Versicherungswirtschaft-heute

          Mobilversion

 

- Anzeige -

Equifax: Wie Versicherer für den Datenklau haften

11.09.2017 – Cyberattacke, Hacker, Cyber - quelle GDVBei einem Hackerangriff auf den US-Finanzdienstleister Equifax haben die Täter in großem Stil Sozialversicherungs- oder Kreditkartennummern erbeutet. Die Attacke sei von Mitte Mai bis Juli dieses Jahres erfolgt und betreffe womöglich 143 Millionen US-Verbraucher, teilte die Wirtschaftsauskunftei mit. Anleger wie auch Versicherer reagierten nervös. Denn der Cyberschaden könnte zur einer D&O-Klage führen.

Der Vorfall sei am 29. Juli bei einer internen Untersuchung festgestellt, die Sicherheitslücke danach sofort geschlossen worden, erklärte die Firma. Auch einige Kunden aus Kanada und Großbritannien seien in geringerem Umfang betroffen. Man habe die Aufsichtsbehörden informiert und externe Spezialisten mit einer forensischen Prüfung beauftragt. Es sei noch zu früh, um die Kosten zu beziffern.

Equifax ist das größte der drei bedeutenden Credit Bureaus, die umfangreiche Daten über das Gebaren aller Verbraucher sammeln. Die Credit Bureaus nutzen die Credit History und andere Daten, um für jeden Verbraucher verschiedene Credit Scores zu berechnen. Diese Kennzahlen werden dann an Firmen, potenzielle Vermieter und Arbeitgeber verkauft. Ein schlechter Credit Score, auch wenn er auf falschen Angaben beruht, führt dazu, dass die Verbraucher Probleme haben, mögliche Kaufverträge z.B. für ein Mobilfunkgerät abzuschließen.

Schon 2013 sollen bei Equifax laut US-Medien Finanzdaten und persönliche Informationen von US-Prominenten entwendet worden sein. Laut Equifax besitzen die Hacker jetzt Datensätze von über 143 Millionen US-Amerikaner mit deren Namen, lebenslang gültigen Sozialversicherungsnummern, Geburtsdaten, Adressen und teilweise auch Führerscheindaten. Dazu kommen die Kreditkartennummern von 209 Millionen US-Amerikanern. “Das ist natürlich ein enttäuschendes Ereignis für unsere Firma”, sagte CEO Rick Smith. “Es trifft das Herz dessen, was wir sind und was wir tun. Ich entschuldige mich bei Verbrauchern und unseren Geschäftskunden für die Sorgen und Frustrationen, die das verursacht.”

Der Ruf ist ruiniert, auch wenn eine Police den Schaden ersetzt

Smith bangt um seinen Job, das Unternehmen kämpft ums Überleben. Der Schaden ist größer als bei dem Hackerangriff auf die Handelskette Target aus dem Jahr 2013. Dieser betrug 300 Mio. US-Dollar, wovon ein Drittel die Versicherer übernahmen. Allerdings waren dort vergleichsweise wenig Daten abhanden gekommen, etwa 40 Mio. Kreditkartennummern.

Bei Heartland Payment Systems entstand ein Schaden von 110 Mio. Dollar, nach einem Diebstahl von 130 Millionen Kreditkarten-Informationen. Bei Wyndham Hotels wurden 2010 etwa 600.000 kundenbezogenen Daten entwendet. All diese Fälle hatten auch Auswirkungen auf die CEOs. Sie erhielten auf dem Wege einer abgeleiteten Aktionärsklage, der sogenannten “derivative shareholder action”, die Klage mit der Begründung für einen vorausgegangenen Cyberschaden zumindest mitverantwortlich gewesen zu sein. Der Vorwurf in der Anklage lautete jeweils, dass die Geschäftsführung keine ausreichenden Sicherheitsmaßnahmen zur Verhinderung von Hackerangriffen/Datenklau getroffen hätte. Bislang wurden alle Klagen jedoch abgewiesen.

Michael Unglaub, Manager Financial Lines (MLC/Crime) für den Bereich Industrie­kunden, und Thomas Lange, Senior Underwriter im Financial Institutions-Team, (beide bei AIG in der DACH-Region tätig) glauben: “Eine Klageabweisung in diesen Fällen bedeutet jedoch unter keinen Umständen, dass für die D&Os von US-Unternehmen Entwarnung gelten kann. Anhand der gestiegenen Zahl an Klagen ist vielmehr auch weiterhin mit großer Unsicherheit für die Organe zu rechnen.”

Für die Risikomanager sind die Klagen in den USA unter anderem deshalb interessant, weil sie sich auch in Deutschland darauf einstellen müssen, dass aus einem Cyber-Schaden zwei Schadenszenarien entstehen können. “Zunächst der Cyber-Schaden, der in der Folge einen D&O-Schaden wegen Organisations- und Überwachungsverschuldens nach sich zieht. Das Schadenereignis könnte also sowohl die Cyber- und als auch die D&O-Police potenziell triggern. Daher muss dies im Rahmen der Kumulkontrolle bereits beim Underwriting der Versicherer/Rückversicherer berücksichtigt werden. Auch wenn am Ende eine Haftung der Organe abgelehnt wird, fallen im Rahmen der D&O-Police gedeckte Abwehrkosten an”, schreiben Unglaub und Lange in der Versicherungswirtschaft. (vwh/dg)

Bildquelle: GDV

Autor:
- Anzeige -
- Anzeige -
- Anzeige -

 

VVW | Kontakt | AGB | Datenschutzerklärung | Impressum | Mediadaten