|
|
Gesetzesregelungen haben signifikante Auswirkungen auf die Schadenshöhe bei Datenpannen US-Unternehmen mit weltweit höchster Kostenbelastung (12.05.10) - Das auf die Technologiethemen Datenschutz und
Informationsmanagement spezialisierte Marktanalyseunternehmen Ponemon Institute hat erstmals eine internationale
Vergleichsstudie zu den Kosten von Datenmissbrauchsfällen durchgeführt. Die "2009
Annual Study: Global Cost of a Data Breach" erfasst die Auswirkungen von mehr als einhundert realen Fällen von Datenmissbrauch aus dem Jahr 2009. Unterstützt wurde diese Studie, an der 133 Unternehmen und Organisationen 18 unterschiedlicher Branchen aus den fünf Ländern Australien, Frankreich, Großbritannien, Deutschland und USA teilnahmen, von der PGP Corporation.
Anzeige
Die Untersuchung ergab international eine
durchschnittliche Gesamtkostensumme von 3,43 Millio-nen Dollar für jeden einzelnen Fall von Datenmissbrauch; der Schaden lag damit im Schnitt bei 204 Dollar. Als durchschnittliche Kosten eines Falles von Datenmissbrauch konnten für die an der Studie beteiligten Länder folgende Werte ermittelt werden:
Gesetzliche Vorgaben erhöhen die Kosten bei Datenpannen signifikant Die Studie zeigt, dass die durch Datenpannen entstandenen
Kosten in Ländern mit einer gesetzlich verankerten Veröffentlichungspflicht
bei Datenmissbrauchsfällen signifikant höher sind als in Ländern ohne solche
Gesetze. So lagen die Kosten pro betroffenen Datensatz beispielsweise in den
USA, wo mittlerweile 46 der 50 Bundesstaaten eine Veröffentlichungspflicht
eingeführt haben, um 43 Prozent über dem globalen Durchschnittswert. Die
zweithöchsten Kosten entstanden in Deutschland, wo adäquate Gesetze seit Juli
2009 gelten; hier lag der Durchschnitt 25 Prozent über dem internationalen
Vergleichswert. Dagegen wiesen die Länder Australien, Frankreich und
Großbritannien, in denen die Veröffentlichungspflicht bei Datenpannen
gesetzlich noch nicht festgeschrieben ist, im internationalen Vergleich
unterdurchschnittliche Kosten pro kompromittier-ten Datensatz auf. "Eine zentrale Schlussfolgerung aus den Ergebnissen
dieser Studie ist, dass regulative Vorschriften deutlichste Auswirkungen auf
die Höhe der Kosten von Datenpannen haben", sagt Dr. Larry Ponemon, Vorsitzender und Gründer des Ponemon Institutes. "Die Situation in den USA belegt dies und es ist klar, dass die Kosten auch in den anderen Ländern der Welt steigen werden, wenn dort eine Veröffentlichungspflicht bei Datenmissbrauchsfällen gesetzlich verankert wird." In Großbritannien, wo bislang lediglich der öffentliche Dienst und Finanzorganisationen mit gesetzlichen Auflagen bei Datenmissbrauchsfällen konfrontiert sind, liegen die Kosten 45 Prozent unterhalb des globalen Durchschnitts und damit bei weniger als der Hälfte dessen, was US-Unternehmen im Schadensfall pro Datensatz durchschnittlich aufwenden müssen. "Es kann kaum überraschen, dass die finanziellen
Folgen einer Datenpanne in den USA, wo die Datenschutzgesetze nicht nur streng, sondern auch ausgereift sind, am schwersten
wiegen. Wundern darf man sich dagegen über das relativ niedrige Kostenniveau
in Großbritannien", meint der Kommentar von Jonathan Armstrong, ein auf
den Bereich Technologie spezialisierter Anwalt der international renommierten
Anwaltskanzlei Duane Morris. "Es wird
interessant sein, zu sehen, wie steil die Kosten in Großbritannien zukünftig
ansteigen werden, wenn die dortige Datenschutz-behörde
- das U.K. Information Commissioner's Office - ihre Vorgaben für den Datenschutz einschließlich der avisierten hohen Geldstrafen bei Verstößen für alle Unternehmen konsequent umsetzt." Umsatzeinbußen durch Vertrauensverluste verursachen den Großteil der Kosten Mit einem Anteil von rund 44 Prozent an den durch Fälle
von Datenmissbrauch verursachten Kosten bilden die entgangenen Umsätze den Hauptposten in der Schadensbilanz der betroffenen Unter-nehmen. Dies zeigt die Sensibilisierung der Verbraucher beim Thema Datenschutz auf und belegt die Auswirkungen der durch Datenpannen verursachten Imageverluste von Unternehmen bei der Bemühung um neue Kunden. Im Ländervergleich zeigten sich dabei deutliche Unterschiede - am stärksten betroffen waren US-amerikanische Unternehmen, bei denen entgangene Umsätze durchschnittlich 66 Prozent der Gesamtkosten eines Datenmissbrauchsfalls ausmachten.
"Unabhängig vom Standort eines Unternehmens leidet
sein Ruf, wenn bekannt wird, dass es fahrlässig mit vertraulichen Daten
umgeht", so Phillip Dunkelberger, President und CEO der PGP Corporation. "Daten sind ein wichtiges Kapital, das geschützt werden muss. Immer mehr Länder verabschieden verschärfte Datenschutzvorschriften und Gesetze, die Unternehmen eine Veröffentlichungspflicht im Falle einer Datenpanne auferlegen. Denn sie haben erkannt, dass Kunden das Vertrauen in Unternehmen verlieren und abwandern, wenn es zu einer Datenpanne kommt." Datenschutzgesetze beeinflussen die Kosten für die Aufdeckung und Aufarbeitung von Datenpannen maßgeblich Die durch die Aufdeckung und Aufarbeitung verursachten Kosten im Falle eines Datenmissbrauchs lagen in Deutschland mit 52 Dollar pro betroffenen Datensatz am höchsten, was die Aufwendungen der Unternehmen und Organisationen in neue Sicherheitstechnologien und -prozesse aufgrund der erfolgten Novellierung der Datenschutzgesetze reflektiert. In den USA, wo entsprechende Gesetze bereits seit 2005 gelten, nahmen die Kosten dagegen in den letzten Jahren ab und lagen 2009 bei 8 Dollar pro betroffenen Datensatz. Dies legt nahe, dass US-amerikanische Unternehmen die Zeit
genutzt haben, effizientere Erkennungs- und Aufarbeitungsprozesse zu
etablieren. Es ist davon auszugehen, dass sich die Kosten auch in den anderen
Ländern reduzieren werden, wenn die initialen Aktivitäten zur Einhaltung verschärfter gesetzlicher und branchenspezifischer Regelungen absolviert und die entsprechenden Prozesse auf die Arbeitsabläufe besser abgestimmt wurden.
Mehr Kosten durch Pannen mit externer Beteiligung oder kriminellem Hintergrund Wenn externe Partner oder Dienstleister
für einen Datenmissbrauchsfall verantwortlich waren, stieg in allen fünf
Ländern die Schadenshöhe aufgrund der für die Aufklärung notwendigen
zusätzlichen Forensik- und Ermittlungskosten. Dabei zeigte es sich, dass die Steigerungsrate bei der Beteiligung Dritter in den einzelnen Ländern höchst unterschiedlich war - am niedrigsten in den USA mit 12 Prozent und am höchsten in Frankreich mit 116 Prozent.
Fälle von Datenverlust, resultierend aus bösartigen oder
kriminellen Aktivitäten, verursachen ebenfalls höhere Kosten als der
Durchschnitt, wobei französische Unternehmen die größten negativen
Auswirkungen erfahren mussten. Der Anteil der Fälle von Datenmissbrauch
ausgehend von böswilligen oder kriminellen Attacken nahm in allen Ländern zu
und liegt im Bereich zwischen 24 und 54 Prozent der Gesamtfälle. Dies lässt
die Schlussfolgerungen zu, dass IT-Organisationen
mehr in geeignete proaktive Schutzmaßnahmen investieren sollten, um insgesamt die Kosten zu reduzieren.
Klare Kompetenzzuordnung reduziert Kosten von Datenpannen In Fällen, in denen die Verantwortung für die
Datensicherheit und die Abwicklung der Schadens-behebung klar an einen Datenschutzbeauftragten oder an ein Mitglied der Unternehmensleitung mit adäquater Funktion delegiert war, konnten Unternehmen oder Organisationen in allen fünf Ländern die durch Datenpannen entstehenden Kosten reduzieren. Allerdings verzichtet der Großteil der untersuchten Unternehmen bislang auf eine derartige Position innerhalb der Geschäftsführung oder auf die klare Zuordnung der Verantwortlichkeiten.
"Mit der Tatsache, dass die Kosten im Falle eines Datenmissbrauchs
unabhängig vom Standort des Unternehmens und der einzuhaltenden Gesetze dann
sinken, wenn die Verantwortlichkeiten klar an ein Mitglied der
Unternehmensleitung delegiert sind, zeigt diese Studie einen positiven Aspekt
auf", so Dunkelberger weiter. "Unternehmen
sind also gut beraten, solch eine Position möglichst umgehend in ihren
Führungsreihen zu etablieren." (PGP: ma) |
||||||||||||
|
