Kosten von Datenpannen:
Jede Datenpanne kostet deutsche Firmen 132 Euro pro Datensatz

von Bernd Reder (bernd.reder@networkcomputing.de)

Share
15.04.2010

Jeder Datensatz, den ein Unternehmen im Deutschland verliert, verursacht Kosten in Höhe von 132 Euro. Das sind 18 Prozent mehr als im 2008. Dies ist eines der Ergebnisse einer Studie der IT-Sicherheitsfirma PGP und des Ponemon-Institute.

Fast schon zu einer Tradition geworden ist der »Data Breach Report«, den PGP [1] in Zusammenarbeit mit der Marktforschungsinstitut Ponemon Institute [2] herausgibt. Die diesjährige Ausgabe des Berichts, der auch in einer Version für Deutschland bereitsteht, hat keine guten Nachrichten für Anwender parat. Die Studie steht auf dieser Web-Seite zum Herunterladen bereit – gegen Registrierung: www.encryptionreports.com [3]

Kriminelle Aktivitäten von Externen, Partnern oder eigenen Mitarbeitern führen in 54 Prozent der Fälle zu Datenverlusten.

So sind die Kosten, die jeder verloren gegangene Datensatz in einem Unternehmen oder einer Organisation in Deutschland verursacht, im vergangenen Jahr um 18 Prozent auf 132 Euro gestiegen. Rund 67 Euro davon, so PGP, entfallen auf indirekte Kosten. Das sind beispielsweise Aufwendungen, die durch das Abwandern von verärgerten Kunden entstehen.

Die direkten Kosten summieren sich auf 65 Euro pro Datensatz. Damit gingen sie im Vergleich zu 2008 um einen Euro zurück. Im Durschnitt musste ein Unternehmen 2,58 Millionen Euro (2008: 2,41 Millionen) aufwenden, um die Folgen einer Datenpanne zu beseitigen.

»Als besonders kostspielig erweist sich das Abwandern von verärgerten Kunden zu einem Konkurrenten«, sagt Ingo Wachter, Vorstand der deutschen Tochter von PGP. Laut der Studie wechselten im Schnitt 4,2 Prozent der Kunden eines Unternehmens, die von einer solchen Panne betroffen waren, aufgrund des Vorfalls den Anbieter.

Besonders hoch war mit 7 Prozent die Quote der »Absprünge« in der Finanzbranche und dem Transportwesen. Das Geschäft, das einer Firma durch eine Datenpanne verloren ging, beziffert die Studie auf 46 Euro pro Datensatz. Das sind 10 Euro mehr als 2008.

Dienstleister als Gefahrenquelle

Für den Verlust von internen Daten sind immer häufiger Dienstleister verantwortlich, die mit Unternehmen zusammenarbeiten. Laut PGP gingen 2008 noch 17 Prozent der Datenpannen auf das Konto Dritter. Im vergangen Jahr waren es bereits 39 Prozent.

Die Kosten pro Data Leak sind im vergangenen Jahr um 18 Prozent gestiegen.

Dies ist auf den Trend in Richtung Outsourcing zurückzuführen, etwa in Bereichen wie Kundenbetreuung und Vertrieb (Callcenter), aber auch IT-Services und Personalwesen.

Ein weiteres Resultat der Untersuchung: An die 54 Prozent der Vorfälle sind auf vorsätzliche Aktionen (Angriffe, Datendiebstahl durch Mitarbeiter) zurückzuführen. Das ist eine Steigerung um 50 Prozent im Vergleich zu 2008. Der Schaden pro Vorfall: rund 120 Euro.

In fast einem Drittel der Fälle war Fahrlässigkeit von Mitarbeitern oder Dienstleistern der Auslöser, in 14 Prozent ein Systemfehler. In diesem Fall betrugen die Kosten pro Datensatz an die 147 Euro.

Kosten von Fahrlässigkeit unterschätzt

PGP erklärt den Unterschied zwischen den 120 und 147 Euro damit, dass speziell deutsche Unternehmen mehr Geld in die Untersuchung und Abwehr von Cyber-Attacken stecken. Die Kosten durch Fahrlässigkeit und fehlerhafte oder falsch konfigurierte IT-Systeme werden dagegen unterschätzt.

Auf die verschärften Datenschutzregelungen, etwa die Novelle des Bundesdatenschutzgesetzes vom 1. September 2009, ist zurückzuführen, dass viele deutsche Firmen in puncto IT-Sicherheit aufrüsten. So stieg laut PGP der Anteil der Unternehmen, die Verschlüsselungslösungen einsetzen, um 26 auf 77 Prozent.

An die 73 Prozent der Firmen gaben an, dass sie zudem die Kontrolle der internen und externen Netzwerkschnittstellen verbessert haben, und 63 Prozent haben ein Security-Event-Management installiert. Auf eine Data-Leak-Prevention-Lösung setzen 59 Prozent.

Fahrlässigkeit ist ein Faktor, der häufig zu Datenlecks führt.

Im Gegenzug tut sich allerdings eine neue »Front« auf: Nur 27 Prozent der Unternehmen geben Geld für eine regelmäßige Datenschutz-Ausbildung ihrer Mitarbeiter aus – eine bedenkliche Zahl.

Ratschläge für Unternehmen

Um nicht ein Datendesastet zu erleben, sollten Anwender laut PGP Folgendes tun:

  • eine Organisationsstruktur einführen, die es Sicherheitsbeauftragten erlaubt, ihren Job zu erledigen. Dazu gehört, dass Prozesse für das Erkennen von Datenlecks und das Benachrichtigen der zuständigen Stellen etabliert werden;
  • die Sicherheitslage von Dienstleistern oder Lieferanten muss im Vorfeld gründlich untersucht werden, bevor an diese vertrauliche Informationen übermittelt werden;
  • die Informationen auf mobilen Datenträgern und Rechnern (USB-Sticks, Notebooks) sollten prinzipiell verschlüsselt werden;
  • ein Krisenmanagement-Plan ist Pflicht. In ihm sollten Funktionen, Verantwortungsbereich, Verfahren und Zeitpläne definiert sein;
  • Berater und Rechtsexperten hinzuziehen, wenn Unklarheit über Anforderungen in puncto Compliance und Datenschutz bestehen;
  • auf jeden Fall Mitteilungen für den Fall entwerfen, dass Kundendaten verloren gehen und die Betroffenen unverzüglich informieren. Außerdem sollte ein Unternehmen weitere Maßnahmen anbieten, um das Abwandern von Kunden zu verhindern, etwa indem sie kostenlos Identitätsschutzdienste zur Verfügung stellen;
  • Analyse der Maßnahmen und des Vorfalles einige Monate später. Dabei sollte geprüft werden, ob die Maßnahmen, die nach der Panne eingeleitet wurden, effektiv und angemessen waren. Nötigenfalls »nachjustieren«.

[1] http://www.pgp.de/
[2] http://www.ponemon.org/
[3] http://www.encryptionreports.com

Verwandte Artikel