733 – das war nur eine von vielen Zahlen, mit denen Hiscox-Referent Jens Krickhahn die zahlreichen Teilnehmer beim 4. Haftpflichtig des Spezialversicherers in München in Erstaunen versetzte. Damit spielte er auf die durchschnittliche Anzahl von verloren und als gestohlen gemeldeten Laptops am Pariser Flughafen Charles de Gaulle pro Woche an! „Datarisks“ bzw. Datenrisiken und die teuren Folgen für Unternehmen standen im Mittelpunkt der Veranstaltung im Münchner „The Charles Hotel“. Ein spannendes und topaktuelles Thema. Schließlich sind Schäden durch Cyber-Angriffe und Datenraub um 70 Prozent gestiegen – um noch eine weitere eindrückliche Zahl zu nennen.
Wenn der Spezialversicherer Hiscox einmal im Jahr zum Haftpflichttag ruft und sich Experten, Kollegen und Makler aus der Branche ein Stell-Dich-ein geben, dann sind natürlich mein Team von exali und ich mit von der Partie. Was wir bei der Veranstaltung des Spezialversicherers in der bayerischen Hauptstadt erlebt haben, darum geht es diese Woche in meinem Blog. Und natürlich um das spannende Thema „Absicherung von Cyberrisiken“.
Datenschutzverstöße: Schadenkosten in Millionenhöhe
„Wussten Sie eigentlich, dass mehr als jedes zweite Unternehmen schon einmal Ziel eines ernstzunehmenden Hacker-Angriffs geworden ist“? – mit diesen Worten leitete Jens Krickhahn, Underwriting Manager Technology, Media & Telecommunication, seinen Vortrag über Datarisks ein.
Eine Aussage, die ihre überraschende Wirkung bei den Zuhörern nicht verfehlte – und zeigte: das Thema Cyberrisiken durch Hackerangriffe, Viren, gestohlene oder unachtsam liegengelassene Datenträger die in falsche Hände geraten, ist aktueller denn je.
Diese Erfahrung musste nicht nur der Gigant Sony machen, der bislang ganze sieben Mal gehackt wurde. Nur ein paar Tage nach der Veranstaltung der Hiscox alarmierte diese Nachricht die Netz-Gemeinde: Die Hackergruppe Swagg Security drang in die IT-Systeme des taiwanischen Auftragsherstellers Foxconn Electronics ein. Ein Angriff, bei dem sie Passwörter erbeutete, mit denen betrügerische Bestellungen für Firmen wie Microsoft, Apple, IBM, Intel und Dell ausgeführt werden können.
Was nach einem solchen Angriff an Unannehmlichkeiten auf Unternehmen zukommen kann, dass brachte Hiscox-Experte Jens Krickhahn auf den Punkt:
- Kosten für forensische Untersuchungen (so genannte Computer-Forensik bzw. IT-Forensik),
- Kosten für Rechtsberatung und Rechtbeistand,
- Kosten für die Einhaltung der gesetzlichen Informationspflichten sowie
- Kosten für Media und PR-Arbeiten.
Und dann sind da natürlich auch noch die Ansprüche Dritter (Vermögensschäden), die nach einem Datenschutzverstoß auf das Unternehmen zukommen.
Mögliche Erpressung durch Hacker, Daten, die nicht wieder hergestellt werden können und Imageverluste, wirken vor diesem Hintergrund fast schon als „Nebenschauplätze“.
Denn die Kosten haben es in sich: So müssen in der Regel allein zwischen 10.000 und 35.000 Euro dafür aufgewendet werden, einen gestohlenen Laptop gerichtsverwertbar zu analysieren. Die durchschnittlichen Kosten für die Rechtsverteidigung liegen im Fall eines Datenschutzverstoßes bei 500.000 Euro. Die durchschnittlichen Ansprüche Dritter rangieren bereits bei einer Millionen Euro.
Und das kann schnell passieren: Nicht mal einen berechtigten Anspruch brauche es, um solch eine Lawine an Konsequenzen loszutreten. Allein der Verdachtsmoment genüge – der Verdacht, gehackt worden zu sein, so Jens Krickhahn.
Und was dann?
IT-Forensik: Auf elektronischer Spurensuche
Ein wichtiger Teil des Aufklärungsprozesses nach einem Datenklau bzw. Hacker-Angriff ist gleichzeitig einer der spannendsten Bereiche der IT: Die forensische Analyse.
Wie ein elektronischer Tatort von den Experten gesichert wird, schilderte Frank Rustemeyer, Director System Security bei HiSolutions. Damit gab er einen interessanten Einblick in die Arbeit des geheimschutzbetreuten Beratungshauses für IT-Governance, Risk & Compliance mit mehr als 15 Jahren operativer Erfahrung. Übrigens: Dessen Dienstleistungen sind auch Bestandteil der Datarisk-Police von Hiscox.
Der Vortrag des Experten machte deutlich: Datenrisiken stehen in unmittelbarem Zusammenhang mit Prävention, Reaktion und Krisenmanagement. Am besten abgedeckt durch einen Spezialversicherer, der sich mit neuen Risiken auskennt und im Schadenfall die Kosten trägt.
Krisenmanagement und Krisenkommunikation
„Die meisten Unternehmen sind weder technisch noch organisatorisch auf Datendiebstahl vorbereitet – einen Krisenplan gibt es nicht“, erzählte Robin Kroha von HiSolutions aus Erfahrung.
In seinem Vortrag beschrieb der Director Corporate Security Management und Experte für Krisen- und Sicherheitsmanagement von HiSolutions eindrücklich, wie schnell Datenvorfälle in Unternehmen innerhalb von Minuten zur ernstzunehmenden Krise werden können.
Und zeigte damit auch, dass Krisenmanagement nach einem Cyber-Angriff mehr ist, als lediglich die Sicherheitslücke zu schließen, die Einsatzbereitschaft wieder herzustellen und das Backup ins System einzuspielen: „Ein verseuchtes Backup ist kein Backup – sondern nur ein neues Problem.“
Datenschutzrechtliche und zivilrechtliche Haftung
Für die juristische Einschätzung sorgte Rechtsanwältin Dr. Sibylle Gierschmann, Partner von Taylor Wessing Deutschland – einer der führenden internationalen Anwaltskanzleien.
In ihrem Vortrag informierte sie darüber, dass bei Datenverlust oder einem unberechtigten Zugriff auf Daten durch Dritte neben dem immateriellen, eigenen Schaden (Imageverlust) immer auch eine Haftung für die Schädigung eines Dritten droht. So könnten Unternehmen nach dem Bundesdatenschutzgesetz (BDSG) in Haftung genommen werden (Stichwort: Bußgelder).
Doch auch die zivilrechtlich drohten Vertragsstrafen, Schadenersatzansprüche von Vertragspartnern (vor allem wegen des Verstoßes gegen Geheimhaltungspflichten) sowie Kosten wegen der Verletzung von Persönlichkeitsrechten und Urheberrechtsverstößen.
Konsequenzen, die nicht einmal vor dem Management Halt machen. Denn auch der Vorstand bzw. die Geschäftsführung könne persönlich in Haftung genommen werden, so Dr. Sibylle Gierschmann.
Übrigens auch einer der Punkte, warum die Gründung einer GmbH nicht komplett aus der persönlichen Haftung entbindet (zumindest, wenn man auch als Geschäftsführer tätig ist).
Hiscox: Neuen Risiken Rechnung tragen
Datarisks und deren Absicherung für Unternehmen – ein Thema, das auch nach den interessanten Vorträgen für Gesprächsstoff in der Diskussionsrunde zwischen Referenten, Experten und Versicherungsmaklern sorgte.
Was uns von exali besonders beeindruckt hat: Das große Expertenwissen der Hiscox, die mit ihrem durchdachten Konzept zur Absicherung von Datenrisiken wieder einmal die Spezialisierung unter Beweis stellte. Ein Kompliment, mit dem wir beim gemeinsamen Dinner am Abend natürlich nicht hinter dem Berg hielten.
Fazit: Spannende Themen, informative Vorträge und nicht zu vergessen viel Networking und Austausch – das werden wir uns auch im nächsten Jahr nicht entgehen lassen. Wir kommen wieder!
