Versicherungswirtschaft-heute

          Mobilversion

 


- Anzeige -

D&O: Manager können für Cyber-Angriffe haften

17.05.2017 – Zeit Uhr Manager Krawatte Stephanie Hofschlaeger_pixelio.deVon Michael Unglaub und Thomas Lange, beide für AIG tätig: Cyberhacks und Datenschutzvorfälle entwickeln sich für die D&Os zunehmend zu einem scheinbar grenzenlosen Haftungsrisiko. In den USA gibt es bereits eine Klagewelle, wonach eine D&O-Police für den entstanden Cyber-Schaden aufkommen muss, weil die Geschäftsführung keine ausreichenden Sicherheitsmaßnahmen zur Verhinderung von Hackerangriffen/Datenklau getroffen hat.

Besondere Aufmerksamkeit hat hier sicherlich das ergangene Urteil des US District Court of Georgia, File no.1.15 CV-2999-TWT, zur Haftung der Organe für einen dem Unternehmen entstandenen Vermögensschaden, verdient, dem ein Cyber Schaden/Datenverlust vorausgegangen war. Home-Depot, die größte Baumarktkette der Welt, wurde im September 2014 Opfer eines besonders hinterhältigen Hacks. Cyberkriminelle hatten es geschafft, Malware in das Kassensystem von über 2.000 Filialen einzuschleusen. Die Folge davon: 56 Millionen Kreditkarteninformationen von Bürgern der USA und Kanada wurden direkt bei der Zahlung in den Home-Depot Filialen entwendet. Darüber hinaus fielen auch noch 53 Millionen E-Mail-Adressen in die Hände der Hacker. Der Schaden für das US-Unternehmen wird auf rund 62 Mio. US-Dollar beziffert.

Das Gericht lehnte in diesem speziellen Fall eine Haftung der D&Os ab, weil es regelmäßige Cybersecurity-Reports durch ein vom Management eingesetztes Audit-Committee gab. Zudem gab es nachweislich bereits vor dem Angriff einen Vorstandsbeschluss, mögliche Sicherheitslücken aufzudecken und zu beheben. Obwohl die Durchführung dieses Beschlusses eher langsam umgesetzt wurde, bewegten sich die D&Os noch im Rahmen der “Business Judgment Rule”, so dass sich eine Haftung nicht begründen ließ. Auch konnten die Kläger nicht nachweisen, dass die D&Os ihren Berichtspflichten in Bezug auf Ad-hoc-Mitteilungen und dezidierten Geschäftsberichten hinsichtlich der Sicherheitsschwächen des Unternehmens sowie der daraus resultierenden Konsequenzen nach dem Cyber-Angriff nicht ausreichend nachgekommen sind.

Gerichte werden Präzedenzfall schaffen

Dieser Fall steht exemplarisch für viele weitere Klagen, denen sich D&Os in den USA in den letzten Jahren zunehmend stellen müssen. Zu nennen sind hier sicher auch Heartland Payment Systems 2008, mit einem Diebstahl von 130 Millionen Kreditkarten-Informationen und einem Schaden von 110 Mio. Dollar; Wyndham Hotels 2010, mit einem Diebstahl von 600.000 kundenbezogenen Daten; Target 2013, mit einem Diebstahl von 70 Millionen kundenbezogenen Daten und 40 Millionen Kreditkarteninformationen inklusive zugehöriger PINs und Wendy’s 2017, die Malware im Kassensystem von 1.000 Filialen entdeckten.

Alle D&Os erhielten auf dem Wege einer abgeleiteten Aktionärsklage, der sogenannten “derivative shareholder action”, die Klage, mit der Begründung, für einen vorausgegangenen Cyberschaden zumindest mitverantwortlich gewesen zu sein. Der Vorwurf in der Anklage lautete jeweils, dass die Geschäftsführung keine ausreichenden Sicherheitsmaßnahmen zur Verhinderung von Hackerangriffen/Datenklau getroffen hätte. Bislang wurden alle Klagen abgewiesen: die Klage gegen Wendy‘s aus dem Jahr 2017 ist noch schwebend. Eine Klageabweisung in diesen Fällen bedeutet jedoch unter keinen Umständen, dass für die D&Os von US-Unternehmen Entwarnung gelten kann. Anhand der gestiegenen Zahl an Klagen ist vielmehr auch weiterhin mit großer Unsicherheit für die Organe zu rechnen.

Intensive Berichtspflichten mit erheblichen Auswirkungen

Wie sieht die  Situation in Deutschland aus? Neben dem durch das IT-Sicherheitsgesetz obligatorischen Meldung von IT-Sicherheitsvorfällen werden zudem Mindeststandards für die IT-Sicherheit bei den Betreibern solcher IT-Infrastrukturen branchenweit festgelegt. Dazu sollen die Branchen selbst solche Standards entwickeln, die dann vom Bundesamt für Sicherheit genehmigt werden. Zur Umsetzung der Sicherheitsstandards haben die Unternehmen zwei Jahre Zeit, also bis Juli 2017. Danach sollen die Unternehmen alle zwei Jahre nachweisen, dass sie die Anforderungen noch erfüllen. Für Deutschland gilt zudem die EU-Datenschutz- Grundverordnung (EU-DSGVO), die ab dem 25. Mai 2018 umzusetzen ist.

Die oben genannten, in Deutschland geltenden Vorschriften sind Schutzgesetze im Sinne von § 823 Abs. 2 BGB. Daraus ergeben sich wegen eines Organisations- und/oder Kontrollverschuldens verschärfte Haftungslagen für die D&Os im Innen- und Außenverhältnis. Dies gilt sicher nicht nur für Organe von “gefährdeten” Infrastrukturen im Sinne des IT-Sicherheitsgesetzes. Cyber-Attacken und Datenverluste können auch Maßnahmen von Regulierungsbehörden und einen
Aktienkursverfall nach sich ziehen. Wichtig für Unternehmen ist also nicht nur, ein gutes Risikomanagement in Bezug auf die Cyber-Sicherheit zu haben, sondern auch in Betracht zu ziehen, das Unternehmensrisiko Cyber im Geschäftsbericht darzulegen und etwaige Angriffe auf die IT-Sicherheit zeitnah über Ad-hoc-Mitteilung zu kommunizieren. Dies gilt insbesondere für publizitätspflichtige Unternehmen.

Für die Risikomanager sind die Klagen in den USA unter anderem deshalb interessant, weil sie sich auch in Deutschland darauf einstellen müssen, dass aus einem Cyber-Schaden zwei Schadenszenarien entstehen können. Zunächst der Cyber-Schaden, der dann in der Folge einen D&O-Schaden wegen Organisations- und Überwachungsverschuldens nach sich zieht. Das Schadenereignis könnte also sowohl die Cyber- und als auch die D&O-Police potenziell triggern. Daher muss dies im Rahmen der Kumulkontrolle bereits beim Underwriting der Versicherer/Rückversicherer berücksichtigt werden. Auch wenn am Ende eine Haftung der Organe abgelehnt wird, fallen im Rahmen der D&O-Police gedeckte Abwehrkosten an.

bestellen_vwhLesen den vollständigen Beitrag “Top-Manager unter digitalem Druck” in der aktuellen Ausgabe der Versicherungswirtschaft.

Michael Unglaub ist Manager Financial Lines (MLC/Crime) für den Bereich Industriekunden. Thomas Lange ist Senior Underwriter im Financial Insitutions-Team. Beide sind für AIG in der Dach-Region tätig.

Bildquelle: Stephanie Hofschlaeger / PIXELIO / www.pixelio.de

- Anzeige -
- Anzeige -
- Anzeige -
- Anzeige -

 

VVW | Kontakt | AGB | Datenschutzerklärung | Impressum | Mediadaten