Internetkriminalität die unsichtbare Gefahr - Wien, 31.1.2018
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Internetkriminalität
die unsichtbare Gefahr
Wien, 31.1.2018
Worüber ich sprechen werde
• Bedrohungen und Schadenpotential
• Vorschläge zur Herangehensweise an das Thema Internetkriminalität: Auffinden von
„Juwelen“ und Analyse der internen Prozesse
• Mediale Verwechslung und Vermischung der Begriffe Cyber und Crime – eine
Richtigstellung und Aufzeigen der wesentlichsten Deckungsinhalte von
Versicherungslösungen
• Anbieter von Versicherungslösungen in Österreich
• „Fake President“
• Vom Restrisiko zur Versicherungslösung – ein Musterangebot
• Haftungen
2Die weltweit gefürchtetsten Gefahren bei Unternehmen
3Wesentliche Bedrohungspotentiale
„von außen“ „von innen“
• Spam, Phishing • Mitarbeiter als Täter
• Email-Attacken • Fehlbedienung
• Hackerangriffe • Geringes
• Illegaler Datendownload Sicherheitsbewusstsein
• Kreditkartenbetrug bei • Schwächen im
Onlinekäufen Ablaufprozess (IT)
• Malversationen im Zuge von • unklare Zuständigkeit
Internetbanking • unzureichende Information
• Tracking Malware, Trojaner, über Veränderungsprozesse
Viren (Updates, neue Programme,
neue Arbeitsplätze …)
• Spyware
• Nutzung von Daten über
• Würmer Clouds, Smartphones, etc.
• Social Engineering • Home Offices, etc.
• Fake President, etc.
Bedrohung Fähigkeit und Motivation des AngreifersSchadenpotential – Eigenschäden im Unternehmen
Betriebsunterbrechungsschäden
Straf- und Pönalzahlungen
Information von
Kunden und Behörden Langwierige
Rechtsverfahren
Erpressungsgelder
Auffindung des Fehlers
Reputationsverlust
Diebstahl von Betriebs- und Produktions- und Ertragsausfälle
Geschäftsgeheimnissen
Wiederherstellung von Daten/ SystemenSchadenpotential – Drittschäden
• Kosten zur Aufklärung der Vorfälle (IT-Support)
• Kosten im Zuge aufsichtsrechtlicher Verfahren
• Datenschutzverletzungen Dritter (Persönlichkeitsrechtsverletzung)
• direkter und indirekter finanzieller Verlust
direkter/indirekter Verlust von Kapital
Kosten im Zusammenhang mit Wiedererlangung oder Neubeschaffung von
Kundendaten
Zukünftige Vermögensschäden infolge öffentlich zugänglicher Gesundheitsdaten
Arbeitsrechtliche Verfahren
Regressforderungen gegen „verursachendes Unternehmen“
(= „erweiterter Eigenschaden“)Vorschlag zur Herangehensweise im Unternehmen
Modul 1 - Sensibilisierung
Was soll geschützt werden ?
Modul 2 - Aktueller Status
und Verbesserungsaktivitäten
Wo liegt die Verletzbarkeit?
Modul 3 - Gezielte Angriffe
Von wem geht die Bedrohung aus?
Modul 4 - Krisenvorbereitung
Wie wird im Schadenfall gehandelt?
Modul 5 - Synergien
Welche Potentiale können zusätzlich genutzt
werden?Modul 1
Sensibilisierung
Was soll geschützt werden?
Erhebung der kritischen
• Informationen, Dokumente, Know-how
• Assets (Objekte, Anlagen, IT, Applikationen)
• Schlüsselfunktionen
Inhalte:
• Identifikation der „Kronjuwelen“ und ihres Schutzbedarfes
• Festlegen von Schutzzielen
• Klassifizierung des Schutzbedarfes
Ziel:
• Erarbeiten einer Informationsbasis, um in weiteren Schritten eine
bedarfsgerechte und zielgerichtete Schutzsituation zu entwickelnModul 2
Aktueller Status und Verbesserungsaktivitäten
Wo liegt die Verletzbarkeit?
• Erhebung der aktuellen Schutzsituation (Technisch/Organisatorisch)
• Maßnahmen um Schutzziele zu erreichen
Inhalte:
• Experteneinschätzung zur Lage der IT-Sicherheit in Form eines Berichtes
(in Anlehnung an ISO 27000)
• Erstellen eines priorisierten Maßnahmenkataloges, der aufzeigt, welche
Maßnahmen für welches Schutzziel mit welchen Ressourcen umgesetzt
werden können
Ziel:
• Schaffung eines Überblicks zur IT-Sicherheit als Grundlage für
Managemententscheidungen mit der Option für weitere Analyseschritte
(Budget-Nutzen- Abwägung)
Seite 9Modul 3
Gezielte Angriffe
Von wem geht die Bedrohung aus?
• Schwachstellencheck innen (mobile Endgeräte, Sticks, Hardware, Clients, etc.)
• Penetrationstests Black Box (dient vor allem zur Sensibilisierung)
• Penetrationstests White Box (gezielter Außenangriff)
Inhalte:
• Konkrete Prüfmethode je nach Betrachtungsgegenstand und umfasst u.a.
Schwachstellenscans, manuelle Eindringversuche, Blackbox-/Whitebox-Prüfungen,
Konfigurationsaudits oder Quellcode-Analysen
• Interner Schwachstellencheck von IT- und mobilen Endgeräten,
„Social Engineering“ Angriffe
• Lösungsvorschläge zum Schließen der identifizierten Schwachstellen
Ziel:
• Es wird geprüft, ob produktive Informationen oder schützenswerte Daten über
Informationstechnologie kompromittiert werden könnten, um gegebenenfalls
Gegenmaßnahmen aufzuzeigen
Seite 10Modul 4
Krisenvorbereitung
Wie wird im Schadenfall gehandelt?
• Krisenmanagement (Vorbereitung auf den Krisenfall)
• Forensik (Erhebungen nach dem Schadenereignis)
Inhalte:
• Definition eines Krisenteams
• Erarbeiten von Krisenplänen zur verzugsfreien Reaktion auf Cyber-Krisen
• Erstellen von Continuity-Plänen
• Krisenübungen, die ein entschlossenes Handeln in einer Krise ermöglichen
• Einrichten einer Krisenhotline
Ziel:
• Um im Krisenfall zu agieren und nicht zu reagierenModul 5
Synergien
Welche Potentiale können zusätzlich
genutzt werden? Inhalte Analyse Crime:
• Know-how Transfer • Review Prozesse und Policies
• Analyse Crime - Wirtschaftskriminalität • Risikodialoge mit
Inhalte Know-how Transfer: Schlüsselpersonen
• Sensibilisierung von Mitarbeitern • Compliance Checks
• Administratorenschulungen • Fraud Risk Assessments
Ziele Know-how Transfer: Ziel Analyse Crime:
• Schaffung von „Awareness“ innerhalb • Erkennen von
der Organisation Bedrohungsszenarien und
Auffinden von Schachstellen
• Regelmäßiges WissensupdateCyber & Crime – Verwechslung in den Medien
Die Definitionen:
Cyber
Summe aller nachteiligen, unerwünschten Störungen und unerlaubten Beeinträchtigungen von
persönlichen wie geschäftlichen Daten über sämtliche zur Verfügung stehende Möglichkeiten
internetbasierten internen wie externen Datenaustauschs (PCs, Laptops, Smartphones, Cloud-Solutions,
externe Server, …)
Crime (= Vertrauensschaden)
Summe aller von Vertrauenspersonen oder außenstehenden Dritten in Schädigungsabsicht vorsätzlich
begangenen, illegalen und unerlaubten Handlungen gegen ein Unternehmen, sei es in
Bereicherungsabsicht oder sonstige Motive (z.B. Geheimnisverrat, Diebstahl, Diskreditierung, etc.)
Seite 13Cyberschaden-Versicherung – Ein Überblick
Eigenschäden Drittschäden/Haftung wegen Dienstleistungen
• Forensische Ermittlungskosten • Datenschutzverletzungen • IT- Dienstleistungen
(Datenverlust, Datenmanipulation)
• fehlende Netzwerksicherheit und • Rechts- Dienstleistungen
• Mehraufwand z. B. zur Hackerangriffe
Wiederherstellung von • PR- Dienstleistungen
Daten/Systemen • nicht erfolgter Information nach DSG
• Sofortmaßnahmen (Notfallnummer)
• Betriebsunterbrechung/ Ertragsausfall • Verletzung geschützter
Unternehmensinformationen
• Erpressung - Lösegeldforderungen
• Rechtsverletzungen in digitaler
• Abwehrkosten bei Kommunikation
Datenschutzuntersuchungen/
Verfahren (tw. Geldbußen)
• Sofortmaßnahmen
• Informationskosten an Kunden und
Behörden
• Kredit- und ID- Überwachung
Seite 14Crime (Vertrauensschaden)-Versicherung – Ein Überblick
Schäden durch Schäden durch Zusätzliche
Vertrauenspersonen Dritte Kosten
• Unmittelbare Vermögensschäden des • Cyber-Schäden durch Dritte • Schadenermittlung
VN
• Raub • Rechtsverfolgung
• Schäden aus Geheimnisverrat (eigene
und fremde Betriebsgeheimnisse) • Tresoreinbruch • PR- Dienstleistungen
• Drittschäden (bei vorsätzlichen • Fälschen von Zahlungsanweisungen • Mehrkosten zur Aufrechterhaltung
Schädigung eines Dritten durch eine und Rechnungen des Geschäftsbetriebes
Vertrauensperson)
• Überweisungsbetrug • Datenwiederherstellung
• Falschgeld, Bank- und • Zinsen
Zahlungsanweisungen
• Abwehrkosten
• Kreditkartenbetrug
• Vertragsstrafen
• Bargeld, Wertpapiere
Seite 15Cyber & Crime – Schnittstellen zu anderen Versicherungslösungen
Directors & Officers:
• Managerhaftung
• Abwehrkosten wegen fehlenden
Straf-Rechtsschutz: Controllings/ Überwachung? Vermögensschaden-Haftpflicht
• RA-Kosten im (Errors & Omissions):
Zusammenhang mit • fahrlässig verursachte VH-
Ermittlungsverfahren? Schäden Dritter
Rückrufkosten- IT-Haftpflichtversicherung
versicherung:
• Rückrufkosten Dritter?
Cyber &
Kidnap & Ransom:
• Erpressungsgelder durch
Crime General Liability
z. B. Verletzung DSG?
Cyberattacken?
Produktschutz: Property u.
• Manipulationshandlungen Betriebsunterbrechung:
eigener Mitarbeiter und Elektronik u. • Ausfallrisiken aus
Dritter? Betriebsunterbrechung
Betriebsunterbrechung:
• Ausfallrisiken aus
Betriebsunterbrechung?
Seite 16Anbieter von Cyberversicherungen in Österreich
• AIG • Markel
• AGCS • Munich Re
• Allianz • QBE
• AXA CS • SwissRe
• AXA Versicherung • Tokio Marine Kiln (TMK)
• Chubb • XL Catlin
• Dual • Wiener Städtische
• Gothaer
• HDI
• Hiscox
17Fake President
Achtung
Derartige Vorkommnisse die zu Schäden am Vermögen des
Unternehmens führen, sind nicht durch eine Cyber-Versicherung
umfasst, sondern sind grundsätzlich Teil einer Crime-Versicherung.
Die Mitversicherung ist allerdings nur mehr bei wenigen Anbietern
möglich – separate Anfrage mit Prämienzuschlag.
18Musterangebot einer Crime-Versicherung für NGOs
(grobe Richtquotierung)
• „Muster“ NGO
• Umsatz EUR 1,000.000,-
• Gewünschte Versicherungssumme EUR 500.000,-
• Jahresprämie: 1.300,-
• Selbstbehalt im Schadenfall: EUR 1.000,-
19Schadenpotential für weitere Haftungen
• Unterschiedliche rechtliche Konsequenzen
Haftung für fehlende oder unzureichende Netzwerksicherheit und dadurch ermöglichte
Hackerangriffe
Ahndung wegen Rechtsverletzungen
• § 347 UGB1): erhöhter Sorgfaltsmaßstab für Unternehmer (vgl. §1299 ABGB2))
• § 25 (1) GmbHG2): Geschäftsführer: Sorgfaltspflicht eines ordentlichen Geschäftsmannes
• § 84 (1) AktG3): Vorstandsmitglieder: Sorgfalt eines ordentlichen und gewissenhaften
Geschäftsleiters
• § 1293 ff ABGB4): allgemeine Verschuldenshaftung
• § 33 DSG5): Schadenersatz nach ABGB (Verschuldenshaftung), die Kausalität ist vom
Betroffenen nachzuweisen
• § 52 Abs. 2 DSG: Verwaltungsübertretung – Geldstrafe bis 10.000 EUR (pro Anlassfall) z.B.:
Verletzung der Informationspflicht gem. gemäß § 24 DSG oder grob fahrlässige
Außerachtlassung erforderlicher Sicherheitsmaßnahmen gemäß § 14 DSG
• Persönliche Haftung und Folgen für die Unternehmensleitung/Verantwortlichen
Managerhaftung gegenüber dem Unternehmen (D&O)
1) UGB: Unternehmensgesetzbuch; 2) GmbHG: GmbH Gesetz; 3) AktG: Aktiengesetz; 4) ABGB: Allgemeines bürgerliches Gesetzbuch; 5) DSG: DatenschutzgesetzDanke für Ihre Aufmerksamkeit!
Alle Rechte an dieser Präsentation sind vorbehalten. Das Werk einschließlich seiner Teile ist
urheberrechtlich geschützt. Die darin enthaltenen Informationen sind vertraulich.
Die Präsentation und ihre Inhalte dürfen ohne ausdrückliche
Zustimmung der VMG Versicherungsmakler GmbH nicht verwendet, übersetzt,
verbreitet, vervielfältigt und in elektronischen Systemen verarbeitet werden.
Insbesondere ist eine Weitergabe an Dritte nicht gestattet.Sie können auch lesen
