- Häufigkeit und Kosten großer Cyber-Versicherungsschäden steigen im ersten Halbjahr 2024 im Vergleich zum Vorjahr um 14 bzw. 17 Prozent. In zwei Dritteln aller Fälle sind Datenschutzverletzungen mitursächlich.
- Zunehmender Trend zu Sammelklagen in den USA im Zusammenhang mit Datenschutzverletzungen führt zu steigenden Kosten.
- Nach Anstieg von 30 Prozent im letzten Jahr, wird sich die Gesamtzahl der Cyber-Schadensfälle 2024 voraussichtlich stabilisieren.
Cyber-Schadensfälle haben im vergangenen Jahr weiter zugenommen, was zum großen Teil auf eine Zunahme von Datenschutzverletzungen zurückzuführen ist, warnt Allianz Commercial in ihrem jährlichen Cyber Risk Outlook. Die Häufigkeit großer Cyber-Schadensfälle (alle >1 Mio. €) ist im ersten Halbjahr 2024 um 14 Prozent gestiegen, während die Schadenhöhe um 17 Prozent zugenommen hat. Im Jahr 2023 hatten solche Fälle nur um ein Prozent zugenommen. Zwei Drittel dieser Schäden stehen im Zusammenhang mit Datenschutzverletzungen. Über alle Schäden wird erwartet, dass sich die Gesamtzahl der Cyber-Schadensfälle im Jahr 2024 stabilisiert, nachdem die Häufigkeit im Jahr 2023 um 30 Prozent gestiegen ist, was zu mehr als 700 Schadensfällen geführt hat.
„Wir beobachten eine stetige Zunahme von Cyber-Versicherungsansprüchen aufgrund von Datenschutzverletzungen“, erklärt Michael Daum, Global Head of Cyber Claims bei Allianz Commercial. „Die meisten Angreifer haben ihre Taktiken angepasst und zielen mittlerweile auf den Abzug personenbezogener Daten ab. Unternehmen speichern zunehmend mehr solch sensibler Daten und tauschen diese über Unternehmensgrenzen hinweg aus, was es den Angreifern leichter macht, diese zu erbeuten. Gleichzeitig hat das regulatorische und rechtliche Umfeld zu einem Anstieg von Vorfällen geführt, die auf unrechtmäßige Erhebung und Verarbeitung personenbezogener Daten zurückzuführen sind. Die Schäden aus diesen Ansprüchen haben sich in den letzten zwei Jahren verdreifacht.“
„Nichtangriffs“-Ansprüche und Datenschutzklagen nehmen zu
Die Zunahme von solchen „Nichtangriffs“-Datenschutzklagen ist die Folge von technologischen Entwicklungen, dem wachsenden Wert personenbezogener Daten und der regulatorischen und rechtlichen Rahmenbedingungen. So sind beispielsweise die Datenschutzbestimmungen der in der EU gültigen Datenschutz-Grundverordnung (DSGVO) strikter als US-Bestimmungen. Die entstehende Grauzone wird insbesondere in Ländern wie den USA gerne von Klägeranwälten auf der Suche nach potenziellen Einnahmequellen genutzt.
„Wir sehen vor allem in den USA immer mehr Klagen wegen Datenschutzverletzungen, wobei es einen wachsenden Trend zu Sammelklagen gegen große US-amerikanische und internationale Unternehmen gibt. Die Kosten einiger dieser Klagen können sogar höher sein als bei einem Cyber-Angriff und in dreistelliger Millionenhöhe liegen“, sagt Daum. Im letzten Jahr haben sich Datenschutzverletzungen zum am schnellsten wachsenden Bereich von Sammelklagen in den USA entwickelt. Im Jahr 2023 wurden über 1.300 Klagen in Bezug auf eine Vielzahl von Datenschutzbestimmungen eingereicht. Laut der Anwaltskanzlei Duane Morris sind das mehr als doppelt so viele Klagen wie im Jahr 2022 und viermal so viele wie im Jahr 2021.
In den USA wurden mehrere Sammelklagen gegen Unternehmen eingereicht, weil sie auf ihren Webseiten Tracking-Tools wie Meta Pixel zur Überwachung des Verbraucherverhaltens eingesetzt haben. Datenschutzverletzungen können zu einer Flut von Rechtsstreitigkeiten führen, wobei eine erfolgreiche Klage oft zu weiteren Klagen führt. So wurden in den USA im Oktober 2023 mehr als 240 Klagen im Zusammenhang mit der MOVEit-Datenpanne in einer einzigen „Multidistrict Litigation” zusammengefasst. Die zehn größten Sammelklagen wegen Datenschutzverletzungen beliefen sich im vergangenen Jahr auf insgesamt 516 Millionen US-Dollar, was einen deutlichen Anstieg gegenüber den 350 Millionen US-Dollar im Jahr 2022 darstellt.
Die Analyse verdeutlicht: Auch in Europa und Deutschland steigt das Risiko von Rechtsstreitigkeiten wegen Datenschutzverletzungen. Ein geschärftes Bewusstsein für Datenschutzrechte, eine zunehmende Verfügbarkeit von Prozessfinanzierungen durch Dritte und ein verbraucherfreundlicheres Prozessumfeld könnten zu massenhaften Datenschutzklagen führen, wenn auch nicht in dem Ausmaß wie in den USA.
Zweischneidige KI: Sie kann Datenschutzverletzungen befeuern oder verhindern
Die Tatsache, dass inzwischen fast jede Branche KI einsetzt, beeinflusst Cyber- und Datenschutzrisiken in Zukunft erheblich. Das liegt an den enormen Datenmengen, die KI zu Trainingszwecken, für Vorhersagen oder Empfehlungen sammeln und verarbeiten muss. Dazu gehören persönliche Daten, Gesundheitsdaten sowie biometrische Informationen. Werden die Tools nicht ordnungsgemäß verwendet, drohen Datenschutz-, Fehlinformations- und Sicherheitsrisiken. Diese großen Datenmengen können in die falschen Hände geraten, entweder durch Hackerangriffe oder andere Sicherheitsverstöße. Hinzu kommen Sorgen vor Verstößen gegen Datenschutzgesetze, etwa, weil Unternehmen die nötige Zustimmung zur Verarbeitung von Daten durch eine KI fehlen.
„KI wird ein wichtiges Tool im Kampf gegen Cyberangriffe, weil es Sicherheitsverstöße schnell erkennen und betroffene Systeme und Datenbanken automatisiert isolieren kann. Außerdem verfügt KI über das Potenzial, die Kosten und die Dauer eines Schadens zu reduzieren, indem sie Aufgaben – etwa Forensik und Benachrichtigungen – automatisiert erledigt. Das könnte Unternehmen Millionen Euro sparen”, sagt Rishi Baviskar, Global Head of Cyber Risk Consulting bei Allianz Commercial.
Von Datenextraktion zu Datenschutz
Trotz der in den vergangenen Jahren allgemein gestiegenen Investitionen in die Cybersicherheit, sind viele Datenschutzverletzungen – darunter einige der größten der vergangenen anderthalb Jahre – das Ergebnis unzureichender Cybersicherheit in Unternehmen oder deren Lieferketten. Solche Vorfälle können zu großen Schäden führen, die neben den Kosten durch Erpressungsforderungen oder Betriebsunterbrechungen für das Unternehmen auch Geldbußen, Benachrichtigungskosten (Kosten, die beim Informieren über den Verstoß entstehen) oder Klagen durch Dritte beinhalten. Solche Risiken durch Datenschutzverstöße lassen sich am besten durch eine gute Cyber-Hygiene verringern. Dazu gehören eine starke Zugriffs- und Zugangskontrolle, Datenbank-Segregation, Backups, Patching sowie Trainings. Bei den Cyber-Schwächen in der eigenen Lieferkette haben noch immer viele Unternehmen Verbesserungsbedarf.
„Die Fähigkeit, Verstöße früh zu erkennen und früh zu reagieren ist entscheidend. Ungefähr zwei Drittel der Verstöße werden entweder von Dritten oder von den Angreifern selbst gemeldet, also nicht von den Betroffenen“, erläutert Baviskar. „Cyberverstöße, die zu spät erkannt und eingedämmt werden, können bis zu tausend Mal teurer sein, also solche, bei denen dies gelingt. Dies entscheidet darüber, ob aus einem 20.000 Euro-Schaden ein 20 Millionen Euro-Schaden wird.“
Cyber security resilience 2024 – Trends in data breach and privacy risk
https://commercial.allianz.com/news-and-insights/reports/cyber-risk-trends.html