Das exali.de-Team beim 4. Hiscox Haftpflichttag: Datenrisiken von Unternehmen
Wenn im Frühjahr der Ruf nach München eilt, dann ist auch das exali-Team mit von der Partie: Zum vierten Mal veranstaltete der Spezialversicherer Hiscox kürzlich seinen Haftpflichttag in der bayerischen Hauptstadt. Eine Veranstaltung, bei der sich jedes Jahr zahlreiche Vertreter, Referenten und Experten der Versicherungsbranche treffen und über aktuelle Themen austauschen. So auch dieses Mal: Der 4. Hiscox Haftpflichttag stand ganz im Zeichen von Datenrisiken für Unternehmen und deren Absicherung. Dazu hatte der Spezialversicherer Experten geladen, die mit ihren Vorträgen zum Thema informierten.
Datenschutzverstöße von Unternehmen: Schadenskosten in Millionenhöhe
IT-Forensik: Auf Spurensuche am elektronischen Tatort
Krisenmanagement und Krisenkommunikation
Datenschutzrechtliches und zivilrechtliches Haftungsrisiko
Fazit des exali-Teams – Bildergalerie auf Facebook
Schäden durch Datenraub um 70 Prozent gestiegen
Insgesamt sieben Mal wurde der Gigant Sony Opfer von kriminellen Cyber-Attacken, die es auf die Daten des Unternehmens abgesehen hatten. Nur wenige Tage nach der Veranstaltung der Hiscox sorgte die Hackergruppe Swagg Security für Schlagzeilen: Bei einem Hack in die IT-Systeme des taiwanischen Auftragherstellers Foxconn Electronis erbeutete sie Passwörter, mit denen Bestellungen für Unternehmen wie Microsoft, Apple, IBM, Intel und Dell ausgeführt werden können.
Und das sind nur zwei Beispiele für Unternehmen, die in der jüngsten Vergangenheit Opfer von Cyber-Attacken wurden.
In seinem Vortrag „Versicherungsschutz für Datenrisiken“ brachte Jens Krickhahn das Thema auf den Punkt: „Wussten Sie, dass mehr als jedes zweite Unternehmen schon einmal Ziel eines ernstzunehmenden Hacker Angriffs geworden ist und Schäden durch Datenraub um 70 Prozent gestiegen sind?“, richtete der Hiscox Underwriting Manager Technology, Media & Telecommunication die Frage an das Auditorium.
Aussagen, die ihre Wirkung bei den interessierten Zuhörern nicht verfehlten – und bewusst machten, wie schnell es in Unternehmen zu Datenschutzverstößen kommen kann.
So werden allein am Flughafen Charles de Gaulle in Paris durchschnittlich 733 Laptops als verloren und gestohlen gemeldet – und zwar pro Woche.
Datenschutzverstöße von Unternehmen: Schadenskosten in Millionenhöhe
Was im ersten Moment eher kurios klingt, auch diese Zahl zeigt: Die Cyberrisiken von Unternehmen sind gestiegen – und damit die Gefahr, dass Daten gezielt durch Hacker-Angriffe, Viren, gestohlene USB-Sticks oder einfach durch einen unachtsam liegengelassenen Laptop plötzlich in die falschen Hände geraten.
Datenschutzrechtliche Vorfälle, die eine ganze Lawine an teuren Konsequenzen für das betroffene Unternehmen auslösen können, wie Hiscox-Experte Jens Krickhahn skizierte:
- Kosten für diverse forensische Analysen,
- Kosten für Rechtsberatung und Rechtsbeistand,
- Kosten für gesetzliche Informationspflichten sowie
- Kosten für Media und PR-Arbeiten.
Dazu kommen, wie bei einem traditionellen Schaden natürlich auch, Schadenersatzforderungen von Dritten (Vermögensschäden), etwa infolge einer Persönlichkeitsverletzung durch den Verlust privater Daten. Gerade im Bereich E-Commerce können auf diese Weise Schäden in Millionenhöhe entstehen – man denke nur an die Payment Card Industry.
So liegen laut Krickhahn allein die Kosten zur gerichtsverwertbaren Identifikation personenbezogener Daten auf einem abhanden gekommenen Laptop (Stichwort: IT-Forensik) bei rund 10.000,00 Euro. Die durchschnittlichen Rechtsverteidigungskosten eines Unternehmens für einen Datenschutzverstoß können bei 500.000 Euro angesiedelt werden. Mit rund einer Million schlagen die durchschnittlichen Ansprüche von Dritten nach einem Datenschutzverstoß zu Buche – um nur einige Zahlen zu nennen.
Eine ganze Flut an Kosten, für die es nicht einmal einen berechtigten Anspruch braucht, wie Experte Jens Krickhahn erklärte. So genüge bereits der reine Verdacht auf einen Datenschutzverstoß, um einen typischen Schadenkreislauf auszulösen. Dies kann zu Problemen mit einer herkömmlichen Vermögensschadenhaftpflichtversicherung führen, denn diese leistet in aller Regel erst, wenn ein nachweisbares Verschulden des Unternehmens vorliegt.
Mögliche Erpressungen durch Cyber-Kriminelle, unwiderruflich verlorenen Datensätze und Reputationsverluste des Unternehmens sind weitere schwerwiegende Konsequenzen. Dies ist auch vor dem Hintergrund zu sehen, dass Hackerangriffe nicht mehr von minderjährigen „Internetfreaks aus Imponiergehabe“ – sondern mittlerweile von Profis professionell und organisiert verübt werden.
IT-Forensik: Auf Spurensuche am elektronischen Tatort
Eine der wichtigsten Maßnahmen nach einem Cyber-Angriff bzw. einem Datendiebstahl ist die forensische Analyse (die Suche nach elektronischen Spuren), um das Geschehene gerichtsverwertbar festzustellen und zu dokumentieren.
Wie IT-Forensiker einen elektronischen Tatort sichern, darüber berichtete Frank Rustemeyer. In seinem Vortrag gab der Director System Security bei HiSolutions interessante Einblicke in die Arbeit des geheimschutzbetreuten Sicherheitsdienstes für IT-Governance, Risk & Compliance mit mehr als 15 Jahren operativer Erfahrung.
Services wie die Rechtsberatung und auch die IT-Forensik sind im Übrigen auch wichtiger Bestandteil der speziellen Hiscox Datarisk.
Krisenmanagement und Krisenkommunikation
Doch nicht nur die forensische Analyse ist wichtiger Teil des Prozesses nach einem Cyber-Angriff – dazu gehören auch Krisenkommunikation und Krisenmanagement.
Wie schnell Vorfälle im Zusammenhang mit Daten in Unternehmen zur ernstzunehmenden Krise werden können, darüber referierte Robin Kroha von HiSolutions. Der Director Corporate Security Management und Experte für Krisen- und Sicherheitsmanagement berichtete aus Erfahrung – und schilderte die Situation, wie sie in vielen Unternehmen vorzufinden ist: „Die meisten Firmen sind weder technisch noch organisatorisch auf Datendiebstahl vorbereitet. Die Erfahrung fehlt – genauso wie ein Krisenplan“.
Dabei gehöre zum Krisenmanagement einiges mehr, als lediglich die Sicherheitslücke im System zu schließen und die Sicherungskopien wieder ins System einzuspielen, so Robin Kroha: „Ein verseuchtes Backup ist kein Backup – sonder nur ein neues Problem“.
Datenschutzrechtliches und zivilrechtliches Haftungsrisiko
Die rechtliche Seite des Haftungs- und Schadenrisikos bei Datenvorfällen beleuchtete Rechtsanwältin Dr. Sibylle Gierschmann, Partner von Taylor Wessing Deutschland – einer der führenden internationalen Anwaltskanzleien.
Die Fachanwältin für Urheber- und Medienrecht erklärte, dass bei Verlust oder unberechtigtem Zugriff auf Daten durch Dritte (z.B. Hacker-Angriffen, insbesondere „Industriespionage“, „Diebstahl“ oder der unbefugten Veröffentlichung von Daten) neben dem immateriellen Schaden (Imageverlust) auch eine Haftung für Schäden Dritter sowie unmittelbare eigene Schäden drohen.
Eine Haftung, die sich sowohl aus dem Bundesdatenschutzgesetz (BDSG) ergibt, gemäß dem Verstöße in Zukunft mit empfindlichen Bußgeldern von bis zu 300.0000,00 Euro pro Fall als Ordnungswidrigkeit geahndet werden könnten, so die Expertin.
Zudem könnten Unternehmen natürlich auch zivilrechtlich in Haftung genommen werden, was Vertragsstrafen, Schadenersatzansprüche von Vertragspartnern wegen Pflichtverletzungen (Stichwort: Verstoß gegen Vertraulichkeit und Geheimhaltungspflichten), Kosten aufgrund von Persönlichkeitsrechtsverletzungen sowie Urheberechtsverstößen nach sich ziehe.
Sogar das Management in Person des Vorstand bzw. der Geschäftsführung könne persönlich haftbar gemacht werden, erklärte Dr. Sibylle Gierschmann. Dieser Punkt ist unbedingt hervorzuheben, denn viele Selbständige sind der Meinung, durch die Rechtsform der GmbH die persönliche Haftung ausgeschlossen zu haben.
Datarisks von Unternehmen – ein spannendes und hochaktuelles Thema
Schade, dass wir aus Gründen der gebotenen Kürze nicht den gesamten Inhalt der Experten-Vorträge auf der exali-Infobase präsentieren können. Denn das Thema Datarisks bzw. Datenrisiken von Unternehmen ist nicht nur spannend, sondern auch hochaktuell.
Und es zeigt, wie wichtig es, ist einen spezialisierten Versicherer an der Seite zu haben, der diese Risiken mit durchdachten Konzepten absichern kann.
Das Team von exali zumindest ist gespannt, wie sich das Thema „Schäden durch Cyber-Angriffe bzw. Datenverlust und deren Absicherung“ künftig weiterentwickelt – und freut sich auf nächstes Jahr, wenn es wieder heißt: Spannende Themen, interessante Vorträge und fruchtbarer Austausch mit Experten aus der Branche.
© Flora Anna Grass – exali AG