Markt-Trends von Kanada Cyber-(Haftpflicht-)Versicherung Industrie
Sich entwickelnde Regulierungsreformen treiben den Markt an
Die DSGVO in Europa oder der Personal Information Protection and Electronic Documents Act (PIPEDA) in Kanada führen dazu, dass Unternehmen von einem reaktiven Ansatz zu einem proaktiven Ansatz in Sachen Cybersicherheit übergehen. Versicherer legen nun einen stärkeren Fokus auf die Systemsicherheit und die Möglichkeit, persönliche Daten sicher zu speichern und zu nutzen. Kanada war eines der ersten Länder der Welt, das eine Bundesgesetzgebung zur Meldepflicht bei Cyber-/Datenschutzverstößen erlassen hat. Da die kanadische Gesetzgebung nicht vorgibt, was Unternehmen mindestens tun sollten, gibt es keinen Mindeststandard, den kanadische Unternehmen befolgen müssen. Infolgedessen herrscht im kanadischen Kontext immer noch ein gewisses Maß an Cyber-Apathie
Sowohl PIPEDA als auch die DSGVO haben sicherlich dazu geführt, dass das Bewusstsein für Cyber-Richtlinien als Methode zur Risikoübertragung für Unternehmen gestiegen ist. Da jedoch nur sehr wenige behördliche Bußgelder verhängt werden – insbesondere für Unternehmen, die über keine wesentlichen personenbezogenen Daten (PII) verfügen, wie z. B. Hersteller oder Baugewerbe –, gab es für das alltägliche kanadische Geschäft keine nennenswerten Schadensregulierungsaktivitäten. Weniger als 4 % der Cyber-Schadensfälle sind auf die Einleitung Dritter oder behördlicher Maßnahmen zurückzuführen. Datenschutzgesetze haben jedoch mit neueren Varianten von Ransomware interagiert, die sensible Daten herausfiltern, um Unternehmen zur Zahlung ihrer Forderungen zu verleiten. Ransomware galt schon lange vor der Datenexfiltration als ein vom Schweregrad abhängiges Ereignis, und es ist leicht zu verstehen, warum, wenn man die Kosten für Betriebsunterbrechungen für entgangene Gewinne pro Tag und die völlige Neuerstellung potenziell hochentwickelter und komplexer Netzwerke addiert – ganz zu schweigen davon Die Deckung der Nachfrage selbst, auf die einige Unternehmen kaum eine andere Wahl haben, als auf entsprechende Backups zu verzichten. Da nun vertrauliche Daten auf dem Spiel stehen, bedeutet dies, dass eine Due-Diligence-Prüfung erforderlich ist, um festzustellen, ob die Daten von den Kriminellen eingesehen oder herausgefiltert wurden. Infolgedessen müssen Unternehmen möglicherweise kostspielige juristische Dienste in Anspruch nehmen, um eine entsprechende Mitteilung an Kunden gemäß den Datenschutzrichtlinien zu erstellen und herauszugeben
Gemäß PIPEDA kann das Büro des Datenschutzbeauftragten (Office of the Privacy Commissioner, OPC) Bußgelder und Strafen von bis zu 100.000 US-Dollar für das Versäumnis, den Umstand zu melden, verhängen, wenn es sich um Informationen handelt, die ein reales Risiko erheblichen Schadens für die betroffenen Personen darstellen könnten. Die Meldepflicht gibt also Orientierung, wann Unternehmen Meldungen erstatten müssen und was sie nach einem Verstoß tun müssen. Der Großteil der kanadischen Unternehmen sind klein – 97,9 %, so die neuesten Volkszählungsdaten. Eine Geldstrafe von 100.000 US-Dollar für ein 12-Personen-Produktionsunternehmen wird weitaus größere Auswirkungen auf die Zahlungsfähigkeit dieses Unternehmens haben als eine Geldstrafe von 100.000 US-Dollar gegen Facebook, Google oder Apple. Kleine Unternehmen in Kanada sollten sich also darüber im Klaren sein, dass diese Gesetzgebung ihnen nahe legt, dies ernst zu nehmen oder sich den Konsequenzen zu stellen
Zunahme von Ransomware-Angriffen
Ransomware lässt nicht nach und machte letztes Jahr 31 % aller weltweit verwalteten Schadensfälle aus, während sie fast die Hälfte aller Schadensfälle kanadischer Unternehmen ausmachte. Allerdings zeichnet sich im Jahr 2020 bei diesen Angriffen ein besorgniserregender Trend ab. Es kommt immer häufiger vor, dass Kriminelle vertrauliche Informationen stehlen und dann mit deren Herausgabe drohen, wenn die Lösegeldforderungen nicht bezahlt werden. Sie führen außerdem eine stärkere Due-Diligence-Prüfung durch, um den Höchstbetrag zu ermitteln, den sich eine Organisation leisten kann, um festzustellen, wie viel sie zu erpressen versucht. Während Ransomware typischerweise mit einer Betriebsunterbrechung oder einem Systemschaden in Verbindung gebracht wurde, wird sie zunehmend zu einem Datenschutzproblem, das Benachrichtigungspflichten gegenüber Kunden und wichtigen Stakeholdern nach sich zieht. Gleichzeitig sollten sich Unternehmen von den jüngsten Ransomware-Angriffen nicht von der Tatsache ablenken lassen, dass gewöhnliche Phishing-Angriffe, die zur Kompromittierung geschäftlicher E-Mails und zum Betrug bei Überweisungen führen, immer noch einen großen Prozentsatz der Ansprüche weltweit ausmachen weltweit, auch für kanadische Versicherungsnehmer und Konten
