Was Informationsverlust kostet

Sicherheitslücken sind Kostenfallen

Von Uli Ries

Eine umfangreiche Studie zeigt erstmals auf, welche Kosten der deutschen Wirtschaft durch Datenpannen entstehen: im Schnitt 2,41 Mio. Euro pro Unternehmen. Hätten die Firmen auch nur einen Bruchteil dieser Summen in die nötigen Sicherheitsmaßnahmen und -produkte investiert, wären die Schäden sehr wahrscheinlich erheblich geringer ausgefallen.

Das zumindest postuliert der Chef der Verschlüsselungsfirma PGP Corporation, Phil Dunkelberger. PGP ist der Sponsor der Studie Cost of a Data Breach, die erstmals Zahlen über die Kosten von Datendiebstählen in Deutschland liefert. Damit haben CIOs und CISOs hierzulande nun verlässliche Zahlen zur Hand, um Investitionen in Schulungen oder neue Sicherheitsprodukte zu rechtfertigen. Das Ergebnis: Durchschnittlich 112 Euro kostete ein verlorener Datensatz. Der Gesamtschaden variierte pro Vorfall, je nach der Zahl der verschwundenen Datensätze (3750 bis 90.000), zwischen 267.000 Euro und 6,75 Mio. Euro.

Schützen und schulen

Befragt wurden 18 Unternehmen, die im vergangenen Jahr einen Datenverlust erlitten hatten. Die Zahl ist deshalb so niedrig, da es in Deutschland – anders als z.B. in den USA – keine gesetzlich verankerte Pflicht zur Veröffentlichung solcher Datenpannen gibt. Das Ponemon Institute war bei der Suche nach Informanten auf die persönlichen Kontakte seines Leiters Larry Ponemon angewiesen. Bei PGP zeigt man sich jedoch zuversichtlich, dass die Zahl der auskunftsbereiten Unternehmen in Zukunft steigen wird, da die hiesigen CIOs und CISOs großes Interesse an den Studiendetails haben. Und nur wer Auskunft gibt, bekommt die detaillierten Ergebnisse gratis.

Anders als die amerikanischen Opfer von Datenpannen, konzentrieren sich deutsche Unternehmen nach dem Vorfall verstärkt auf den Einsatz neuer Schutztechniken wie Datenverschlüsselung oder Data Leakage Prevention. Erst in zweiter Linie greift man zu Schulungsmaßnahmen, um das Bewusstsein der Angestellten zu schärfen. Amerikanische Firmen, denen erstmals Daten abhanden kommen, reagieren in umgekehrter Reihenfolge.

Serie: Datenschutz
Teil 1 erklärt, wann Unter­nehmen einen Be­auf­tragten für den Daten­schutz brau­chen und wa­rum ex­terne Pro­fis oft die bes­sere Wahl sind. Teil 2 setzt aus­einander, wie Be­triebs­rat und Mit­arbeiter am besten mit­spielen und was in den Ver­fahrens­plänen stehen muss. Teil 3 geht das The­ma von der an­deren Sei­te an und fragt, was der Wirt­schafts­prüfer bei der Kon­trolle zu Ge­sicht be­kommen darf. Teil 4 stellt ein Schutz­klassen­system vor und be­trachtet Daten­schutz und EDV-Com­pliance als Wett­bewerbs­vorteil.

Beide Wege scheinen sinnvoll angesichts der Tatsache, dass hierzulande 28 % aller Datenpannen auf verlorenen Laptops basieren – und nicht auf Hackerangriffen oder Industriespionage. Durch Mitarbeiterschulungen kann die Wahrscheinlichkeit eines solchen Verlusts gesenkt, durch Verschlüsselung der Daten das Risiko minimiert werden, wenn das Gerät verschwindet. Daher rät Dunkelberger, sich nicht auf einen einzigen Schutzmechanismus zu konzentrieren und z.B. Datenverschlüsselung als Allheilmittel zu sehen. Ihm zufolge sichert nur die Kombination verschiedener Schutzmaßnamen (Training der Mitarbeiter, DLP, Verschlüsselung Datenbestände etc.) tatsächlich ab.

Undichte Kooperation

Setzt sich der in den USA erkennbare Trend fort – dort wird die Studie schon seit vier Jahren erstellt –, dann werden die Probleme durch Mitarbeiter auch in Deutschland zunehmen. Denn in Amerika gehen 88 % der Datendiebstähle nicht auf das Konto von Crackern, sondern sind auf Nachlässigkeit zurückzuführen. Und nicht nur die eigenen Mitarbeiter gehen schlampig mit den ihnen anvertrauten Daten um, auch externe Partner wie Berater, Dienstleister oder Geschäftspartner sind eine immer größer werdende Gefahrenquelle: Waren externe Personen im Jahr 2005 nur in knapp über 20 % aller Vorfälle verwickelt, waren es 2008 schon 44 %.

Der durch externe Personen pro Datensatz verursachte Schaden ist mit 231 US$ um 52 US$ höher, als wenn der Datenverlust durch eigene Mitarbeiter verursacht wird.

Die durchschnittlichen Gesamtkosten, die ein Datendiebstahl mit sich bringt, lagen bei 2008 bei 6,6 Mio. US$ pro Vorfall (2007: 6,3 Mio. US$, 2006: 4,7 Mio. US$). Das Spektrum reichte 2008 von 613.000 US$ bis hin zu beinahe 32 Mio. US$ pro Einzelfall. Interessant ist auch, wie sich die von Ponemon für Deutschland ermittelten Kosten pro verlorenem Datensatz zusammensetzen: Je 36 Euro entfielen auf entgangene Umsätze, Ausgaben für Aufdeckung und interne Aufarbeitung sowie Reaktionen gegenüber den betroffenen Personen. Die übrigen 4 Euro wurden für die Benachrichtigung der Betroffenen aufgewandt – mangels gesetzlich verankerter Veröffentlichungspflicht ein vergleichsweise marginaler Betrag.

Kommunikation-und-netze-2015-02.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazin­reihe. Einen Über­blick mit freien Down­load-Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Fazit: Vertrauensverlust vorbeugen

Im Vergleich zur üblichen Fluktuation steigerte sich die Zahl der Kunden, die sich im gestörten Vertrauen nach einer Datenpanne vom Unternehmen abwandten, um 3,24 %; ein von Ponemon befragtes Unternehmen verlor sogar 8 % der Bestandskunden. Die Folge unplanmäßiger Kundenverluste sind niedrigere Umsätze sowie höhere Marketing-Aufwendungen zur Neukundengewinnung – Kosten und Mühen, die vermeidbar sind, wenn sensible Daten von Beginn an besser gesichert werden.

Uli-Ries.jpg

Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.

Kontakt via Xing

Nützliche Links