. Ziel hierbei ist es,
2019 in der Villa Rothschild in Königstein zum Gedanken einen offenen Dialog zwischen den Cornerstone Maklern und dem Chubb
austausch, zu Gesprächen und Diskussionen rund um das Management zu ermöglichen. In diesem Jahr waren die Schwerpunktthemen
Thema Naturkatastrophen, Klimawandel und dazugehörige zukünftige Risiken und deren Auswirkungen auf die Branche, Naturkatastrophen
Schadenszenarien sowie deren Auswirkungen auf die Sach und deren Einfluss auf die Sachversicherung, Non-Affirmative Cyber, Service
versicherung. Nach der Einführung durch Andreas Wania, Levels, Digitalisierung von Schadensfällen sowie die neue A&H Chubb Travel
Hauptbevollmächtigter der Chubb in Deutschland, referierte Smart App. Zu allen Themen diskutierten die Teilnehmerinnen und
der ARD-Wetterexperte Thomas Ranft zur Thematik und Teilnehmer sowohl lebhaft als auch konstruktiv und das Feedback aller am
erläuterte dabei beispielsweise die Unterschiede zwischen Ende der Veranstaltung deutet auf eine weitere Auflage in 2020 hin.
Wetter, Witterung und Klima. Anschließend veranschaulichte
Peter Albrecht, Segment Leader Middle Market und Claims
Manager bei Chubb in Frankfurt, die Auswirkungen von Deutschsprachige Presseinformationen
Naturkatastrophen anhand diverser Schadenszenarien.
Angestoßen durch die Fragerunde von Kerstin Hartung
ab sofort abonnieren
Alexandre, Chefredakteurin der Face, mit Alf Mueller, Ab sofort können Sie die deutschsprachigen Pressemitteilungen sowie
Property & Technical Lines Director Continental Europe weiterführende Informationen der Chubb über das Presseportal von
bei Chubb in Paris, diskutierten die Teilnehmerinnen und „news aktuell“ abonnieren und so direkt bei Veröffentlichung die aktuellsten
Teilnehmer daraufhin lebhaft die entsprechenden Aus Nachrichten erhalten. Klicken Sie dazu einfach im Presseportal auf „Newsroom
wirkungen auf die Sachversicherung. Brigitte Vorrath, Global abonnieren“ und geben Sie Ihre E-Mail-Adresse ein. Alternativ können Sie
Client Executive Continental Europe bei Chubb in Frankfurt, diese Einstellungen auch über die Presseportal-App, die Sie im App Store oder
schloss die Fachveranstaltung mit einem Resümee und dem über Google Play finden, vornehmen.
Feedback kundenseitig zu den Themen. Abgerundet wurde
die Veranstaltung am Abend schließlich noch mit einer Rede Den Newsroom der Chubb
von Adam Clifford, Division President Continental Europe finden Sie im Presseportal auf:
bei Chubb in Paris, und einem Beitrag von Ivy Kusinga, Chief presseportal.de/nr/72419
Culture Office bei Chubb in Philadelphia, zur Thematik M&A
und Unternehmenskultur.
6 Face 2019 Ausgabe 2
Kurznachrichten
Warum sollte jemand
Ihre Unternehmensdaten
hacken?
Aus demselben Grund,
aus dem Sie diese
schützen wollen.
Cyberrisiken werden für Firmen zunehmend zum Problem. Immer
mehr Unternehmen wollen sich daher vor diesem Risiko schützen.
Chubb ist seit 1998 einer der weltweit führenden Anbieter im Bereich
Cyberversicherungen und hat bereits Tausende von Cybervorfällen
erfolgreich versichert. Ob vor, während oder nach einem Cybervorfall,
Chubb bietet verschiedene Dienstleistungen an, die bei der Identifi-
zierung, Bewältigung sowie möglichen Vermeidung eines Ereignisses
unterstützen. Im Ernstfall können Rechtsberater und forensische
Gutachter, aber auch Callcenter und PR-Experten schnell agieren –
nicht zuletzt, um den Schaden zu begrenzen.
Sollten Sie sich fragen, wie sich Cyberrisiken möglicherweise
auf Ihr Unternehmen auswirken könnten, kontaktieren Sie uns.
Informieren Sie sich auf chubb.com/de
©2019 Chubb. Versicherungsschutz gezeichnet durch eine oder mehrere Tochtergesellschaften. Nicht alle Deckungsarten sind
chubb.com/de
für alle Gerichtsstände verfügbar. Chubb®, sein Logo und Chubb. Insured. SM
sind eingetragene Warenzeichen von Chubb. 7
Drei Fragen an…
Anzor Bayramkulov Marc Heidelbach Peter Albrecht
Segment Leader Major Accounts Segment Leader SME & Segment Leader Middle Market
O +49 69 75613 6641 Chubb Easy Solutions O +49 69 75613 6678
M +49 172 1334754 O +49 69 75613 6727 M +49 173 6931581
anzor.bayramkulov@chubb.com M +49 173 6996300 peter.albrecht@chubb.com
marc.heidelbach@chubb.com
Segmentierung in Deutschland
Kunden-Segmentierung nach Unternehmensgröße
10 Mio. Euro 500 Mio. Euro
SME Middle Market Major
m Juli hat Chubb ihre neue • Großindustrie und -kunden (Major In der neuen Face-Rubrik „Drei Fragen an“,
I
Unternehmensstruktur für Accounts): Kunden mit einem Umsatz von stehen die neuen Segementleader, Anzor
Deutschland bekannt gegeben. mehr als 500 Millionen Euro Bayramkulov (Major Accounts), Peter
Diese neue Organisations • Mittelstandsunternehmen (Middle Albrecht (Middle Market) und Marc
struktur soll Kunden und Market): Kunden mit einem Umsatz von Heidelbach (SME und Chubb Easy
Vertriebspartnern der jeweiligen Segmente mehr als zehn (10) Millionen Euro Solutions), Rede und Antwort zur neuen
einen verbesserten Zugang zu den Under • Kleinunternehmen, inklusive Struktur.
writing-Teams ermöglichen. Die Segmente Onlinelösungen Chubb Easy Solutions
definieren sich dabei nach den Kundengruppen (SME): Kunden mit einem Umsatz unter
beziehungsweise Unternehmensgrößen zehn (10) Millionen Euro
innerhalb des Industrieversicherungs
bereiches (P&C):
8 Face 2019 Ausgabe 2
Kommentar
Wie sahen die ersten Tage Wie schlagkräftig sind Sie als Mit welchen Zielen planen Sie
nach Inkrafttreten der neuen neue Struktur hinsichtlich der für die Zukunft?
Struktur für Sie und Ihre neu Renewalzeit?
zusammengesetzten Teams aus?
Marc Heidelbach:
Anzor Bayramkulov: Die Analyse und Entwicklung im SME-Geschäft
Peter Albrecht: Wir leben uns seit Anfang Juni sozusagen in führt uns zu einer Strategie, die auf Branchen-
Neues ist immer spannend. Die Mitarbeiterinnen die neue Struktur ein, und haben daher und Kundenbedürfnisse ausgerichtet ist.
und Mitarbeiter im Segment Middle Market ausreichend Zeit, um uns richtig auf Renewal Unsere Branchenkonzepte beispielsweise für
haben die ersten Schritte vom Spartenfokus zeit einzustellen. Außerdem setzen wir auf Life Science, Infotech and Real Estate sind
weg und hin zur Segment-Sicht gemacht. den neuen Multiline-Ansatz, und haben uns dabei sehr gute Beispiele für die Entwicklung.
Wir alle sind sehr gespannt auf die nächste vom Silo-Denken wegbewegt. Unsere Produkte Daher müssen wir die Produkte der Industrie
Zeit, auch neugierig und wollen wirklich bieten wir nun gezielter an – davon werden versicherung entsprechend modifizieren,
etwas Neues formen. unsere Kunden profitieren. die Prozesse optimieren und technische
Services anbieten, die uns erlauben das
Anzor Bayramkulov: Marc Heidelbach: Geschäft auch im SME-Segment effizienter
In erster Linie war es uns sehr wichtig, Im SME-Geschäft, welches homogenere anzubieten. Das gilt sowohl in der Zusammen
alle Kolleginnen und Kollegen in der neu Kundengruppen und Verträge aufweist, können arbeit mit unseren Vertriebspartnern wie
geschaffenen Abteilung Major Accounts wir die Portfoliobetrachtung – gestützt auf auch für unsere Versicherungsnehmer. Diese
zusammenzubringen und den entsprechenden unsere MI/BI Systeme - zukünftig schneller Ziele erreichen wir durch gute Marktanalysen
Team-Spirit aufzubauen. Wir waren daher analysieren und gemeinsam mit den Vertriebs und Rücksprachen mit den Kundengruppen,
auch im ständigen Gedankenaustausch, wie partnern umsetzen. Diese Systematik schafft optimierte, systemgestützte interne und
wir die neue Struktur für unsere Kunden in Synergien und Freiräume, die wir für unsere extern Arbeitsabläufe sowie gezielte
diesem Segment effektiv und effizient Partner und Kunden nutzen können. Wir setzen Kooperationen für zusätzliche Services.
implementieren können. Nicht zuletzt hatten dabei auf eine Mischung aus Standardisierung,
wir ein Kick-Off Meeting mit allen Stakeholdern, technische Unterstützungssysteme und den Anzor Bayramkulov:
also P&C, A&H und dem Vertrieb, um alle persönlichen Kontakten unserer erfahrenen Wir wollen ein leistungsstarkes Team, das die
Schnittstellen schlagkräftig abzustimmen, Sales- und Underwritingmannschaft. individuellen Bedürfnisse unserer Kunden im
und zu klären, wie wir unseren Kunden den Major Accounts Segment umfänglich erfüllen
bestmöglichen Service bieten können. Peter Albrecht: kann. Unser Hauptziel dabei ist es, dass
Vor uns liegt die wichtigste Zeit des Jahres. unsere Kunden diesen Serviceansatz auch
Marc Heidelbach: Glücklicherweise sind wir eine erfahrene wirklich spüren sollen. Bezüglich der Sparten
Neben den bereits existierenden Produkten „Truppe“, die das Renewal gut meistern konzentrieren wir uns neben den klassischen
auf unserer Online-Plattform Chubb Easy wird. Dabei gilt es für uns, nicht nur „business Bereichen besonders auf den Ausbau unseres
Solutions (Cyber, D&O, Einzeltransport as usual“ zu betreiben, sondern neue Geschäftes in den Specialty Lines wie Cyber,
versicherung), die bereits nach dieser Struktur Elemente ins Renewal einfließen zu lassen. Terrorismus, Kaution (Surety) und Umwelt
konzipiert sind, haben wir jetzt auch in den Hierzu gehört beispielsweise ein struktureller (EIL).
übrigen Sparten beziehungsweise Produkten Cross Sell-Ansatz.
eine übergreifenden Vertriebspartner- und Peter Albrecht:
Kundenverantwortung sowie -bearbeitung. Wir sind bekannt für unsere Underwriting-
Im Ergebnis können wir bereits jetzt Epertise, unsere Services und unsere
regelmäßig mehrere Produkte für einzelne Fähigkeiten wirklich multinationale
Kunden anbieten. Versicherungslösungen zu bieten. Das ist
unser Fundament. Auf dieses wollen wir
weitere Bausteine setzen, nämlich:
Ganzheitliche Versicherungslösungen,
das Teilen unseres Know-hows und wahre
Partner sein.
chubb.com/de 9
10 Face 2019 Ausgabe 2
Titelthema
Aktiv zu mehr
IT-Sicherheit
as Thema IT-Sicherheit ist in kristallisieren sich aus Risikogesprächen
D
aller Munde und dennoch immer wieder fünf grundsätzliche Stell
vergeht kaum ein Monat, schrauben hierfür heraus – einfache
ohne dass Unternehmen aller Maßnahmen, jedoch mit großer Wirkung.
Größen mangelndes Bewusst
sein für Cyberrisiken attestiert wird. Denn Eine Chefsache
trotz der hohen Bedrohungslage besteht Auch wenn die Sicherheit der Unternehmens
gleichzeitig noch immer Nachholbedarf bei netzwerke vermeintlich in der Verantwortlich
der gelebten IT-Sicherheit. Doch wie kann keit der IT-Abteilung liegt, sind es letztlich
das sein, woher rührt jene Diskrepanz? die Unternehmenslenker, die für die
Man könnte hier die Komplexität der Risikoart Konsequenzen von IT-Sicherheitsvorfällen
nennen, dass sie äußerst dynamisch ist und persönlich haftbar gemacht werden können.
sich dadurch ständig weiterentwickelt und Unverzichtbar ist daher, Cybersicherheit zur
daher nur schwer zu handhaben ist. Was Chefsache zu erklären und nicht auf Geschäfts
aber tun, um der Bedrohung Cyber gerecht leitungsebene nur halbherzig zu behandeln
werden zu können? Die gute Nachricht: Es oder vollständig an die IT-Abteilung
bedarf keines Hexenwerks zur Erhöhung der weiterzureichen – nicht zuletzt, da Reputations
IT-Sicherheit im Unternehmen, vielmehr schäden aufgrund von Cyberangriffen und
chubb.com/de 11Wissen Sie eigentlich, Datenschutzpannen schließlich im schlimmsten
Fall zur Existenzbedrohung des Unternehmens
Über jene Zertifikate lässt sich das aktuelle
Schutzniveau gleichzeitig auch gegenüber
was in diesem Moment führen. Es liegt also im Sinne und zugleich Kunden und Geschäftspartnern unkompliziert
auch in den Händen der Unternehmensleitung, bestätigen – und bietet damit gleich doppelten
in Ihrem frühzeitig eine entsprechende Sicherheitskultur Mehrwert. Der wohl bekannteste Standard
Unternehmensnetzwerk und Organisation im Unternehmen zu
etablieren. Das Bundesamt für Sicherheit in
in Sachen IT-Sicherheit in Deutschland ist
der IT-Grundschutz des BSI. Dieser hilft bei der
passiert? der Informationstechnik (BSI) empfiehlt Identifizierung und Umsetzung notwendiger
hierfür die Einführung verschiedener Sicher Sicherheitsmaßnahmen und liefert bereits
heitsrichtlinien. Da IT-Sicherheit natürlich bewährte Vorgehensweisen. Außerdem gibt es
auch immer mit entsprechenden Kosten internationale sowie unternehmens- oder
einhergeht, müssen Unternehmen genau brachenspezifische Standards. Kleine und
evaluieren, welches Budget jährlich für den mittelständische Unternehmen können sich
weiteren Ausbau der IT-Sicherheit zur hierbei beispielsweise am VdS 3473 orientieren.
Verfügung gestellt werden kann. Wichtig Ein angemessenes Schutzniveau wird über
ist dabei, dass das Budget der aktuellen diese Norm gewährleistet, ohne dass Unter-
Bedrohungslage angepasst ist, denn ein vor nehmen dabei organisatorisch oder finanziell
15 Jahren festgelegter Kostenrahmen kann überfordert werden. Als internationaler
heute kaum mehr zeitgemäß und adäquat Standard ist hingegen die ISO27001-Norm
sein. IT-Sicherheitsverantwortlichkeiten auf zu nennen, die die Anforderungen an ein
verschiedenen Unternehmensebenen sowie dokumentiertes Informationssicherheits-
ein definierter Reportingprozess runden die Managementsystem beschreibt. Dieses dient
organisatorischen Sicherheitsmaßnahmen ab. der kontinuierlichen Betriebsbereitschaft und
fördert eine jederzeit funktionierende
An Standards orientieren Ablauforganisation.
Das Rad für eine vernünftige Cybersicherheit
muss nicht neu erfunden werden, denn Agieren statt reagieren
Unternehmen können sich bereits an seit In Sachen IT-Sicherheit gilt: Wissen ist Macht.
vielen Jahren gereiften Standards orientieren Wissen Sie eigentlich, was in diesem Moment
und sich darüber hinaus zertifizieren lassen. in Ihrem Unternehmensnetzwerk passiert?
12 Face 2019 Ausgabe 2Titelthema
Befindet sich Ihre IT im „Normalzustand“ Mitarbeiter auf psychischer und emotionaler kann. Gleichzeitig bieten einige Versicherer
oder gibt es just in diesem Moment Ebene zu erreichen, um so ins Unternehmens als Mehrwert zum Produkt Incident Response
„Anomalien“, denen Aufmerksamkeit netzwerk zu gelangen. Essenziell ist daher, Teams, die alle Teile der notwendigen Schritte
geschenkt werden sollte? Die Antwort darauf die Belegschaft für jenes Risiko zu schulen, im Schadenfall abdecken können, sowie
sollten Unternehmen kennen, denn in Sachen und ein Bewusstsein generell für Cyber spezielle Risikoingenieure, die sogar noch
IT-Sicherheit gilt: vorbereitet sein, Eigen risiken zu schaffen. Dies kann bereits durch vor einem Schadenfall Unterstützung leisten.
initiative zeigen und sich nicht in die reine relativ einfache und verhältnismäßig kosten Letztere stehen Unternehmen bei der
„Reaktionsrolle“ begeben. Denn auch wenn günstige Maßnahmen erreicht werden, etwa Erfassung ihrer individuellen Risikosituation
sich Cybervorfälle beziehungsweise Schäden mittels interaktiver Schulungen und Trainings. beratend zur Seite, erarbeiten gemeinsam
durch Cyberkriminalität natürlich nie Möglich sind hier beispielweise auch realitäts mitunter Schadenverhütungsmaßnahmen
gänzlich vermeiden lassen, können sie durch nahe Szenarientrainings und Simulationen, oder sprechen Empfehlungen anhand von
adäquates Reagieren bestmöglich minimiert etwa zum Thema Phishing. Hierbei werden „best practices“ aus.
werden. Dies setzt jedoch einen genauen von der IT-Abteilung E-Mails verschickt, die
Überblick über die Netzwerkvorgänge voraus den User angeblich aus Sicherheitsgründen Im letzten Schritt
– und hier müssen Unternehmen oftmals zum Beispiel zu einem Passwortwechsel Dass die Umsetzung von IT-Sicherheitsmaß
noch nachjustieren. Zwar setzen viele auffordern – ähnlich wie dies bei richtigen nahmen wie diesen maßgeblich dazu beiträgt,
Firewalls, Software-Monitoring, Endpoint Phishing-Attacken oftmals der Fall ist. Wer die Wahrscheinlichkeit eines Cybervorfalles
Protection sowie Systeme zur Erkennung auf den hierfür vorgedachten Link klickt, im eigenen Unternehmen zu reduzieren
von vermeintlichen Angriffen ein, doch sie wird über die potenziellen Risiken informiert beziehungsweise den eingetretenen Schaden
werten die hierbei gewonnen Informationen und zukünftig um Vorsicht gebeten. In der einzudämmen, ist wohl unbestritten. Zugleich
nicht systematisch aus und können als Folge Realität hat man nicht immer das Glück, muss aber nochmals festgehalten werden,
dessen Angriffe somit kaum erkennen – und dass es sich um eine reine Simulation dass erfolgreiche Cyberangriffe nie vollständig
damit auch nicht verhindern. Wichtig ist handelt – umso größeren Mehrwert können ausgeschlossen werden können und es einen
daher, alle zur Verfügung stehenden jene Trainings haben, schulen sie die Beleg- hundertprozentigen Schutz in der Realität
Informationen zu verknüpfen, und zwar schaft schließlich darin, im Fall der Fälle schlichtweg nicht gibt. So haben Versicherer
mittels spezieller Sicherheitssysteme, die tatsächlich korrekt zu agieren. beispielweise bereits mehrere Schäden
Hinweise auf Abweichungen von vordefinierten bearbeitet, bei denen das betroffene Unter-
„Normalzuständen“ geben können. Fest Expertise ist gefragt nehmen zwar ein sehr hohes, durchaus
steht: Ohne aktives Monitoring können Für die Bewältigung von Notfällen und überdurchschnittliches IT-Sicherheitslevel
Angriffe heute kaum noch frühzeitig detektiert Krisen ist Expertise erforderlich – ob nun vorzuweisen hatte, es aber dennoch zum
werden. intern bereitgestellt oder aber über externe Schaden kam, etwa zu längeren Betriebsunter
Dienstleister abgedeckt. Gerade für mittel brechungen in Folge unentdeckter krimineller
Belegschaft „an Bord“ holen ständische Unternehmen kann die Aktivitäten. Das Risiko solcher finanziellen
Eine der größten Schwachstellen in Bezug Unterstützung durch externe Spezialisten Schäden, zum Beispiel in Form von Forensik-
auf die IT-Sicherheit ist nach wie vor der enorm wichtig sein, da sie oftmals nicht und Wiederherstellungskosten, Gewinn
Mensch. Jene Erkenntnis ist nicht neu, heute über die entsprechenden Fachkenntnisse ausfällen oder fortlaufenden Kosten, wie der
jedoch gefährlicher denn je für Unternehmen. verfügen. Mehrwert können hier besonders Zahlung von Mitarbeitergehältern, kann
Auch Cyberkriminelle sind sich dieser Tatsache Computer Incident Response Teams, IT- aber transferiert und von Versichererseite
bewusst, haben sich dem angepasst und Forensik-Unternehmen, und Krisen her übernommen werden – ein weiterer
agieren nun immer raffinierter und kreativer, kommunikationsberater bieten, aber auch Schritt, der die Cyberdeckung quasi zum
um die Sicherheitslücke Mensch „zu knacken“. geeignete Rechtsanwälte im Hinblick auf abschließendes Glied in einer umfangreichen
Ihre bevorzugte Vorgehensweise ist derzeit Datenschutzverletzungen. Zusätzlich kann IT-Sicherheitskette macht. n
das sogenannte Social Engineering, mittels eine Versicherungslösung das Restrisiko
dessen sie versuchen, Mitarbeiterinnen und decken, das durchaus monetäre Folgen haben Maximilian Ernst
maximilian.ernst@chubb.com
Über den Autor
Maximilian Ernst ist Cyber Underwriter
bei Chubb in München und für das Major
Account Segment, also für Groß- und
Industriekunden, verantwortlich. Seine
Kernaufgaben sind die Risikoprüfung für den
Abschluss einer Cyberversicherung sowie
die anschließende Angebotsabgabe und
Vertragsverhandlung.
chubb.com/de 13Das erste Jahr
DSGVO in der
Praxis
war zu erwarten – zumindest aus der Sicht
des Juristen –, denn nach dem Strafgesetz
buch kann auch ein Eierdieb theoretisch zu
fünf Jahren Haft verurteilt werden; tatsächlich
erhält ein solcher aber in aller Regel eine
Geldstrafe von maximal einem halben Monats-
gehalt, wenn nicht das Verfahren sogar
eingestellt wird. Selbst im Falle des bisherigen
s war die Zeit um Weihnachten Weniger schlimm als gedacht „Rekordhalters“, eines US-amerikanischen
E
2017, als der Hype um die In Sachen Datenschutz ist glücklicherweise Tech-Giganten, ist das von der französischen
Datenschutz-Grundverordnung inzwischen mehr Klarheit eingekehrt. Zu den Aufsichtsbehörde verhängte Bußgeld von
(DSGVO) und deren Inkraft befürchteten vielfältigen Abmahnungen ist es 50 Millionen Euro bei einem jährlichen
treten immer virulenter beispielweise nicht gekommen; sie traten Umsatz im mittleren zweistelligen Milliarden
wurde. Gerade kleinere Unternehmen vielmehr nur vereinzelt und dann auch nur bereich nicht mehr als die sprichwörtlichen
sorgten sich sehr, was da wohl auf sie zukäme. bei gravierenden Datenschutzverstößen auf. „peanuts“.
Ängste entstanden vor allem durch die Darüber hinaus verstanden sich die Aufsichts
exorbitant hohen möglichen Bußgelder – bis behörden vielfach nicht als Sanktionsinstanz, Was die Zukunft bringt
zu 20 Millionen Euro oder vier Prozent des sondern eher als eine Art Unternehmens Für den Verbraucher ist das Resümee
weltweiten Jahresumsatzes. Auch wurden berater, die zumindest die Basics der hingegen überwiegend positiv: Der vorher
geradezu tsunamiartige Abmahnwellen im Anforderungen an Nachfragende vermittelten. oft zu laxe Umgang mit deren teils recht
Zuge der DSGVO erwartet. Es gab also Natürlich wurden auch bereits Bußgelder sensiblen Daten ist nun einigermaßen gut
zahlreiche offene Fragen und Unklarheiten, verhängt, aber die bewegten sich gerade bei geregelt und überwacht. Abzuwarten bleibt
und so rückte der 28. Mai 2018 schließlich weniger großen Firmen in einem eher allerdings, was zukünftig bei gravierenden
unaufhaltsam näher, ohne dass sich an angemessenen Rahmen. Ihre Gesamtzahl Verstößen der großen internationalen Unter-
diesem Zustand wirklich etwas änderte. blieb im Übrigen recht gering. Nichts anderes nehmen jenseits des Atlantiks passiert.
Sollten die Bußgelder dann nämlich eine
Schmerzgrenze überschreiten, werden
sicherlich langjährige Gerichtsverfahren die
Folge sein – und es bleibt spannend abzuwarten,
welchen Verlauf diese dann nehmen werden. n
Jürgen Schmitz
juergen.schmitz@chubb.com
Über den Autor
Jürgen Schmitz ist Senior Cyber Underwriter
bei Chubb in Frankfurt im neuen Segment
Middle Market und zuständig für die
Regionen Mitte und Süd. Der Volljurist und
zugelassene Rechtsanwalt war zuvor 17 Jahre
als Senior Underwriter Financial Lines,
Commercial D&O, im Unternehmen tätig und
hatte zusätzlich dazu noch die Position des
Datenschutzbeauftragten inne.
14 Face 2019 Ausgabe 2Titelthema
Vielfältiges
Unterschiedliche Voraussetzungen
Geht es um die Absicherung eines Unter
nehmens, ist vor allem dessen individuelle
Risikosituation von Bedeutung – und diese
kann nicht nur von Firma zu Firma, sondern
„Cyber Space
vor allem von Branche zu Branche deutlich
variieren. Wichtig für die Underwriting-
Bewertung ist daher eine Unterscheidung
der branchenspezifischen Risiken.
Beispielsweise speichern produzierende
Unternehmen zwar deutlich weniger
Germany“
personenbezogene Daten als andere
Industrien und sind demnach einem
grundsätzlich geringeren Haftpflichtrisiko
im Falle eines Datenverlusts ausgesetzt,
aber sie haben stattdessen zumeist ein
deutlich erhöhtes Risiko im Bereich der
Betriebsunterbrechung. Denn wenn etwa
industrielle Steuerungssysteme in der
Produktion verwendet werden, die im
schlimmsten Fall netzwerktechnisch über
die herkömmliche Büro-IT zu erreichen sind
oder eine direkte Anbindung an das Internet
haben, können auch externe Angreifer sich
relativ leicht Zugang verschaffen und die
ie Digitalisierung ist seit einigen zur Diversifizierung eines vorhandenen Rest- Produktion beeinträchtigen oder unterbrechen.
D
Jahren eines der Top-Themen, risikos. Wenn also nicht eindeutig ersichtlich ist, Anders sieht es wiederum zum Beispiel im
das die Wirtschaft bewegt, dass ausreichend professionelle präventive Gesundheitswesen aus; hier ist zusätzlich
denn schließlich bietet der Maßnahmen bereits intern getroffen wurden, eine deutlich erhöhte Exponierung im Bereich
Megatrend immense Chancen ist es sehr unwahrscheinlich, dass ein der Haftpflicht gegeben, denn Krankenakten
und Vorteile. So ermöglichen digitalisierte Versicherer dieses Restrisiko übernimmt. werden zunehmend digitalisiert und enthalten
Geschäftsprozesse Unternehmen ein Dies würde quasi einer Feuerversicherung hochsensible personenbezogene Gesundheits
schnelleres, vereinfachtes und vor allem gleichkommen, die für ein bereits brennendes daten. Bei einem Ausfall des Patienten
effizienteres Agieren, wodurch sich eine Haus abgeschlossen wird und jenes versichern verwaltungssystems beziehungsweise einer
verbesserte Wettbewerbsfähigkeit ergibt. soll. Es leuchtet ein, dass dies wirtschaftlich Verschlüsselung der Daten durch Ransomware
Gleichzeitig entsteht durch die immer weiter wenig sinnvoll wäre. kommt hierbei außerdem hinzu, dass ohne
fortschreitende Digitalisierung und Vernetzung eine professionelle Notfallplanung in Form
zwangsläufig allerdings auch eine enorm hohe Abgesichert oder doch nicht? fest definierter Verantwortlichkeiten und
Abhängigkeit von der IT, was Unternehmen Kommt es zum Cybervorfall, ist eine spezifische Kommunikationsabläufe nur allzu leicht
entsprechend verwundbar macht. Ob System Absicherung für Unternehmen allerdings Chaos entstehen kann.
ausfälle, Fehler oder Angriffe, im schlimmsten unverzichtbar, da der Deckungsschutz
Fall können solche Vorfälle den Fortbestand klassischer Versicherungen (etwa Haftpflicht, Hochgradig exponiert
eines Unternehmens gefährden. Dabei stellt Sach- oder Vertrauensschaden) für die Angreifern wird der vollumfängliche Zugang
sich für Firmen aber nicht die Frage, ob Deckung der Cyberrisiken nicht ausreicht. zum Unternehmensnetzwerk vor allem
derartige Schäden eintreten, sondern lediglich So bieten Haftpflichtdeckungen beispielweise erleichtert, wenn Bereiche, wie Patienten
wann und welche Implikationen diese dann keine Absicherung für die Kosten im Eigen- verwaltungssysteme, Medizintechnik, OP
konkret haben werden. schadenbereich und zielen in der Regel auf und die gewöhnliche Büro-IT, nicht ausreichend
Personen- oder Sachschäden ab, die bei Cyber- segmentiert sind und veraltete Systeme
Kein Ersatz, sondern Zusatz angriffen aber zumeist nicht vorhanden sind. verwendet werden, die nicht regelmäßig
Eine spezielle Deckung kann Unternehmen Aufgrund dieses fehlenden physisch bedingten gepatcht und upgedatet werden. Aus diesem
zwar gegen die wirtschaftlichen Auswirkungen Triggers bieten auch Sachversicherungen Grund macht es auch Sinn, dass Krankenakten
von Cyberangriffen schützen, aber entbindet keine Deckung, obwohl sie die Kosten einer nochmals schriftlich vorliegen, sollte es
sie nicht von der grundsätzlichen Verpflichtung, Betriebsunterbrechung und entstehende tatsächlich zum Cybervorfall kommen. Denn
Cyberrisiken durch ein professionelles Risiko- Mehrkosten grundsätzlich absichern können. man stelle sich nur vor, dass ein Klinikarzt
management und entsprechende Sicherheits Vertrauensschadenversicherungen, die in im Notfall nicht in der Lage ist, Patienten
maßnahmen zunächst selbst aktiv zu steuern ihrem Deckungsumfang im Hinblick auf aufgrund fehlender elektronischer Gesundheits
und zu minimieren. Im klassischen Risiko Computerstraftaten zwar ggf. erweitert informationen fachgerecht zu behandeln.
managementprozess ist der Risikotransfer werden, umfassen jedoch prinzipiell keine Auch wenn Cyberversicherungen grundsätzlich
über die Versicherung lediglich die letzte Stufe Schadensersatzansprüche Dritter. keinen Personenschaden decken, zeigt dieses
chubb.com/de 15Beispiel, welche dramatischen Auswirkungen ein Vorfall auf die Betroffenen haben kann. Diese spezifische Betrachtung lässt sich nun auch auf andere Geschäftsmodelle, wie beispielsweise den Einzelhandel, die Finanz branche oder die Technologiebranche, übertragen. Je nach Geschäftsmodell ergeben sich unterschiedliche Exponierungen, die im Rahmen der Cyberrisikobewertung entsprechend berücksichtigt werden müssen. Externe Unterstützung Dienstleister passieren, die etwa mittels Auch wenn sich Cyberrisiken im Hinblick auf Passwortverwaltungslösungen oder auch die Geschäftsmodelle von Unternehmen Phishing-Simulationen dazu beitragen sollen, sowie auch in Bezug auf deren Größe durchaus Mitarbeiterinnen und Mitarbeiter des unterscheiden können, eines haben Groß- Unternehmens zu aktuellen Themen der konzerne, Klein- und Mittelstandsbetriebe Informationssicherheit und Cyber Security hierbei gemein: Sie alle können Opfer von aufzuklären. Außerdem können für den Cyberkriminellen werden. Das Risiko besteht Schadenfall die Dienste eines globalen Incident heute für jedes Unternehmen – eine Tatsache, Response Managers zur Verfügung gestellt der sich insbesondere kleinere Firmen noch werden, was insbesondere für kleinere Firmen stärker bewusst werden müssen, da sie sich von großem Mehrwert sein kann, da diese Solutions ermöglichen über eine innovative aufgrund ihrer Größe zumeist nicht gefährdet intern oftmals nicht über die notwendigen Plattformtechnologie einen hocheffizienten sehen. Dies ist allerdings ein Trugschluss, Ressourcen hierfür verfügen. Da die Aus- und gleichzeitig deutlich vereinfachten denn Schutzmaßnahmen können bei kleinen wirkungen eines Angriffs durch eine Angebots- und Policierungsprozess mit Betrieben oftmals nicht in gleichem Umfang professionelle Handhabung deutlich limitiert zusätzlichen Services und Schnittstellen. und in gleicher Güte umgesetzt werden wie und das Schadenpotential dadurch Makler können so die eigenen Arbeits bei größeren Unternehmen. Häufig sind bei entsprechend minimiert werden kann, ist prozesse weiter reduzieren, da sich etwa diesen zudem hohe Abhängigkeiten von dies sogar gleich zweifach von Vorteil – durch eine technische Risikoanalyse der Cloud-Dienstleistern oder anderen IT- einerseits natürlich für das Unternehmen Quotierungsprozess auf wenige Standard Dienstleistern gegeben – ein wichtiger Aspekt, selbst, andererseits zwangsläufig auch für fragen optimiert, die mit ‚Ja‘ oder ‚Nein‘ denn ein Cybervorfall muss nicht zwangsläufig den Versicherer. beantwortet werden. Die Folge: Sie haben aus einem Angriff auf das eigene Unternehmen einerseits die Möglichkeit, effizienter zu resultieren, sondern kann auch indirekt Moderne Lösungen benötigt agieren und können dadurch andererseits über Dritte, wie zum Beispiel einen Dienst In diesem Segment sind des Weiteren vor ihre Unternehmenskunden im kleineren und leister, verursacht werden. Um allerdings allem einfache und schnelle Versicherungs mittleren Segment (KMU) mit modernen insbesondere mitarbeiterbedingte Cyber lösungen gefragt, weshalb die Branche Lösungen bei der Absicherung von Cyber vorfälle in Zukunft (noch) besser kontrollieren inzwischen mit speziellen Online-Produkten risiken unterstützen. zu können, bieten einige Versicherer, wie für Cyberrisiken reagiert hat, um den auch Chubb, Unternehmen inzwischen Bedürfnissen von Kleinunternehmen besser Große Unternehmen, große Risiken Unterstützung bei dieser Herausforderung. nachkommen zu können. Solche neuen Während Online-Quotierungsoptionen für Dies kann zum Beispiel in Form kooperierender Weblösungen wie beispielweise Chubb Easy den KMU-Bereich eine moderne Lösung 16 Face 2019 Ausgabe 2
Titelthema
darstellen, bedarf es bei größeren Unter häufiger im Fokus der Öffentlichkeit stehen Am Puls der Zeit
nehmen aufgrund ihrer Komplexität hingegen und dadurch für komplexe, zielgerichtete Da wohl keine Risikoart so dynamisch ist wie
einer anderen Handhabung. Denn die häufig und effektive Angriffe, sogenannte Advanced die der Cyberrisiken, hat sich infolgedessen
global tätigen Konzerne verfügen netzwerk Persistent Threats (APTs), besonders exponiert auch der Markt hinsichtlich entsprechender
technisch über vielfältige Verbindungen sind. Hierfür gab es in der Vergangenheit Versicherungslösungen in nur wenigen Jahren
zwischen einzelnen Standorten und werden bereits zahlreiche Beispiele, bei denen extrem verändert und ist noch immer
in Bezug auf ihre IT entweder zentral oder vertrauliche Daten, wie persönliche permanent in Bewegung – genau wie die
dezentral gesteuert. Aus diesem Grund sind Informationen über die Mitarbeiterinnen Gefahren selbst, die die neuen digitalen
hier gesonderte Risikodialoge – in enger und Mitarbeiter der Firma und deren Familien, Anwendungen mit sich bringen. Aus diesem
Abstimmung mit dem Bereich Risk Engineering E-Mails, Informationen über Gehälter der Grund besteht auch die Notwendigkeit,
– vonnöten, um das spezifische Cyberrisiko Führungskräfte und weitere hochsensible Lösungen und Produkte fortlaufend an den
des Unternehmens zu identifizieren und Daten, entwendet wurden. Einige betroffene Cybermarkt und damit an die Bedürfnisse
entsprechend zu bewerten. Zu beachten ist Unternehmen sahen sich in Folge dessen von Unternehmen anzupassen. Seien es nun
auch, dass insbesondere große Unternehmen sogar noch mit Erpressungsversuchen durch potentielle neue Deckungen in Bereichen wie
Cyberkriminelle konfrontiert. Großkonzerne Reputationsschäden oder im Hinblick auf
sind in Sachen Cyberversicherung nach Social Engineering beziehungsweise Fake
aktuellem Stand am besten aufgestellt, President Fraud – die Möglichkeiten, die der
dennoch besteht sowohl hier als auch bei Markt bietet oder künftig bieten könnte, sind
kleinen und mittelständischen Firmen häufig vielfältig. Nicht zuletzt mag dies aber auch
noch Nachholbedarf. Eine wichtige Voraus auf die Herausforderungen zutreffen, die das
setzung ist oftmals jedoch, dass Unternehmen „Cyber Space Germany“ birgt… n
– unterstützt auch durch Versicherer und
Makler – ein (noch) besseres Verständnis für Benedikt Klingenheben
die Einschätzung der eigenen Cyberrisiken benedikt.klingenheben@chubb.com
und die Abstimmung der darauf folgenden
Schutzmaßnahmen erhalten. Jürgen Schmitz
juergen.schmitz@chubb.com
Über die Autoren
Über Benedikt Klingenheben
Benedikt Klingenheben ist seit September 2018
Cyber Underwriter bei Chubb in Düsseldorf
und im neuen Segment Middle Market
zuständig für die Region West. Der Kaufmann
für Versicherungen und Finanzen sowie
Master-Absolvent in Versicherungswesen von
der Technischen Hochschule Köln ist zusätzlich
„Associate of (ISC)2“ mit einer Spezialisierung
im Bereich „Information Security Leadership &
Operations“.
Über Jürgen Schmitz
Jürgen Schmitz ist Senior Cyber Underwriter
bei Chubb in Frankfurt im neuen Segment
Middle Market und zuständig für die Regionen
Mitte und Süd. Der Volljurist und zugelassene
Rechtsanwalt war zuvor 17 Jahre als Senior
Underwriter Financial Lines, Commercial D&O,
im Unternehmen tätig und hatte zusätzlich dazu
noch die Position des Datenschutzbeauftragten
inne.
chubb.com/de 17Viele Wege führen
zum Cyberschaden
I
nfolge der zunehmenden Einwirkungen, Zugriffe und Nutzung von
Digitalisierung steigt für IT-Systemen des Versicherten sowie für etwaig
Unternehmen die Gefahr, anfallende Kosten im Zuge des Cyberschadens.
Opfer von Cyberkriminalität Um die komplexe Risikoart besser zu verstehen,
zu werden. Die Bandbreite werden im Folgenden einige beispielhafte
möglicher Schäden ist hierbei groß und reicht Cyberschäden aus der Praxis erläutert.
von einem Ausfall der IT-Systeme mit einer
daraus folgenden Unterbrechung der Geschäfts Trojaner lähmt die Produktion
tätigkeit über den Diebstahl wichtiger In einem mittelständischen deutschen
beziehungsweise sensibler Daten bis hin zu Produktionsunternehmen traten Anfang Juli
einem Reputationsverlust. In der Praxis sind 2018 vermehrt Auffälligkeiten in den IT-
Cyberschadenfälle aufgrund der umfassenden Systemen auf. Einige Tage später war das
Deckung komplex und vielschichtig. gesamte IT-System nicht mehr funktionsfähig,
Vereinfacht dargestellt besteht Deckung für so dass der Cybervorfall daraufhin über das
Schäden des Versicherten (Eigenschaden) Cyber Incident Center gemeldet wurde.
und Schäden Dritter infolge unbefugter Über das Wochenende wurden bereits erste
18 Face 2019 Ausgabe 2Titelthema
Maßnahmen organisiert und zwei IT-Forensiker Gesellschaft und koordinierte als Krisen der Computersysteme beauftragten Spezialisten
zusätzlich zu dem vom Unternehmen bereits reaktionsmanager die Einschaltung eines entsprechende Sofortmaßnahmen und
vorher beschäftigten IT-Dienstleister beauftragt. IT-Forensikers, der gemeinsam mit der entfernten die Malware von dem Rechner
Zum Wochenstart konnten schließlich einige lokalen IT die Arbeitsfähigkeit wiederherstellte. des Geschäftsführers. Parallel dazu übernahm
Teile der Belegschaft wieder ihrer Arbeit Nachdem zudem sichergestellt wurde, dass ein vor Ort eingeschalteter Incident Response
nachgehen, zusätzlich wurden verschiedene alle Systeme wieder komplett fehlerfrei Manager die Koordination dafür, dass ein
Behelfslösungen implementiert. Die forensische funktionieren, konnte die Tochtergesellschaft weiterer IT-Forensiker hinzugezogen wurde
Analyse ergab, dass das IT-System des Unter- bereits acht Tage nach der Ransomware- und dieser wiederum den bereits einge
nehmens umfassend mit der Schadsoftware Attacke ihren regulären Betrieb wieder schalteten Spezialisten bei der Reinigung des
„Emotet“ beziehungsweise „Trickbot“ infiziert aufnehmen und wurde erneut an das gesamten infizierten Systems unterstützte.
war. Hierbei handelt es sich um zwei sehr konzerninterne Netzwerk angeschlossen. Nachdem die Täuschung durch das betroffene
fortgeschrittene beziehungsweise komplexe Dass ein weitergehender Schaden vermieden Tochterunternehmen entdeckt wurde, ist es
Trojaner, die dazu in der Lage sind, sowohl wurde, lag insbesondere an dem guten diesem lediglich gelungen, die Zahlung, die
verschiedene weitere Schadsoftwaremodule Krisenmanagement auf Seiten der Kundin. von dem in Osteuropa ansässigen Unternehmen
nachzuladen als auch die eigenen Spuren Die schnelle Entdeckung und die unmittelbar geleistete wurde, rückabzuwickeln.
zu verschleiern, um so immensen Schaden erfolgte Abschaltung des Servers sowie das
anrichten zu können. Glücklicherweise Vorhandensein von nicht infizierten Backups Zeit ist Geld
konnten die IT-Forensiker im Falle des verhinderten einen größeren Schaden. Cybervorfälle beziehungsweise -schäden wie
betroffenen Unternehmens jedoch keinen diese können Unternehmen teuer zu stehen
Datenabfluss feststellen. Parallel hierzu Einfallstor E-Mail kommen – dieser Tatsache sind sich inzwischen
wurden mit Hilfe einer hinzugezogenen Der Geschäftsführer eines in Nordeuropa die meisten Firmen bewusst. Geht es um
Rechtsanwaltskanzlei etwaige Informations ansässigen Tochterunternehmens einer den finanziellen Schaden, der ihnen dabei
pflichten geprüft und entsprechend erfüllt. deutschen Versicherungsnehmerin wurde entstehen kann, erweist sich insbesondere
Da das Bundesamt für Sicherheit in der Opfer einer Phishing-Attacke, durch die sich die Reaktionszeit als entscheidend. Denn
Informationstechnik (BSI) während des Cyberkriminelle Zugriff auf sein E-Mail-Konto je länger ein Vorfall nicht entdeckt wird
laufenden Cybervorfalls eine Warnung zu verschafften. Über einen längeren Zeitraum beziehungsweise werden kann, desto höhere
„Emotet“ herausgab und nach einem Befall hinweg wurden so die E-Mails des Geschäfts Kosten entstehen dem betroffenen Unter
mit dem Trojaner einen völligen Neuaufbau führers unbemerkt an diverse E-Mail-Accounts nehmen. Ähnliches gilt entsprechend auch
der IT-Systeme empfahl, wurde dies auch im der Täter weitergeleitet. Auf diese Weise für die Bearbeitung eines Cyberschadens, da
Hinblick auf das Produktionsunternehmen wurde das E-Mail-Konto des Geschäftsführers ein schnelles, effizientes und richtiges Handeln
berücksichtigt. Damit das Unternehmen und entsprechend dessen Korrespondenz maßgeblich dazu beiträgt, dass Schäden
allerdings trotz des erforderlichen Neuaufbaus ausgelesen, wodurch die Cyberkriminellen bestmöglich minimiert werden können. Und
der IT-Systeme noch weiter produzieren genaue Kenntnisse über die Geschäfts sollten im Cyberschadenfall dennoch Kosten
konnte – wenn auch natürlich mit erheblichen beziehungen der betroffenen Tochter unter beispielweise für Krisenreaktionsmanager,
Einschränkungen –, erstreckte sich dieser anderem zu einem in Süd- und einem in IT-Forensiker oder im Hinblick auf einen
Vorgang auf einige Monate. Am Ende waren Osteuropa ansässigen Unternehmen erhielten Betriebsunterbrechungsschaden anfallen,
Kosten und Betriebsunterbrechungsschäden und welche Forderungen in diesem Zusammen kann jenes Restrisiko durch den Versicherer
in Höhe von über einer Million Euro angefallen. hang bestanden. Auf Basis dieser Informationen getragen werden. n
richteten die Täter einen neuen E-Mail-
Digitale Erpressung gemeistert Account ein, der dem des Geschäftsführers Björn Fehre
Am 4. Juni 2018 wurden der Server und einige sehr ähnlich war, und versendeten von bfehre@chubb.com
Arbeitsplätze einer in Italien ansässigen Tochter- jenem Account aus Rechnungen an beide
gesellschaft einer deutschen Kundin mittels erwähnten europäischen Geschäftspartner.
Ransomware, also einer sogenannten Für die Empfänger war auf den ersten Blick Über den Autor
Erpressungssoftware, verschlüsselt. Zwei nicht zu erkennen, dass die Mails nicht von
Björn Fehre ist seit 2016 Leiter der Abteilung
Stunden nach der Attacke bemerkte die dem Account des Geschäftsführers gesendet
Financial Lines Claims bei Chubb in Düsseldorf.
lokale IT die Attacke, nahm den Server wurden. Hierbei wurden die Empfänger
Seine Laufbahn im Unternehmen startete er
vom Netz und kappte die konzerninternen auch dazu aufgefordert beziehungsweise
2009 zunächst als Specialty Claims Examiner,
Verbindungen der anderen Gesellschaften darum gebeten, den Rechnungsbetrag nicht
ab 2010 übernahm er dann als Technical
der Unternehmensgruppe. Zudem wurde auf die in den Rechnungen angegebenen
Supervisor die fachliche Führung des Specialty
die deutsche Muttergesellschaft über den Bankkonten zu überweisen, sondern hierfür
Claims für Deutschland und Österreich.
Vorfall informiert, die 22 Stunden nach der stattdessen das in der E-Mail erwähnte neue
Björn Fehre, Jahrgange 1975, studierte
Entdeckung den Schaden wiederum telefonisch Konto zu nutzen. Dieses war zwar bei der
Rechtswissenschaft an der Universität Hamburg;
über das das Cyber Incident Response Center gleichen Bank, jedoch handelte es sich dabei
sein zweites Staatsexamen absolvierte er am
meldete. 45 Minuten nach Eingang der nicht um ein Konto des Tochterunternehmens,
Oberlandesgericht Düsseldorf. Von 2002 bis
Schadenmeldung kontaktierte der globale – sondern vielmehr um das der Cyberkriminellen.
2009 war er als angestellter Rechtsanwalt mit
und in diesem Fall auch in Italien – vertretene Nachdem der Betrug und im Zuge dessen die
den Schwerpunkten Bank- und Kapitalmarkt
Incident Response-Dienstleister den IT- Phishing-Attacke bemerkt wurde, ergriffen
recht sowie Handels- und Gesellschaftsrecht tätig.
Administrator der betroffenen italienischen die vom Tochterunternehmen mit der Wartung
chubb.com/de 19Sie können auch lesen
