February 27, 2020
Cyberhaftung und damit verbundene Kosten können jedes Unternehmen vernichten. Ein einziger Cyber-Angriff in den USA kostet Unternehmen durchschnittlich 8,19 Millionen Dollar, so der von IBM.
Jüngste Schlagzeilen haben verdeutlicht, dass es keine bestimmte Branche oder Unternehmensgröße gibt, die als solche ein leichtes Ziel für Cyber-Kriminelle wäre. Das Gesundheitswesen, die Industrie, Medienunternehmen, der Einzelhandel, Behörden und viele kleine Unternehmen sind unter anderem Opfer von Cyberangriffen geworden. Im vergangenen Jahr verzeichnete der Cyber-Versicherungsmarkt einen deutlichen Anstieg von Schäden im Zusammenhang mit Ransomware (Erpressersoftware), sowohl in Bezug auf die Häufigkeit als auch auf die Schwere. Die Zunahme betraf besonders das verarbeitende Gewerbe und Chemieunternehmen. Auch ist die Zahl von Angriffen gestiegen, die Drittfirmen mit angeschlossenen Netzwerken in Mitleidenschaft zogen.
Von unseren gesamten Schadenfällen machten Social Engineering und Ransomware mehr als 60 % aus. Cyber-Schadenfälle resultieren jedoch nicht immer aus einem Angriff von Cyber-Kriminellen. Die Bedrohungsfaktoren und -mechanismen verändern sich in Bezug auf Komplexität und Intention. Dies führt zu einer Vielfalt von Schadenfällen, die É«¶à¶àÊÓƵmit verschiedenen Deckungsangeboten absichert.
Die folgenden Szenarien sind den Cyber-Schadenakten von É«¶à¶àÊÓƵentnommen:
Finanzdienstleistungen: Fehlgeleitetes Geld
Gesamtauszahlung: 225.000 US-Dollar
Deckungsbereich: Reaktion auf Datenschutzverletzungen und Krisenmanagement; Anerkennung von Social-Engineering- und Finanzbetrug
Ein Finanzdienstleistungsunternehmen wurde Opfer eines Social-Engineering-Ereignisses, das zu einer betrügerischen Überweisung von 200.000 US-Dollar führte. Konkret überwies das Unternehmen im Juni 2018 Gelder im Zusammenhang mit der Schließung einer Betriebsstätte. Der Finanztransfer erfolgte gemäß aktualisierten Anweisungen, die das Unternehmen angeblich von seinem Geschäftspartner erhielt. Als das Unternehmen einige Monate später vom vorgesehenen Empfänger darüber informiert wurde, dass er die Zahlung nicht erhalten hatte, stellte sich heraus, dass die Überweisung auf einem Betrug beruhte. Der Versicherungsschutz wurde im Rahmen der Vereinbarung zur Reaktion auf Datenschutzverletzungen und Krisenmanagement ausgelöst, da der begründete Verdacht bestand, dass das Unternehmen Opfer eines E-Mail-Betrugs geworden war. Das Unternehmen beauftragte Datenschutzberater und Forensiker, um bei der Untersuchung des Vorfalls zu helfen.
Dieser Vorfall war unter dem Baustein „Social Engineering Financial Fraud“ gedeckt. Im Zusammenhang mit diesen Kosten und dem betrügerischen Transfer fielen etwa 225.000 US-Dollar an.
Gastgewerbe: Feindliches Eindringen
Gesamtauszahlung: 80 Millionen US-Dollar
Deckungsbereich: Reaktion auf Datenschutzverletzungen und Krisenmanagement; PCI DSS Endorsement
Bei diesem Schadenfall ging es um Kreditkartenmissbrauch in einer Hotelkette. Konkret wurde das Hotel im September 2016 und März 2017 von Visa über eine möglichen Kreditkartenmissbrauch im Hotel in Kenntnis gesetzt. Das Hotel betraute eine Rechtsanwaltskanzlei mit dem Fall, die ein forensisches Unternehmen für die Untersuchung hinzuzog. Es wurden Zeitfenster von März 2016 bis Oktober 2016 und von November 2016 bis April 2017 für das Eindringen in das System identifiziert. Es waren ungefähr 315.000 Kreditkarten betroffen. Die Gesamtkosten setzten sich aus der Benachrichtigung der Betroffenen, den Prozesskosten und Vergleichen sowie den PCI (Payment Card Industry) Bußgeldern und Strafen zusammen.
Dienstleistungsunternehmen: Schaden durch Zeitarbeitnehmerin
Gesamtauszahlung: 350.000 US-Dollar
Abschnitt Deckungsschutz: Reaktion auf Datenschutzverletzungen und Krisenmanagement
Unser Versicherungsnehmer, der Personaldienstleistungen erbringt, wurde wegen angeblicher Schäden verklagt, die durch die fahrlässige Arbeit einer Zeitarbeitnehmerin entstanden sein sollen. Konkret empfahl das Unternehmen seinem Kunden eine Kandidatin als Interim-CFO. Der Kunde übertrug dieser schließlich erhebliche Verantwortung und erlaubte ihr, die Abrechnungsabteilung und den Rechnungsstellungsprozess zu überarbeiten. Im Nachgang gab der Kunde an, dass die Mitarbeiterin tatsächlich unqualifiziert war und ca. 1,75 Millionen US-Dollar an Schäden verursachte. Unter anderem habe sie es versäumt, den Kunden rechtzeitig Rechnungen zu stellen, weshalb das dem Unternehmen geschuldete Geld nicht eingezogen werden konnte. Trotz der Forderung wurde eine Einigung über 300.000 US-Dollar erzielt, die darüber hinaus gehenden Zahlungen entstanden aus den Abwehrkosten.
Möchten Sie mehr lesen? Verschaffen Sie sich Einblick in weitere Schadensszenarien aus den Bereichen Gesundheitswesen, Technologie/Telekommunikation, produzierendes Gewerbe, Einzelhandel und anderen Branchen über den Download unserer Broschüre: „Cyber claims: Real-life É«¶à¶àÊÓƵclaims scenarios“.
