Das Justizministerium glaubt vielleicht zu wissen, wer Equifax gehackt und die sensiblen persönlichen Daten von 148 Millionen US-Verbrauchern offengelegt hat, aber das bedeutet nicht, dass der Verstoß bereits hinter Equifax steckt.
Tatsächlich gab die Kreditauskunftei diese Woche bekannt, dass sie erwartet, für ihre Rolle bei dem Verstoß weitere 100 Millionen US-Dollar zu zahlen.
Letztes Jahr erklärte sich das Unternehmen bereit, fast 700 Millionen US-Dollar auszuzahlen, um zahlreiche Ermittlungen auf Bundes- und Landesebene beizulegen.
Aber das Unternehmen gab diese Woche in seinem Ergebnisbericht für das vierte Quartal bekannt, dass es im vierten Quartal weitere 99,6 Millionen US-Dollar für „bestimmte Gerichtsverfahren und staatliche Untersuchungen im Zusammenhang mit dem Cybersicherheitsvorfall von 2017“ bereitgestellt hat.
Nach Angaben des Unternehmens geht es davon aus, dass diese Rückstellung den Rest der erwarteten Auszahlungen für den Verstoß abdecken wird. Genauer gesagt sagte das Unternehmen, es handele sich um „abgeschlossene Vergleiche und unsere beste Schätzung der verbleibenden Verbindlichkeiten für die US-Angelegenheiten im Zusammenhang mit dem Cybersicherheitsvorfall von 2017“.
Insgesamt hat das Unternehmen im Jahr 2019 etwas mehr als 800 Millionen US-Dollar für Auszahlungen im Zusammenhang mit Verstößen bereitgestellt, wobei die Rechts- und Beratungskosten des Unternehmens nicht berücksichtigt sind.
Darüber hinaus gab das Unternehmen im Jahr 2019 weitere 337 Millionen US-Dollar für Technologie und Datensicherheit, Rechts- und Ermittlungskosten sowie Produkthaftung für den Verstoß aus.
Insgesamt kostete der Verstoß Equifax allein im Jahr 2019 1,14 Milliarden US-Dollar.
Insgesamt kostete der Verstoß Equifax seit seiner ersten Offenlegung im Jahr 2017 mehr als 1,7 Milliarden US-Dollar.
Laut Equifax verfügte das Unternehmen zum Zeitpunkt des Verstoßes über eine Cybersicherheitsversicherung in Höhe von 125 Millionen US-Dollar. Das Unternehmen hat aus dieser Versicherungspolice längst die maximale Erstattung von 125 Millionen US-Dollar erhalten.
Das Unternehmen weist außerdem darauf hin, dass trotz seiner derzeitigen Annahme, dass diese 100 Millionen US-Dollar alle „verbleibenden Verbindlichkeiten“ decken werden, die finanzielle Bestrafung möglicherweise noch nicht vorbei ist.
„Obwohl es vernünftigerweise möglich ist, dass Verluste entstehen, die den aufgelaufenen Betrag übersteigen, ist es zum jetzigen Zeitpunkt nicht möglich, den zusätzlichen möglichen Verlust abzuschätzen, der über den bereits aufgelaufenen Betrag hinausgeht und sich aus nachteiligen Urteilen, Vergleichen, Strafen oder anderen Lösungen ergeben könnte.“ Die Verfahren und Untersuchungen im Zusammenhang mit dem Cybersicherheitsvorfall von 2017 basieren auf einer Reihe von Faktoren, wie z. B. den verschiedenen Phasen dieser Verfahren und Untersuchungen, der Tatsache, dass angebliche Schäden nicht spezifiziert wurden oder ungewiss sind, der Ungewissheit hinsichtlich der Zertifizierung einer Klasse oder Klassen und die Größe einer zertifizierten Klasse, sofern zutreffend, und die mangelnde Lösung wichtiger sachlicher und rechtlicher Fragen“, sagte das Unternehmen in seiner Gewinnmitteilung.
„Der letztendlich für diese Klagen, Ansprüche und Untersuchungen gezahlte Betrag, der über den bereits aufgelaufenen Betrag hinausgeht, könnte für die konsolidierte Finanzlage, das Betriebsergebnis oder den Cashflow des Unternehmens in zukünftigen Perioden von wesentlicher Bedeutung sein“, fügte das Unternehmen hinzu.