84% der Vorfälle in Deutschland passieren durch böswillige Angriffe und fahrlässiges Handeln von Mitarbeitern. Die im Auftrag von Symantec durchgeführte Ponemon Studie \’Cost of a Data Breach 2013\‘ zeigt, dass es bei den Kosten pro verlorenem Datensatz signifikante Branchenunterschiede gibt. Die Finanzbranche liegt zwar mit 217€ vorne, Industrieunternehmen folgen aber mit 214€ nur knapp dahinter auf Platz zwei. Den letzten und damit besten Platz von elf analysierten Branchen im Negativranking belegt der öffentliche Sektor mit 93€. Da Produktionsanlagen heutzutage in das Firmennetzwerk integriert, die Mitarbeiter aber gleichzeitig beim Thema Sicherheit oft noch nicht ausreichend sensibilisiert sind, haben sich Industrieunternehmen zu einem attraktiven Ziel für böswillige Angriffe entwickelt. Ein weiterer Grund dafür ist ein hoher Anteil geistigen Eigentums an den Aktivposten. Die Kosten pro verlorenem Datensatz liegen daher deutlich höher als in anderen Branchen, wie dem Kommunikationssektor (119€ pro verlorenem Datensatz). Im Gegensatz zur Finanzbranche ist die Abwanderungsrate im Industriesektor allerdings geringer: Sie liegt bei einem Sicherheitsvorfall bei 5,1%, bei Banken und Finanzinstituten um zwei Prozent höher. Ein Grund dafür: Häufig handelt es sich bei Industrieunternehmen um spezialisierte Anbieter mit großer Expertise auf ihrem Gebiet, auf welche Kunden nicht verzichten können oder möchten und daher loyaler sind. Insgesamt stiegen die Kosten pro Datensatz im Vergleich zum Vorjahr leicht: Mussten Unternehmen gemäß der aktuellen Analyse 151€ aufwenden, lag die Zahl 2011 noch bei 146€ – und 2008 erst bei 112€. Firmen können diese Kosten jedoch durch einige organisatorische Maßnahmen reduzieren, beispielsweise, indem sie einen eigenen Chief Information Security Officer (CISO) einstellen oder einen detaillierten Reaktionsplan in petto haben, wenn es zu einem Datenverlust kommt. Der achte jährliche Report basiert auf den Datenverlusten, die 277 Unternehmen in neun Ländern verzeichnet haben, Deutschland ist in der Umfrage zum fünften Mal dabei. Die Ergebnisse zeigen die Kostenentwicklung und die Ursachen von geschäftlichen Datenverlusten in Deutschland, Frankreich, Italien, Großbritannien, den USA, Indien, Japan, Australien und Brasilien. Die Datenpannen fanden alle im Kalenderjahr 2012 statt. Damit das Ponemon Institute Trenddaten korrekt nachverfolgen kann, wurden \’Mega Datenverluste\‘, bei denen mehr als 100.000 Datensätze betroffen waren, in diese Analyse nicht einbezogen.
- Durchschnittliche Kosten für Datenverluste variieren pro Land: Dies ist auf die verschiedenen Arten der Bedrohungen, denen sich Unternehmen gegenüber-sehen, sowie unterschiedliche Datenschutzgesetze, zurückzuführen. Deutschland hat etablierte Verbraucherschutzgesetze sowie Richtlinien, die den Datenschutz und die Cyber-Sicherheit stärken – ebenso wie die Vereinigten Staaten und Großbritannien. Kein Wunder also, dass Deutschland mit durchschnittlich 151€ pro verlorenem Datensatz der Spitzenreiter ist, im Finanzdienstleistungssektor wächst der Betrag sogar auf 217€ an.
- Fahrlässigkeit und böswillige Angriffe sind Hauptursachen für Datenvorfälle: Fahrlässiges Handeln von Mitarbeitern verursachte in Deutschland 2012 mehr als ein Drittel aller Datenverluste (36%), Systemprobleme hingegen nur 16%. Viele Mitarbeiter wissen gar nicht, warum ein Datenverlust so kritisch für ein Unternehmen ist und wann sie risikoreich handeln, wie jüngst eine Studie von Symantec zeigte. Zu Systemproblemen gehören Anwendungs-, Identifizierungs- und Authentifizierungsfehler, unbeabsichtigte Daten-Dumps, logische Fehler beim Datentransfer oder eine misslungene Wiederherstellung der Informationen.
- Böswillige Angriffe sind am kostspieligsten: Auch bei der Zahl der böswilligen Angriffe – z.B. durch Malware-Infektionen, sogenannte Criminal Insiders, Phishing/Social Engineering oder SQL Injection – liegt Deutschland mit 48% aller Datenpannen signifikant über dem weltweiten Durchschnitt (37%). Außerdem kosten diese Vorfälle im Vergleich zu Fahrlässigkeit deutlich mehr: Ein Angriff schlägt mit 163€ pro verlorenem Datensatz zu Buche, fahrlässiges Handeln durch einen Mitarbeiter mit 138€. Kombiniert mit den höheren Kosten pro Vorfall sind Datenverluste für deutsche Firmen enorm teuer – nur die Vereinigten Staaten liegen hier höher. Länder wie Brasilien oder Indien müssen nur knapp 54 bzw. 35€ aufwenden.
- Weitere Kostenfaktoren: Neben den teuren Datenverlusten selbst gibt es eine Reihe von Folgekosten. So schlägt die schnelle Benachrichtigung von Kunden, Partnern und anderen Stakeholdern über den Datenvorfall zu Buche, wenn auch mit sechs Euro pro verlorenem Datensatz weniger stark als die Kosten für ein verlorenes oder gestohlenes Gerät (acht Euro pro Datensatz). Diese Beträge kommen jeweils zu den Durchschnittskosten eines verlorenen Datensatzes hinzu. Mit 12€ zusätzlich sind Fehler von Dritten, z.B. Lieferanten, Geschäftspartnern oder auch Cloud Anbietern, am teuersten.
Symantec Sicherheitstipps, die die Gefahr von Datenverlusten reduzieren:
- Mitarbeiter im Umgang mit vertraulichen Informationen sensibilisieren und trainieren
- Data Loss Prevention-Lösungen einsetzen, die sensible Daten finden und davor schützen, aus dem Unternehmen abgezogen zu werden
- Verschlüsselungs- und starke Authentifizierungstechnologien implementieren
- Einen Reaktionsplan für potenzielle Datenvorfälle entwickeln, inklusive der notwendigen Schritte, um Kunden zu benachrichtigen
Unternehmen können mit dem Symantec Data Breach Risk Calculator berechnen, wie stark sie selbst gefährdet sind und was sie ein Datenverlust kosten könnte. Der Kalkulator berücksichtigt dabei Faktoren wie Firmengröße, Branche, Land und Sicherheitsverfahren im Unternehmen.
