In den letzten Wochen berichteten die Medien über zahlreiche aktuelle Cyber-Vorfälle. Darunter finden sich durchaus größere, prominente Unternehmen. Das haben wir zum Anlass genommen, um die Vorfälle durch die verfügbaren Informationen aus den Medien näher zu betrachten. Weiters versuchen wir auch zu zeigen, wie eine Cyberversicherung bei den einzelnen Vorfällen den Versicherungsnehmer unterstützen kann und welche Leistungen aus dem Versicherungsvertrag jeweils folgen.
Wir haben zu den einzelnen Vorfällen keine genaue Kenntnis über den tatsächlichen Vorfall, sondern bewerten nur die in den Medien berichtete Faktenlage. Falls für die Bewertung notwendig, werden wir Annahmen treffen, die wir jedoch auch klar als solche kennzeichnen werden. Darüber hinaus haben wir auch keine Kenntnis darüber, ob und welchem Umfang bei den genannten Unternehmen Cyberversicherungsschutz besteht.
METRO AG
Quellen Stand 25.10.2022:
METRO AG – Mitteilung
heise.de – Artikel vom 20.10.2022
futurezone.at – Artikel vom 21.10.2022
winfuture.de – Artikel vom 22.10.2022
Was wissen wir?
Seit Anfang letzter Woche gab es bereits Berichte, dass der Verdacht auf einen Cyberangriff auf den Großhändler naheliegt. Zwischenzeitlich hat METRO den Cyberangriff bzw. IT-Sicherheitsvorfall auch auf der eigenen Website bestätigt. Interessant sind hier die Auswirkungen auf das Tagesgeschäft – die IT-Systeme sind wohl nicht vollständig lahmgelegt, sondern es kommt bei der Verarbeitung von Vorgängen an der Kasse zu Verzögerungen und auch bei der Preisauszeichnung komme es zu Problemen. Die betroffenen Filialen in Deutschland, Frankreich und Österreich bleiben allerdings unverändert geöffnet.
Die IT-Abteilung des Hauses ist im Zusammenhang mit externen Experten auf Ursachensuche – weitere Details sind darüber allerdings nicht bekannt.
Was wissen wir nicht?
Es gibt keine offiziellen Informationen darüber, ob Daten des Unternehmens verschlüsselt oder ausgeleitet wurden. Auch über die Art des Cyberangriffs ist nichts bekannt gegeben worden – vorstellbar ist, dass Teilsysteme durch den Cyberangriffs kompromittiert wurden und vom Netz genommen werden mussten, ausgefallen sind oder durch eine DDoS-Attacke lahmgelegt wurden.
Wie kann hier die Cyberversicherung helfen?
Lt. den Unternehmensinformationen handelt es sich um einen Cyberangriff. In Frage kommen zu diesem Zeitpunkt forensische IT-Dienstleistungen, welcher der Ermittlung der Schadensursache und der betroffenen Systeme dienen und auch für die Wiederherstellung der Systeme eine wichtige Grundlage liefern.
Die Hinzuziehung von externen Spezialisten zeigt hier auch, dass auch bestens vorbereitete IT-Abteilungen eines Unternehmens im Ernstfall Unterstützung von Experten anfordern – hier leistet die Cyberversicherung wertvolle Unterstützung, da vom Versicherer Vereinbarungen mit entsprechenden Experten getroffen werden – je schneller diese in einem Schadensfall tätig werden können, desto wahrscheinlicher ist es, dass das volle Ausmaß des möglichen Schadens gar nicht erst erreicht wird und das Unternehmen früher wieder handlungsfähig wird, was sowohl im Sinn des Kunden als auch der Versicherung ist.
Falls es zu einer Infektion der Systeme mit Schadsoftware gekommen ist, muss sichergestellt werden, dass die Systeme vor der Wiederinbetriebnahme „sauber“ sind, was die Kosten für die Wiederherstellungsmaßnahmen weiter in die Höhe treibt – eine weitere Re-Infektion nach der Wiederherstellung der Systeme soll jedenfalls ausgeschlossen werden – was die forensischen Maßnahmen zur Ermittlung der genauen Schadensursache unerlässlich macht.
Auch die Cyber-Betriebsunterbrechungsversicherung kann die finanziellen Folgen eines solchen Hackerangriffs abfedern. Auch wenn der Filialbetrieb momentan aufrecht ist, kann man davon ausgehen, dass aufgrund der Verzögerungen und der Berichterstattung in den Medien die Umsätze bis zu Behebung möglicherweise geringer ausfallen werden, als ursprünglich angenommen. Weiters ist denkbar, dass die betroffenen Systeme zumindest teilweise durch angemietete Systeme ersetzt werden müssen, um den Betrieb aufrechtzuerhalten. Die dadurch anfallenden Mehrkosten können auch von der Cyber-Betriebsunterbrechungsversicherung gedeckt sein.
Insofern es sich um eine Cyber-Erpressung durch einen Ransomware-Angriff handelt, sind in diesem Zusammenhang auch die Beratungsleistungen und ggfls. auch die Zahlung eines etwaigen Lösegelds regelmäßig Teil der Versicherungsleistung.
Auch begleitende PR-Maßnahmen sind bei Vorfällen dieser Art durchaus sinnvoll, um den Image-Schaden für das Unternehmen und damit verbundene Ertragsausfälle möglichst gering zu halten.
Dass das Unternehmen in der Lage ist, seinen Betrieb trotz des Cyber-Angriffs aufrechtzuerhalten, lässt darauf schließen, dass passende Reaktionspläne im Unternehmen vorhanden sind und auch umgesetzt werden können. Gerade bei Großunternehmen werden diese Notfallpläne inzwischen auch durch die Versicherungen vorausgesetzt – und zwar nicht nur das Bereithalten, sondern auch die regelmäßige Übung und Aktualisierung dieser Pläne.
jö bonus Club (Unser Ö-Bonus Club GmbH)
Quellen Stand 25.11.2022:
Mitteilung jö Bonus Club
puls24.at – Artikel vom 24.10.2022
Was wissen wir?
Der Betreiber des österreichischen Treue-Programms wurde nicht direkt Opfer eines Hacker-Angriffs, jedoch wollten sich Cyber-Kriminelle persönlich bereichern, indem Sie Bonus-Punkte aus Accounts von Usern missbräuchlich einzulösen versuchten.
Vom jö Bonus Club wurden am 23.11.2022 alle Mitglieder informiert, dass im großen Stil – ca. 12.000 Accounts sind betroffen – versucht werde, Accounts zu übernehmen, indem Passwörter aus anderen Quellen verwendet werden. Es wird auf bisher 15 Fälle verwiesen, in denen Punkte missbräuchlich verwendet wurden. Um weiteren Missbrauch zu verhindern, wurde die Möglichkeit deaktiviert, online Punkte einzulösen – dies hat jedoch auch zur Folge, dass eine Online-Anmeldung durch die User aktuell nicht möglich ist, und damit auch die Möglichkeit bei Online-Partnern Punkte zu sammeln, eingeschränkt ist. Das Punkte-Sammeln bei Filialeinkäufen ist hingegen weiterhin möglich.
Im Darknet werden auf zahlreichen Seiten Kombinationen aus Username/EMail-Adresse und Passwort angeboten – diese Daten stammen aus Leaks von anderen Seiten und Diensten, die bereits gehackt wurden oder einen Datenschutzvorfall hatten, wo diese Daten abgezogen wurden. Und da viele User dieselbe Kombination aus Email-Adresse und Kennwort für verschiedene Dienste nutzen, ist es für Cyber-Betrüger ein leichtes, diese Kombinationen bei lohnenden Diensten durchzuprobieren, was natürlich meist automatisiert geschieht.
Was wissen wir nicht?
Unklar ist, welche Rückschlüsse das Unternehmen daraus ziehen wird und wann das Online-Programm wieder angeboten wird. Es ist davon auszugehen, dass für die Konten, bei denen ein Anmeldeversuch durch die Angreifer erfolgreich war oder zukünftig erfolgreich durchgeführt werden könnte, die Neuvergabe des Passworts eine geeignete Maßnahme sein wird. Denkbar ist ein Abgleich der eigenen Kundendatenbank mit entsprechenden Dienstleistern, um überprüfen zu können, welche Kunden bzw. EMail-Adressen bereits einmal von einem entsprechenden Leak betroffen waren. Das stellt das Unternehmen mit seinen aktuell 4,2 Millionen jö Bonus-Club-Mitgliedern
Übrigens:
Einen Check, ob auch Daten zu Ihrer Email-Adresse bereits geleakt wurden, können Sie z.B. auf folgender Seite nachprüfen: https://haveibeenpwned.com/
Wie kann hier die Cyberversicherung helfen?
Auch bei einem solchen Vorfall können Cyber-Versicherungen unterstützend wirken.
Einerseits bei der Ermittlung der Ursache – gerade derart missbräuchliche Nutzung von Online-Diensten ist schwer festzustellen und zu ermitteln, da sich die Täter ja mit grundsätzlich gültigen Zugangsdaten beim Dienst anmelden. Trotz alledem kann es damit auch zu Informationssicherheitsverletzungen und Datenschutzverletzungen kommen. Die Kosten für eine entsprechende Sicherheitsanalyse und die Ergreifung von Sicherheitsverbesserungen kann Gegenstand der Leistung der Cyberversicherung sein.
Obwohl sich im konkreten Fall der Schaden für die einzelnen Betroffenen und damit verbundene Haftpflichtansprüche in Grenzen handeln dürfte, ist durch die teilweise Betriebsunterbrechung (die Online-Dienste können aktuell ja nicht genutzt werden) ein Ertragsausfall des Betreibers möglich.
Entstandene Schäden bei den einzelnen Mitgliedern könnten im Rahmen einer Vertrauensschadendeckung oder im Falle der Erhebung von Ansprüchen durch die Geschädigten für die Cyber-Haftpflichtversicherung ein Thema sein.
Hervorzuheben ist in diesem Fall die schnelle Information der Kunden durch die „Unser Ö-Bonus Club GmbH“, welche vor den ersten Medienberichten erfolgte und dass auch klar kommuniziert wurde, was vorgefallen ist und auch welche Maßnahmen ergriffen wurden.
Datenpanne Peek & Cloppenburg KG, Düsseldorf
Quellen 25.10.2022:
focus.de, Artikel vom 15.10.2022, 13.03 Uhr
focus.de, Artikel vom 15.10.2022, 19:41 Uhr
heise.de, Artikel vom 17.10.2022
Was wissen wir?
Am 13.10.2022 wurden durch eine fehlerhafte Konfigurationsänderung am Webshop von Peek & Cloppenburg Daten von Webshop-Benutzer am Server zwischengespeichert und anderen Webshop-Besuchern angezeigt. Betroffen waren lt. Aussage des Unternehmens nur Daten von aktiven Webshop-Besuchern. Das Unternehmen hat den Fehler behoben und den entsprechenden Konfigurationsfehler eingeräumt – maximal wären die Kundendaten von 340 Personen betroffen gewesen – bei diesen jedoch unter anderem offene Warenkörbe, ehemalige Bestellungen, die letzten vier Stellen der Kreditkartennummer und Ablaufmonat und -jahr der Kreditkarte.
Was wissen wir nicht?
Der genaue Zeitraum der Datenpanne ist unklar, da sich das Unternehmen den Medien gegenüber unklar äußerte – auch auf der eigenen Website des Unternehmens ist keine Stellungnahme dazu zu finden. Es dürfte sich jedoch um eine vergleichsweise kleine Datenpanne handeln.
Wie kann hier die Cyberversicherung helfen?
In erster Linie kann es hier aufgrund der Datenpanne zu Haftpflichtansprüchen aufgrund des DSGVO-Verstoßes kommen und ggfls. könnten Anspruchsteller auch immateriellen Schadensersatz fordern. Auch kann in solchen Fällen auch das Ausmaß der Datenschutzverletzung oft nur mit Hilfe von IT-Forensiker:innen festgestellt werden. Auch für die anwaltliche Prüfung von Melde- und Anzeigepflichten können Kosten anfallen. Da allerdings in solchen Fällen oft kein Cyber-Vorfall gem. der Versicherungsbedingungen vorliegt, muss hier genau geprüft werden, ob Versicherungsschutz besteht. Manche Cyber-Bedingungswerke leisten beispielsweise für Haftpflichtansprüche aufgrund von Datenschutzverletzungen oder Geheimhaltungspflichten unabhängig davon, ob ein Cybervorfall (Hackan- bzw. eingriff, Infektion mit Schadsoftware) vorliegt.