Datenpannen und Datenmissbrauch


Datenschutz in deutschen Unternehmen: Böswilligkeit und Fahrlässigkeit halten sich fast die Waage
Studie: Kosten von Datenpannen in Deutschland im Jahr 2009


(22.04.10) - Deutsche Unternehmen mussten im Jahr 2009 mehr investieren als noch vor einem Jahr, wenn sie von einer Datenpanne mit anschließendem Datenmissbrauch betroffen waren. Immer häufiger liegt dabei die Fehlerquelle des Datenschutzverstoßes nicht im eigenen Gebäude, sondern findet sich bei externen Dienstleistern, die Unternehmensdaten im Auftrag bearbeiten oder verwenden.

Dies sind Ergebnisse der "Jahresstudie 2009: Kosten von Datenpannen", die anhand von Praxisdaten die finanziellen Folgen von Datenverlusten und -missbrauchsfällen in deutschen Unternehmen beleuchtet.

Die zum zweiten Mal vom Ponemon Institute durchgeführte und von der PGP Corporation unterstützte Studie basiert auf realen Fakten und Zahlen, die sich aus Datenpannen und anschließenden Fällen von Datenmissbrauch in 22 deutschen Unternehmen ergeben haben. Die Spannweite der in dieser Studie erfassten Datenpannen reicht von Fällen mit weniger als 3.300 betroffenen Datensätzen bis zu Fällen mit rund 63.000 Datensätzen. Insgesamt wurden Daten aus zwölf unterschiedlichen Branchen erfasst.

Dabei wurde Wert darauf gelegt, anhand objektiver Messkriterien die durch Verluste oder Diebstähle von Personendaten entstandenen direkten und indirekten Kosten sowie Folgeausgaben zu quantifizieren.

Wichtige Ergebnisse im Überblick

>> Datenpannen werden teurer:
Lagen die durchschnittlichen Kosten bei den im Vorjahr untersuchten Fällen von ausgenutzten Datenschutzverletzungen noch bei rund 2,41 Millionen Euro pro Fall, mussten Unternehmen im Jahr 2009 fast sieben Prozent tiefer in die Tasche greifen und durchschnittlich 2,58 Millionen Euro als Folge eines real erlittenen Falles von Datenmissbrauch zur Schadensbehebung aufwenden. Noch deutlicher stiegen die Kosten pro kompromittierten Datensatz, nämlich um 18 Prozent von 112 Euro auf 132 Euro. Im schwerwiegendsten untersuchten Fall verursachte ein Datenmissbrauch Schäden in Höhe von rund 7 Millionen Euro. Ursache für die steigenden Kosten dürfte die 2009 erfolgte Novellierung des Datenschutzgesetzes sein.

>> Externe Dienstleister sind häufig Ursache von Datenpannen: Verletzungen des Datenschutzes mit anschließendem Datendiebstahl resultieren immer häufiger aus Fehlern externer Dienstleister, die Daten aus einem Unternehmen erhalten. Waren in der letztjährigen Studie noch 17 Prozent der untersuchten Fälle durch Fehler Dritter entstanden, stieg dieser Wert auf 36 Prozent in 2009. Dabei lag aufgrund der zusätzlichen Forensik- und Beratungskosten die entstehende Schadenshöhe mit 159 Euro pro kompromittierten Datensatz deutlich über den 132 Euro, die pro Datensatz bei einer internen Datenpanne aufzuwenden waren.

>> Klare Kompetenzzuordnung zahlt sich aus: Die 36 Prozent der Unternehmen, in denen die Verantwortung für die Datensicherheit und die Abwicklung der Schadensbehebung im Falle eines Datenmissbrauchs eindeutig an ein Mitglied der Unternehmensleitung – etwa den Verantwortlichen für Informationssicherheit – delegiert war, mussten im Falle eines Datenmissbrauchs rund 87 Euro pro betroffenen Datensatz aufwenden. In Betrieben, die auf eine klare Zuordnung verzichtet hatten, lagen die Kosten dagegen bei 158 Euro pro kompromittierten Datensatz.

>> Böswilligkeit und Fahrlässigkeit halten sich fast die Waage: 54 Prozent aller Fälle von Datenmissbrauch resultierten in den untersuchten Fällen 2009 aus böswilligen oder kriminellen Attacken beziehungsweise den Aktivitäten von Bot-Netzen (2008: 50 Prozent). Die dabei entstehenden Kosten von durchschnittlich 120 Euro pro kompromittierten Datensatz lagen deutlich unter den 147 Euro Kosten pro Datensatz, wenn die Ursache in Fehlern der IT-Systeme oder in der Fahrlässigkeit der Mitarbeiter zu suchen war. Dies legt die Vermutung nahe, dass Unternehmen zwar verstärkt in Abwehr- und Forensiktechnologien investieren, dabei aber die Kontrolle der Zuverlässigkeit von Produktivsystemen oder die Sensibilisierung und Schulung von Mitarbeitern vernachlässigen.

>> Kunden strafen Unternehmen mit Datenpannen ab: Mit einem Anteil von 46 Euro an den Gesamtkosten von 132 Euro pro kompromittierten Datensatz im Falle einer Datenpanne lagen die Kosten für entgangene Umsätze in 2009 deutlich höher als noch 2008 (36 Euro). Die zeigt, dass Kunden und Verbraucher dem Schutz persönlicher Daten ein höheres Gewicht beimessen, als noch vor einem Jahr. Vergleichsweise dezent erhöhten sich die Kosten für die Aufdeckung von 36 auf 39 Euro, für reaktive Maßnahmen wurden durchschnittlich 41 Euro gegenüber 36 Euro in 2008 veranschlagt. Eine deutliche prozentuale Steigerung um 75 Prozent von 4 auf 7 Euro pro gefährdeten Datensatz ließ sich bei den Kosten für die Benachrichtigungen Betroffener feststellen.

>> Datenschutz ist für Unternehmen vor allem ein technologisches Thema: Die nachgebesserten Datenschutzgesetze haben dazu geführt, dass viele Unternehmen technologisch nachrüsten. So stieg der Anteil der befragten Firmen, die Verschlüsselungslösungen verwenden, um 26 Prozent auf insgesamt 77 Prozent. Auch andere geeignete technologische Maßnahmen konnten durchweg Steigerungsraten von 20 bis 30 Prozent gegenüber dem Vorjahr verbuchen. So haben 73 Prozent der Unternehmen die Kontrolle an internen und externen Netzwerkübergängen optimiert, 68 Prozent betreiben ein Security-Eventmanagement_System, 59 Prozent eine DLP-Lösung (Data Loss Prevention). Lediglich geringe Zuwachsraten verzeichnete dagegen das Engagement der Unternehmen in Schulungs- und Sensibilisierungsmaßnahmen: Nur 27 Prozent der Unternehmen investierten in eine regelmäßige Datenschutzausbildung ihrer Mitarbeiter. (PGP: ra)

PGP: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Studien

  • Viele Schulen regeln den KI-Einsatz nicht

    Um schneller einen Aufsatz zu schreiben, die Antwort im Unterricht nachzuschlagen oder Ideen für das Kunstprojekt zu sammeln - Künstliche Intelligenz ist längst auch in vielen deutschen Klassenzimmern angekommen. Allerdings hat nicht einmal jede vierte Schule zentral geregelt, was dabei erlaubt und was verboten ist. Lediglich an 23 Prozent der weiterführenden Schulen gibt es zentrale KI-Regeln, die für die ganze Schule gelten.

  • Ein Fünftel wurde im Job zu KI geschult

    Mit KI die Mail formulieren, eine Hintergrundrecherche starten oder aus Gesprächsnotizen ein Protokoll erstellen - Künstliche Intelligenz kann im Job unterstützen, wenn man weiß wie. Ein Fünftel (20 Prozent) der Berufstätigen wurde deshalb von ihrem Arbeitgeber bereits im KI-Einsatz geschult. Bei weiteren 6 Prozent gibt es zwar entsprechende Fortbildungen, sie haben sie aber noch nicht wahrgenommen. Der großen Mehrheit von 70 Prozent der Beschäftigten wird allerdings keine KI-Fortbildungen angeboten. Das sind Ergebnisse einer repräsentativen Befragung von 1.005 Personen ab 16 Jahren in Deutschland im Auftrag des Digitalverbands Bitkom.

  • Mindestens ein Datenschutzvorfall

    The Business Digital Index (BDI), eine Initiative von Cybernews, hat die digitale Sicherheit von 75 EU-Institutionen untersucht. Das Ergebnis ist besorgniserregend: 67 Prozent der untersuchten Einrichtungen erhielten die Noten "D" oder "F" und gelten damit als "hohes" oder "kritisches" Risiko.

  • Überwachung und Compliance stets im Fokus

    Mit der Einführung der elektronischen Patientenakte (ePA) setzt die Bundesregierung einen Meilenstein für die Zukunft der digitalen Gesundheitsversorgung. Ziel ist es, eine umfassende Datentransparenz - sowohl für Patienten als auch das medizinische Personal - zu schaffen, um die Qualität der Versorgung zu optimieren und Mitarbeitende im Healthcare-Sektor zu entlasten. Wie die Studie "Digitale Zwickmühle im Gesundheitswesen: Zwischen Innovationsdruck und Systemrisiken" von Soti jedoch zeigt, mangelt es in vielen deutschen Gesundheitseinrichtungen noch immer an den nötigen technischen Voraussetzungen, um diesem Anspruch in der Praxis auch wirklich gerecht zu werden. Für diese Erhebung wurden weltweit IT-Entscheidungsträger im Healthcare-Bereich befragt.

  • Haftungsrisiko bei Cyber-Schäden

    Führungskräfte in Deutschland blicken mit wachsender Sorge auf ihr Haftungsrisiko bei Cyber-Schäden - für 88 Prozent sind Cyber-Attacken und für 86 Prozent Datenverluste das Top-Risiko für Manager 2025. Das zeigt der aktuelle "Directors' and Officers' Liability Survey" des Risikoberaters und Großmaklers Willis, einem Geschäftsbereich von WTW, und der internationalen Anwaltssozietät Clyde & Co. Außerdem zeigt die Studie, dass vielen Themen im Management Board nicht genug Zeit eingeräumt wird: 38 Prozent der befragten Führungskräfte in Deutschland sind der Meinung, dass im Vorstands- und Geschäftsführungskreis mehr Zeit für das Thema Cybersicherheit aufgewendet werden sollte. "Das ist ein deutliches Signal dafür, dass viele Unternehmen sich der Bedrohung zwar bewusst sind, sich ihr aber noch nicht ausreichend widmen", sagt Lukas Nazaruk, Head of Corporate Risk & Broking Deutschland und Österreich bei Willis.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen