Unternehmen investieren noch zu wenig in die Sensibilisierung ihrer Mitarbeiter
PGP-Studie: Datenverluste werden teurer
Laut einer Studie des Ponemon Institutes im Auftrag der PGP Corporation häufen sich Datenschutzverstöße durch externe Dienstleister, die Unternehmensdaten im Auftrag bearbeiten oder verwenden. Das Handling von Datenschutzpannen werde dabei immer teurer, so die "Jahresstudie 2009: Kosten von Datenpannen", die anhand von Praxisdaten die finanziellen Folgen von Datenverlust und -missbrauch in deutschen Unternehmen beleuchtet.
Die Studie basiert auf Fakten und Zahlen, die sich aus Datenpannen und anschließendem
Datenmissbrauch in 22 deutschen Unternehmen ergeben haben. Die Spannweite der in dieser Studie
erfassten Datenpannen reicht von Fällen mit knapp 3.300 bis zu Fällen mit rund 63.000 betroffenen
Datensätzen.
Für diese Studie haben die Marktforscher Unternehmen aus zwölf Branchen befragt. Dabei
versuchten sie, die durch Verluste oder Diebstähle von Personendaten entstandenen direkten und
indirekten Kosten sowie Folgeausgaben zu quantifizieren.
Die wichtigsten Ergebnisse im Überblick:
Datenpannen werden teurer: Lagen die durchschnittlichen Kosten bei den im Vorjahr untersuchten
Fällen ausgenutzter Datenpannen noch bei rund 2,41 Millionen Euro pro Fall, mussten Unternehmen
2009 durchschnittlich 2,58 Millionen Euro zur Schadensbehebung aufwenden (+7 Prozent). Die Kosten
pro kompromittiertem Datensatz stiegen um 18 Prozent von 112 auf 132 Euro. Als Ursache für die
steigenden Kosten vermutet PGP die 2009 erfolgte Novellierung des Datenschutzgesetzes.
Verstöße gegen den Datenschutz mit anschließendem Datendiebstahl resultieren immer häufiger aus
Fehlern externer Dienstleister, die Daten aus einem Unternehmen erhalten, so ein weiteres Ergebnis
der Studie: Waren in der letztjährigen Studie noch 17 Prozent der untersuchten Fälle durch Fehler
Dritter entstanden, stieg dieser Wert 2009 auf 36 Prozent.
Laut der Studie lohnt es sich finanziell, die Verantwortung für die Datensicherheit klar
zuzuordnen: Die 36 Prozent der Unternehmen, in denen die Verantwortung für die Datensicherheit und
die Abwicklung der Schadensbehebung im Falle eines Datenmissbrauchs eindeutig an ein Mitglied der
Unternehmensleitung – etwa den Verantwortlichen für Informationssicherheit – delegiert war, mussten
rund 87 Euro pro gestohlenem Datensatz aufwenden; in Betrieben, die eine solche klare Zuordnung
nicht getroffen hatten, lagen die Kosten dagegen bei 158 Euro pro kompromittiertem Datensatz.
Laut der Umfrage verteilen sich die Anlässe für den Datenschutzverstoß recht gleichmäßig auf die
beiden Hauptursachen Böswilligkeit und Fahrlässigkeit: Bei den befragten Unternehmen seien 54
Prozent aller Fälle von Datenmissbrauch aus böswilligen oder kriminellen Übergriffen sowie aus den
Aktivitäten von Botnetzen hervorgegangen (2008: 50 Prozent).
Die dabei entstehenden Kosten von durchschnittlich 120 Euro pro kompromittierten Datensatz lagen
deutlich unter den 147 Euro Kosten pro Datensatz, wenn die Ursache in Fehlern der IT-Systeme oder
in der Fahrlässigkeit der Mitarbeiter zu suchen war. Dies legt laut PGP die Vermutung nahe, dass
Unternehmen zwar verstärkt in Technik für die Abwehr und die Forensik investieren, dabei aber die
Kontrolle der Zuverlässigkeit von Produktivsystemen oder die Sensibilisierung und Schulung von
Mitarbeitern vernachlässigen.
Bedenklich ist das noch recht geringe Engagement der Unternehmen in
Security-Awareness-Maßnahmen: Nur 27 Prozent der Unternehmen investierten in eine regelmäßige
Datenschutzausbildung ihrer Mitarbeiter, so die Ponemon-Studie.
Die Studie steht unter
www.encryptionreports.com
gegen Angabe der Kontaktdaten zum Download bereit.
LANline/wg
Lesen Sie mehr zum Thema
