Politik & Regulierung

Equifax: Wie Versicherer für den Datenklau haften

Von David GorrTagesaktuelle Informationen und Neuigkeiten aus der Versicherungsbranche. Alle Nachrichten des Tagesreports auch als Newsletter abonnierbar.
Bei einem Hackerangriff auf den US-Finanzdienstleister Equifax haben die Täter in großem Stil Sozialversicherungs- oder Kreditkartennummern erbeutet. Die Attacke sei von Mitte Mai bis Juli dieses Jahres erfolgt und betreffe womöglich 143 Millionen US-Verbraucher, teilte die Wirtschaftsauskunftei mit. Anleger wie auch Versicherer reagierten nervös. Denn der Cyberschaden könnte zur einer D&O-Klage führen.
Der Vorfall sei am 29. Juli bei einer internen Untersuchung festgestellt, die Sicherheitslücke danach sofort geschlossen worden, erklärte die Firma. Auch einige Kunden aus Kanada und Großbritannien seien in geringerem Umfang betroffen. Man habe die Aufsichtsbehörden informiert und externe Spezialisten mit einer forensischen Prüfung beauftragt. Es sei noch zu früh, um die Kosten zu beziffern.
Equifax ist das größte der drei bedeutenden Credit Bureaus, die umfangreiche Daten über das Gebaren aller Verbraucher sammeln. Die Credit Bureaus nutzen die Credit History und andere Daten, um für jeden Verbraucher verschiedene Credit Scores zu berechnen. Diese Kennzahlen werden dann an Firmen, potenzielle Vermieter und Arbeitgeber verkauft. Ein schlechter Credit Score, auch wenn er auf falschen Angaben beruht, führt dazu, dass die Verbraucher Probleme haben, mögliche Kaufverträge z.B. für ein Mobilfunkgerät abzuschließen.
Schon 2013 sollen bei Equifax laut US-Medien Finanzdaten und persönliche Informationen von US-Prominenten entwendet worden sein. Laut Equifax besitzen die Hacker jetzt Datensätze von über 143 Millionen US-Amerikaner mit deren Namen, lebenslang gültigen Sozialversicherungsnummern, Geburtsdaten, Adressen und teilweise auch Führerscheindaten. Dazu kommen die Kreditkartennummern von 209 Millionen US-Amerikanern. "Das ist natürlich ein enttäuschendes Ereignis für unsere Firma", sagte CEO Rick Smith. "Es trifft das Herz dessen, was wir sind und was wir tun. Ich entschuldige mich bei Verbrauchern und unseren Geschäftskunden für die Sorgen und Frustrationen, die das verursacht."

Der Ruf ist ruiniert, auch wenn eine Police den Schaden ersetzt

Smith bangt um seinen Job, das Unternehmen kämpft ums Überleben. Der Schaden ist größer als bei dem Hackerangriff auf die Handelskette Target aus dem Jahr 2013. Dieser betrug 300 Mio. US-Dollar, wovon ein Drittel die Versicherer übernahmen. Allerdings waren dort vergleichsweise wenig Daten abhanden gekommen, etwa 40 Mio. Kreditkartennummern.
Bei Heartland Payment Systems entstand ein Schaden von 110 Mio. Dollar, nach einem Diebstahl von 130 Millionen Kreditkarten-Informationen. Bei Wyndham Hotels wurden 2010 etwa 600.000 kundenbezogenen Daten entwendet. All diese Fälle hatten auch Auswirkungen auf die CEOs. Sie erhielten auf dem Wege einer abgeleiteten Aktionärsklage, der sogenannten "derivative shareholder action", die Klage mit der Begründung für einen vorausgegangenen Cyberschaden zumindest mitverantwortlich gewesen zu sein. Der Vorwurf in der Anklage lautete jeweils, dass die Geschäftsführung keine ausreichenden Sicherheitsmaßnahmen zur Verhinderung von Hackerangriffen/Datenklau getroffen hätte. Bislang wurden alle Klagen jedoch abgewiesen.
Michael Unglaub, Manager Financial Lines (MLC/Crime) für den Bereich Industrie­kunden, und Thomas Lange, Senior Underwriter im Financial Institutions-Team, (beide bei AIG in der DACH-Region tätig) glauben: "Eine Klageabweisung in diesen Fällen bedeutet jedoch unter keinen Umständen, dass für die D&Os von US-Unternehmen Entwarnung gelten kann. Anhand der gestiegenen Zahl an Klagen ist vielmehr auch weiterhin mit großer Unsicherheit für die Organe zu rechnen."
Für die Risikomanager sind die Klagen in den USA unter anderem deshalb interessant, weil sie sich auch in Deutschland darauf einstellen müssen, dass aus einem Cyber-Schaden zwei Schadenszenarien entstehen können. "Zunächst der Cyber-Schaden, der in der Folge einen D&O-Schaden wegen Organisations- und Überwachungsverschuldens nach sich zieht. Das Schadenereignis könnte also sowohl die Cyber- und als auch die D&O-Police potenziell triggern. Daher muss dies im Rahmen der Kumulkontrolle bereits beim Underwriting der Versicherer/Rückversicherer berücksichtigt werden. Auch wenn am Ende eine Haftung der Organe abgelehnt wird, fallen im Rahmen der D&O-Police gedeckte Abwehrkosten an", schreiben Unglaub und Lange in der Versicherungswirtschaft. (vwh/dg)
Bildquelle: GDV
Schadenersatz · Hacker · D&O
Auch interessant
Zurück
15.08.2019VWheute
Worauf Versi­cherer bei der IT-Syste­maus­wahl achten müssen Neue Technologien eröffnen Möglichkeiten in fast allen Bereichen der Wertschöpfungskette…
Worauf Versi­cherer bei der IT-Syste­maus­wahl achten müssen
Neue Technologien eröffnen Möglichkeiten in fast allen Bereichen der Wertschöpfungskette. Doch aufgrund unflexibler LegacySysteme können Innovationen oft ihr Potenzial nicht entfalten. Neben den vorhandenen …
02.05.2019VWheute
Arbeit­geber haften viel­fach gegen­über Mitar­bei­tern bei betrieb­li­cher Alters­ver­sor­gung Wer haftet bei einer fehlerhaften Beratung in der …
Arbeit­geber haften viel­fach gegen­über Mitar­bei­tern bei betrieb­li­cher Alters­ver­sor­gung
Wer haftet bei einer fehlerhaften Beratung in der betrieblichen Altersvorsorge? Das Landgericht Hamm hat dies bereits im Dezember 2017 entschieden. Doch was bedeutet das Urteil konkret…
03.04.2019VWheute
Arzt­recht: Kann eine Magen­sonde Quälerei sein und der Arzt haften? Die Wunder der Medizin lässt die Menschen länger leben. Was aber, wenn eine …
Arzt­recht: Kann eine Magen­sonde Quälerei sein und der Arzt haften?
Die Wunder der Medizin lässt die Menschen länger leben. Was aber, wenn eine medizinische Maßnahme das Leid verlängert, steht dem Patienten oder Hinterbliebenen dann Schmerzensgeld zu? Mit dieser Frage der …
25.03.2019VWheute
Betrü­ger­pär­chen nutzt guten Ruf der Versi­che­rung für Hotel-Gaunerei Bei Meldungen über Versicherungsbetrug gibt es ein bestimmtes Schema. Zuerst …
Betrü­ger­pär­chen nutzt guten Ruf der Versi­che­rung für Hotel-Gaunerei
Bei Meldungen über Versicherungsbetrug gibt es ein bestimmtes Schema. Zuerst werden Tat und Schaden beschrieben, dann die Aufklärung und im Anschluss die Strafe. Meist beinhaltet der Artikel noch ein Hinweis…
Weiter