Cyber-Risiken. IT-gehackt. Gedeckt - IG-Kleingemeinden Jahrestagung 2019 - HomepageTool
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Cyber-Risiken. IT-gehackt. Gedeckt. IG-Kleingemeinden Jahrestagung 2019 Tobias Seitz Leiter Underwriting Technische Versicherungen Region Ost
Wussten Sie das?
• Cyberkriminalität generiert global gesehen mehr Geld als der Handel mit Drogen (Europol, 2014)
• 62% aller Opfer von Cyberangriffen waren KMU (Varonis, Symantec, Cisco, Accenture & Ponemon Institute, 2018)
• In ca. 70% der erfolgreichen Cybervorfälle tragen Mitarbeitende des betroffenen Unternehmens
zumindest eine Mitschuld (Nikolaus Stapels, 2019)
• Ransomware-Angriffe (Verschlüsselung von Daten) wachsen um mehr als 350% pro Jahr
Ziel: Lösegeld erpressen*
• Täglich werden 390'000 neue Schadprogramme registriert (gdv.de, 2019)
2 | Technische Versicherungen | Cyber-Versicherung 31.10.2019
Cyber-Risiken • Was verstehen wir darunter? • Gefahren für Unternehmen und öffentlich rechtliche Körperschaften inkl. konkreter Beispiele 3 Technische Versicherungen | Cyber-Versicherung 31.10.2019
Cyber-Risiken – Was verstehen wir darunter?
Risiken durch Cyber- Risiken durch eigene
Kriminelle Mitarbeiter
Digitalisierung:
Daten & Software
gespeichert auf
dem IT-System
Industrie 4.0 und IoT: Gesetzliche
Digitalisierung der Rahmenbedingungen
Geschäftsmodelle (Datenschutz)
4 | Technische Versicherungen | Cyber-Versicherung 31.10.2019
Cyber-Risiken
Typischer Ablauf eines Hacks
Recherche Schwachstelle Zugang Abfluss Krise
Der Hacker Der Hacker sucht Er sucht sich Der Hacker sucht Krisenstabsarbeit
recherchiert nach nach Schwach- einen Zugang nach interessanten im Unternehmen
interessanten stellen im System. zum System. Daten und kopiert mit Analyse und
Zielen. Dies ist oft der diese runter. Schliessung der
Mitarbeiter. Lücke.
5 | Technische Versicherungen | Cyber-Versicherung 31.10.2019
Cyber-Risiken Schwachstelle Mensch 6 | Technische Versicherungen | Cyber-Versicherung 31.10.2019
Cyber-Risiken
Beispiele von Cyber-Gefahren
Malware: Trojaner / Ransomware (Bsp. Architekt, Coiffeur, Spital & Uber)
● Verschlüsselung von Daten
● Datendiebstahl oder Löschen von Daten
• Vermögensschäden
Denial of Service (DoS)-Angriff (Bsp. Digitec, Micasa & SBB)
● Stillstand des Unternehmens Systeme nicht mehr über • Reputationsschaden /
Internet kommunikationsfähig (Bsp. nicht mehr abrufbare Websites)
Vertrauensverlust bei
Interne Sabotagen eigener MA (Bsp. UBS) Kunden & Lieferanten
● Datendiebstahl oder Löschen von Daten
● Installation von Schadsoftware • Erpressungen
CEO Fraud (Bsp. Elektroplaner) • Offenlegung
● Gefälschte Mails mit Zahlungsanweisungen vertraulicher Daten
Phishing (Bsp. Verein) • Haftpflichtansprüche
● Spionage von Passwörtern Zugriff auf Onlinebanking Dritter
● Manipulation der Website
Fahrlässig handelnder Mitarbeiter (Bsp. Coop Bank)
● Versand vertraulicher Daten an falschen Empfänger
7 | Technische Versicherungen | Cyber-Versicherung 31.10.2019
Schutz vor Cyber-Risiken • Wie kann sich ein Unternehmen schützen? • Wie sieht ein möglicher Versicherungsschutz aus? 8 Technische Versicherungen | Cyber-Versicherung 31.10.2019
Schutz vor Cyber-Risiken
Wie kann sich ein Unternehmen schützen?
Technische
Massnahmen
Organisatorische Umfassend Cyber-
Massnahmen geschütztes Versicherung
Unternehmen
9 | Technische Versicherungen | Cyber-Versicherung 31.10.2019Schutz vor Cyber-Risiken
Die wichtigsten organisatorischen Massnahmen
● Bestimmung eines IT-Verantwortlichen (intern oder extern)
● Berechtigungsmanagements mit angemessen abgestuften Befugnissen
● Passwort-Richtlinien
● Regelmässige Sensibilisierung und Sicherheits-Trainings der Mitarbeitenden zum Thema
Cyber-Risiken
10 | Technische Versicherungen | Cyber-Versicherung 31.10.2019Schutz vor Cyber-Risiken
Kostenlose Sicherheitstrainings für die Mitarbeitenden
Mehr dazu unter: www.helvetia.ch
Clean Desk
Lernen Sie den richtigen Umgang mit vertraulichen Daten.
Social Engineering
Lernen Sie, betrügerische E-Mails oder Anrufe zu erkennen.
Public Talk
Lernen Sie praktische Tipps zum Thema Arbeiten und Gespräche
in der Öffentlichkeit.
11 | Technische Versicherungen | Cyber-Versicherung 31.10.2019Schutz vor Cyber-Risiken
Die wichtigsten technischen Massnahmen
● Tägliche Datensicherung (Back-up) sowie deren sichere Aufbewahrung
(am besten Offline an einem sicheren Ort)
● Technische Schutzmassnahmen (z.B. Firewalls, Virenscanner, Spam-Filter,
Zugriffsschutzprogramme, Netzwerkverschlüsselung, authentisierte Remote-Zugänge (z.B.
VPN))
● Physische Sicherungsmassnahmen (z.B. abgeschlossener Serverraum)
● Patch- und Update-Management (zeitnah, unter Berücksichtigung der Patch-Kompatibilität mit
der installierten Software)
● Verschlüsselung (besonders) schützenswerter Daten (auf dem Server und beim Versenden)
12 | Technische Versicherungen | Cyber-Versicherung 31.10.2019Schutz vor Cyber-Risiken Kostenloser Cyber Security Check Mehr dazu unter: www.helvetia.ch ● Der Helvetia Security Check gibt mit wenig Aufwand einen Überblick, wie es um die Sicherheitsmassnahmen in einem Unternehmen steht. ● Neben der Risikobewertung erhalten die Kunden zudem Empfehlungen, wie der Schutz gegen Cybergefahren erhöht werden kann. ● Dieser Check ersetzt jedoch nicht ein detailliertes Assessment von einem Spezialisten 13 | Technische Versicherungen | Cyber-Versicherung 31.10.2019
Technik und ihre Grenzen
● Technik ist ein wichtiger Faktor
● Technik muss jedoch richtig eingesetzt
werden und hat auch ihre Grenzen.
14 | Technische Versicherungen | Cyber-Versicherung 31.10.2019Helvetia Cyber-Versicherung – einfach auf einen Blick
Versichert sind Cyber-Risiken... ...als Folge von mit kundenorientierten Leistungen für
Beschädigung, Kriminellen Ursachen wie
Zerstörung ● interne Sabotage eigener Mitarbeitenden
& Verlust
● Ausnutzung der technischen System-/
Datenschutz-, Sicherheitsschwäche
Persönlichkeits- ● absichtliche oder unabsichtliche
Eigenschäden
Manipulation
&Vertraulichkeits- Installation/Ausführung schädlicher
verletzung
Software
● Installation/Einsatz unautorisierter
Digitale Daten
& Software
Hardware Haftpflichtschäden
gespeichert auf ● Verwendung von gestohlenen
dem IT-System Zweck- Zugriffsinformationen
Einschränkung
oder Blockierung
entfremdung ● DoS (Denial of Service)
des IT-
des Zugriffs
Systems Rechtsschutz
Nicht-kriminellen Ursachen wie
● fahrlässige Bedienung durch eigene
Cyber-Betrug Mitarbeitende
● kurzzeitige Störungen
15 | Technische Versicherungen | Cyber-Versicherung 31.10.2019Übersicht der Deckungsbausteine
einer Cyber-Versicherung
Eigenschäden PREMIUM Beispiele der Entschädigungen
Systemwiederherstellung Wiederherstellung der Daten und die Entfernung der Schadsoftware
Datenrekonstruktion Kosten für die Arbeitszeit, gewisse Daten manuell zu rekonstruiert
Mehrkosten Aufrechterhaltung Betrieb Überzeit (inkl. Wochenend- und Nachtarbeit) & Abwehr von DoS-Attacken zB mit einem Geo-Filter
Gewinnausfall infolge Betriebsunterbruch Kompensation der Gewinneinbussen / Verlusterhöhungen
Schadensanalyse / Forensik Kosten für die Analyse des Schadens (Suche nach dem Leck und Identifizierung der betroff. Daten)
Notifikationsmanagement Kosten für die Benachrichtigung der betroffenen Personen und der zuständigen Behörden
juristischer Support
Reputationsmanagement Kosten für einen externen Krisenberater, um den guten Ruf bei den Kunden/Bevölkerung nicht zu
gefährden richtig kommunizieren
Vermögensausgleich Cyber-Betrug / Manipulation Gehacktes E-Banking / Telefon-Phreaking / Gefälschte digitale Rechnungen / CEO-Fraud
Mangelhafte Produktion () Entsorgung der fehlerhaften Produkte und Neuproduktion
Haftpflichtschäden PREMIUM Beispiele
Reine Vermögensschäden (inkl. immaterielle Schäden Entschädigung für begründete Ansprüche & Abwehr unbegründeter Ansprüche Dritter (z.B. keine
und Schäden durch digitale Kommunikation) rechtzeitige Lieferung möglich oder Genugtuungskosten aufgrund von veröffentlichen Daten)
Rechtsschutz vertreten durch Coop Rechtsschutz PREMIUM Beispiele
(VS CHF 5'000)
Juristische Beratung und Erstintervention Versichert sind Rechtsstreitigkeiten aus der Verwendung bzw. Nutzung des digitalen Raums.
16 | Technische Versicherungen | Cyber-Versicherung 31.10.2019Wie ist Helvetia vernetzt?
Für den Schadenfall und die Risikoberatung
IT/OT-Security
Partner-
Netzwerk
Krisen- / Datenschutz- /
PR-Beratung Rechtsberatung
17 | Technische Versicherungen | Cyber-Versicherung 31.10.2019Mythen bei KMUs 18 Technische Versicherungen | Cyber-Versicherung 31.10.2019
"Als KMU trifft es uns sowieso nicht"
Warum sollte es uns treffen – wir sind doch nicht Facebook, Ebay, Sony oder Swisscom?
● Die Ausbildung Karriere eines Hackers beginnt 'klein'
● Kleinere Unternehmen geraten immer mehr in den Fokus von Hackern, da dort ohne grösseres Risiko
Daten gestohlen werden können. Notfallmassnahmen werden oft zu spät getroffen, die betroffenen
Unternehmen verwischen häufig aus versehen die Spuren, ….
● Um in bestimmte Untergrundforen zu gelangen, muss nachgewiesen werden, dass eine bestimmte
Anzahl von Firmen gehackt wurden
● Meist sind die kleinen Unternehmen IT-Sicherheitstechnisch auf einem tieferen Level als Grosskonzerne
(fehlendes IT-Know-How)
● 62% aller Opfer von Cyberangriffen sind KMU
(Alton, Larry. 2016. “How to Protect Your Small Business as Cybersecurity Threats Rise.” Small Business Trends: https://smallbiztrends.com/2016/06/cyber-
security-strategies.html)
19 | Technische Versicherungen | Cyber-Versicherung 31.10.2019"Unsere Technik (Firewall / Virenscanner) ist
sicher!"
● Ein Antivirenprogramm erkennt max. 99% aller Malware
● Wie schütz man sich vor etwas, was man nicht kennt Immer wieder kommen Sicherheitslücken
ans Licht, gegen die es noch keine Abwehr gibt (vor kurzem wurde eine 23-jährige
Sicherheitslücke entdeckt)
● Selbst Unternehmen, die Millionen pro Jahr für IT-Sicherheit investieren, werden gehackt (z.B.
FBI, EDA, RUAG, CIA, NASA, Swisscom)
● Hacker umgehen oft die Technik, indem sie die Schwachstelle Mensch ausnutzen
20 | Technische Versicherungen | Cyber-Versicherung 31.10.2019"Unser IT-Dienstleister wehrt alle Cyber-Angriffe ab"
Wir haben einen IT-Dienstleister bzw. eine IT-Abteilung, diese wehrt alle
Cyberangriffe ab
● 100% Sicherheit gibt es nicht
● Immer ein "Katz- und Mausspiel"
● Technik der Hacker entwickelt sich stets weiter
● Kein IT-Dienstleister wird 100% Sicherheit garantieren
Wichtiger zusätzlicher Hinweis: Ein IT-Dienstleister entlastet im Haftungsfall nicht… die rechtliche
Verantwortung liegt bei demjenigen, der die Daten sammelt und dem der sie verarbeitet.
Die Verantwortung kann also nicht durch einen Vertrag auf einen Dritten übertragen werden!
21 | Technische Versicherungen | Cyber-Versicherung 31.10.2019Fragen 22 Technische Versicherungen | Cyber-Versicherung 31.10.2019
Vielen Dank für Ihre Aufmerksamkeit.
Sie können auch lesen
