close

Anmelden

Neues Passwort anfordern?

Anmeldung mit OpenID

Dani Arnold - SAC Sektion St. Gallen

EinbettenHerunterladen
Notfall im
Rechenzentrum
Schäden – Risiken - Versicherung
Köln, 14.10.2014
Aktivitäten AXA
in der Welt der IT
Pressearbeit
Messeauftritt
Produktentwicklung
AXA Versicherung AG – Seite 2 - Dirk Kalinowski
Cyber-Team
Vorträge
Kundenveranstaltungen
Ein Gedankenexperiment
Was wäre, wenn Sie morgen früh Ihr Unternehmen betreten und
kein Computer fährt hoch,
keine Kasse funktioniert,
Sie können keine Emails senden oder empfangen,
keine Lagersysteme bedienen,
die Produktion läuft nicht,
die Webseite ist offline?
Was, wenn dies nicht nur ein oder zwei Stunden anhält, sondern auch
nach drei Tagen die Systeme nicht wiederhergestellt sind?
Was, wenn danach die Systeme langsam wieder anlaufen, aber alle
Daten gelöscht sind: Bestellungen, Kundendatenbanken, Entwürfe,
CAD-Daten, Lagerlisten etc.?
Was, wenn das Rückspielen der Datensicherung nun nicht mehr
funktioniert?
Und wenn Sie dann Ihre Versicherung fragen:
Ist das denn versichert?
AXA Versicherung AG – Seite 3 - Dirk Kalinowski
Klassische
Schäden
AXA Versicherung AG – Seite 4 - Dirk Kalinowski
Feuer im RZ von Samsung
19.04.2014:
Brand in RZ von Samsung in Gwacheon, Südkorea
http://www.engadget.com/2014/04/20/samsung-com-outage-sds-fire/
Weltweite Auswirkung bei Nutzern von Samsung Geräten
Twitter-Bilder und koreanisches Fernsehen zeigen heftiges
Feuer mit starker Rauchentwicklung
Keine Personenschäden
Ursache vermutlich in USV-Anlage
Meldungen über Brände in RZ sehr selten!
AXA Versicherung AG – Seite 5 - Dirk Kalinowski
Auswirkung eines IT-Schadens
Beispiel: Blitz legt Rechenzentren lahm
Situation
Zwei große Rechenzentren mit optimalen Vorsorgemaßnahmen.
Verfügbarkeit von 99,95 Prozent wird garantiert!
Schadenereignis
Gewitter mit Blitzeinschlag: Blitz traf Transformator in der Nähe der RZ – Explosion
als Folge – umfassende Schäden.
Die Generatoren, die im Notfall hätten automatisch einspringen sollen, konnten nicht
genutzt werden.
Komponente, die für Synchronisation zwischen Stromversorgung und
Notstromgenerator verantwortlich war, wurde durch Explosion beschädigt. Ohne
Synchronisation ist eine Übernahme durch die Generatoren nicht möglich.
AXA Versicherung AG – Seite 6 - Dirk Kalinowski
Auswirkung eines IT-Schadens
Beispiel: Blitz legt Rechenzentren lahm
Auswirkung
Teile einer Cloud-Computing-Plattform sowie eines Online Service nicht erreichbar.
Durch den kompletten Stromausfall in den Rechenzentren waren die
Dienste für 2 Stunden vollständig nicht erreichbar.
Nach rund 12 Stunden waren erst 60 % der Server wieder erreichbar.
AXA Versicherung AG – Seite 7 - Dirk Kalinowski
Schadenbeispiele
Planungsfehler Klimaanlage
Situation
Klimaanlage mit redundanter Pumpensteuerung für 2 Pumpen
Schadenereignis
Trotz Defekts einer Pumpe sprang die 2. Pumpe (als Redundanz) nicht an,
da Planungsfehler der Pumpensteuerung
Auswirkung
Temperaturerhöhung im RZ mit Ausfall von Festplatten
Schadenhöhe: 50.000 € Hardware
150.000 € Software
(Kunde wollte keine Software-Versicherung abschließen)
AXA Versicherung AG – Seite 8 - Dirk Kalinowski
Schadenbeispiele
Fehlerhafte Wartung einer USV
Situation
Wartung einer USV durch Techniker
Schadenereignis
Technikern sind Fehler unterlaufen.
Der Ablaufplan der Wartung wurde nicht beachtet
Auswirkung
Mainboard des Hauptrechners wurde durch
Überspannung irreparabel beschädigt,
ebenso diverse Bladeserver
Schadenhöhe: 30.000 € Hardware
AXA Versicherung AG – Seite 9 - Dirk Kalinowski
Schadenbeispiele
Überspannung im Festplattenraid
Situation
Festplattenraid im RZ
Schadenereignis
Ein Defekt im Netzteil führte zur Überspannung
im Raidsystem
Auswirkung
Alle im Raid befindlichen Festplatten erlitten
einen Überspannungsschaden an der Elektronik.
Es entstand ein kompletter Datenverlust!
Schadenhöhe: 30.000 € Hardware
enorm* € Software
(*da keine Datensicherung durchgeführt wurde)
AXA Versicherung AG – Seite 10 - Dirk Kalinowski
Reine
„Software“-Schäden
AXA Versicherung AG – Seite 11 - Dirk Kalinowski
Angriff auf Traveltainment
Was war passiert?
April 2013: zielgerichteter Angriff auf statische „Booking Engine“
der Amadeus-Tochter Traveltainment (bei vielen Online-Reisebüros
eingesetzt)
Vermutlich durch Spionage-Software auf einem Web-Server
Diese installiert sich dann auch im Web-Browser des Urlaubers
Weitere mögliche Schwachstellen könnte Lesen von Kreditkarten-Daten
ermöglicht haben
Schutzmaßnahmen:
Traveltainment nutzt israelische Firewall, deren Wartung 250.000 €/a kostet
PCI1-Zertifizierung stand kurz vor Abschluss
Angriff erfolgte nicht auf das PCI-zertifizierte RZ von Amadeus in Erding Hierauf greifen stationäre Reisebüros zu
1
PCI = Payment Card Industrie
AXA Versicherung AG – Seite 12 - Dirk Kalinowski
Angriff auf Traveltainment
Folge:
60 Lizenznehmer betroffen mit hunderten Online-Präsenzen,
die Traveltainment-IBE nutzen
Über die Zahl der ausgespähten Kreditkartendaten keine Information
Zahlreiche Kreditkarten wurden gesperrt, zum Teil nach Ankunft
am Urlaubsort
Imageschäden für die Buchungsportale
Evtl. Schadenersatzforderungen der Finanzdienstleister
AXA Versicherung AG – Seite 13 - Dirk Kalinowski
Ausfall Webshop
Was war passiert?
IT-Dienstleister betreut Internetauftritt eines größeren
Elektronik-Versandhandels (Web-Hosting)
Aufgrund hohen Zugriffs am Ostermontag wurde der „Notfallshop“
aktiviert
Fehler bei Download
Folge:
Verlinkung führte auf falsche Seiten
Warenkörbe gehen komplett verloren etc.
Ausfallzeitraum 13.00 bis 22.00 Uhr, entspricht 85 % der Gesamt-Auftragseingänge
Kosten:
Entgangener Bruttoumsatz bei ca. 658 T€
Damit ein Deckungsbeitrag-Ausfall von ca. 152 T€
Neukundenverluste
Kompensationsgeschäft in nachfolgenden Tagen
Schaden konnte mit 40 T€ geschlossen werden
AXA Versicherung AG – Seite 14 - Dirk Kalinowski
Ausfall durch falsches Update
Großunternehmen (Kfz-Hersteller) lagert RZ-Betrieb aus
Altanlagen werden von neuem Betreiber übernommen und 1:1 weiterbetrieben
An einem Switch, der eine Reihe von Festplatten ansteuert, wird nach einiger Zeit ein
Leistungsdefizit festgestellt
Hardware-Hersteller empfiehlt Aufspielen des Updates (Vorgang war aber nicht
freigegeben)
Betreiber des RZ war nicht vollständig informiert (ging von Freigabe aus)
Risiko falsch eingeschätzt
Update erfolgt bei laufendem Betrieb
Produktionssystem stürzt beim Aufspielen ab
Redundantes System war nicht vorhanden (nicht beauftragt aus Kostengründen) –
hätte Schaden vermieden
Ausfallschaden von 5 Mio. € beklagt
AXA Versicherung AG – Seite 15 - Dirk Kalinowski
Auswirkung eines IT-Schadens
Datenverlust / Kosten
2010 kostete ein verlorener Datensatz durchschnittlich 138 €,
in 2011 bereits 146
€
Nach Datenpannen mussten deutsche Firmen im Jahr 2011
durchschnittlich 3,4
beseitigen
Mio. €* aufwenden, um den Schaden zu
Für die Entdeckung und De-Eskalation bei Datenpannen gaben
Unternehmen in 2011 durchschnittlich 890.000
€ aus
* Zu den Kosten werden gerechnet: Aufdeckung, Rufschädigung, Aktienkursverluste,
gestohlene Werte, Schadenbeseitigung, Systemausfälle)
Quelle: Ponemon Institut für Symantec „2011 Cost of Data Breach Study“
AXA Versicherung AG – Seite 16 - Dirk Kalinowski
Auswirkung eines IT-Schadens
Ausfallzeit / Kosten
Ausfallzeit
Ursache
Durchschnitt
Virus
Fehlalarm
Gezielter Angriff
Kosten
max.
Durchschnitt
max.
17 h
400 h
18.990 €
1 Mio. €
9h
150 h
1.318 €
20.000 €
130 h
4.000 h
12.716 € 350.000 €
Quelle: <kes>/Microsoft-Sicherheitsstudie 2010
AXA Versicherung AG – Seite 17 - Dirk Kalinowski
Zum Umgang mit
IT-Risiken
AXA Versicherung AG – Seite 18 - Dirk Kalinowski
Vielfältige und neuartige
Bedrohungen für RZ-Betreiber
Schutzgesetze
Manipulation /
Betrug
IT-Ausfall
Schadsoftware
Spionage
Haftpflichtansprüche
Datenverlust
AXA Versicherung AG – Seite 19 - Dirk Kalinowski
Risikomanagement
vermeiden
vermindern
AXA Versicherung AG – Seite 20 - Dirk Kalinowski
versichern
Risikoidentifikation
Der Risiko-Check IT
Leitfaden für die Identifizierung von IT-Risiken im Unternehmen
Konkretisierung durch Abschätzung der möglichen Schadenhöhe
Gesprächsleitfaden
Download unter www.axa.de/it-check
AXA Versicherung AG – Seite 21 - Dirk Kalinowski
Risikoanalyse und -bewertung
Risikomatrix
AXA Versicherung AG – Seite 22 - Dirk Kalinowski
RISIKOMATRIX für Rechenzentren
AXA Versicherung AG – Seite 23 - Dirk Kalinowski
Zur Versicherbarkeit
von IT-Risiken
AXA Versicherung AG – Seite 24 - Dirk Kalinowski
„Klassische“ Versicherungsmöglichkeiten
Potentielles Risiko
Versicherungsmöglichkeit
Ausfall der IT durch einen
Sachschaden (z. B. Brand,
Fehlbedienung, Vandalismus)
Sachversicherung, z. B. Elektronikversicherung inkl. Betriebsunterbrechungsversicherung
Zielgerichtete
DoS- bzw. Hacker-Attacke
Geheimnisverrat
VertrauensschadenV:
Kosten für Wiederherstellung und
Mehrkosten sowie unmittelbarer Schaden
(Beispiel: Telefonhacking)
Löschung oder Veränderung
von Daten
Elektronik- (bzw. Software-)V
Bei Vorsatz: VertrauensschadenV
Verstoß gegen Datenschutzgesetz
RechtsschutzV
HaftpflichtV
(auf Ausschlüsse achten!)
AXA Versicherung AG – Seite 25 - Dirk Kalinowski
Übersicht Versicherungen
BetriebshaftpflichtV: „Internet-Zusatzbaustein“
IT-Haftpflichtversicherung (RZ für Dritte / IT-Dienstleistung)
Feuerversicherung / Inhaltsversicherung
ElektronikV, inklusive:
Softwareversicherung
Betriebsunterbrechung
VertrauensschadenV (enthält „Online-Betrug“)
RechtsschutzV: Rechtsverfolgungskosten, Strafrechtsschutz
NEU! Cyber-Versicherung
AXA Versicherung AG – Seite 26 - Dirk Kalinowski
Übersicht Versicherung
RZ
eigenes
Fremde
Daten
HaftpflichtV
Eigene
Daten
extern
Eigene
Daten
Cyber-Versicherung
ByteProtect
ElektronikV
BU
Datenschutz
Löschung
Haftpflicht
AXA Versicherung AG – Seite 27 - Dirk Kalinowski
ElektronikV
AXA Versicherung AG – Seite 28 - Dirk Kalinowski
BU
Datenschutz
Elektronikversicherungen Überblick
ElektronikSachversicherung
Datenversicherung
Softwareversicherung
Mehrkostenversicherung
Betriebsunterbrechungsversicherung
AXA Versicherung AG – Seite 29 - Dirk Kalinowski
Elektronikversicherung - Sachkosten
Versicherte Sachen
Hardware
Klimaanlage
Betriebssystem
Versicherungssumme
Neuwert (Listenpreis)
AXA Versicherung AG – Seite 30 - Dirk Kalinowski
Elektronikversicherung – Sachkosten
Versicherte und nicht versicherte Schäden
Versichert:
Nicht versichert:
Feuer, Blitzschlag, Explosion
Einbruchdiebstahl
Leitungswasser
Wasser jeglicher Art, inklusiv
Überschwemmung
Unsachgemäße Handhabung
Bedienungsfehler
Vorsatz Dritter
Überspannung jeglicher Art
Konstruktions-, Material- oder
Ausführungsfehler
Einbruchdiebstahl
Diebstahl ‚einfacher‘
Raub
Plünderung
Vorsatz des Versicherungsnehmers
Vorsatz der Repräsentanten
Kriegsereignisse
Innere Unruhen
Erdbeben
AXA Versicherung AG – Seite 31 - Dirk Kalinowski
ElektronikDaten- und Softwareversicherung
Datenversicherung TK 1911
Softwareversicherung TK 1928
Entschädigung, sofern der Verlust, die Veränderung oder die Nichtverfügbarkeit von Daten
oder Programmen eingetreten ist infolge:
Schaden am Datenträger
Schaden an der EDVA
Blitzeinwirkung
Schaden am Datenträger
Schaden an der EDVA
Blitzeinwirkung
Ausfall oder Störung der Hardware,
der Stromversorgung oder der
Klimaanlage
Bedienungsfehler
Vorsatz Dritter
Überspannung
Elektrostatische Aufladung
Elektromagnetische Störung
aber nicht durch
Malware
AXA Versicherung AG – Seite 32 - Dirk Kalinowski
ElektronikMehrkostenversicherung
Versichert sind die im Versicherungsvertrag bezeichneten
zeitabhängigen Mehrkosten,
insbesondere für
die Benutzung anderer Anlagen
zeitunabhängigen Mehrkosten,
insbesondere für
einmalige Umprogrammierung
Umrüstung
die Anwendung anderer
Arbeitsverfahren
die Inanspruchnahme von
Lohn-Dienstleistungen
behelfsmäßige
Wiederinstandsetzung
vorläufige Wiederinstandsetzung
AXA Versicherung AG – Seite 33 - Dirk Kalinowski
ElektronikBetriebsunterbrechungsversicherung
Entschädigung für
fortlaufende (umsatzunabhängige) Kosten
und
entgangenen Gewinn
als Folge eines Sachschadens
AXA Versicherung AG – Seite 34 - Dirk Kalinowski
Cyber-Versicherung
„ByteProtect“
AXA Versicherung AG – Seite 35 - Dirk Kalinowski
Cyber-Versicherung
Deckungsumfang
Welche Deckungsbestandteile beinhalten heutige CyberVersicherungen?
Ertragsausfall und Mehrkosten
Sachverständigenkosten (z. B. Forensik)
Datenwiederherstellung
Krisen- und Reputationsmanagement
Informationskosten bei Datenschutzverletzungen
Lösegeld bei Erpressung
Betrugsschaden (Vertrauensschaden)
Vermögensschaden-Haftpflicht
aufgrund
AXA Versicherung AG – Seite 36 - Dirk Kalinowski
Deckungsumfang ByteProtect
Beispiel: Ertragsausfall
Versichert sind
Ertragsausfall
Mehrkosten
aufgrund Unterbrechung oder Beeinträchtigung der technischen
Einsatzmöglichkeit externer Netze sowie Daten und Programme
Aufgrund folgender Ereignisse
DoS-Attacke
Zielgerichteter Hacker-Angriff
Bedienungsfehler eigener Mitarbeiter
Vorsätzliche Manipulation durch eigene Mitarbeiter
Ausfall Telekommunikation oder Webseite
Ausfall des IT-Dienstleisters (bzw. des Zugangs)
AXA Versicherung AG – Seite 37 - Dirk Kalinowski
Nutzenaspekte von ByteProtect
Betriebsunterbrechung weil Daten und Programme nicht zur Verfügung stehen:
Übernahme der laufende Kosten, Gewinnverlust sowie von Mehrkosten, SachverständigenUntersuchung, IT-Beratung
Auch bei Ausfall der Telekommunikation
Auch bei Fehlern oder bewusster Manipulation eigener Mitarbeiter
Auch bei Ausfall externer IT-Dienstleister(Cloud)
Befall der EDV mit Schadsoftware:
Übernahme der Kosten für Sachverständigen-Untersuchungen und –Beratung sowie von
Haftpflichtansprüchen Dritter
Datenschutzvorfall:
Übernahme von Kosten für Forensik, Information von Behörden und betroffenen Personen,
Reputationsmanagement, Krisenberatung, Rechtsberatung, Haftpflichtansprüche
Betrug oder Erpressung:
Übernahme der Vermögensverluste bzw. des Lösegeldes, Kosten für Forensik, Krisen- und
Rechtsberatung
Datenverlust/-inkonsistenz durch Aktivität von Schadprogrammen oder Hackern von außen:
Übernahme von Kosten für Sachverständige, Beratung zur IT-Sicherheit, Datenwiederherstellung
bzw. Erwerb von Lizenzen
Spionage:
Übernahme von Kosten für Forensik, Rechts- und Krisenberatung
Haftpflichtansprüche aufgrund Manipulation von Webseite, Schadcodeübertragung etc.:
Übernahme von Abwehrkosten, Ausgleich von Ansprüchen, Kosten für Forensik
Auch bei Fällen in den USA!
Auch für Urheberrechtsverletzungen!
AXA Versicherung AG – Seite 38 - Dirk Kalinowski
Was erwartet der Versicherer von Ihnen?
1. Schadenminderung („Stand der Technik“) = Pflicht!
- Zur Vorbeugung
- Im Schadenfall: z. B. Notfall-/Wiederanlaufplan!
2. Schadenminderung
3. Schadenminderung
4. Obliegenheiten:
Datensicherung
AV/Firewall
Rauchmelder / ED-Schutz
5. Beeinflussung der Prämienhöhe?
Unterdurchschnittliche Risikoabsicherung: Versicherbarkeit?
Überdurchschnittliche Risikoabsicherung: Prämienreduzierung?
AXA Versicherung AG – Seite 39 - Dirk Kalinowski
Was sollen Sie als RZ-Leiter
heute mitnehmen?
1.
2.
3.
4.
5.
Betrachten Sie auch die wirtschaftliche Seite des IT-Risikos –
insbesondere bei Kalkulation des Ausfall-Risikos
(eigenes und das Dritter)
Unterstützen Sie die kompetente Erstellung eines unternehmerischen
RM-Systems (z. B. Risiko-Check IT der AXA, Erstellung einer
Risikomatrix) - Suchen Sie den Dialog zwischen kaufmännischer Leitung
und IT-Leitung! - Angebot eines moderierten Risiko-Workshops!
Beraten Sie die GF bei der angemessenen Auswahl der
Risikobewältigungsmaßnahmen, auch des Versicherungsschutzes –
denken Sie dabei an die neuen Versicherungsmöglichkeiten (Cyber /
sachschadenunabhängige BU)
Stellen Sie sicher, dass Obliegenheiten und Deckungsvoraussetzungen
des Versicherers eingehalten werden, um im Schadenfall die Deckung
nicht zu gefährden – kennen Sie die Versicherungsbedingungen?
Helfen Sie mit, die Risikosituation gegenüber dem Versicherer korrekt
und vollständig darzustellen, um Prämie zu sparen
AXA Versicherung AG – Seite 40 - Dirk Kalinowski
Vielen Dank
für Ihre Aufmerksamkeit
AXA Versicherung AG – Seite 41 - Dirk Kalinowski
Visitenkarte
AXA Versicherung AG
Dirk Kalinowski
Produktmanager IT und Cyber
Colonia-Allee 10 – 20, 51067 Köln
Tel.: +49 (0)221 / 148- 21330
Email: dirk.kalinowski@axa.de
AXA Versicherung AG – Seite 42 - Dirk Kalinowski
Document
Kategorie
Technik
Seitenansichten
5
Dateigröße
1 971 KB
Tags
1/--Seiten
melden