Face - Cyber - 2019 Ausgabe 2 - Chubb
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
2019 Ausgabe 2 Face Cyber Aktiv zu mehr IT-Sicherheit Vielfältiges „Cyber Space Germany“ Cyber InsurTechs – Konkurrenz oder Unterstützung? chubb.com/de 1
Willkommen Das Titelthema dieser Ausgabe ist Cyber und der Zeitpunkt hätte nicht besser gewählt werden können, da wir vor allem im Konzernkundengeschäft dieses Jahr einige „First-Time-Buyer“ haben und die Zahl der Unternehmen, vor allem im Mittelstand, die sich ernsthaft mit einem Abschluss einer Cyberpolice beschäftigen, stetig steigt. Wir wollen aber in dieser Ausgabe nicht nur das Produkt Cyber etwas genauer unter die Lupe nehmen, sondern auch die Schadenszenarien und die Schadenabwicklung mit ihren Assistanceleistungen vorstellen. Gleichzeitig stellen wir Ihnen im Interview unsere Cyber-Speziallösung für den deutschen Maschinenbau vor. Besonders freut es mich, dass wir Ihnen in dieser Ausgabe auch eine weitere neue Sparte für Chubb in Deutschland, Österreich und der Schweiz vorstellen zu können. Seit Juni bieten wir Kunst- und L Wertsachenversicherungslösungen für Privatkunden, iebe Leserin, lieber Leser, ich begrüße sie ganz Stiftungen und anderen Institutionen an und füllen herzlich zu unserer zweiten Ausgabe der Face in damit eine wichtige Lücke in unserem Produktangebot. 2019 – nach der Sommerpause, aber rechtzeitig In unserer News-Rubrik finden Sie die dazugehörige genug, um Ihnen für die spannende Renewal-Phase ein Personalie – weitere detailliertere Informationen hierzu paar wichtige Informationen mit auf den Weg geben zu erhalten Sie von uns in Kürze. können. In unserer ersten Ausgabe der Face hatte ich bereits Und jetzt viel Spaß beim Lesen unserer zweiten Ausgabe den sich abzeichnenden, unruhigen deutschen der Face in 2019. Versicherungsmarkt angesprochen, und die letzten Monate haben diese Entwicklung bestätigt, so dass wir Herzlichst Ihr auch für den Rest des Jahres weiter mit viel Bewegung am Markt rechnen. Speziell in der Sachsparte zeigt sich eine Marktverhärtung, mit der manche so nicht gerechnet haben. Wir fühlen uns nicht nur aufgrund der sehr guten Andreas Wania Geschäftsentwicklung im ersten Halbjahr, sondern auch Country President, Deutschland und Österreich, durch unsere neu geschaffene Geschäftsstruktur optimal Chubb für die anstehenden Renewals gewappnet. Durch unsere Segmentierung in KMU, Mittelstands- und Konzerngeschäft haben wir unsere Unternehmensstruktur an die aktuellen Marktverhältnisse angepasst und ermöglichen Ihnen, unseren Kunden und Maklern, somit einen verbesserten Zugang zu spezialisierten Teams von Underwritern, die nicht nur das spartentechnische Underwriting Know- how mitbringen, sondern auch die ganz individuellen versicherungstechnischen Bedürfnisse in den jeweiligen Kundensegmenten kennen. 2 Face 2019 Ausgabe 2
2 Editorial 4 News 8 Drei Fragen an… 10 Aktiv zu mehr IT-Sicherheit 10 14 Das erste Jahr DSGVO in der Praxis 15 Vielfältiges „Cyber Space Germany“ 18 Viele Wege führen zum Cyberschaden 20 Cyber InsurTechs – Konkurrenz oder Unterstützung? 15 22 Interview Kontaktübersicht 25 27 Impressum 18 20 chubb.com/de 3
News Neuer Line Manager Chubb etabliert Neue Leitung bei Terrorismus & neue Sparte Kautionsversicherung Politische Gewalt Kunstversicherungen Markus Keller ist neuer Line Manager für die Dr. Thomas Steinruck ist neuer Fine Art & Dirk Gmeiner übernimmt die Position des Sparte Terrorismus & Politische Gewalt in Specie Manager bei Chubb für die Länder Managers für Kautionsversicherungen (Surety) Deutschland und Österreich. In dieser neuen Deutschland, Österreich und die Schweiz. für Deutschland, Österreich und die Schweiz Position wird er für das weitere Wachstum In dieser neu geschaffenen Position wird und wird hierbei für die Weiterentwicklung sowie die Entwicklung des Segments er für die Produkteinführung der Monoline sowie das Wachstum des Bereiches der verantwortlich sein. Um der wachsenden verantwortlich sein, die unter anderem Kautionsversicherungen in drei Ländern Bedeutung des Bereichs Terrorismus & weltweite Deckungen sowie Restaurierungen verantwortlich sein. Gmeiner verfügt über Politische Gewalt gerecht zu werden, hat und den Ausgleich bei Wertverlust umfasst – zehn Jahre Erfahrung im Underwriting von Chubb diesen zudem aus der Sparte Property für Privatkunden wie auch für Stiftungen Kautions-, Kredit- und politischen Risiken. In (Sach) herausgelöst und nun als eigenständige und Unternehmenssammlungen. Dr. Steinruck seiner vorherigen Position war der Volljurist Einheit aufgestellt. Keller, bisher Senior verfügt über zehn Jahre Erfahrung im Under- als Syndikusanwalt und Senior Underwriter Underwriter Property in Frankfurt, wird writing von Kunst- und Musikinstrumenten für Risiken im Bereich Financial Lines und weiterhin von seinem aktuellen Dienstsitz in versicherungen, jeweils in der Schweiz, Cyber tätig. Von seinem Dienstsitz in Frankfurt Frankfurt aus tätig sein und an Andreas Deutschland und Liechtenstein. Von seinem aus wird Dirk Gmeiner an Andreas Faden, Faden, P&C Director bei Chubb in Frankfurt, Dienstsitz in Zürich aus wird er an Florian P&C Director bei Chubb für Deutschland und berichten. Der Versicherungsbetriebswirt ist Eisele, CEO der Chubb in der Schweiz, sowie Österreich, berichten. bereits seit 2017 im Unternehmen tätig und an Andreas Wania, Country President und verfügt über fast 30 Jahre Erfahrungen im Hauptbevollmächtigter bei Chubb für Versicherungsgeschäft, speziell im Bereich Deutschland und Österreich, berichten. der Sachversicherungen. Finanzdaten für das zweite Quartal 2019 Chubb Limited (Chubb) hat für das zweite Quartal 2019 ein Bruttoprämienvolumen von 10,4 Milliarden US-Dollar verbucht und übersteigt damit das Vorjahresergebnis, das bei 9,9 Milliarden US-Dollar lag. Der Betriebsgewinn beläuft sich für diesen Zeitraum auf 1,2 Milliarden US-Dollar, während dieser im zweiten Quartal 2018 1,3 Milliarden US-Dollar betrug. Die kombinierte Schaden-Kosten-Quote (combined ratio) liegt für 2019 bei 90,1 Prozent (88,4 Prozent in Q2/2018). Weitere Finanzdaten finden Sie in unserem Unternehmensprofil im Newsroom auf chubb.com/de 4 Face 2019 Ausgabe 2
Kurznachrichten Neue Direktorin Intensiver Austausch beim fünften Risk Meeting bei A&H Klassisch im Vorfeld des GVNW in München veranstaltete Chubb auch dieses Mal wieder das Risk Meeting für weibliche Führungskräfte der Industrieversicherung. Die Fachveranstaltung in ihrer inzwischen fünften Auflage bot am 4. September 2019 auch in diesem Jahr wieder eine große Bandbreite an aktuellen Themen, den Start hierzu gab Tina Lakickas, Head of Major Accounts Division bei Chubb in Paris, mit ihrem Vortrag zum Thema Industriekunden in Europa und auf globaler Ebene. Daraufhin zeigte Angelika Trotta, Vice President, Chief Underwriter – International Global Property Facultative bei General Reinsurance AG in Köln, in ihrem Gastbeitrag das steigende Risiko durch Naturkatastrophen aus der Sicht eines Rück versicherers auf – eine Thematik, die die Teilnehmerinnen bewegte und zu einer lebhafte Diskussion führte. Intensiv erörtert wurde das Thema dann auch im anschließenden Powertalk mit Uta Stobbe, Risikoingenieurin bei Chubb in Frankfurt, und Clarissa Hasse, Underwriter Property bei Chubb in München. Moderiert von Kerstin Hartung Alexandre, Head of Marketing & Communications D/A/CH (ebenfalls Chubb in Frankfurt), kam es hierbei zum regen Austausch, welche Auswirkungen, unter anderem, Naturkatastrophen auf die Sachversicherung haben. Komplettiert wurde das Risk Meeting Silke Rusch ist neue Direktorin für den Bereich schließlich durch die Personenversicherungen (A&H) bei Chubb Beiträge von Natalie Kress- für Deutschland und Österreich. In ihrer Happel, Line Manager neuen Position wird sie für die weitere Ent- Cyber, und Silke Rusch, wicklung sowie das Wachstum der A&H-Sparte A&H Direktorin für die in den beiden Ländern verantwortlich sein, Länder Deutschland und zusätzlich dazu unterstützt sie ebenfalls die Österreich, die zusammen Direkt Marketing-Aktivitäten in der Schweiz. mit den Risk Managerinnen Rusch, die bereits seit 2012 im Unternehmen ist und Maklerinnen auf die und dort zuletzt als Underwriting Manager A&H neuesten Trends im Germanic tätig war, verfügt über 24 Jahre Bereich Cyber beziehungs Erfahrung in der Versicherungsbranche, speziell weise das Neueste aus der im Bereich der Unfall- und Krankenversicher Personenversicherung ungen sowie im dazugehörigen Underwriting. eingingen. Brigitte Vorrath, Global Client Executive Continential Europe (alle bei Chubb in Von ihrem Dienstsitz in Frankfurt aus wird Silke Frankfurt), resümierte nach der abwechslungsreichen Veranstaltung: „Auch in diesem Jahr Rusch an Andreas Wania, Country President war es wieder eine rundum gelungene Veranstaltung, bei der wir für die aktive, rege und Hauptbevollmächtigter bei Chubb für Teilnahme, das konstruktive Feedback und den wertvollen Input unserer Kundinnen Deutschland und Österreich, berichten. dankbar sind.“ Chubb beim GVNW Symposium 2019 Mit dem alljährlichen Symposium des Gesamtverbandes der versicherungsnehmenden Wirtschaft e.V. (GVNW) fand vom 4. bis 6. September 2019 in München wieder der größte Industrieversicherungskongress in Deutschland statt. Mehr als 600 Risk Manager, Versicherer und Makler diskutierten über aktuelle Trends und Entwicklungen der Branche. Wie schon in den Vorjahren war Chubb mit eigenem Stand vor Ort, der zur Anlaufstelle für zahlreiche „Meet & Greets“ zwischen Kunden, Brokern und Chubb- Experten wurde. „Wie immer ist das GVNW eine sehr gute Plattform, um sich mit Großkunden und wichtigen Maklerpartnern auszutauschen und zu vernetzen. Gerade das Timing der Veranstaltung ist perfekt, um über anstehende Renewals und neue Geschäftsmöglichkeiten zu sprechen“, erklärt Andreas Wania, Country President und Hauptbevollmächtigter der Chubb in Deutschland. Dies bestätigt auch Christian Kruppa, Director Sales & Distribution Germany bei Chubb in Düsseldorf: „Wir hatten mehrere produktive Makler- und Kunden-Meetings und auch in den Pausen und während der Abendveranstaltungen konnten wir einige gute Gespräche mit den Risk Managern unserer großen Industriekunden sowie mit Maklern führen.“ chubb.com/de 5
News Cyberrisiken zum Frühstück 22 Teilnehmerinnen und Teilnehmer aus diversen Maklerhäusern folgten am 14. Mai 2019 der Einladung von Chubb in Österreich und kamen zum erstmals stattfindenden Cyber Business Breakfast in Wien zusammen. Natalie Kress-Happel, Cyber Line Manager für Deutschland und Österreich bei Chubb in Frankfurt, erläuterte den Maklervertreterinnen und -vertretern dabei zunächst, was unter dem Begriff Cyber überhaupt zu verstehen ist und was genau dies umfasst, bevor sie in ihrem Beitrag auf das Neueste zu der Risikoart sowie Aktuellem auf dem Cyberversicherungsmarkt einging. Dabei stellte sich auch heraus, dass in Österreich ein sehr hohes Cybergefahrenpotential besteht, die Alpenrepublik sogar quasi Weltmeister in Sachen Cyberangriffe ist. Welche Folgen solch ein Cyberangriff dann haben kann, erfuhren die Maklerinnen und Makler anhand verschiedener Schadenbeispiele. Hierdurch erhielten sie gleichzeitig einen tieferen Einblick in den Ablauf eines Cyberschadenfalls und inwiefern etwa die Schadenbegleitung durch das Incident Response System von Chubb Unternehmen im Cybernotfall unterstützen kann. Die Teilnehmerinnen und Teilnehmer zeigten sich von der großen Bandbreite an Themen begeistert und bestätigten durch ihr durchweg positives Feedback, dass das Cyber Business Breakfast ein voller Erfolg war. Der Einfluss von Eine weitere Auflage in 2020 Naturkatastrophen Am 12. Juni fand im Hilton Airport in Frankfurt die zweite deutsch- 15 Risk Managerinnen und Manager trafen sich am 27. Juni österreichische Cornerstone Broker-Veranstaltung statt. Ziel hierbei ist es, 2019 in der Villa Rothschild in Königstein zum Gedanken einen offenen Dialog zwischen den Cornerstone Maklern und dem Chubb austausch, zu Gesprächen und Diskussionen rund um das Management zu ermöglichen. In diesem Jahr waren die Schwerpunktthemen Thema Naturkatastrophen, Klimawandel und dazugehörige zukünftige Risiken und deren Auswirkungen auf die Branche, Naturkatastrophen Schadenszenarien sowie deren Auswirkungen auf die Sach und deren Einfluss auf die Sachversicherung, Non-Affirmative Cyber, Service versicherung. Nach der Einführung durch Andreas Wania, Levels, Digitalisierung von Schadensfällen sowie die neue A&H Chubb Travel Hauptbevollmächtigter der Chubb in Deutschland, referierte Smart App. Zu allen Themen diskutierten die Teilnehmerinnen und der ARD-Wetterexperte Thomas Ranft zur Thematik und Teilnehmer sowohl lebhaft als auch konstruktiv und das Feedback aller am erläuterte dabei beispielsweise die Unterschiede zwischen Ende der Veranstaltung deutet auf eine weitere Auflage in 2020 hin. Wetter, Witterung und Klima. Anschließend veranschaulichte Peter Albrecht, Segment Leader Middle Market und Claims Manager bei Chubb in Frankfurt, die Auswirkungen von Deutschsprachige Presseinformationen Naturkatastrophen anhand diverser Schadenszenarien. Angestoßen durch die Fragerunde von Kerstin Hartung ab sofort abonnieren Alexandre, Chefredakteurin der Face, mit Alf Mueller, Ab sofort können Sie die deutschsprachigen Pressemitteilungen sowie Property & Technical Lines Director Continental Europe weiterführende Informationen der Chubb über das Presseportal von bei Chubb in Paris, diskutierten die Teilnehmerinnen und „news aktuell“ abonnieren und so direkt bei Veröffentlichung die aktuellsten Teilnehmer daraufhin lebhaft die entsprechenden Aus Nachrichten erhalten. Klicken Sie dazu einfach im Presseportal auf „Newsroom wirkungen auf die Sachversicherung. Brigitte Vorrath, Global abonnieren“ und geben Sie Ihre E-Mail-Adresse ein. Alternativ können Sie Client Executive Continental Europe bei Chubb in Frankfurt, diese Einstellungen auch über die Presseportal-App, die Sie im App Store oder schloss die Fachveranstaltung mit einem Resümee und dem über Google Play finden, vornehmen. Feedback kundenseitig zu den Themen. Abgerundet wurde die Veranstaltung am Abend schließlich noch mit einer Rede Den Newsroom der Chubb von Adam Clifford, Division President Continental Europe finden Sie im Presseportal auf: bei Chubb in Paris, und einem Beitrag von Ivy Kusinga, Chief presseportal.de/nr/72419 Culture Office bei Chubb in Philadelphia, zur Thematik M&A und Unternehmenskultur. 6 Face 2019 Ausgabe 2
Kurznachrichten Warum sollte jemand Ihre Unternehmensdaten hacken? Aus demselben Grund, aus dem Sie diese schützen wollen. Cyberrisiken werden für Firmen zunehmend zum Problem. Immer mehr Unternehmen wollen sich daher vor diesem Risiko schützen. Chubb ist seit 1998 einer der weltweit führenden Anbieter im Bereich Cyberversicherungen und hat bereits Tausende von Cybervorfällen erfolgreich versichert. Ob vor, während oder nach einem Cybervorfall, Chubb bietet verschiedene Dienstleistungen an, die bei der Identifi- zierung, Bewältigung sowie möglichen Vermeidung eines Ereignisses unterstützen. Im Ernstfall können Rechtsberater und forensische Gutachter, aber auch Callcenter und PR-Experten schnell agieren – nicht zuletzt, um den Schaden zu begrenzen. Sollten Sie sich fragen, wie sich Cyberrisiken möglicherweise auf Ihr Unternehmen auswirken könnten, kontaktieren Sie uns. Informieren Sie sich auf chubb.com/de ©2019 Chubb. Versicherungsschutz gezeichnet durch eine oder mehrere Tochtergesellschaften. Nicht alle Deckungsarten sind chubb.com/de für alle Gerichtsstände verfügbar. Chubb®, sein Logo und Chubb. Insured. SM sind eingetragene Warenzeichen von Chubb. 7
Drei Fragen an… Anzor Bayramkulov Marc Heidelbach Peter Albrecht Segment Leader Major Accounts Segment Leader SME & Segment Leader Middle Market O +49 69 75613 6641 Chubb Easy Solutions O +49 69 75613 6678 M +49 172 1334754 O +49 69 75613 6727 M +49 173 6931581 anzor.bayramkulov@chubb.com M +49 173 6996300 peter.albrecht@chubb.com marc.heidelbach@chubb.com Segmentierung in Deutschland Kunden-Segmentierung nach Unternehmensgröße 10 Mio. Euro 500 Mio. Euro SME Middle Market Major m Juli hat Chubb ihre neue • Großindustrie und -kunden (Major In der neuen Face-Rubrik „Drei Fragen an“, I Unternehmensstruktur für Accounts): Kunden mit einem Umsatz von stehen die neuen Segementleader, Anzor Deutschland bekannt gegeben. mehr als 500 Millionen Euro Bayramkulov (Major Accounts), Peter Diese neue Organisations • Mittelstandsunternehmen (Middle Albrecht (Middle Market) und Marc struktur soll Kunden und Market): Kunden mit einem Umsatz von Heidelbach (SME und Chubb Easy Vertriebspartnern der jeweiligen Segmente mehr als zehn (10) Millionen Euro Solutions), Rede und Antwort zur neuen einen verbesserten Zugang zu den Under • Kleinunternehmen, inklusive Struktur. writing-Teams ermöglichen. Die Segmente Onlinelösungen Chubb Easy Solutions definieren sich dabei nach den Kundengruppen (SME): Kunden mit einem Umsatz unter beziehungsweise Unternehmensgrößen zehn (10) Millionen Euro innerhalb des Industrieversicherungs bereiches (P&C): 8 Face 2019 Ausgabe 2
Kommentar Wie sahen die ersten Tage Wie schlagkräftig sind Sie als Mit welchen Zielen planen Sie nach Inkrafttreten der neuen neue Struktur hinsichtlich der für die Zukunft? Struktur für Sie und Ihre neu Renewalzeit? zusammengesetzten Teams aus? Marc Heidelbach: Anzor Bayramkulov: Die Analyse und Entwicklung im SME-Geschäft Peter Albrecht: Wir leben uns seit Anfang Juni sozusagen in führt uns zu einer Strategie, die auf Branchen- Neues ist immer spannend. Die Mitarbeiterinnen die neue Struktur ein, und haben daher und Kundenbedürfnisse ausgerichtet ist. und Mitarbeiter im Segment Middle Market ausreichend Zeit, um uns richtig auf Renewal Unsere Branchenkonzepte beispielsweise für haben die ersten Schritte vom Spartenfokus zeit einzustellen. Außerdem setzen wir auf Life Science, Infotech and Real Estate sind weg und hin zur Segment-Sicht gemacht. den neuen Multiline-Ansatz, und haben uns dabei sehr gute Beispiele für die Entwicklung. Wir alle sind sehr gespannt auf die nächste vom Silo-Denken wegbewegt. Unsere Produkte Daher müssen wir die Produkte der Industrie Zeit, auch neugierig und wollen wirklich bieten wir nun gezielter an – davon werden versicherung entsprechend modifizieren, etwas Neues formen. unsere Kunden profitieren. die Prozesse optimieren und technische Services anbieten, die uns erlauben das Anzor Bayramkulov: Marc Heidelbach: Geschäft auch im SME-Segment effizienter In erster Linie war es uns sehr wichtig, Im SME-Geschäft, welches homogenere anzubieten. Das gilt sowohl in der Zusammen alle Kolleginnen und Kollegen in der neu Kundengruppen und Verträge aufweist, können arbeit mit unseren Vertriebspartnern wie geschaffenen Abteilung Major Accounts wir die Portfoliobetrachtung – gestützt auf auch für unsere Versicherungsnehmer. Diese zusammenzubringen und den entsprechenden unsere MI/BI Systeme - zukünftig schneller Ziele erreichen wir durch gute Marktanalysen Team-Spirit aufzubauen. Wir waren daher analysieren und gemeinsam mit den Vertriebs und Rücksprachen mit den Kundengruppen, auch im ständigen Gedankenaustausch, wie partnern umsetzen. Diese Systematik schafft optimierte, systemgestützte interne und wir die neue Struktur für unsere Kunden in Synergien und Freiräume, die wir für unsere extern Arbeitsabläufe sowie gezielte diesem Segment effektiv und effizient Partner und Kunden nutzen können. Wir setzen Kooperationen für zusätzliche Services. implementieren können. Nicht zuletzt hatten dabei auf eine Mischung aus Standardisierung, wir ein Kick-Off Meeting mit allen Stakeholdern, technische Unterstützungssysteme und den Anzor Bayramkulov: also P&C, A&H und dem Vertrieb, um alle persönlichen Kontakten unserer erfahrenen Wir wollen ein leistungsstarkes Team, das die Schnittstellen schlagkräftig abzustimmen, Sales- und Underwritingmannschaft. individuellen Bedürfnisse unserer Kunden im und zu klären, wie wir unseren Kunden den Major Accounts Segment umfänglich erfüllen bestmöglichen Service bieten können. Peter Albrecht: kann. Unser Hauptziel dabei ist es, dass Vor uns liegt die wichtigste Zeit des Jahres. unsere Kunden diesen Serviceansatz auch Marc Heidelbach: Glücklicherweise sind wir eine erfahrene wirklich spüren sollen. Bezüglich der Sparten Neben den bereits existierenden Produkten „Truppe“, die das Renewal gut meistern konzentrieren wir uns neben den klassischen auf unserer Online-Plattform Chubb Easy wird. Dabei gilt es für uns, nicht nur „business Bereichen besonders auf den Ausbau unseres Solutions (Cyber, D&O, Einzeltransport as usual“ zu betreiben, sondern neue Geschäftes in den Specialty Lines wie Cyber, versicherung), die bereits nach dieser Struktur Elemente ins Renewal einfließen zu lassen. Terrorismus, Kaution (Surety) und Umwelt konzipiert sind, haben wir jetzt auch in den Hierzu gehört beispielsweise ein struktureller (EIL). übrigen Sparten beziehungsweise Produkten Cross Sell-Ansatz. eine übergreifenden Vertriebspartner- und Peter Albrecht: Kundenverantwortung sowie -bearbeitung. Wir sind bekannt für unsere Underwriting- Im Ergebnis können wir bereits jetzt Epertise, unsere Services und unsere regelmäßig mehrere Produkte für einzelne Fähigkeiten wirklich multinationale Kunden anbieten. Versicherungslösungen zu bieten. Das ist unser Fundament. Auf dieses wollen wir weitere Bausteine setzen, nämlich: Ganzheitliche Versicherungslösungen, das Teilen unseres Know-hows und wahre Partner sein. chubb.com/de 9
Titelthema Aktiv zu mehr IT-Sicherheit as Thema IT-Sicherheit ist in kristallisieren sich aus Risikogesprächen D aller Munde und dennoch immer wieder fünf grundsätzliche Stell vergeht kaum ein Monat, schrauben hierfür heraus – einfache ohne dass Unternehmen aller Maßnahmen, jedoch mit großer Wirkung. Größen mangelndes Bewusst sein für Cyberrisiken attestiert wird. Denn Eine Chefsache trotz der hohen Bedrohungslage besteht Auch wenn die Sicherheit der Unternehmens gleichzeitig noch immer Nachholbedarf bei netzwerke vermeintlich in der Verantwortlich der gelebten IT-Sicherheit. Doch wie kann keit der IT-Abteilung liegt, sind es letztlich das sein, woher rührt jene Diskrepanz? die Unternehmenslenker, die für die Man könnte hier die Komplexität der Risikoart Konsequenzen von IT-Sicherheitsvorfällen nennen, dass sie äußerst dynamisch ist und persönlich haftbar gemacht werden können. sich dadurch ständig weiterentwickelt und Unverzichtbar ist daher, Cybersicherheit zur daher nur schwer zu handhaben ist. Was Chefsache zu erklären und nicht auf Geschäfts aber tun, um der Bedrohung Cyber gerecht leitungsebene nur halbherzig zu behandeln werden zu können? Die gute Nachricht: Es oder vollständig an die IT-Abteilung bedarf keines Hexenwerks zur Erhöhung der weiterzureichen – nicht zuletzt, da Reputations IT-Sicherheit im Unternehmen, vielmehr schäden aufgrund von Cyberangriffen und chubb.com/de 11
Wissen Sie eigentlich, Datenschutzpannen schließlich im schlimmsten Fall zur Existenzbedrohung des Unternehmens Über jene Zertifikate lässt sich das aktuelle Schutzniveau gleichzeitig auch gegenüber was in diesem Moment führen. Es liegt also im Sinne und zugleich Kunden und Geschäftspartnern unkompliziert auch in den Händen der Unternehmensleitung, bestätigen – und bietet damit gleich doppelten in Ihrem frühzeitig eine entsprechende Sicherheitskultur Mehrwert. Der wohl bekannteste Standard Unternehmensnetzwerk und Organisation im Unternehmen zu etablieren. Das Bundesamt für Sicherheit in in Sachen IT-Sicherheit in Deutschland ist der IT-Grundschutz des BSI. Dieser hilft bei der passiert? der Informationstechnik (BSI) empfiehlt Identifizierung und Umsetzung notwendiger hierfür die Einführung verschiedener Sicher Sicherheitsmaßnahmen und liefert bereits heitsrichtlinien. Da IT-Sicherheit natürlich bewährte Vorgehensweisen. Außerdem gibt es auch immer mit entsprechenden Kosten internationale sowie unternehmens- oder einhergeht, müssen Unternehmen genau brachenspezifische Standards. Kleine und evaluieren, welches Budget jährlich für den mittelständische Unternehmen können sich weiteren Ausbau der IT-Sicherheit zur hierbei beispielsweise am VdS 3473 orientieren. Verfügung gestellt werden kann. Wichtig Ein angemessenes Schutzniveau wird über ist dabei, dass das Budget der aktuellen diese Norm gewährleistet, ohne dass Unter- Bedrohungslage angepasst ist, denn ein vor nehmen dabei organisatorisch oder finanziell 15 Jahren festgelegter Kostenrahmen kann überfordert werden. Als internationaler heute kaum mehr zeitgemäß und adäquat Standard ist hingegen die ISO27001-Norm sein. IT-Sicherheitsverantwortlichkeiten auf zu nennen, die die Anforderungen an ein verschiedenen Unternehmensebenen sowie dokumentiertes Informationssicherheits- ein definierter Reportingprozess runden die Managementsystem beschreibt. Dieses dient organisatorischen Sicherheitsmaßnahmen ab. der kontinuierlichen Betriebsbereitschaft und fördert eine jederzeit funktionierende An Standards orientieren Ablauforganisation. Das Rad für eine vernünftige Cybersicherheit muss nicht neu erfunden werden, denn Agieren statt reagieren Unternehmen können sich bereits an seit In Sachen IT-Sicherheit gilt: Wissen ist Macht. vielen Jahren gereiften Standards orientieren Wissen Sie eigentlich, was in diesem Moment und sich darüber hinaus zertifizieren lassen. in Ihrem Unternehmensnetzwerk passiert? 12 Face 2019 Ausgabe 2
Titelthema Befindet sich Ihre IT im „Normalzustand“ Mitarbeiter auf psychischer und emotionaler kann. Gleichzeitig bieten einige Versicherer oder gibt es just in diesem Moment Ebene zu erreichen, um so ins Unternehmens als Mehrwert zum Produkt Incident Response „Anomalien“, denen Aufmerksamkeit netzwerk zu gelangen. Essenziell ist daher, Teams, die alle Teile der notwendigen Schritte geschenkt werden sollte? Die Antwort darauf die Belegschaft für jenes Risiko zu schulen, im Schadenfall abdecken können, sowie sollten Unternehmen kennen, denn in Sachen und ein Bewusstsein generell für Cyber spezielle Risikoingenieure, die sogar noch IT-Sicherheit gilt: vorbereitet sein, Eigen risiken zu schaffen. Dies kann bereits durch vor einem Schadenfall Unterstützung leisten. initiative zeigen und sich nicht in die reine relativ einfache und verhältnismäßig kosten Letztere stehen Unternehmen bei der „Reaktionsrolle“ begeben. Denn auch wenn günstige Maßnahmen erreicht werden, etwa Erfassung ihrer individuellen Risikosituation sich Cybervorfälle beziehungsweise Schäden mittels interaktiver Schulungen und Trainings. beratend zur Seite, erarbeiten gemeinsam durch Cyberkriminalität natürlich nie Möglich sind hier beispielweise auch realitäts mitunter Schadenverhütungsmaßnahmen gänzlich vermeiden lassen, können sie durch nahe Szenarientrainings und Simulationen, oder sprechen Empfehlungen anhand von adäquates Reagieren bestmöglich minimiert etwa zum Thema Phishing. Hierbei werden „best practices“ aus. werden. Dies setzt jedoch einen genauen von der IT-Abteilung E-Mails verschickt, die Überblick über die Netzwerkvorgänge voraus den User angeblich aus Sicherheitsgründen Im letzten Schritt – und hier müssen Unternehmen oftmals zum Beispiel zu einem Passwortwechsel Dass die Umsetzung von IT-Sicherheitsmaß noch nachjustieren. Zwar setzen viele auffordern – ähnlich wie dies bei richtigen nahmen wie diesen maßgeblich dazu beiträgt, Firewalls, Software-Monitoring, Endpoint Phishing-Attacken oftmals der Fall ist. Wer die Wahrscheinlichkeit eines Cybervorfalles Protection sowie Systeme zur Erkennung auf den hierfür vorgedachten Link klickt, im eigenen Unternehmen zu reduzieren von vermeintlichen Angriffen ein, doch sie wird über die potenziellen Risiken informiert beziehungsweise den eingetretenen Schaden werten die hierbei gewonnen Informationen und zukünftig um Vorsicht gebeten. In der einzudämmen, ist wohl unbestritten. Zugleich nicht systematisch aus und können als Folge Realität hat man nicht immer das Glück, muss aber nochmals festgehalten werden, dessen Angriffe somit kaum erkennen – und dass es sich um eine reine Simulation dass erfolgreiche Cyberangriffe nie vollständig damit auch nicht verhindern. Wichtig ist handelt – umso größeren Mehrwert können ausgeschlossen werden können und es einen daher, alle zur Verfügung stehenden jene Trainings haben, schulen sie die Beleg- hundertprozentigen Schutz in der Realität Informationen zu verknüpfen, und zwar schaft schließlich darin, im Fall der Fälle schlichtweg nicht gibt. So haben Versicherer mittels spezieller Sicherheitssysteme, die tatsächlich korrekt zu agieren. beispielweise bereits mehrere Schäden Hinweise auf Abweichungen von vordefinierten bearbeitet, bei denen das betroffene Unter- „Normalzuständen“ geben können. Fest Expertise ist gefragt nehmen zwar ein sehr hohes, durchaus steht: Ohne aktives Monitoring können Für die Bewältigung von Notfällen und überdurchschnittliches IT-Sicherheitslevel Angriffe heute kaum noch frühzeitig detektiert Krisen ist Expertise erforderlich – ob nun vorzuweisen hatte, es aber dennoch zum werden. intern bereitgestellt oder aber über externe Schaden kam, etwa zu längeren Betriebsunter Dienstleister abgedeckt. Gerade für mittel brechungen in Folge unentdeckter krimineller Belegschaft „an Bord“ holen ständische Unternehmen kann die Aktivitäten. Das Risiko solcher finanziellen Eine der größten Schwachstellen in Bezug Unterstützung durch externe Spezialisten Schäden, zum Beispiel in Form von Forensik- auf die IT-Sicherheit ist nach wie vor der enorm wichtig sein, da sie oftmals nicht und Wiederherstellungskosten, Gewinn Mensch. Jene Erkenntnis ist nicht neu, heute über die entsprechenden Fachkenntnisse ausfällen oder fortlaufenden Kosten, wie der jedoch gefährlicher denn je für Unternehmen. verfügen. Mehrwert können hier besonders Zahlung von Mitarbeitergehältern, kann Auch Cyberkriminelle sind sich dieser Tatsache Computer Incident Response Teams, IT- aber transferiert und von Versichererseite bewusst, haben sich dem angepasst und Forensik-Unternehmen, und Krisen her übernommen werden – ein weiterer agieren nun immer raffinierter und kreativer, kommunikationsberater bieten, aber auch Schritt, der die Cyberdeckung quasi zum um die Sicherheitslücke Mensch „zu knacken“. geeignete Rechtsanwälte im Hinblick auf abschließendes Glied in einer umfangreichen Ihre bevorzugte Vorgehensweise ist derzeit Datenschutzverletzungen. Zusätzlich kann IT-Sicherheitskette macht. n das sogenannte Social Engineering, mittels eine Versicherungslösung das Restrisiko dessen sie versuchen, Mitarbeiterinnen und decken, das durchaus monetäre Folgen haben Maximilian Ernst maximilian.ernst@chubb.com Über den Autor Maximilian Ernst ist Cyber Underwriter bei Chubb in München und für das Major Account Segment, also für Groß- und Industriekunden, verantwortlich. Seine Kernaufgaben sind die Risikoprüfung für den Abschluss einer Cyberversicherung sowie die anschließende Angebotsabgabe und Vertragsverhandlung. chubb.com/de 13
Das erste Jahr DSGVO in der Praxis war zu erwarten – zumindest aus der Sicht des Juristen –, denn nach dem Strafgesetz buch kann auch ein Eierdieb theoretisch zu fünf Jahren Haft verurteilt werden; tatsächlich erhält ein solcher aber in aller Regel eine Geldstrafe von maximal einem halben Monats- gehalt, wenn nicht das Verfahren sogar eingestellt wird. Selbst im Falle des bisherigen s war die Zeit um Weihnachten Weniger schlimm als gedacht „Rekordhalters“, eines US-amerikanischen E 2017, als der Hype um die In Sachen Datenschutz ist glücklicherweise Tech-Giganten, ist das von der französischen Datenschutz-Grundverordnung inzwischen mehr Klarheit eingekehrt. Zu den Aufsichtsbehörde verhängte Bußgeld von (DSGVO) und deren Inkraft befürchteten vielfältigen Abmahnungen ist es 50 Millionen Euro bei einem jährlichen treten immer virulenter beispielweise nicht gekommen; sie traten Umsatz im mittleren zweistelligen Milliarden wurde. Gerade kleinere Unternehmen vielmehr nur vereinzelt und dann auch nur bereich nicht mehr als die sprichwörtlichen sorgten sich sehr, was da wohl auf sie zukäme. bei gravierenden Datenschutzverstößen auf. „peanuts“. Ängste entstanden vor allem durch die Darüber hinaus verstanden sich die Aufsichts exorbitant hohen möglichen Bußgelder – bis behörden vielfach nicht als Sanktionsinstanz, Was die Zukunft bringt zu 20 Millionen Euro oder vier Prozent des sondern eher als eine Art Unternehmens Für den Verbraucher ist das Resümee weltweiten Jahresumsatzes. Auch wurden berater, die zumindest die Basics der hingegen überwiegend positiv: Der vorher geradezu tsunamiartige Abmahnwellen im Anforderungen an Nachfragende vermittelten. oft zu laxe Umgang mit deren teils recht Zuge der DSGVO erwartet. Es gab also Natürlich wurden auch bereits Bußgelder sensiblen Daten ist nun einigermaßen gut zahlreiche offene Fragen und Unklarheiten, verhängt, aber die bewegten sich gerade bei geregelt und überwacht. Abzuwarten bleibt und so rückte der 28. Mai 2018 schließlich weniger großen Firmen in einem eher allerdings, was zukünftig bei gravierenden unaufhaltsam näher, ohne dass sich an angemessenen Rahmen. Ihre Gesamtzahl Verstößen der großen internationalen Unter- diesem Zustand wirklich etwas änderte. blieb im Übrigen recht gering. Nichts anderes nehmen jenseits des Atlantiks passiert. Sollten die Bußgelder dann nämlich eine Schmerzgrenze überschreiten, werden sicherlich langjährige Gerichtsverfahren die Folge sein – und es bleibt spannend abzuwarten, welchen Verlauf diese dann nehmen werden. n Jürgen Schmitz juergen.schmitz@chubb.com Über den Autor Jürgen Schmitz ist Senior Cyber Underwriter bei Chubb in Frankfurt im neuen Segment Middle Market und zuständig für die Regionen Mitte und Süd. Der Volljurist und zugelassene Rechtsanwalt war zuvor 17 Jahre als Senior Underwriter Financial Lines, Commercial D&O, im Unternehmen tätig und hatte zusätzlich dazu noch die Position des Datenschutzbeauftragten inne. 14 Face 2019 Ausgabe 2
Titelthema Vielfältiges Unterschiedliche Voraussetzungen Geht es um die Absicherung eines Unter nehmens, ist vor allem dessen individuelle Risikosituation von Bedeutung – und diese kann nicht nur von Firma zu Firma, sondern „Cyber Space vor allem von Branche zu Branche deutlich variieren. Wichtig für die Underwriting- Bewertung ist daher eine Unterscheidung der branchenspezifischen Risiken. Beispielsweise speichern produzierende Unternehmen zwar deutlich weniger Germany“ personenbezogene Daten als andere Industrien und sind demnach einem grundsätzlich geringeren Haftpflichtrisiko im Falle eines Datenverlusts ausgesetzt, aber sie haben stattdessen zumeist ein deutlich erhöhtes Risiko im Bereich der Betriebsunterbrechung. Denn wenn etwa industrielle Steuerungssysteme in der Produktion verwendet werden, die im schlimmsten Fall netzwerktechnisch über die herkömmliche Büro-IT zu erreichen sind oder eine direkte Anbindung an das Internet haben, können auch externe Angreifer sich relativ leicht Zugang verschaffen und die ie Digitalisierung ist seit einigen zur Diversifizierung eines vorhandenen Rest- Produktion beeinträchtigen oder unterbrechen. D Jahren eines der Top-Themen, risikos. Wenn also nicht eindeutig ersichtlich ist, Anders sieht es wiederum zum Beispiel im das die Wirtschaft bewegt, dass ausreichend professionelle präventive Gesundheitswesen aus; hier ist zusätzlich denn schließlich bietet der Maßnahmen bereits intern getroffen wurden, eine deutlich erhöhte Exponierung im Bereich Megatrend immense Chancen ist es sehr unwahrscheinlich, dass ein der Haftpflicht gegeben, denn Krankenakten und Vorteile. So ermöglichen digitalisierte Versicherer dieses Restrisiko übernimmt. werden zunehmend digitalisiert und enthalten Geschäftsprozesse Unternehmen ein Dies würde quasi einer Feuerversicherung hochsensible personenbezogene Gesundheits schnelleres, vereinfachtes und vor allem gleichkommen, die für ein bereits brennendes daten. Bei einem Ausfall des Patienten effizienteres Agieren, wodurch sich eine Haus abgeschlossen wird und jenes versichern verwaltungssystems beziehungsweise einer verbesserte Wettbewerbsfähigkeit ergibt. soll. Es leuchtet ein, dass dies wirtschaftlich Verschlüsselung der Daten durch Ransomware Gleichzeitig entsteht durch die immer weiter wenig sinnvoll wäre. kommt hierbei außerdem hinzu, dass ohne fortschreitende Digitalisierung und Vernetzung eine professionelle Notfallplanung in Form zwangsläufig allerdings auch eine enorm hohe Abgesichert oder doch nicht? fest definierter Verantwortlichkeiten und Abhängigkeit von der IT, was Unternehmen Kommt es zum Cybervorfall, ist eine spezifische Kommunikationsabläufe nur allzu leicht entsprechend verwundbar macht. Ob System Absicherung für Unternehmen allerdings Chaos entstehen kann. ausfälle, Fehler oder Angriffe, im schlimmsten unverzichtbar, da der Deckungsschutz Fall können solche Vorfälle den Fortbestand klassischer Versicherungen (etwa Haftpflicht, Hochgradig exponiert eines Unternehmens gefährden. Dabei stellt Sach- oder Vertrauensschaden) für die Angreifern wird der vollumfängliche Zugang sich für Firmen aber nicht die Frage, ob Deckung der Cyberrisiken nicht ausreicht. zum Unternehmensnetzwerk vor allem derartige Schäden eintreten, sondern lediglich So bieten Haftpflichtdeckungen beispielweise erleichtert, wenn Bereiche, wie Patienten wann und welche Implikationen diese dann keine Absicherung für die Kosten im Eigen- verwaltungssysteme, Medizintechnik, OP konkret haben werden. schadenbereich und zielen in der Regel auf und die gewöhnliche Büro-IT, nicht ausreichend Personen- oder Sachschäden ab, die bei Cyber- segmentiert sind und veraltete Systeme Kein Ersatz, sondern Zusatz angriffen aber zumeist nicht vorhanden sind. verwendet werden, die nicht regelmäßig Eine spezielle Deckung kann Unternehmen Aufgrund dieses fehlenden physisch bedingten gepatcht und upgedatet werden. Aus diesem zwar gegen die wirtschaftlichen Auswirkungen Triggers bieten auch Sachversicherungen Grund macht es auch Sinn, dass Krankenakten von Cyberangriffen schützen, aber entbindet keine Deckung, obwohl sie die Kosten einer nochmals schriftlich vorliegen, sollte es sie nicht von der grundsätzlichen Verpflichtung, Betriebsunterbrechung und entstehende tatsächlich zum Cybervorfall kommen. Denn Cyberrisiken durch ein professionelles Risiko- Mehrkosten grundsätzlich absichern können. man stelle sich nur vor, dass ein Klinikarzt management und entsprechende Sicherheits Vertrauensschadenversicherungen, die in im Notfall nicht in der Lage ist, Patienten maßnahmen zunächst selbst aktiv zu steuern ihrem Deckungsumfang im Hinblick auf aufgrund fehlender elektronischer Gesundheits und zu minimieren. Im klassischen Risiko Computerstraftaten zwar ggf. erweitert informationen fachgerecht zu behandeln. managementprozess ist der Risikotransfer werden, umfassen jedoch prinzipiell keine Auch wenn Cyberversicherungen grundsätzlich über die Versicherung lediglich die letzte Stufe Schadensersatzansprüche Dritter. keinen Personenschaden decken, zeigt dieses chubb.com/de 15
Beispiel, welche dramatischen Auswirkungen ein Vorfall auf die Betroffenen haben kann. Diese spezifische Betrachtung lässt sich nun auch auf andere Geschäftsmodelle, wie beispielsweise den Einzelhandel, die Finanz branche oder die Technologiebranche, übertragen. Je nach Geschäftsmodell ergeben sich unterschiedliche Exponierungen, die im Rahmen der Cyberrisikobewertung entsprechend berücksichtigt werden müssen. Externe Unterstützung Dienstleister passieren, die etwa mittels Auch wenn sich Cyberrisiken im Hinblick auf Passwortverwaltungslösungen oder auch die Geschäftsmodelle von Unternehmen Phishing-Simulationen dazu beitragen sollen, sowie auch in Bezug auf deren Größe durchaus Mitarbeiterinnen und Mitarbeiter des unterscheiden können, eines haben Groß- Unternehmens zu aktuellen Themen der konzerne, Klein- und Mittelstandsbetriebe Informationssicherheit und Cyber Security hierbei gemein: Sie alle können Opfer von aufzuklären. Außerdem können für den Cyberkriminellen werden. Das Risiko besteht Schadenfall die Dienste eines globalen Incident heute für jedes Unternehmen – eine Tatsache, Response Managers zur Verfügung gestellt der sich insbesondere kleinere Firmen noch werden, was insbesondere für kleinere Firmen stärker bewusst werden müssen, da sie sich von großem Mehrwert sein kann, da diese Solutions ermöglichen über eine innovative aufgrund ihrer Größe zumeist nicht gefährdet intern oftmals nicht über die notwendigen Plattformtechnologie einen hocheffizienten sehen. Dies ist allerdings ein Trugschluss, Ressourcen hierfür verfügen. Da die Aus- und gleichzeitig deutlich vereinfachten denn Schutzmaßnahmen können bei kleinen wirkungen eines Angriffs durch eine Angebots- und Policierungsprozess mit Betrieben oftmals nicht in gleichem Umfang professionelle Handhabung deutlich limitiert zusätzlichen Services und Schnittstellen. und in gleicher Güte umgesetzt werden wie und das Schadenpotential dadurch Makler können so die eigenen Arbeits bei größeren Unternehmen. Häufig sind bei entsprechend minimiert werden kann, ist prozesse weiter reduzieren, da sich etwa diesen zudem hohe Abhängigkeiten von dies sogar gleich zweifach von Vorteil – durch eine technische Risikoanalyse der Cloud-Dienstleistern oder anderen IT- einerseits natürlich für das Unternehmen Quotierungsprozess auf wenige Standard Dienstleistern gegeben – ein wichtiger Aspekt, selbst, andererseits zwangsläufig auch für fragen optimiert, die mit ‚Ja‘ oder ‚Nein‘ denn ein Cybervorfall muss nicht zwangsläufig den Versicherer. beantwortet werden. Die Folge: Sie haben aus einem Angriff auf das eigene Unternehmen einerseits die Möglichkeit, effizienter zu resultieren, sondern kann auch indirekt Moderne Lösungen benötigt agieren und können dadurch andererseits über Dritte, wie zum Beispiel einen Dienst In diesem Segment sind des Weiteren vor ihre Unternehmenskunden im kleineren und leister, verursacht werden. Um allerdings allem einfache und schnelle Versicherungs mittleren Segment (KMU) mit modernen insbesondere mitarbeiterbedingte Cyber lösungen gefragt, weshalb die Branche Lösungen bei der Absicherung von Cyber vorfälle in Zukunft (noch) besser kontrollieren inzwischen mit speziellen Online-Produkten risiken unterstützen. zu können, bieten einige Versicherer, wie für Cyberrisiken reagiert hat, um den auch Chubb, Unternehmen inzwischen Bedürfnissen von Kleinunternehmen besser Große Unternehmen, große Risiken Unterstützung bei dieser Herausforderung. nachkommen zu können. Solche neuen Während Online-Quotierungsoptionen für Dies kann zum Beispiel in Form kooperierender Weblösungen wie beispielweise Chubb Easy den KMU-Bereich eine moderne Lösung 16 Face 2019 Ausgabe 2
Titelthema darstellen, bedarf es bei größeren Unter häufiger im Fokus der Öffentlichkeit stehen Am Puls der Zeit nehmen aufgrund ihrer Komplexität hingegen und dadurch für komplexe, zielgerichtete Da wohl keine Risikoart so dynamisch ist wie einer anderen Handhabung. Denn die häufig und effektive Angriffe, sogenannte Advanced die der Cyberrisiken, hat sich infolgedessen global tätigen Konzerne verfügen netzwerk Persistent Threats (APTs), besonders exponiert auch der Markt hinsichtlich entsprechender technisch über vielfältige Verbindungen sind. Hierfür gab es in der Vergangenheit Versicherungslösungen in nur wenigen Jahren zwischen einzelnen Standorten und werden bereits zahlreiche Beispiele, bei denen extrem verändert und ist noch immer in Bezug auf ihre IT entweder zentral oder vertrauliche Daten, wie persönliche permanent in Bewegung – genau wie die dezentral gesteuert. Aus diesem Grund sind Informationen über die Mitarbeiterinnen Gefahren selbst, die die neuen digitalen hier gesonderte Risikodialoge – in enger und Mitarbeiter der Firma und deren Familien, Anwendungen mit sich bringen. Aus diesem Abstimmung mit dem Bereich Risk Engineering E-Mails, Informationen über Gehälter der Grund besteht auch die Notwendigkeit, – vonnöten, um das spezifische Cyberrisiko Führungskräfte und weitere hochsensible Lösungen und Produkte fortlaufend an den des Unternehmens zu identifizieren und Daten, entwendet wurden. Einige betroffene Cybermarkt und damit an die Bedürfnisse entsprechend zu bewerten. Zu beachten ist Unternehmen sahen sich in Folge dessen von Unternehmen anzupassen. Seien es nun auch, dass insbesondere große Unternehmen sogar noch mit Erpressungsversuchen durch potentielle neue Deckungen in Bereichen wie Cyberkriminelle konfrontiert. Großkonzerne Reputationsschäden oder im Hinblick auf sind in Sachen Cyberversicherung nach Social Engineering beziehungsweise Fake aktuellem Stand am besten aufgestellt, President Fraud – die Möglichkeiten, die der dennoch besteht sowohl hier als auch bei Markt bietet oder künftig bieten könnte, sind kleinen und mittelständischen Firmen häufig vielfältig. Nicht zuletzt mag dies aber auch noch Nachholbedarf. Eine wichtige Voraus auf die Herausforderungen zutreffen, die das setzung ist oftmals jedoch, dass Unternehmen „Cyber Space Germany“ birgt… n – unterstützt auch durch Versicherer und Makler – ein (noch) besseres Verständnis für Benedikt Klingenheben die Einschätzung der eigenen Cyberrisiken benedikt.klingenheben@chubb.com und die Abstimmung der darauf folgenden Schutzmaßnahmen erhalten. Jürgen Schmitz juergen.schmitz@chubb.com Über die Autoren Über Benedikt Klingenheben Benedikt Klingenheben ist seit September 2018 Cyber Underwriter bei Chubb in Düsseldorf und im neuen Segment Middle Market zuständig für die Region West. Der Kaufmann für Versicherungen und Finanzen sowie Master-Absolvent in Versicherungswesen von der Technischen Hochschule Köln ist zusätzlich „Associate of (ISC)2“ mit einer Spezialisierung im Bereich „Information Security Leadership & Operations“. Über Jürgen Schmitz Jürgen Schmitz ist Senior Cyber Underwriter bei Chubb in Frankfurt im neuen Segment Middle Market und zuständig für die Regionen Mitte und Süd. Der Volljurist und zugelassene Rechtsanwalt war zuvor 17 Jahre als Senior Underwriter Financial Lines, Commercial D&O, im Unternehmen tätig und hatte zusätzlich dazu noch die Position des Datenschutzbeauftragten inne. chubb.com/de 17
Viele Wege führen zum Cyberschaden I nfolge der zunehmenden Einwirkungen, Zugriffe und Nutzung von Digitalisierung steigt für IT-Systemen des Versicherten sowie für etwaig Unternehmen die Gefahr, anfallende Kosten im Zuge des Cyberschadens. Opfer von Cyberkriminalität Um die komplexe Risikoart besser zu verstehen, zu werden. Die Bandbreite werden im Folgenden einige beispielhafte möglicher Schäden ist hierbei groß und reicht Cyberschäden aus der Praxis erläutert. von einem Ausfall der IT-Systeme mit einer daraus folgenden Unterbrechung der Geschäfts Trojaner lähmt die Produktion tätigkeit über den Diebstahl wichtiger In einem mittelständischen deutschen beziehungsweise sensibler Daten bis hin zu Produktionsunternehmen traten Anfang Juli einem Reputationsverlust. In der Praxis sind 2018 vermehrt Auffälligkeiten in den IT- Cyberschadenfälle aufgrund der umfassenden Systemen auf. Einige Tage später war das Deckung komplex und vielschichtig. gesamte IT-System nicht mehr funktionsfähig, Vereinfacht dargestellt besteht Deckung für so dass der Cybervorfall daraufhin über das Schäden des Versicherten (Eigenschaden) Cyber Incident Center gemeldet wurde. und Schäden Dritter infolge unbefugter Über das Wochenende wurden bereits erste 18 Face 2019 Ausgabe 2
Titelthema Maßnahmen organisiert und zwei IT-Forensiker Gesellschaft und koordinierte als Krisen der Computersysteme beauftragten Spezialisten zusätzlich zu dem vom Unternehmen bereits reaktionsmanager die Einschaltung eines entsprechende Sofortmaßnahmen und vorher beschäftigten IT-Dienstleister beauftragt. IT-Forensikers, der gemeinsam mit der entfernten die Malware von dem Rechner Zum Wochenstart konnten schließlich einige lokalen IT die Arbeitsfähigkeit wiederherstellte. des Geschäftsführers. Parallel dazu übernahm Teile der Belegschaft wieder ihrer Arbeit Nachdem zudem sichergestellt wurde, dass ein vor Ort eingeschalteter Incident Response nachgehen, zusätzlich wurden verschiedene alle Systeme wieder komplett fehlerfrei Manager die Koordination dafür, dass ein Behelfslösungen implementiert. Die forensische funktionieren, konnte die Tochtergesellschaft weiterer IT-Forensiker hinzugezogen wurde Analyse ergab, dass das IT-System des Unter- bereits acht Tage nach der Ransomware- und dieser wiederum den bereits einge nehmens umfassend mit der Schadsoftware Attacke ihren regulären Betrieb wieder schalteten Spezialisten bei der Reinigung des „Emotet“ beziehungsweise „Trickbot“ infiziert aufnehmen und wurde erneut an das gesamten infizierten Systems unterstützte. war. Hierbei handelt es sich um zwei sehr konzerninterne Netzwerk angeschlossen. Nachdem die Täuschung durch das betroffene fortgeschrittene beziehungsweise komplexe Dass ein weitergehender Schaden vermieden Tochterunternehmen entdeckt wurde, ist es Trojaner, die dazu in der Lage sind, sowohl wurde, lag insbesondere an dem guten diesem lediglich gelungen, die Zahlung, die verschiedene weitere Schadsoftwaremodule Krisenmanagement auf Seiten der Kundin. von dem in Osteuropa ansässigen Unternehmen nachzuladen als auch die eigenen Spuren Die schnelle Entdeckung und die unmittelbar geleistete wurde, rückabzuwickeln. zu verschleiern, um so immensen Schaden erfolgte Abschaltung des Servers sowie das anrichten zu können. Glücklicherweise Vorhandensein von nicht infizierten Backups Zeit ist Geld konnten die IT-Forensiker im Falle des verhinderten einen größeren Schaden. Cybervorfälle beziehungsweise -schäden wie betroffenen Unternehmens jedoch keinen diese können Unternehmen teuer zu stehen Datenabfluss feststellen. Parallel hierzu Einfallstor E-Mail kommen – dieser Tatsache sind sich inzwischen wurden mit Hilfe einer hinzugezogenen Der Geschäftsführer eines in Nordeuropa die meisten Firmen bewusst. Geht es um Rechtsanwaltskanzlei etwaige Informations ansässigen Tochterunternehmens einer den finanziellen Schaden, der ihnen dabei pflichten geprüft und entsprechend erfüllt. deutschen Versicherungsnehmerin wurde entstehen kann, erweist sich insbesondere Da das Bundesamt für Sicherheit in der Opfer einer Phishing-Attacke, durch die sich die Reaktionszeit als entscheidend. Denn Informationstechnik (BSI) während des Cyberkriminelle Zugriff auf sein E-Mail-Konto je länger ein Vorfall nicht entdeckt wird laufenden Cybervorfalls eine Warnung zu verschafften. Über einen längeren Zeitraum beziehungsweise werden kann, desto höhere „Emotet“ herausgab und nach einem Befall hinweg wurden so die E-Mails des Geschäfts Kosten entstehen dem betroffenen Unter mit dem Trojaner einen völligen Neuaufbau führers unbemerkt an diverse E-Mail-Accounts nehmen. Ähnliches gilt entsprechend auch der IT-Systeme empfahl, wurde dies auch im der Täter weitergeleitet. Auf diese Weise für die Bearbeitung eines Cyberschadens, da Hinblick auf das Produktionsunternehmen wurde das E-Mail-Konto des Geschäftsführers ein schnelles, effizientes und richtiges Handeln berücksichtigt. Damit das Unternehmen und entsprechend dessen Korrespondenz maßgeblich dazu beiträgt, dass Schäden allerdings trotz des erforderlichen Neuaufbaus ausgelesen, wodurch die Cyberkriminellen bestmöglich minimiert werden können. Und der IT-Systeme noch weiter produzieren genaue Kenntnisse über die Geschäfts sollten im Cyberschadenfall dennoch Kosten konnte – wenn auch natürlich mit erheblichen beziehungen der betroffenen Tochter unter beispielweise für Krisenreaktionsmanager, Einschränkungen –, erstreckte sich dieser anderem zu einem in Süd- und einem in IT-Forensiker oder im Hinblick auf einen Vorgang auf einige Monate. Am Ende waren Osteuropa ansässigen Unternehmen erhielten Betriebsunterbrechungsschaden anfallen, Kosten und Betriebsunterbrechungsschäden und welche Forderungen in diesem Zusammen kann jenes Restrisiko durch den Versicherer in Höhe von über einer Million Euro angefallen. hang bestanden. Auf Basis dieser Informationen getragen werden. n richteten die Täter einen neuen E-Mail- Digitale Erpressung gemeistert Account ein, der dem des Geschäftsführers Björn Fehre Am 4. Juni 2018 wurden der Server und einige sehr ähnlich war, und versendeten von bfehre@chubb.com Arbeitsplätze einer in Italien ansässigen Tochter- jenem Account aus Rechnungen an beide gesellschaft einer deutschen Kundin mittels erwähnten europäischen Geschäftspartner. Ransomware, also einer sogenannten Für die Empfänger war auf den ersten Blick Über den Autor Erpressungssoftware, verschlüsselt. Zwei nicht zu erkennen, dass die Mails nicht von Björn Fehre ist seit 2016 Leiter der Abteilung Stunden nach der Attacke bemerkte die dem Account des Geschäftsführers gesendet Financial Lines Claims bei Chubb in Düsseldorf. lokale IT die Attacke, nahm den Server wurden. Hierbei wurden die Empfänger Seine Laufbahn im Unternehmen startete er vom Netz und kappte die konzerninternen auch dazu aufgefordert beziehungsweise 2009 zunächst als Specialty Claims Examiner, Verbindungen der anderen Gesellschaften darum gebeten, den Rechnungsbetrag nicht ab 2010 übernahm er dann als Technical der Unternehmensgruppe. Zudem wurde auf die in den Rechnungen angegebenen Supervisor die fachliche Führung des Specialty die deutsche Muttergesellschaft über den Bankkonten zu überweisen, sondern hierfür Claims für Deutschland und Österreich. Vorfall informiert, die 22 Stunden nach der stattdessen das in der E-Mail erwähnte neue Björn Fehre, Jahrgange 1975, studierte Entdeckung den Schaden wiederum telefonisch Konto zu nutzen. Dieses war zwar bei der Rechtswissenschaft an der Universität Hamburg; über das das Cyber Incident Response Center gleichen Bank, jedoch handelte es sich dabei sein zweites Staatsexamen absolvierte er am meldete. 45 Minuten nach Eingang der nicht um ein Konto des Tochterunternehmens, Oberlandesgericht Düsseldorf. Von 2002 bis Schadenmeldung kontaktierte der globale – sondern vielmehr um das der Cyberkriminellen. 2009 war er als angestellter Rechtsanwalt mit und in diesem Fall auch in Italien – vertretene Nachdem der Betrug und im Zuge dessen die den Schwerpunkten Bank- und Kapitalmarkt Incident Response-Dienstleister den IT- Phishing-Attacke bemerkt wurde, ergriffen recht sowie Handels- und Gesellschaftsrecht tätig. Administrator der betroffenen italienischen die vom Tochterunternehmen mit der Wartung chubb.com/de 19
Sie können auch lesen