"Was als Ransomware-Schaden beginnt, eskaliert in der Regel zu einem Datenschutzfall"
Lösegelderpressung gegen Entschlüsselung von Daten ist das eine. Weit schwerer wiegt aber, wenn Hacker persönliche Daten abgreifen, deren Menge in KI-Datenbanken enorm zunehmen wird. Profiteur ist auch die "Prozessindustrie", die das große Geschäft mit Sammelklagen wittert. Dominik Geistanger von Allianz Commercial warnt in seinem Gastbeitrag für CRN vor einem besorgniserregenden Trend.
Als Versicherer beobachten wir seit Jahren eine immer weiter wachsende Zahl von Datenschutzverletzungen bei den Cyberversicherungsfällen. Zurückzuführen ist dies auf eine Reihe bemerkenswerter Trends. Dazu gehört die Zunahme von Ransomware-Angriffen, im Rahmen derer es auch zu einem Abzug von Daten kommt. Sie ist wiederum eine Folge der sich ändernden Taktik der Angreifer und der zunehmenden digitalen Verflechtung von Organisationen, die immer größere Mengen an personenbezogenen Daten austauschen.
Sammelklagen wegen Datenschutzverletzungen drohen auch in Europa
Gleichzeitig hat das sich entwickelnde regulatorische und rechtliche Umfeld zu einem Anstieg der so genannten „nicht angriffsbezogenen“ datenschutzrechtlichen Sammelklagen insbesondere in den USA geführt. Diese Klagen resultieren aus Vorfällen wie der unrechtmäßigen Erhebung und Verarbeitung personenbezogener Daten und ihr Anteil hat sich allein in den vergangenen zwei Jahren verdreifacht. Diese Entwicklung trifft in erster Linie Unternehmen deren Geschäftsmodell einen Bezug zu den USA aufweist oder die Daten mit US-Bezug verarbeiten. Jedoch wurden mit der Richtlinie (EU) 2020 / 1828 über Verbandsklagen auch in Europa die rechtlichen Rahmenbedingungen für ein Kollektivklageinstrument geschaffen, das den Mechanismen in den USA ähnelt.
Der Gesetzgeber hat die Richtlinie mit dem „Verbandsklagerichtlinienumsetzungsgesetz“ zwischenzeitlich in deutsches Recht umgesetzt. Zwar ist eine Entwicklung wie in den USA hierzulande noch nicht zu erkennen, sie muss jedoch befürchtet werden.
Hinzu kommt, dass der zunehmende Einsatz von Künstlicher Intelligenz (KI) das Potenzial hat, die Risiken in die Höhe zu treiben, wobei KI auf der anderen Seite zu einem wichtigen Instrument bei der Bekämpfung von Cyberangriffen wird und zum Teil schon ist.
Cyberversicherungsfälle ohne klassischem Hacking-Angriff nehmen vor dem Hintergrund steigender Datenschutzklagen zu
Der Anstieg von Versicherungsfällen im Zusammenhang mit Datenschutzklagen – im Rahmen derer es also nicht zu einem klassischen Hackerangriff gekommen ist – ergibt sich aus technologischen Entwicklungen, des steigenden Werts personenbezogener Daten und einer sich entwickelnden regulatorischen und rechtlichen Landschaft. Im Gegensatz zur EU-Datenschutz-Grundverordnung (DSGVO) sind die Datenschutzbestimmungen in den USA weniger präskriptiv und viel offener für Interpretationen. Gleichzeitig sucht die Prozessindustrie in Gestalt der Klägeranwälte in den USA nach weiteren potenziellen Einnahmequellen. Dadurch entsteht eine Grauzone, die für Sammelklagen geradezu prädestiniert ist.
Datenpanne und Klagen: Schaden von Hunderten Millionen Dollar
Wir sehen als Versicherer in den USA insofern die Häufung von Versicherungsfällen aufgrund der Verletzung von datenschutzrechtlichen Regelungen, und es gibt einen zunehmenden Trend zu Sammelklagen gegen große US-amerikanische und internationale Unternehmen in diesem Bereich. Diese Klagen können sogar kostspieliger sein als ein ausgewachsener Ransomware-Vorfall und hunderte Millionen Dollar kosten. Dabei sind etwaige Reputationsschäden gar nicht eingerechnet.
Große Datenpannen können sich zugleich zu exzessiven Rechtsstreitigkeiten entwickeln, wobei ein Ereignis eine ganze Reihe von Sammelklagen auslöst. Ein Beispiel: Mehr als 240 Klagen im Zusammenhang mit der MOVEit-Datenpanne im Jahr 2023 wurden im Oktober 2023 in einer einzigen "Multidistrict Litigation" zusammengefasst.
Wer jetzt abwinkt, weil dies Ereignisse auf der anderen Seite des Atlantiks waren, der macht es sich zu leicht: Mit dem bereits erwähnten „Verbandsklagerichtlinienumsetzungsgesetz“ nimmt das Risiko von Rechtsstreitigkeiten wegen Datenschutzverletzungen auch in Europa zu. Ein geschärftes Bewusstsein für Datenschutzrechte, die zunehmende Verfügbarkeit von Drittmitteln für Rechtsstreitigkeiten (etwa durch Prozessfinanzierer) und eine verbraucherfreundliche Gesetzgebung könnten dazu führen, dass massenhafte Datenschutzklagen Realität werden.
Was als Ransomware-Schaden beginnt, eskaliert dann in der Regel zu einem Datenschutzfall
Besonders IT-Dienstleister, die im größeren Umfang Informationen und Daten verarbeiten, sollten das Thema Datenschutz und -sicherheit nicht vernachlässigen. Hierzulande wachen die Datenschutzbehörden – wie die Landesdatenschutzbeauftragten – über die Einhaltung von Standards und Verbraucher können sich mittlerweile zumindest mittelbar über entsprechende Interessenverbände an Sammelklagen beteiligen.
Der Anstieg von Fällen massenhaften Datenabzugs hat die Dynamik verändert. Er ist jetzt eine etablierte Methode bei Cyber-Erpressungsfällen. Selbst wenn die vorgehaltenen Backups den Angriff unbeschadet überstanden haben, sind die Daten faktisch verloren gegangen, da die Angreifer unautorisierten Zugriff hatten und mit der weiteren Veröffentlichung einer Kopie der Daten im Dark Web drohen. Bereits der unautorisierte Zugriff auf personenbezogene Daten stellt regelmäßig eine Datenschutzverletzung im Sinne der Datenschutzgrundverordnung dar.
Was als Ransomware-Schaden beginnt, eskaliert dann in der Regel zu einem Datenschutzfall, wenn sich herausstellt, dass die Angreifer personenbezogene Daten gestohlen haben. Dies kann schnell zu hohen Schäden führen, die Geldbußen, Benachrichtigungskosten von betroffenen Nutzerinnen und Nutzern sowie möglicherweise Kosten für Rechtsstreitigkeiten mit Dritten umfassen können. Hinzu kommen regelmäßig Kosten durch die Erpressungsforderungen, eigene Kosten insbesondere für die Incident Response (vor allem für IT-Forensik und die Wiederherstellung des Systems) und die Kosten einer möglichen Betriebsunterbrechung durch den Ransomware-Angriff.
Zugleich sind IT-Mittelstand und kritische Infrastrukturen hierzulande noch immer anfällig für Cyberangriffe. Einerseits sind sie wegen der verarbeiteten Daten und ihren Kunden attraktive Ziele, andererseits sehen wir in der Praxis häufig Verbesserungsbedarf, leider auch bei grundlegenden IT-Security-Maßnahmen.
KI als Motor für künftige Datenschutzverletzungen
Der Einsatz von KI in Unternehmen und öffentlichen Einrichtungen nimmt von Tag zu Tag zu, wobei mittlerweile fast alle Branchen entsprechende Anwendungen einsetzen. KI stützt sich auf die Sammlung und Verarbeitung großer Datenmengen, einschließlich persönlicher, gesundheitsbezogener und biometrischer Informationen, um KI-Modelle zu trainieren und um möglichst genaue Vorhersagen zu treffen oder Empfehlungen abzugeben.
Angesichts dieser Entwicklungen kann KI potenzielle Datenschutz- und Sicherheitsrisiken mit sich bringen, wenn sie nicht ordnungsgemäß gehandhabt wird. Da so viele Daten gesammelt und verarbeitet werden, besteht die Gefahr, dass sie in die falschen Hände geraten, sei es durch einen Hackerangriff oder andere Sicherheitsverletzungen. Es gibt außerdem Bedenken hinsichtlich möglicher Verstöße gegen Datenschutzgesetze, beispielsweise ob Unternehmen eine ordnungsgemäße Zustimmung der Betroffenen zur Verarbeitung von deren Daten durch KI haben.
Verschiedene KI-Anwendungen sind dabei mit unterschiedlichen Risiken behaftet. KI-Anwendungsfälle, die sich auf Verbraucherprodukte und -dienstleistungen konzentrieren – wie Chatbots oder generierte Inhalte – sind sehr wahrscheinlich mit einem höheren Datenschutzrisiko verbunden als administrative Anwendungen, wie die Automatisierung interner Prozesse.
Es wird Jahre dauern, bis die KI-Regulierung gut entwickelt ist. Bis dahin sehen sich Organisationen mit einer Phase erhöhter Unsicherheit konfrontiert, und das Risiko von Verlusten im Zusammenhang mit dem Datenschutz wird über dem normalen Niveau liegen.
Dringend geboten: Mehr Cybersicherheit, Datenschutz und Schutz der Privatsphäre
Vor diesem Hintergrund müssen große und kleine Unternehmen ihre Anstrengungen zum Schutz ihrer Daten verdoppeln. Trotz eines allgemeinen Trends zu mehr Investitionen in die Cybersicherheit in den letzten Jahren sind viele Datenschutzverletzungen, darunter einige der größten Fälle in den letzten 18 Monaten, das Ergebnis einer unzureichenden Cybersicherheit innerhalb der Unternehmen und/oder ihrer Lieferketten.
Die Überwachung und Überprüfung der Cybersicherheit durch externe Anbieter, einschließlich regelmäßiger Audits, ist ein zunehmend wichtiger Aspekt guter Cybersicherheit und ein Bereich, in dem sich viele Unternehmen verbessern können. Frühzeitige Erkennungs- und Reaktionsmöglichkeiten sind ebenfalls entscheidend. Etwa zwei Drittel der Sicherheitsverletzungen werden in der Regel von Dritten oder von den Angreifern selbst gemeldet – also nicht von den Betroffenen selbst!
Informationssicherheitsverletzungen, die nicht frühzeitig erkannt und eingedämmt werden, können bis zu 1.000-mal teurer sein als solche, die rechtzeitig erkannt werden. So wird aus einem 20.000 Euro-Schaden schnell ein 20 Millionen Euro-Schaden.
Auch KI wird zu einem unverzichtbaren Instrument im Kampf gegen Cyberangriffe, da sie Sicherheitsverletzungen schnell erkennen und Systeme und Datenbanken automatisch isolieren kann. Außerdem hat sie das Potenzial, die Kosten und die Dauer eines Datenschutzvorfalls durch die Automatisierung und damit einhergehende Beschleunigung von Aufgaben wie Forensik und Benachrichtigung von Betroffenen erheblich zu reduzieren. Laut IBM konnten Unternehmen, die KI und Automatisierung im Bereich Cybersicherheit einsetzen, die Kosten eines Datenschutzvorfalls im Durchschnitt um rund zwei Millionen US-Dollar senken.
Fazit
Die steigenden Risiken und wachsenden rechtlichen Anforderungen verdeutlichen, dass Unternehmen Cybersicherheit als festen Bestandteil ihrer Strategie verankern müssen. Neben Investitionen in Schutzmaßnahmen wird der verantwortungsvolle Umgang mit Kundendaten immer wichtiger. Die Versicherungsbranche kann hierbei durch Beratung und Präventionslösungen unterstützen. Angesichts der Folgen für Image und Finanzen bleibt ein umfassender Datenschutz entscheidend für das Vertrauen in Unternehmen.
CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden
Die renommierten CRN Channel Award 2025 für Hersteller, Distributoren, IT-Dienstleister, Managerinnern und Manager: Jetzt bewerben – alle Infos hier