Cyber Crime und E-Datenschutzverletzungen
Transcrição
Cyber Crime und E-Datenschutzverletzungen
Cyber Crime und E-Datenschutzverletzungen Rechtlicher Überblick, Kostenschätzungen und Erfahrungen mit Marktlösungen Cyber Crime und E-Datenschutzverletzungen Inhaltsübersicht 1. Ausgangslage, Fallbeispiele, Ursachen und Kosten 2. Rechtliche Situation USA, EU und CH 3. Bestehende Deckungen, Nachfrage und Anbieter, Erfahrungen 4. Risk Management, erforderliche Angaben 5. Trends 3 Cyber Crime und E-Datenschutzverletzungen Ausgangslage • „wertvolle“ persönliche Informationen, Kontaktdaten, Passwörter, Kreditkartennummern, medizinische Informationen • Intellectual Property, trade secrets • Technologie erleichtert Zugang, Speicherung und Bearbeitung • diverse Unternehmen bearbeiten Daten • finanzielle Folgeschäden Reputationsverluste • rechtliche Grundlagen, Regulierungen, Auflagen und Bussgelder 4 Cyber Crime und E-Datenschutzverletzungen Fallbeispiele Sony PlayStation Network Mehr als 100 Mio. Kundendaten gestohlen, Gerichtsverfahren in CA läuft Citigroup Data Breach Raub von mind. 200'000 Kreditkarten Datensätzen LinkedIn Unberechtigter Verkauf von Kundeninfos zu Werbezwecken Google Buzz Settlement FTC schliesst settlement mit Google "yearly audits from an independent party for the next twenty years" TJX Companies, retail chaines Heartland Payment Systems, credit card processing company Die beiden grössten (bekannten und abgewickelten) Schäden 5 Cyber Crime und E-Datenschutzverletzungen Mögliche Ursachen für Verletzung des Datenschutzes Computerviren Hacker Fehlerhafte Bedienung InternetVandalismus Computer- / Serverausfall OnlineErpressung InternetHaftpflicht denial of website service disability Serviceausfall unseriöse des Application böswillige CodeAdministratoren Service Übermittlung Provider Ausfall des Verletzung des Verletzung der geistigen Internet Service Privatssphäre Eigentums Provider Unix & Windows O.S Fehler 6 Cyber Crime und E-Datenschutzverletzungen Kosten (The Ponemon Institute) Notification costs per client in USD, including lost client costs USA USD 214 Germany USD 177 Total average cost per breach USD 7‘200‘000 Thereoff 14% for defense costs Nicht eingerechnet sind Strafgebühren und Aufwendungen zur Erfüllung der Anforderungen der Behörden. Deutschland 2009: 53% hatten in den letzten 12 Monaten einen Vorfall UK: 70%, vorallem die Finanzindustrie und die öffentliche Hand sind betroffen. In USA hat es diverse Fälle mit über USD 100 Mio Schadensumme. 75% der Fälle werden durch Fehler der Anwender oder der Systeme verursacht. Die grössten Schadenhöhen sind bei den 25% der Fälle, die durch bösartige und kriminelle Handlungen verursacht werden. 7 Cyber Crime und E-Datenschutzverletzungen Mögliche Konsequenzen Ansprüche aus Verletzung der Privatsphäre und der Persönlichkeit Reputation Wertverlust Brand Kundenverluste PR -Kosten Drittschaden Forensic Costs Weitere Ansprüche Dritter Information der Betroffenen Betriebsunterbruch Datenverlust Vandalismus Krisenmanagement Strafgebühr & Verteidigungskosten Kundenbetrug Schadenminderungskosten Haftung Daten Treuhänder Eigenschaden Daten Treuhänder Eigenschaden Schäden durch Veruntreuung Die Versicherungsprodukte sind analog dieser möglichen Konsequenzen strukturiert und aufgebaut. 8 Cyber Crime und E-Datenschutzverletzungen Rechtliche Situation USA • Auslöser waren Haftungsfälle und Sammelklagen in den USA • Anforderung an Daten Treuhänder bei Datenschutzverletzungen haften zu lassen und sie zu verpflichten, die betroffenen Personen zu informieren und sie zu unterstützen • Je Bundesstaat unterschiedlich. 46 privacy notification laws. • HIPAA Privacy Rule protects personal health information (PHI) • Fair and Accurate Credit Transactions Act of 2003 (FACTA • Payment Card Industry Security Council • Federal Trade Commission (FTC), Security Exchange Commission (SEC) 9 Cyber Crime und E-Datenschutzverletzungen Rechtliche Situation EU Direktiven sind in der EU vorgegeben. Die lokalen Gesetze wurden unterschiedlich ausgestaltet. Directive 95/46/EC „Datenschutzrichtlinie“ Grundlegende Anforderung an Sicherheit der Datenbearbeitung von persönlichen Daten Sicherheit entsprechend der Art der Daten Sicherheit ist von überragender Bedeutung Directive 2002/58/EC „e-Privacy Directive“ Verpflichtung zur Kundeninformation für Telekommunikation und Internet Service Provider – ähnlich wie in USA Intention die Verpflichtung auf alle Branchen auszuweiten. Einzelne Länder führten Bussgelder ein. ENISA – European Network Information Security Agency Lokale Behörden zur Überwachung zum Beispiel UK: Information Commissioner’s Office (ICO) Financial Services Authority (FSA) 10 Cyber Crime und E-Datenschutzverletzungen Rechtliche Situation CH Schweiz hat die Direktiven der EU (noch) nicht umgesetzt. Kein rechtlicher Anspruch der Kunden auf Information. Die Risiken für Reputation, Kundenverluste, Vertrauensschaden und Eigenschaden sind jedoch vorhanden. In der Schweiz läuft das Koordinations- und Gesetzgebungsverfahren zu e-health-suisse. Bundesgesetz über den Datenschutz (DSG) - Auskunftsrecht Kein explizites Anti Spam Law, jedoch Schutzbestimmungen in -Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs BÜPF -Bundesgesetz gegen den unlauteren Wettbewerb 1984 – UWG anti-spam Regeln seit 01.04.07 -Verordnung über die Überwachung des Post- und Fernmeldeverkehrs (VÜPF) - European Cybercrime Convention (ECC), die die Schweiz akzeptierte Für alle CH Firmen mit Kunden in der EU und USA sind die Risiken auch heute schon vorhanden. 11 Cyber Crime und E-Datenschutzverletzungen Bestehende Deckungen Keine umfassende Deckung Limitierte Ausschnittsdeckungen sind in der Professional Indemnity und Crime Police enthalten. Zu prüfen sind die Deckungen und Ausschlüsse folgender Policen: - Betriebs- und Produktehaftpflicht - Professional Indemnity - Crime - Sach- und Betriebsunterbrechungsversicherung sowie EDV-Versicherungen - Kidnapping and Ransom 12 Cyber Crime und E-Datenschutzverletzungen Nachfrage & Anbieter Nachfrage: Finanzinstitute Finanz- und IT-Dienstleistungsunternehmen Gesundheitswesen (Versicherer, Krankenhäuser, Serviceprovider) Telekommunikationsunternehmen Unternehmen der öffentlichen Hand Medienunternehmen Alle Unternehmen, die Zahlungen übers Internet abwickeln wie Detailhändler, Reiseunternehmen etc. Die Anbieter auf dem europäischen Markt sind: Chartis, ACE, XL, Zürich, Chubb, Allianz, sowie der Londoner Markt, Lloyds (Beazey, Hiscox) und Spezialversicherer wie CNA, RLI, Allied World Die Deckungen können auf dem US und dem Londoner Markt eingekauft werden. CHUBB wird die erste Police auf dem Schweizer Markt ausstellen. Die Schweizer Versicherer haben zugesagt bei konkreten Anfragen zu prüfen, die Policen in der Schweiz auszustellen. 13 Cyber Crime und E-Datenschutzverletzungen Erfahrungen > More noise then policies at the moment > Limits (CHF 10 – CHF 25 per carrier, in total max. CHF 100 to CHF 150) > Deductibles > Premiums > Wordings – self contained - English > Structure 14 Cyber Crime und E-Datenschutzverletzungen Risk Management • Integration in Enterprise Risk Management • Compliance • Technology – Security (People and Processes) and Best Practices • Emergency Plan and Response Plan • Legal Risk Management (Contracts, Insurance Requirement, Due Diligence / Screening for Subcontractors) • there is remaining risk 15 Cyber Crime und E-Datenschutzverletzungen Informationsbedarf bei Versicherungsabschluss Die benötigten Informationen werden anhand eines Fragebogens erhoben. Dabei werden die Fragen in folgende Bereiche unterteilt: - Allgemeine Angaben - Gefahrenpotentiale - Risiken bezüglich Privatsphäre - Kreditkarten Transaktionen - Netzwerksicherheit - Datensicherheit - Optional: Gesundheitsbranche - Betriebsunterbrechung - Historische Informationen Ergänzende Informationen sind hilfreich und zum Teil auch gefordert: - Liste Zertifizierungen - Standard Operating Procedur’s - Risk Management Organisation (technisch, organisatorisch, rechtlich) - Firmen-, Länderpräsentationen 16 Cyber Crime und E-Datenschutzverletzungen Trends > Anforderung der Kunden > Regulierung > Kausalhaftung > Fähigkeit der Hacker und Professionalisierung der Verwertung der Daten > Frequenz steigt > Versicherungsdeckung wird Standard werden 17 Fragen? 18