Foto: Ponemon
Vergangenes Jahr kam es in Großbritannien zu einer Reihe von größeren Datenverlusten. Großes Aufsehen erregte etwa das Verschwinden von Datenträgern mit Angaben über Millionen Kindergeldbezieher im November 2007. Auch die 21 Organisationen, die sich an der Befragung des Ponemon-Institute beteiligten, erlitten solche Vorfälle. Das Institut untersuchte Ereignisse, bei denen zwischen 2.500 und mehr als 125.000 Datensätze verloren gingen. Pro verlorenem Datensatz entsteht dabei nach Berechnungen der Marktbeobachter ein Schaden von durchschnittlich etwas mehr als 61 Euro (47 britische Pfund).
Was auf den einzelnen Datensatz heruntergerechnet nach vernachlässigbaren Beträgen aussieht, kann sich für ein Unternehmen auf beträchtliche Schäden summieren: 1,8 Millionen Euro kosteten größere Verluste die untersuchten Firmen im Schnitt. Die Spannbreite ist dabei groß: Kosteten manche Datenverluste "nur" 109.000 Euro, hatten die größten Kosten von knapp fünf Millionen Euro zur Folge.
Mehr als ein Drittel der Kosten entsteht dabei durch entgangene Geschäfte in Folge des Datenverlusts - im Schnitt ein Schaden von fast 648.000 Euro insgesamt oder 22,20 Euro je Datensatz. Für die Zeit nach einem öffentlich bekannt gewordenen Datenverlust stellt die Untersuchung außerdem eine überdurchschnittlich hohe Abwanderungsquote von Stammkunden fest. Sie liegt im Mittel bei 2,5 Prozent, erreichte allerdings bei einzelnen Firmen bis zu sieben Prozent.
Die Hauptursache dafür, dass beispielsweise Kundendaten in falsche Hände gelangen, ist der Verlust oder Diebstahl von Laptops oder anderen tragbaren Geräten. 36 Prozent aller Verlustfälle waren dadurch bedingt. Zu einem weiteren Viertel dieser Schadereignisse kommt es, weil Papieraufzeichnungen verloren gehen. Bösartige Angriffe, etwa durch Schadprogramme oder Hacker, sind hingegen nur an zwölf Prozent der Verlustfälle schuld. Ebenso oft sind Dritte für den Schaden verantwortlich, zum Beispiel Firmen, an die eine Organisation bestimmte Aufgaben ausgelagert hat.
Dieser Fall ist bei 38 Prozent der für die Untersuchung Befragten vorgekommen. Weil Outsourcing-Partner oft mit riesigen Datenmengen eines Auftraggebers arbeiten, wiegen Verluste hier besonders schwer. Die Ponemon-Analysten errechneten, dass ein Verlust auf Seiten von Geschäftspartnern ein Unternehmen fast 77 Euro je Datensatz kostet. Gehen die Informationen indes innerhalb der Firma verloren, ist der Schaden mit knapp 55 Euro pro Satz weitaus geringer.
Schadenshöhe abhängig von Erwartungen der Kunden
Unterschiedlich hoch zu bewerten sind Verluste nach Ansicht der Marktbeobachter auch danach, in welcher Branche ein betroffenes Unternehmen tätig ist. Ihre Formel lautet: Je höher die Erwartungen der Kunden an den Schutz ihrer persönlichen Angaben sind, desto schwerer wiegen Pannen. Verständlich ist deshalb, dass der Analyse zufolge für Finanzdienstleister ein verlorener Datensatz am teuersten ist, Der Verlust liegt bei 71,70 Euro. Auch beim Handel schlägt der Verlust mit mehr als 66 Euro überdurchschnittlich zu Buche.
Verantwortlich für Datenverluste und zuständig, die Folgeschäden zu beheben, waren in fast allen der untersuchten Firmen mindestens zwei Abteilungen. Bei zwei von dreien befasste sich der CISO mit dem Thema. In mehr als der Hälfte der Fälle wurde zudem die Abteilung eingeschaltet, die für die Befolgung gesetzlicher Vorschriften zuständig ist. Nur mit knapp jedem dritten Verlustereignis befassten sich indes IT-Abteilungen. Für die Studienautoren ein Zeichen dafür, dass Datenverluste in Großbritannien nicht als Fehler auf technischer Ebene angesehen werden, sondern als strategische Missgriffe verstanden werden.
Der Report wurde unter dem Titel "2007 Annual Study: U.K. Cost of a Data Breach" veröffentlicht. Gesponsert wurde die Untersuchung des auf Sicherheitsfragen spezialisierten Ponemon Institute von zwei Anbietern für Sicherheitslösungen: Symantec und PGP. Die Untersuchung wurde erstmals für Großbritannien durchgeführt; bisher hat Ponemon ähnliche Untersuchungen für die USA erstellt. 21 Firmen, die im Jahr 2007 Datenverluste erlitten haben, nahmen an der Befragung teil. Elf gehören der Finanzbranche an, vier dem Handel.