Studie: Das kosten Datenpannen in Unternehmen:
3,43 Millionen Dollar Gesamtkosten pro Datenpanne

von Lars Bube (lars.bube@crn.de)

Share
03.05.2010

Zum ersten Mal vergleicht eine Studie jetzt die internationalen Unterschiede bei den Kosten, die Firmen im Zuge von Datenmissbrauchsfällen entstehen. Mit durchschnittlichen Gesamtkosten von knapp 3,5 Millionen Dollar pro Fall gehört Deutschland zu den teuersten Ländern für Datenpannen.

(Fortsetzung des Artikels von Seite 4)

Keine Beiträge im Forum. » Diskussion starten!

Wenn Unternehmen Daten verlieren, kann das sehr schnell sehr teuer werden - besonders in Deutschland und den USA. (Bild: Feng Yu, Fotolia.com)

Daten sind ein wertvolles Gut, besonders für Unternehmen. Selbst die einfachsten Datensätze geben heute meist schon einen recht genauen Aufschluss über wichtige Interna der Firma, ihre Arbeits- und Produktionsprozesse, sowie auch über Produkte, Alleinstellungsmerkmale und Patente. Damit kann es für Unternehmen sehr schnell richtig teuer werden, wenn Datensätze verloren gehen, oder entwendet und anschließend missbraucht werden. Hinzu kommen in den meisten Ländern inzwischen noch die Kosten für die Aufklärung des Falls sowie empfindliche Strafzahlungen, wenn dem Unternehmen ein eigenes Verschulden nachzuweisen ist.

Wie teuer so ein Verlust im Einzelnen werden kann, darüber gibt jetzt die erste vergleichende internationale Studie von Datenmissbrauchsfällen »2009 Annual Study: Global Cost of a Data Breach« des Marktanalyseunternehmens Ponemon Institute [1] mit Unterstützung des Security-Anbieters PGP [2] genauere Auskunft. Sie basiert auf über 100 realen Fällen von Datenmissbrauch aus dem vergangenen Jahr und bezieht Daten aus 133 Unternehmen und Organisationen 18 unterschiedlicher Branchen in den fünf Ländern Australien, Frankreich, Großbritannien, Deutschland und USA mit ein.

Das bedeutendste Ergebnis der Studie ist eine erschreckend hohe Zahl, die jedem Unternehmensverantwortlichen zeigen sollte, wie wichtig die Absicherung der eigenen Daten ist und dass ein IT-Security-Budget durchaus gut investiertes Geld ist: Satte 3,43 Millionen US-Dollar kostete nämlich im internationalen Durchschnitt jeder einzelne Fall von Datenmissbrauch die betroffenen Unternehmen.

Deutliche Unterschiede im Ländervergleich

Runtergerechnet auf die einzelnen Datensätze ergibt sich damit ein Durchschnittswert von 142 US-Dollar pro verlorenem Datensatz. Allerdings gibt es hier in der Einzelbetrachtung erhebliche Unterschiede zwischen den einzelnen untersuchten Ländern. Besonders Firmen aus Staaten, in denen es eine Veröffentlichungspflicht für Datenpannen gibt, müssen demnach mit signifikant höheren Kosten rechnen, als in Ländern ohne solche Gesetze.

Damit sind die USA, in denen 46 der 50 Bundesstaaten bis heute eine entsprechende gesetzliche Veröffentlichungspflicht eingeführt haben, der eindeutige Spitzenreiter. Im Schnitt liegen die Kosten für einen Datenmissbrauch dort 43 Prozent über dem globalen Durchschnittswert. Während beispielsweise eine Firma in Großbritannien, wo bislang nur der öffentliche Dienst und Finanzorganisationen mit gesetzlichen Auflagen bei Datenmissbrauchsfällen konfrontiert sind, lediglich mit Kosten von 98 US-Dollar pro kompromittiertem Datensatz rechnen muss, liegen die zu erwartenden Kosten in den USA mit 204 US-Dollar mehr als doppelt so hoch.

»Es kann kaum überraschen, dass die finanziellen Folgen einer Datenpanne in den USA, wo die Datenschutzgesetze nicht nur streng, sondern auch ausgereift sind, am schwersten wiegen. Wundern darf man sich dagegen über das relativ niedrige Kostenniveau in Großbritannien«, so der Kommentar von Jonathan Armstrong, ein auf den Bereich Technologie spezialisierter Anwalt der international renommierten Anwaltskanzlei Duane Morris. »Es wird interessant sein, zu sehen, wie steil die Kosten in Großbritannien zukünftig ansteigen werden, wenn die dortige Datenschutzbehörde - das U.K. Information Commissioner's Office - ihre Vorgaben für den Datenschutz einschließlich der avisierten hohen Geldstrafen bei Verstößen für alle Unternehmen konsequent umsetzt.«

Deutschland: Neues Datenschutzgesetz greift

Auch in Deutschland zeigen die seit Juli 2009 geltenden neuen Gesetze für den Datenschutz in Unternehmen bereits deutliche Wirkung und erhöht den (Kosten-) Druck auf die IT-Sicherheitsverantwortlichen merklich. Deutschland ist dadurch inzwischen zum zweitteuersten der untersuchten Länder für Datenverluste aufgestiegen, die Kosten pro Datensatz liegen mit 177 Dollar ein Viertel signifikant über dem internationalen Durchschnitt. Dagegen wiesen die Länder Australien, Frankreich und Großbritannien, in denen die Veröffentlichungspflicht bei Datenpannen gesetzlich noch nicht festgeschrieben ist, im internationalen Vergleich unterdurchschnittliche Kosten pro kompromittierten Datensatz auf.

Damit zeigt die Studie deutlich, dass strengere gesetzliche Vorschriften durchaus Wirkung zeigen und vor leichtfertigem Datenverlust abschrecken. »Eine zentrale Schlussfolgerung aus den Ergebnissen dieser Studie ist, dass regulative Vorschriften deutlichste Auswirkungen auf die Höhe der Kosten von Datenpannen haben«, so Dr. Larry Ponemon, Vorsitzender und Gründer des Ponemon Institutes. »Die Situation in den USA belegt dies und es ist klar, dass die Kosten auch in den anderen Ländern der Welt steigen werden, wenn dort eine Veröffentlichungspflicht bei Datenmissbrauchsfällen gesetzlich verankert wird.«

Der größte Anteil an den Kosten durch den Verlust eines Datensatzes entsteht durch entgangenen Umsatz, der im Schnitt etwa 44 Prozent davon ausmacht. Das zeigt deutlich, wie sensibilisiert die Kunden inzwischen für das Thema sind, und wie viel Vertrauen Unternehmen bei ihnen gleichzeitig mit einem Datenverlust verspielen. Auch hier strafen die besonders kritischen amerikanischen Bürger die Unternehmen am härtesten ab: die entgangenen Umsätze durch den Imageverlust machen bei ihnen durchschnittlich 66 Prozent der Gesamtkosten eines Datenmissbrauchsfalls aus.

Steigende Kosten durch strengere Gesetze

Am schwersten trifft die Unternehmen damit meist der – gerne unterschätzte - Image-Verlust im Zuge eines Datenmissbrauchs. »Unabhängig vom Standort eines Unternehmens leidet sein Ruf, wenn bekannt wird, dass es fahrlässig mit vertraulichen Daten umgeht«, so Phillip Dunkelberger, President und CEO der PGP Corporation. »Daten sind ein wichtiges Kapital, das geschützt werden muss. Immer mehr Länder verabschieden verschärfte Datenschutzvorschriften und Gesetze, die Unternehmen eine Veröffentlichungspflicht im Falle einer Datenpanne auferlegen. Denn sie haben erkannt, dass Kunden das Vertrauen in Unternehmen verlieren und abwandern, wenn es zu einer Datenpanne kommt.«

Ein weiterer wichtiger Kostenfaktor im Falle eines Datenmissbrauchs sind die nötigen Aufwendungen für die Aufdeckung und Aufarbeitung des jeweiligen Falles. Auch hier zeigt das novellierte deutsche Datenschutzgesetz bereits Wirkung: Mit 52 US-Dollar pro betroffenem Datensatz kosten Aufdeckung und Aufarbeitung hierzulande mehr als in den anderen Vergleichsländern der Studie. Dies zeigt, wie die Aufwendungen der Unternehmen und Organisationen in neue Sicherheitstechnologien und –prozesse durch die neuen gesetzlichen Anforderungen aktuell steigen.

In den USA hingegen, wo ähnliche Gesetze schon seit einigen Jahren gelten, sind die entsprechenden Kosten in den letzten Jahren wieder gesunken, so dass die Aufklärung und Aufarbeitung eines betroffenen Datensatzes dort nur noch mit knapp 8 Dollar zu Buche schlägt. Dies legt nahe, dass US-amerikanische Unternehmen ihren zeitlichen Vorsprung dazu genutzt haben, effizientere Erkennungs- und Aufarbeitungsprozesse zu etablieren. Somit ist davon auszugehen, dass auch in den anderen Ländern diese Kosten mit der Zeit wieder sinken werden, wenn die initialen Aktivitäten zur Einhaltung verschärfter gesetzlicher und branchenspezifischer Regelungen absolviert und die entsprechenden Prozesse auf die Arbeitsabläufe besser abgestimmt wurden.

Absichtlicher Datenklau als GAU

Nochmals etwas mehr kostet die Suche und Aufarbeitung, wenn zudem externe Dienstleister mit im Boot sind. In besonderem Maße galt dies im vergangenen Jahr für Frankreich. Dort wurde bei Datenmissbrauch mit Beteiligung Dritter ein Zuwachs der Kosten von 116 Prozent festgestellt. In den USA, wo auch für die Dienstleister besonders strenge Auflagen gelten, kosten Datenmissbrauchsfälle, bei denen externe Unternehmen beteiligt sind, hingegen im Schnitt nur 12 Prozent mehr.

Am teuersten wird es immer dann, wenn bösartige oder kriminelle Aktivitäten zum Datenverlust führen. Ob gekündigte Mitarbeiter, die sensible Geschäftsdaten Daten mitnehmen oder frustrierte Angestellte, die sich als »Spione« für die Konkurrenz verdingen. Zwischen 24 und 54 Prozent der Gesamtfälle machen solche absichtlichen Angriffe je nach Land aus. Somit wäre es dringend angeraten, dass IT-Organisationen mehr in geeignete proaktive Schutzmaßnahmen investieren, um insgesamt die Kosten zu reduzieren.

Unabhängig vom Standort lassen sich die Gefahren und Kosten laut der Studie besonders gut in den Griff bekommen, wenn die Verantwortung für die Datensicherheit und die Abwicklung der Schadensbehebung klar an einen Datenschutzbeauftragten oder an ein Mitglied der Unternehmensleitung mit adäquater Funktion delegiert wurde. »Mit der Tatsache, dass die Kosten im Falle eines Datenmissbrauchs unabhängig vom Standort des Unternehmens und der einzuhaltenden Gesetze dann sinken, wenn die Verantwortlichkeiten klar an ein Mitglied der Unternehmensleitung delegiert sind, zeigt diese Studie einen positiven Aspekt auf«, so Dunkelberger weiter. Damit sei die Aufgabe für die Firmen klar: »Unternehmen sind also gut beraten, solch eine Position möglichst umgehend in ihren Führungsreihen zu etablieren.«

Die gesamte Studie können Interessenten auf dieser Webseite [3] kostenlos herunterladen.

[1] http://www.ponemon.org/index.php
[2] http://www.pgp.com/de/
[3] http://www.encryptionreports.com/

Verwandte Artikel