Erstmals dokumentiert eine Studie, wie teuer ein deutsches Unternehmen eine erlittene Datenpanne zu stehen kommt. Das Ponemon Institute veröffentlicht eine ähnliche Studie in den USA schon seit vier Jahren und wird von nun auch jährliche Statistiken für Deutschland veröffentlichen. Damit stehen deutsche CIOs und CISOs erstmals belastbare Statistiken zur Verfügung, um Ausgaben für Schulungen oder neue IT-Sicherheitsprojekte zu rechtfertigen. Durchschnittlich kostete ein verlorener Datensatz 112 Euro.
Je 36 Euro des Gesamtbetrags entfielen auf das Entdecken und interne Aufarbeiten, Umsatzeinbußen in Folge der Panne sowie Reaktionen gegenüber den betroffenen Personen. Im Vergleich zur normalen Kundenfluktuation stieg die Zahl der mangels Vertrauen in das Datenpannen-Opfer abgewanderten Kunden um laut Studie um 3,24 Prozent. Ein befragtes Unternehmen verlor sogar acht Prozent der Bestandskunden. Die Folge dieser Kundenverluste sind sinkende Umsätze bei gleichzeitig steigenden Marketingausgaben zum Gewinnen von Neukunden. Nur vier Euro wandten die Unternehmen für das Benachrichtigen der Betroffenen auf. Da es hierzulande keine gesetzlich verankerte Informationspflicht gibt, fallen diese Kosten (noch) sehr gering aus. All dies sind laut Phil Dunkelberger, CEO von PGP und Auftraggeber der Studie, vermeidbare Einbußen, wenn sensible Daten von Beginn an besser gesichert worden wären.
Der Gesamtschaden variierte pro Vorfall zwischen 267.000 und 6,75 Millionen Euro, immer in Relation zur Zahl der verschwundenen Datensätze (3.750 bis 90.000). Auskunft haben insgesamt 18 deutsche Unternehmen, denen im Jahr 2008 Daten auf verschiedenste Arten abhanden kamen. Die Zahl der Befragten ist so niedrig, da das Ponemon Institute auf persönliche Kontakte angewiesen war. Mangels gesetzlicher Pflicht zur Veröffentlichung von Datenpannen konnte Studienleiter Larry Ponemon nicht auf frei verfügbare Informationen bauen.
Die Reaktion deutscher Unternehmen auf eine Datenpanne war laut Studie zumeist die Einführung neuer technischer Maßnahmen wie Datenverschlüsselung oder DLP (Data Leakage Prevention). In den USA stehen Schulungsmaßnahmen zum Schärfen des Bewusstseins der Mitarbeiter ganz oben auf der Aktionsliste. Die eher technikorientierten deutschen Opfer wählen diesen Weg erst in zweiter Linie. Dabei sind Schulungen mindestens so wichtig wie technische Maßnahmen, da 28 Prozent aller Datenpannen auf verlorene Laptops zurückgehen – und nicht etwa auf Hackerangriffe. PGP-Boss Dunkelberger rät daher, sich nicht auf einen Schutzmechanismus zu konzentrieren. Verschlüsselung kann kein Allheilmittel sein, nur ein Mix aus verschiedenen Maßnahmen helfe umfassend.
SAP-Benchmark
Webcast
Mit integrierten Komplettlösungen aus Servern und Software will Oracle-CEO Larry Ellison den Rivalen HP und IBM Kunden wegschnappen. Ulrich Seibold, Geschäftsbereichsleiter HP Business Critical Systeme, erläutert im CW-Interview, wie Hewlett-Packard dagegen hält.