Wir haben Ihnen hier einige interessante Versicherungsfälle zusammengestellt. Die finanziellen Folgen hätten beim Bestehen eine Cyber-Police vermieden werden können. Schützen Sie Ihr Vermögen mit der richtigen Absicherung!
In einer großen urologischen Gemeinschaftspraxis gelingt es Hackern alle Patientenakten mit ihren Anamesen virtuell zu stehlen. Der Hackerdatenklau wurde von niemandem bemerkt. Wochen später drohen die Täter mit der Veröffentlichung der Daten und deren Herkunftsquelle. Die imageschädigende Veröffentlichung konnte nur mit Zahlung einer sechsstelligen Summe via Western Union verhindert werden.
Kriminelle hackten das Netzwerk einer bedeutenden Modeeinzelhandelskette. Sie fingen während den Kauftransaktionen der Kunden die Kreditkartennummern ab. Anschließend wurde über diesen offenen Zugang auf die zentrale Datenbank des Unternehmens zugegriffen, wo sich die Täter Zugang zu 45 Mio. Kreditkartennummern sowie weiteren persönlichen Kundendetails verschaffen konnten. Kurze Zeit nach dem Vorfall wurden zahlreiche Klagen, basierend auf Datenschutzverletzungen und dem Versäumnis, die Finanzdaten der Kunden geheim zu halten, gegen den Modeeinzelhändler erhoben. Zusätzlich wurden von betroffenen Kreditkartenunternehmen Schadenersatzansprüche gegenüber dem Konzern geltend gemacht. Sie versuchten, Ansprüche auf Kompensation für die ihnen entstandenen Kosten geltend zu machen. Der Schadenumfang belief sich insgesamt auf 216 Mio. Dollar.
Durch Unachtsamkeit öffnete ein Geschäftsführer eine an ihn gerichtete E-Mail unbekannter Herkunft. Durch das Öffnen aktivierte sich ein Trojaner und verschlüsselte dabei die Daten im Warenwirtschafts-system des Unternehmens. Noch am gleichen Tag erhielt der Geschäftsführer von den Cyber-Kriminellen ein Angebot auf Zahlung einer Geldsumme, um die Codierung wieder aufzuheben. Das Unternehmen beauftragte einen spezialisierten IT-Dienstleister für die Entschlüsselung der Codierung. Die Kosten beliefen sich auf 15.000 €. Zusätzlich wurde für die forensische Tätigkeit noch weitere 10 Arbeitstage benötigt.
Bei einem Einbruch in die Büroräumlichkeiten wurde unter anderem ein Desktop PC gestohlen. Auf diesem Rechner befanden sich Daten von ca. 50 bis 100 Spendern. Folgende Kosten sind dabei entstanden: • Rechtsberatung und Infopflichten gegenüber Dateninhabern € 67.368 • Forensische Dienstleistungen 23.747€ • Kreditüberwachungsdienstleistungen 11.640€ • PR-Maßnahmen 2.137€.
Die Gesamtkosten beliefen sich auf 104.894€. (Quelle: mit freundlicher Genehmigung der Hiscox)
Ein Unternehmen mittlerer Größe ist im Bereich des online Vertriebs Opfer von Datenklau geworden. Über mehrere Monate konnten sich Hacker rechtswidrigen Zugang zu dem eigentlich streng gesicherten online basierten Abrechnungssystem für Bezahlkarten verschaffen (Payment Processing Tool). Während dieser Zeit konnten die Hacker über rund 2 Millionen Kundendaten kopieren und unrechtmäßig nutzen. Das Schadensausmaß ist sowohl finanziell als auch reputationsmäßig für das Unternehmen immens. Folgende Kosten sind dabei entstanden: • Kosten für diverse forensische Arbeiten 150.000,00 € • Kosten für Rechtsberatung und Rechtsbeistand 525.000,00€ • Kosten für gesetzlich Informationspflichten 2.170.000,00€ • Kosten für Media und PR Arbeiten 253.000,00€ • Geltend gemachter Vermögensschaden der Payment Card Industry 2.000.000,00€.
Die Gesamtkosten beliefen sich auf 5.098.000,00 €. (Quelle: mit freundlicher Genehmigung der Hiscox)
Ein Unternehmen aus dem Gesundheitswesen (stark reguliert, hohe Standards auch an Datenschutz, etc.) hat Datenschutz sehr ernst genommen und die IT Abteilung wurde mit entsprechender IT Sicherheit vorgehalten. Ein Mitarbeiter konnte sich finanziellen Zuwendungen einer kriminellen Vereinigung aber nicht entziehen und hat Akten per Hand gescannt und weitergegeben. Die weitergegeben Daten enthielten Infos zu Namen, Anschriften, Sozialversicherungsnummern, etc. Nach geraumer Zeit erhielt das Unternehmen einen Anruf einer Strafverfolgungsbehörde, die eine Razzia durchgeführt hatte und dabei Dokumente entdeckte, die persönlich identifizierbare Informationen enthielt, die offensichtlich vom Unternehmen stammten. Rund 45.000 Personen waren davon betroffen, ein Drittschaden ist jedoch noch nicht entstanden. Aber folgende Kosten: • Rechtsberatung 12.000 € • Infopflichten gegenüber Dateninhaber 14.500€ • Call Center 45.000€ • Forensische Dienstleistungen 6.500€ • Kreditüberwachungsdienstleistungen 300.000€ • PR 50.000€.
Die Gesamtkosten beliefen sich auf 428.000 €. (Quelle: mit freundlicher Genehmigung der Hiscox)
Ein Hotel war Opfer eines Hackerangriffs auf deren Datenbank. Über einen Zeitraum von über 3 Monaten wurden mehr als 700 Kreditkartendaten von Gästen (Hotel- und Restaurantgäste) gestohlen bzw. kopiert. Über eine Sicherheitslücke in der Homepage des Hotels sind die Hacker eingedrungen. • Kosten für diverse forensische Arbeiten 163.000€ • Kosten für Rechtsberatung und Rechtsbeistand 375.000€ • Kosten für gesetzliche Informationspflichten 270.000€ • Kosten für Media und PR Arbeiten 213.000€ • Kosten für die Überwachung der Transaktionen 80.000€ • Geltend gemachter Vermögensschaden der Payment Card Industy 1.400.000€ • Betriebsunterbrechungsschaden (keine Internet Umsätze) 70.000€ • Wiederherstellung der Daten/Datenbank 212.000€.
Die Gesamtkosten beliefen sich auf 2.783.000€. (Quelle: mit freundlicher Genehmigung der Hiscox)
Über soziale Netzwerke wie facebook oder LinkedIn können leitende Mitarbeiter gezielt ausgewählt werden. Diese erhalten dann auf ihr Profil zugeschnitte E-Mails die einen Trojaner enthalten. Die ausgesuchten Mitarbeiter werden mit der Spear-Pishing-Methode ermittelt, da bei diesen Personen anzunehmen ist, daß diese Administrationsrechte haben oder eine wichtige Organfunktion im Unternehmen ausüben. Über die Verbreitung des Trojaners im Unternehmen entsteht ein erheblicher finanzieller Schaden.
Nach einem Wochenende kommt die Mitarbeiterin einer mittelständischen Rechtsanwaltskanzlei früh ins Büro und versucht die Kanzleisoftware zu starten - was ihr allerdings nicht gelingt. Nach mehreren Versuchen, benachrichtigt sie den Administrator, der feststellt, dass ein Trojanerbefall vorliegt. Auf dem Desktop der Mitarbeiterin sind alle Dateien verschlüsselt und mit den Endungen .locked und .readme_txt abgelegt. Der Administrator entscheiden daraufhin, alle Clientsysteme herunterzufahren und diese vom Netzwerk und vom Strom zu trennen. Die Mitarbeiterin wird gebeten, nach Hause zu gehen und in Rufbereitschaft zu bleiben. Wie lange die Situation anhalte würde, konnte zu diesem Zeitpunkt noch keiner sagen.
Der Administrator setzt sich umgehend mit dem Kriseninterventionsdienstleister und Hiscox-Partner HiSolutions in Verbindung. Gemeinsam wird nach telefonischer Abstimmung entschieden, dass zwei Mitarbeiter von HiSolutions vor Ort unterstützen sollen.
In der Kanzlei stellt sich heraus, dass tatsächlich alle Server - bis auf das Mailarchiv - von der Schadsoftware befallen sind. Es handelt sich um eine neue Version des Bitpaymer-Cryptotrojaners.
Die erste Analyse zeigt, dass sehr schwache Passwörter (vierstellig ohne Groß-/Kleinschreibung oder maximal achtstellig auf den Servern; die Clients verfügten teilweise über gar kein Passwort) verwendet wurden, diese stellten vermutlich für die Schadsoftware kein großes Hindernis dar. Aus diesem Grund wurde nach dem Vorfall eine Sicherheitsrichtlinie erstellt, die in ihrer Gesamtheit einen Neubefall der Infrastruktur verhindern soll.
Da auch das Backup beschädigt war, dauerte es insgesamt zwei Wochen, bis alle betroffenen EDV-Arbeitsplätze wieder arbeitsbereit waren. Die Kanzlei konnte in dieser Zeit nur sehr eingeschränkt arbeiten, da lediglich Telefongespräche geführt werden konnten. Die Mitarbeiter blieben größtenteils zu Hause.
Die Kosten für die Datenrekonstruktion beliefen sich auf € 58.000,--. (Quelle: mit freundlicher Genehmigung der Hiscox)