von Katharina Kehraus
3 Fälle, in denen Unternehmen die Auszahlung einer Cyberversicherung verweigert wurde
Die Cyberversicherung ist eine Art von Versicherung, die Unternehmen vor finanziellen Verlusten schützt, die durch einen Cyberangriff entstehen können. Sie ist für Unternehmen aller Größenordnungen unverzichtbar, doch sollten Sie vor dem Abschluss einer Police einige Fakten beachten.
Nur weil Sie eine Cyberversicherung abgeschlossen haben, bedeutet das nicht, dass Sie im Falle eines Vorfalls garantiert eine Auszahlung erhalten. Dies liegt daran, dass Sie möglicherweise nicht die richtige Deckung für bestimmte Arten von Cyberangriffen haben oder die Sicherheitsanforderungen Ihrer Police nicht erfüllen. Daher ist es wichtig, dass Sie Ihre Police sorgfältig prüfen und sicherstellen, dass Ihr Unternehmen ausreichend geschützt ist.
Lernen Sie aus der Vergangenheit
Im Folgenden finden Sie drei Beispiele aus der Praxis für abgelehnte Cyber-Versicherungsansprüche:
Cottage Health vs. Columbia Casualty
Das Problem ergab sich aus einer Datenpanne bei Cottage Health System. Das Unternehmen meldete dies seinem Cyber-Versicherer, der Columbia Casualty Company, und reichte einen Antrag auf Deckung ein.
Columbia Casualty beantragte jedoch ein Feststellungsurteil gegen Cottage Health und behauptete, sie sei nicht verpflichtet, Cottage Health zu verteidigen oder zu entschädigen, weil der Versicherte die Bedingungen ihrer Police nicht eingehalten habe. Laut Columbia Casualty hatte Cottage Health zugestimmt, bestimmte Mindestrisikokontrollen als Bedingung für den Versicherungsschutz aufrechtzuerhalten, was sie dann nicht getan haben.
Dieser Fall erinnert Unternehmen daran, wie wichtig es ist, ihre Cyber-Police zu lesen, zu verstehen, was sie enthält, und sich an die Bedingungen zu halten.
BitPay vs. Massachusetts Bay Insurance Company
BitPay, ein weltweit führender Anbieter von Zahlungsdiensten für Kryptowährungen, meldete einen Versicherungsanspruch in Höhe von 1,8 Millionen Dollar an, der jedoch von der Massachusetts Bay Insurance Company abgelehnt wurde. Der Schaden wurde durch einen Phishing-Betrug verursacht, bei dem ein Hacker in das Netzwerk des Geschäftspartners von BitPay eindrang, die Anmeldedaten des CFO von BitPay stahl, sich als CFO von BitPay ausgab und die Überweisung von mehr als 5.000 Bitcoins auf ein gefälschtes Konto forderte.
Massachusetts Bay Insurance erklärte in seinem Ablehnungsbescheid, dass der Schaden von BitPay nicht direkt war und daher nicht durch die Police gedeckt war. Massachusetts Bay Insurance machte geltend, dass die Tatsache, dass ein Geschäftspartner gephisht wurde, nicht im Sinne der Police ist.
Obwohl BitPay gegen die Ablehnung Berufung einlegt, unterstreicht dieser Fall, wie wichtig es ist, Versicherungspolicen sorgfältig zu prüfen, um sicherzustellen, dass man weiß, welche Szenarien abgedeckt sind. Dieser Vorfall macht auch deutlich, wie wichtig es ist, die Mitarbeiter in Sachen Sicherheit zu schulen und sich an einen IT-Dienstleister zu wenden, wenn Sie nicht über regelmäßige Schulungen verfügen.
International Control Services vs. Travelers Property Casualty Company
Travelers Property Casualty Company beantragte bei einem Bezirksgericht, die Klage von International Control Services gegen den Ransomware-Angriff abzuweisen. Das Unternehmen argumentiert, dass International Control Services es versäumt hat, die Multifaktor-Authentifizierung (MFA) ordnungsgemäß anzuwenden, die für den Abschluss einer Cyberversicherung erforderlich ist. MFA ist eine Art der Authentifizierung, die mehrere Faktoren zur Bestätigung der Identität eines Benutzers verwendet.
Travelers Property Casualty Company behauptet, dass International Control Services in seinen Antragsunterlagen fälschlicherweise angegeben hat, dass MFA für Mitarbeiter und Dritte erforderlich ist, um auf E-Mails zuzugreifen, sich aus der Ferne in das Netzwerk einzuloggen und auf Endpunkte, Server usw. zuzugreifen. Sie gaben an, dass International Control Services das MFA-Protokoll nur auf seiner Firewall verwendete und dass der Zugang zu seinen anderen Systemen, einschließlich seiner Server, die das Ziel des fraglichen Ransomware-Angriffs waren, nicht durch MFA geschützt war.
Dieser Fall erinnert daran, dass die Versicherer bei der Zeichnung von Versicherungspolicen die Cybersicherheitspraktiken der Unternehmen immer genauer unter die Lupe nehmen und dass die Unternehmen ehrlich über ihre Cybersicherheitslage sein müssen.
Die Travelers Property Casualty Company möchte, dass das Gericht den Versicherungsvertrag für null und nichtig erklärt, die Police für nichtig erklärt und feststellt, dass sie nicht verpflichtet ist, International Control Services für jegliche Ansprüche zu entschädigen oder zu verteidigen.
Handeln Sie nicht zu spät
Wie wir gesehen haben, gibt es mehrere Gründe, warum Unternehmen Auszahlungen aus ihren Cyberversicherungsverträgen verweigert werden können. Manchmal liegt es an einem naiven Fehler, z. B. der Fehlinterpretation eines schwer verständlichen Versicherungsjargons. In anderen Fällen kann es sein, dass Unternehmen eine schlechte Cybersicherheitshygiene betreiben.
Ein IT-Dienstleister kann Ihnen helfen, diese Probleme zu vermeiden, indem er gemeinsam mit Ihnen Ihre Risiken bewertet und einen umfassenden Plan für die Cybersicherheit entwickelt. Wenden Sie sich an uns, um ein unverbindliches Beratungsgespräch zu führen.
Ich freue mich darauf, schon bald mit Ihnen persönlich zu sprechen!