Der gestern veröffentlichte und kostenlos herunterladbare 2009 Data Breach Investigations Report basiert auf den Datenanalysen von 90 bestätigten Datenrechtsverletzungen in 2008 und untersucht den Missbrauch von 285 Millionen Datensätzen. Damit wurden in 2008 mehr als viermal so viele Datenrechtsverletzungen verzeichnet – und untersucht – wie in den Jahren 2004 bis 2007 (insgesamt 230 Millionen Datensätze).

In nahezu neun von zehn Fällen hätten sich die Datenrechtsverletzungen laut Verizon durch ordnungsgemäße Sicherheitsmaßnahmen vermeiden lassen. Bei den meisten untersuchten Verstößen seien keine komplexen oder teuren Präventivmaßnahmen notwendig gewesen. Fehler und Kontrollversäumnisse zum Zeitpunkt des Verstoßes sollen die Sicherheit weit mehr beeinträchtigt haben als das Fehlen notwendiger Vorkehrungen.

Die Mehrzahl der Angriffe verortet Verizon Business in der Finanzbranche: Satte 93 Prozent der betroffenen 285 Millionen Datensätze sollen im Besitz von Finanzdienstleistern kompromittiert worden sein. Generell sei die PCI-Konformität von entscheidender Bedeutung. 81 Prozent der von Missbrauch betroffenen Organisationen, die dem Payment Card Industry Data Security Standard (PCI-DSS) unterliegen, wurden im Vorfeld des Verstoßes als nicht PCI-konform eingestuft.

Bei lediglich 17 Prozent der Vorfälle soll es sich um technisch ausgereifte, gezielte Angriffe gehandelt haben. Die hatten es allerdings in sich: Auf sie entfallen 95 Prozent aller missbrauchten Datensätze. Die meisten Verstöße seien eine Kombination von Ereignissen, selten handele es sich um Einzelaktionen. Insgesamt 64 Prozent der Vorfälle werden Hackern zugeschrieben, die verschiedene Angriffsmethoden kombinierten. Bei den meisten erfolgreichen Verstößen machten sich Angreifer Fehler der Opfer zunutze, drangen in deren Netzwerk ein und installierten Schadsoftware im System, um Daten zu ergattern.

Insgesamt 74 Prozent der Verstöße kamen von außerhalb des Unternehmens, von denen wiederum 32 Prozent Geschäftspartnern zugeordnet werden konnten. Lediglich 20 Prozent der Datenrechtsverletzungen hatten ihren Ursprung innerhalb des Unternehmens – ein überraschend niedriger Wert.

99 Prozent aller gefährdeten Datensätze entstammten laut der Studie übrigens Online-Quellen, also Servern und Anwendungen. Auf den Missbrauch von Desktops, mobilen Geräten und portablen Medien entfalle lediglich ein (!) Prozent der Verletzungen.

"Die Gefährdung sensibler Informationen hat 2008 dramatisch zugenommen. Es ist höchste Zeit, konsequent das Augenmerk auf Unternehmenssicherheit zu richten", sagte Peter Tippett, Vice President Research and Intelligence bei Verizon Business Security Solutions. "Dieser Bericht sollte ein weiteres Alarmsignal dafür sein, dass umfassende und proaktive Sicherheitsmaßnahmen für ein Unternehmen heutzutage von allergrößter Bedeutung sind. Und zwar gerade jetzt, denn die Wirtschaftskrise wird wahrscheinlich eine weitere Zunahme krimineller Aktivitäten auslösen."