Generelle Meldepflicht für Datendiebstahl würde angeblich nur unnötige Kosten verursachen
US-Behörde: Datenschutzlücken "nur sehr selten" missbraucht
Lücken im Datenschutz führen nur selten zu Identitätsdiebstahl - das behauptet zumindest die US-Regierungsstelle für Haftungsfragen (U.S. Government Accountability Office, GAO) in ihrem aktuellen Report. Deshalb sprach sie sich gegen eine Ausweitung der Meldepflicht von Datenverlusten aus, die derzeit dem US-Kongress als Gesetzesentwurf vorliegt. Und nicht nur in den USA wird dieses Thema diskutiert, auch europäische Sicherheitsexperten kommentierten die US-Gesetzgebung bei dem jüngsten RSA-Roundtable.
Laut der aktuellen GAO-Studie haben nur vier der 24 größten Datenverluste zwischen 2000 und 2005 zu Identitätsdiebstahl geführt. Drei davon resultierten in Betrug mit existierenden Kundenkonten, nur einer in der nicht autorisierten Eröffnung eines neuen Accounts.
Grundsätzlich treten laut GAO Lücken im Datenschutz sehr häufig auf, und das volle Ausmaß des Problems ist schwer abzuschätzen. Allein von Januar 2005 bis Dezember 2006 seien mehr als 570 Fälle in den Medien bekannt geworden. "Trotzdem ist bewiesen, dass sie nur sehr selten für den Identitätsdiebstahl missbraucht werden," stellt der Report fest. Deshalb spricht sich die Regierungsstelle gegen US-Gesetze aus, die zur Meldung von jeglichen Datenverlusten verpflichten würde.
Dem Kongress liegen derzeit verschiedene Gesetzesentwürfe zur Meldepflicht von Datenschutzverfehlungen vor. Eine landesweite und undifferenzierte Meldepflicht würde laut GAO-Report dazu führen, dass Vorfälle gemeldet werden, "die wenig bis kein Risiko bergen und somit dazu führen könnten, dass die Kunden die Meldungen ignorieren." Zudem würden die Unternehmen so unnötig finanziell belastet. Eine Studie des Ponemon Institute fand heraus, dass die befragten Unternehmen im Durchschnitt jeweils 1,4 Millionen Dollar pro gemeldetem Datenschutzproblem ausgeben. Darin eingeschlossen sind unter anderem die Bekanntgabe bei den Kunden, Ausgaben für das Call-Center und Rechtskosten.
Stattdessen sollen Meldegesetze eingeführt werden, die angesichts des Risikos bestimmen, ob der Datenverlust gemeldet werden muss. Dies würde aber die Meldegesetze unterlaufen, die bereits in einigen Staaten bestehen und teilweise viel strenger sind als der Vorschlag der GAO. In Kalifornien und New York muss zum Beispiel bereits jeder Fall, in dem unverschlüsselte Daten nach außen dringen, gemeldet werden. Die Unternehmen haben dort keine Entscheidungsgewalt darüber, ob der Datenverlust tatsächlich als gefährlich einzustufen ist oder nicht.
Auf dem jüngsten RSA-Roundtable diskutierten auch europäische Sicherheitsexperten über Vor- und Nachteile der Meldegesetze nach amerikanischem Vorbild. Einige Experten glauben, dass gesetzliche Bestimmungen die Unternehmen zu verstärkten Sicherheitsmaßnahmen bewegen würden. "Ich finde die US-Gesetze gut," so RSAs Europa-Chef Richard Nichols. "So müssen die Unternehmen darüber nachdenken, wie sie ihre Kunden und ihre Marke schützen können, und sind gezwungen, die Sicherheit über alles zu stellen."
Der Sicherheitschef bei Microsoft UK, Ed Gibson, gab dabei allerdings zu bedenken, dass es grundsätzlich immer gefährlich sei, Unternehmen dazu zwingen zu wollen, ihre Datenverluste bekannt zu geben. Unter anderem sei deshalb laut Patrick McLaughlin, Sicherheits-Chef für Europa bei Oracle, eine differenzierte Herangehensweise sinnvoll: "Die Firmen sollten die Verluste zwar melden müssen, aber nur, wenn sie wirklich problematisch sind."
Innerhalb der Diskussion um Meldegesetzte bei Datenverlusten merkte Tony Lock, Analyst bei Freeform Dynamics, an, dass die Datensicherheit in Unternehmen auch besonders von dem Verhalten der Angestellten abhänge. Deshalb müsse viel mehr in das Training des Personals investiert werden: "Manche Mitarbeiter öffnen geheime RFPs im Flugzeug direkt neben ihrem Sitznachbarn, nur weil sie einfach nicht darüber nachdenken."
Katharina Guderian/wg
Lesen Sie mehr zum Thema
