InfoWatch DLP-Studie

200 Millionen Dollar Schaden durch Datenverluste

23.05.2011
Dem IT-Security-Unternehmen InfoWatch zu Folge gab es im vergangenen Jahr 794 bekannt gewordene Fälle von Datenmissbrauch und Datenverlust, bei denen insgesamt 654 Millionen Datensätze betroffen waren. Der Schaden belief sich allein 2010 auf rund 200 Millionen US-Dollar.
Natalya Kaspersky, CEO InfoWatch: "Sehr vielen Unternehmen ist immer noch nicht bewusst, wo die Schwachstellen ihrer Sicherheitspolitik liegen und so investieren sie an den falschen Stellen."
Natalya Kaspersky, CEO InfoWatch: "Sehr vielen Unternehmen ist immer noch nicht bewusst, wo die Schwachstellen ihrer Sicherheitspolitik liegen und so investieren sie an den falschen Stellen."
Foto: Infowatch/Prolog

Diese Zahlen wurden jetzt im 'InfoWatch Global Data Leakage Report' für das Jahr 2010 veröffentlicht. Seit 2004 trugen Mitarbeiter von InfoWatch mittlerweile über 3000 Vorfälle von Data Leakage zusammen. Statistisch sei so jeder Mensch jedes Jahr von mindestens einem Vorfall persönlich betroffen.

Unabsichtliche Datenverluste nach wie vor großes Problem

Während viele Vorfälle von Datenmissbrauch schnell mit krimineller Energie in Zusammenhang gebracht werden, stehen bei der Studie von InfoWatch auch unbeabsichtigte Datenverluste im Fokus, die vor allem auf Anwenderfehler und mangelnde Sorgfalt zurückzuführen seien. Das zeigt auch das Verhältnis von beabsichtigten zu unbeabsichtigten Datenverlusten – im vergangenen Jahr kamen auf 334 absichtliche 420 unabsichtliche Datenverluste, so InfoWatch. Dieses Verhältnis sei bei nahezu allen Branchen etwa gleich, variiere jedoch stark, wenn man sich die verschiedenen Kanäle anschaut, auf denen Daten ungewollt abfließen:

Datenpannen nach Kanälen aufgeschlüsselt.
Datenpannen nach Kanälen aufgeschlüsselt.
Foto: Infowatch/Prolog

Versehentliche Datenverluste bei Servern, Workstations und Storage-Centern seien mit 63 Vorfällen 2010 vergleichsweise selten gewesen. Unbeabsichtigte Datenpannen in E-Mails oder bei Papier-Ausdrücken, die in falsche Hände gelangen, seien aber umso häufiger – immerhin 167 Vorfälle. Umgekehrt seien bei Servern allerdings 129 Fälle von absichtlichem Datendiebstahl bekannt geworden, während Papier und E-Mails gerade einmal für 41 Fälle vorsätzlichen Datendiebstahls missbraucht worden seien. Natalya Kaspersky, CEO von InfoWatch, wies des Öfteren darauf hin, dass es nutzlos sei, wenn Server mit sehr viel Geld und viel Aufwand gegen alle Arten von Angriffen geschützt würden, solange die Daten auch im Altpapier zu finden seien. „Mit guten DLP-Lösungen können Drucker überwacht und E-Mails gescannt werden. Sehr vielen Unternehmen ist immer noch nicht bewusst, wo die Schwachstellen ihrer Sicherheitspolitik liegen und so investieren sie an den falschen Stellen.“

Gesetzliche Vorschriften unzureichend

Die Menge von Daten wächst rapide, da immer mehr Unternehmen das Internet als Verkaufs- und Kommunikationsplattform nutzen. Selbst ein kleines Unternehmen verarbeitet dabei mit 10.000 Transaktionen oft schon mehrere Tausend Kundendaten. Datenbanken wachsen kontinuierlich und es entstehen täglich neue. Um das Risiko von Datenverlusten zu reduzieren, müssten demzufolge die Sicherheitsvorkehrungen in den Unternehmen mit den wachsenden Datenvolumina Schritt halten. „Der Stand der Dinge ist jedoch, dass Unternehmen immer noch weit hinter den technischen Möglichkeiten des Datenschutzes zurückbleiben, meist aus Kostengründen. Gesetzliche Regelungen könnten hier viel bewirken, sind jedoch nicht zu erwarten“, fasst Natalya Kaspersky die Lage in der Wirtschaft zusammen.

Ein weiterer Grund für den erwarteten Anstieg von Vorfällen liege in einem zunehmend etablierten und halblegalisierten Schwarzmarkt für gestohlene Daten. Insbesondere personalisierte Daten und Kundeninformationen hätten feste Preise und ließen sich mit geringem Risiko weiter verkaufen. Da Kundendaten meist weniger stark geschützt seien als betriebsinterne Dokumente und überdies oft einer sehr großen Anzahl von Mitarbeitern zur Verfügung stünden, wundere es nicht, dass 96 Prozent der betroffenen Datensätze personalisierte Daten beherbergten. „An dieser Stelle wäre abermals der Gesetzgeber gefordert, der den Datendiebstahl an sich stärker bestrafen müsste und nicht erst den entstandenen Schaden, der oft gerichtlich nur schwer nachzuweisen ist.“, bemerkt Natalya Kaspersky.