Hiscox meets Apella Onlineschulung

Data Risks by Hiscox – Roman Potyka

25. Oktober 2012

2

Welche Produkte bieten wir an?

Vermögenswerte

• Haus & Kunst

• Fine Art

• Mundial • Classic Cars

• Kunst & Sammlung

• Gallery

• Musikinstrumente

Berufliche Risiken

• Professions

• Net IT

• D&O

• Media

• Medienagenturen

• Consult

• Wirtschaftsprüfer

• Client

• Office

Kidnap & Ransom

• Private Protection

• Corporate Protection

• Marine Protection

Data Risks

• Data Liability

• Data Breach Cost

• Cyber Liability

• Cyber Business Interruption

• Data Extortion

• Hacker Protection

3

Was ist Data Risks by Hiscox und warum bieten wir dieses Produkt an?

• Basis-Versicherungsschutz, der etwaige Haftpflichtansprüche und Kosten abdeckt und DARÜBER HINAUS die kurzfristige Bearbeitung von Schäden durch Hacker-Angriffe und Datenrechtsverletzungen gewährleistet.

• Jedes Unternehmen, das kartengestützte Zahlungen akzeptiert, ist dazu VERPFLICHTET, bestimmte Obliegenheiten zu erfüllen; wahrscheinlich wissen das viele Unternehmen aber gar nicht:

– Vorgaben der Kreditkartenbranche (Payment Card Industry, PCI) bei einer Datenrechtsverletzung:

▪ Vorlage einer Liste mit allen betroffenen Konten innerhalb von 7 Tagen – i.d.R. unmöglich.

▪ Bei > 10.000 betroffenen Dateninhabern ist der forensische Bericht eines Qualified Forensic Investigator (QFI) erforderlich

▪ Schadenregulierung muss innerhalb von 90 Tagen abgeschlossen sein.

• Thematik rückt zunehmend in den Vordergrund – bezügl. der neuen EU-Regelung wird deshalb eine Meldepflicht empfohlen.

Was ist Datenschutz?

• Datenschutz bezeichnet den Schutz des Einzelnen vor dem Missbrauch personenbezogener Daten.*

• Heute wird der Zweck des Datenschutzes darin gesehen, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Recht auf informationelle Selbstbestimmung beeinträchtigt wird.*

Kundendaten

Daten von Mitarbeitern

Vertrauliche geschäftliche Informationen Dritter (Verstoß gegen vertragliche Geheimhaltungspflichten)

*) Quelle: Wikipedia

4

* Quelle: Wikipedia

Was droht, wenn Daten in meinem Unternehmen verloren gehen?

• Gemäß BDSG gelten nach einem Datenschutzvorfall gesetzliche Informationspflichten - Kunde, Behörden, Banken müssen informiert werden! Bei Zuwiderhandlung drohen empfindliche Bußgelder bis zu € 300.000,-

• Erhebliche Kosten für analytische Maßnahmen um das Geschehene gerichtsverwertbar festzustellen und zu dokumentieren (Welche Daten sind betroffen?, Wer ist Dateninhaber?, Wer muss informiert werden?, etc).

• Erhebliche Kosten zur Erfüllung gesetzlicher Informationspflichten (s.o.), Kosten für PR, Kosten für Kreditüberwachungsdienstleistungen

• Entgangener Gewinn aufgrund Betriebsunterbrechung

• ...

5

Schadensbeispiele aus den Medien

6

Millionenfacher Datendiebstahl bei Neckermann

Hacker entwenden Informationen von 1,2 Millionen Gewinnspielteilnehmern

Uni Potsdam

Personalien von 20.000 Studenten standen frei zum Download

7

Datenschutz - Haftungssituation

• Datenschutz als unternehmerische Pflicht (§ 91 Abs. 2 AktG / §§ 239 Abs. 4, Satz 2, 261 HGB)

• Deliktsrecht (§ 823 BGB)

• § 130 Abs. 1 i.V.m. § 30 OWiG Haftung der Geschäftsleitung für Unterlassen von Aufsichtsmaßnahmen; Haftung des Unternehmens für Ordnungswidrigkeit (Geldstrafe bis € 1,0 Mio)

• Datenvorfall kann Schadensersatzanspruch des Betroffenen gem. § 7 BDSG begründen

• Bußgelder (€ 50.000 - € 300.000) gem. § 43 BDSG

• Vertragliche Ansprüche (PCI = Payment Card Industry)

• Neue EU-Datenschutzverordnung 2012 (u.a. „unverzügliche Anzeigepflicht“, höhere Strafen etc.)

8

Datenverlust – Potenzielle Kosten für Unternehmen / Eigenschäden

• Kosten für forensische Prüfung: Was ist passiert?

• Kosten für Information betroffener Dateninhaber / Behörden

z.B. Kosten für Beauftragung eines Call-Centers

• Rechtskosten

• Krisenmanagement / PR-Kosten

• Wiederherstellung der Systeme

• Prävention

• Entgangener Gewinn (Betriebsunterbrechung)

• Lösegeld (Datenerpressung)

Die Lösung: Data Risks by Hiscox 6 Module in einem Paket

9

10

Unsere Zielmärkte

• Einzelhandel

– Modeboutiquen, Warenhäuser, Supermärkte• Gastronomie/Hotels

– Restaurants, Bistros/Bars, Hotelketten• Professional Services/Beratungsdienstleistungen

– Rechtsanwälte, Wirtschaftsprüfer• Technologie und Telekommunikation

• Medien (ohne Direktmarketing)

• Versorger

• Healthcare/Gesundheitswesen

• Finanzinstitute

• Staatliche Behörden

• Payment Processing Industrie

• Soziale Netzwerke

• Glücksspiel oder Webseiten mit pornographischen Inhalten

Data Risks by Hiscox - Antragsmodelle

11

Antrag auf den Abschluss einer Data Risks by Hiscox Versicherung inklusive der Mitversicherung von vertraglichen Haftungsvereinbarungen mit der Kreditkartenindustrie, Banken oder Zahlungsprozessoren. Sollten die unter II gemachten Angaben auf den Versicherungsnehmer zutreffen, bitten wir um die Überlassung des

ausgefüllten Fragebogens für Data Risks by Hiscox 02/2011, um Ihnen ein individuelles Angebot erstellen zu können.

Versicherungsnehmer (in Deutschland oder Österreich)

Makler (Nr. ____________ )

Name

Straße, Nr.

PLZ, Ort

Bitte kreuzen Sie den für Sie zutreffenden Tätigkeits-bereich an:

Einzelhandel Hotel/Gastronomie Kommunale Behörden

Gesundheitswesen (z. B. Ärzte, Heilpraktiker etc.)

Informationstechnologie Medienunternehmen

I. Angaben zu

sensiblen Daten, die von Ihnen ver- arbeitet bzw. gespeichert werden

Bitte kreuzen Sie jede Art sensibler Daten an, die Sie verarbeiten, weiterleiten oder speichern:

Sozialversicherungsnummern Ja Nein

Bankverbindungen Ja Nein

Kreditkartendaten Ja Nein

Wenn ja: Bestätigen Sie hiermit, dass Sie die Standards gemäß PCI DSS (Payment Card Industrie Data Security Standard) einhalten?

Ja Nein

Führerscheinnummern Ja Nein

Geschützte medizinische Daten Ja Nein

Sonstige (bitte angeben):

II. Angaben zum Versicherungs- schutz für die Haftpflicht- versicherung

1. Der Versicherungsnehmer hat eine laufende Data Risks by Hiscox Police oder hat Hiscox während der letzten 3 Monate um die Erstellung eines Angebots auf Abschluss einer Data Risks by Hiscox Versicherung gebeten.

Trifft zu Trifft nicht zu

2. Dem Versicherungsnehmer gegenüber wurde in der Vergangenheit eine Angebotsanfrage oder der Versicherungsschutz durch Hiscox abgelehnt.

Trifft zu Trifft nicht zu

3. Sie bearbeiten oder übermitteln oder speichern auf Ihrem Netzwerk, einschließlich aller Ihrer rechnergestützten Geräte und Computer, insgesamt mehr als 1.000.000 von den unter Ziffer I genannten sensiblen Daten.

Trifft zu Trifft nicht zu

4. Sie haben mehr als 50 unverschlüsselte mobile Computer und Geräte (z. B. Laptops, Notebooks, PDAs), auf denen die unter Ziffer I genannten sensiblen Daten gespeichert sind oder mit denen auf diese Daten zugegriffen werden kann.

Trifft zu Trifft nicht zu

5. Der Versicherungsnehmer oder eine mitversicherte Person ist im Zusammenhang mit seiner beruflichen Tätigkeit während der letzten 5 Jahre in Anspruch genommen worden, oder dem Versicherungsnehmer oder einer mitversicherten Person sind Umstände bekannt, die zu einem Schaden führen könnten.

Trifft zu Trifft nicht zu

6. Eine Aufsichtsbehörde, staatliche Stelle oder Verwaltungsbehörde hat Klage gegen den Versicherungsnehmer oder eine mitversicherte Person eingereicht, Ermittlungen eingeleitet oder Auskünfte angefordert, was den Umgang mit sensiblen Daten angeht.

Trifft zu Trifft nicht zu

7. Der Versicherungsnehmer erwirtschaftet derzeit direkte USA-/Kanada-Umsätze oder erbringt Leistungen in den USA/Kanada.

Trifft zu Trifft nicht zu

Wenn Sie eine dieser Fragen mit „Trifft zu“ beantwortet haben, wenden Sie sich bitte an Ihren persönlichen Hiscox-Betreuer, damit wir Ihnen ein individuelles Angebot unterbreiten können.

Vielen Dank!

Schadenbeispiele

Einbruch bei einer wohltätigen Organisation

Bei einem Einbruch in die Büroräumlichkeiten wurde unteranderem ein Desktop PC gestohlen. Auf diesem Rechner befanden sich laut des Versicherungsnehmers Daten von ca. 50 bis 100 Spendern.

Folgende Kosten sind entstanden:

• Rechtsberatung und Infopflichten gegenüber Dateninhabern    67.368 €

• Forensische Dienstleistungen                     23.747 €

• Kreditüberwachungsdienstleistungen           11.640 €

• PR     2.137 €

Gesamtkosten                            104.894 €

14

Datenraub durch Mitarbeiter im Gesundheitswesen

Ein Unternehmen aus dem Gesundheitswesen (stark reguliert, hohe Standards auch an Datenschutz, etc.) hat Datenschutz sehr ernst genommen und die IT Abteilung hat entsprechende IT Sicherheit vorgehalten.

Ein Mitarbeiter konnte sich finanziellen Zuwendungen einer kriminellen Vereinigung aber nicht entziehen und hat Akten per Hand gescannt und weitergegeben. Die weitergegeben Daten enthielten Infos zu Namen, Anschrift, Sozialversicherungsnummer, etc. Nach geraumer Zeit erhielt der VN einen Anruf einer Strafverfolgungsbehörde, die eine Razzia durchgeführt hatte und dabei Dokumente entdeckte, die persönlich identifizierbare Informationen enthielt, die offensichtlich von unserem VN stammten. Rund 45.000 Personen waren davon betroffen, ein Drittschaden ist jedoch noch nicht entstanden. Aber folgende Kosten:

– Rechtsberatung 12.000 €– Infopflichten gegenüber Dateninhaber 14.500 €– Call Center   45.000 €– Forensische Dienstleistungen                    6.500 €– Kreditüberwachungsdienstleistungen           300.000 €– PR   50.000 €

Gesamtkosten                       428.000 €

15

Hätten Sie das gedacht?

• Zeitspanne in Tagen zwischen der Datenrechtsverletzung und der Entdeckung*

• Anzahl der Unternehmen, die bereits Ziel eines ernsthaften Versuchs waren, rechtswidrig in ihr Netzwerk einzudringen*

• Kosten pro Dateninhaber, um einer gesetzlich vorgeschriebenen Informationspflicht nachzukommen

• Als gestohlen gemeldete Laptops am Pariser Flughafen pro Woche**

• Kosten zur Identifikation personenbezogener Daten auf einem abhanden gekommenen Laptop

• Datenrechtsverletzungen im Zusammenhang mit mobilen Endgeräten***

• Durchschnittliche Rechtsverteidigungskosten in einem Datenschutzverstoß

• Durchschnittliche Ansprüche Dritter nach einem Datenschutzverstoß

16

* PriceWaterhouseCoopers, Information Security Breaches Survey 2010 – befragt wurden 539 Unternehmen in GB.** Ponemon Institute

***TrustWave - Global Security Report 2011

156

61 %

ca. € 10

733

€ 10.000 - 35.000

36 %

€ 500.000

€ 1 Mio.

Statistische Daten

17

TrustWave - Global Security Report 2011

Arten von DatenrisikenDatenrechtsverletzungen