Foto: Infowatch/Prolog
Diese Zahlen wurden jetzt im 'InfoWatch Global Data Leakage Report' für das Jahr 2010 veröffentlicht. Seit 2004 trugen Mitarbeiter von InfoWatch mittlerweile über 3000 Vorfälle von Data Leakage zusammen. Statistisch sei so jeder Mensch jedes Jahr von mindestens einem Vorfall persönlich betroffen.
Unabsichtliche Datenverluste nach wie vor großes Problem
Während viele Vorfälle von Datenmissbrauch schnell mit krimineller Energie in Zusammenhang gebracht werden, stehen bei der Studie von InfoWatch auch unbeabsichtigte Datenverluste im Fokus, die vor allem auf Anwenderfehler und mangelnde Sorgfalt zurückzuführen seien. Das zeigt auch das Verhältnis von beabsichtigten zu unbeabsichtigten Datenverlusten – im vergangenen Jahr kamen auf 334 absichtliche 420 unabsichtliche Datenverluste, so InfoWatch. Dieses Verhältnis sei bei nahezu allen Branchen etwa gleich, variiere jedoch stark, wenn man sich die verschiedenen Kanäle anschaut, auf denen Daten ungewollt abfließen:
Foto: Infowatch/Prolog
Versehentliche Datenverluste bei Servern, Workstations und Storage-Centern seien mit 63 Vorfällen 2010 vergleichsweise selten gewesen. Unbeabsichtigte Datenpannen in E-Mails oder bei Papier-Ausdrücken, die in falsche Hände gelangen, seien aber umso häufiger – immerhin 167 Vorfälle. Umgekehrt seien bei Servern allerdings 129 Fälle von absichtlichem Datendiebstahl bekannt geworden, während Papier und E-Mails gerade einmal für 41 Fälle vorsätzlichen Datendiebstahls missbraucht worden seien. Natalya Kaspersky, CEO von InfoWatch, wies des Öfteren darauf hin, dass es nutzlos sei, wenn Server mit sehr viel Geld und viel Aufwand gegen alle Arten von Angriffen geschützt würden, solange die Daten auch im Altpapier zu finden seien. „Mit guten DLP-Lösungen können Drucker überwacht und E-Mails gescannt werden. Sehr vielen Unternehmen ist immer noch nicht bewusst, wo die Schwachstellen ihrer Sicherheitspolitik liegen und so investieren sie an den falschen Stellen.“
Gesetzliche Vorschriften unzureichend
Die Menge von Daten wächst rapide, da immer mehr Unternehmen das Internet als Verkaufs- und Kommunikationsplattform nutzen. Selbst ein kleines Unternehmen verarbeitet dabei mit 10.000 Transaktionen oft schon mehrere Tausend Kundendaten. Datenbanken wachsen kontinuierlich und es entstehen täglich neue. Um das Risiko von Datenverlusten zu reduzieren, müssten demzufolge die Sicherheitsvorkehrungen in den Unternehmen mit den wachsenden Datenvolumina Schritt halten. „Der Stand der Dinge ist jedoch, dass Unternehmen immer noch weit hinter den technischen Möglichkeiten des Datenschutzes zurückbleiben, meist aus Kostengründen. Gesetzliche Regelungen könnten hier viel bewirken, sind jedoch nicht zu erwarten“, fasst Natalya Kaspersky die Lage in der Wirtschaft zusammen.
Ein weiterer Grund für den erwarteten Anstieg von Vorfällen liege in einem zunehmend etablierten und halblegalisierten Schwarzmarkt für gestohlene Daten. Insbesondere personalisierte Daten und Kundeninformationen hätten feste Preise und ließen sich mit geringem Risiko weiter verkaufen. Da Kundendaten meist weniger stark geschützt seien als betriebsinterne Dokumente und überdies oft einer sehr großen Anzahl von Mitarbeitern zur Verfügung stünden, wundere es nicht, dass 96 Prozent der betroffenen Datensätze personalisierte Daten beherbergten. „An dieser Stelle wäre abermals der Gesetzgeber gefordert, der den Datendiebstahl an sich stärker bestrafen müsste und nicht erst den entstandenen Schaden, der oft gerichtlich nur schwer nachzuweisen ist.“, bemerkt Natalya Kaspersky.
Die Technik ist vorhanden, die Einsicht fehlt
Foto: Infowatch/Prolog
Die Studie zeigte weiter, dass heute auf der technischen Seite bereits viele Möglichkeiten gegeben wären, ohne dass spezielle Fachkräfte komplizierte Sicherheitslücken zu schließen hätten. Nach wie vor sei die Menge an Datenverlusten durch Diebstahl oder Verlust von mobilen Geräten wie USB-Sticks, Notebooks oder Handys mit 171 Vorfällen sehr hoch und eine Vorschrift zur generellen Verschlüsselung mobiler Datenträger sei von jedem Unternehmen leicht umzusetzen. Natalya Kaspersky vergleicht die Situation wie folgt: „Es ist wie beim Brandschutz, wo jeder um den Sinn von Brandschutzmaßnahmen weiß, aber niemand den Ernstfall erwartet. So sind auch hier die technischen Lösungen für jedermann verfügbar, aber niemand erwartet sich konkret einen Nutzen.“
Ferner zeigt die Studie, dass DLP-Lösungen, die sowohl unbeabsichtigten Datenabfluss durch Anwenderfehler als auch vorsätzliche Datendiebstähle verhindern sollen, nur sehr unzureichend in den IT-Infrastrukturen der Firmen implementiert seien. Denn auch hier stünden Kosten und Aufwand dem unwahrscheinlichen Fall eines gravierenden Vorfalls gegenüber. Lasche Vorschriften und oft mangelnde Haftbarkeit für entstandenen Schaden, so die Studie weiter, würden überdies die Motivation für Unternehmen verringern, in DLP-Lösungen zu investieren.
Bekannte Datenmissbrauchsfälle nur Spitze des Eisbergs
Bei der Frage, wie groß die tatsächliche Gefahr von Datenmissbrauch einzuschätzen ist, seien einige Unwägbarkeiten gegeben. Dennoch ließe sich die Zahl der Vorfälle vergleichsweise gut abschätzen und der wirtschaftliche Schaden in seiner ungefähren Größenordnung bestimmen.
Die USA waren lange Zeit das einzige Land, in dem es eine Meldepflicht für Verstöße gegen die Datenschutzbestimmungen des Unternehmens gab. 2009 führte auch Großbritannien eine solche Meldepflicht ein und die Anzahl der Vorfälle stieg sprunghaft an. Vergleicht man nun die Zahlen von Großbritannien von heute mit denen von früher, oder vergleicht man die Vorfälle pro Kopf in den USA, immerhin durchschnittlich 1,4 Vorfälle pro 1 Million Einwohner, mit denen in Deutschland, wo offiziell nur 0,09 Vorfälle pro 1 Million Einwohner vorkommen, dann lässt sich unschwer erahnen, wie viele Fälle tatsächlich in deutschen Firmen passieren und wie viele Vorfälle davon nie an die Öffentlichkeit gelangen.
Wirtschaftlicher Schaden beträchtlich
Auch der wirtschaftliche Schaden könne annähernd beziffert werden, da einige wenige Vorfälle für einen beträchtlichen Teil der 654 Millionen Datensätze verantwortlich seien. Bei diesen großen Vorfällen könne sehr gut nachvollzogen werden, welcher wirtschaftliche Schaden entstand, ohne den Schaden durch Reputationsverlust überhaupt zu berücksichtigen. InfoWatch bezifferte so allein für 2010 den gesamten entstandenen Schaden auf 200 Millionen US-Dollar. Umgerechnet ergebe das etwa 33 US-Cent pro Datensatz. Natalya Kaspersky gibt zu bedenken, dass „diese Zahl noch deutlich höher wird, wenn man berücksichtigt, dass ein Großteil der betroffenen Daten nicht finanziell missbraucht werden konnte. Der gezielte Datendiebstahl von wertvollen und veräußerbaren Daten ist also durchaus lukrativ, vor allem, wenn es einen etablierten Schwarzmarkt für gestohlene Daten gibt und die Risiken so gering bleiben wie bisher.“
Fazit
Neben kriminellem Datendiebstahl werde der versehentliche Abfluss von Daten nach wie vor unzureichend bekämpft, resümiert Kaspersky. Technische Möglichkeiten seien vorhanden, würden jedoch nicht eingesetzt, da die Gefahr oft unterschätzt wird und politische Rahmenbedingungen fehlen. Ein gut funktionierender Schwarzmarkt für Personaldaten mit festen Strukturen mache den Schutz noch dringender, da vorsätzlicher Datendiebstahl lukrativer werde.
Neben politischen Vorgaben zu konkreten Datenschutzmaßnahmen könne eine Meldepflicht für Firmen bei Datenverlusten, wie das Beispiel Großbritannien zeigt, dazu führen, dass überhaupt bekannt wird, welche Unternehmen hier zu den schwarzen Schafen zählen. Diese müsse einhergehen mit einer drastischen Erhöhung der Strafen, so dass Datenschutz für Unternehmen nicht nur moralisch sondern auch wirtschaftlich sinnvoll sei. (InfoWatch/ph)