Deutsche Firmen müssen bei Datenverlusten jedes Jahr tiefer in die Tasche greifen. Das reicht von der Aufklärung des Vorfalls bis hin zur Eindämmung entstandener Schäden. Musste ein Unternehmen pro Datenpanne im Jahr 2008 durchschnittlich 2,4 Millionen Euro ausgeben, waren es im Jahr 2009 bereits 2,6 Millionen Euro. Im Jahr 2010 sind dafür 3,4 Millionen Euro fällig. Die Kosten sind verglichen mit 2008 um 40 Prozent gestiegen und gegenüber 2009 um 31 Prozent.
Foto: Symantec
Das ergab die aktuelle Studie "Cost of a Data Breach" für 2010, die der US-Marktforschungsfirma Ponemon Institute jährlich im Auftrag des IT-Sicherheitsanbieters Symantec durchführt. Auch bei den absoluten Zahlen werden neue Rekordmarken erreicht. Der teuerste Fall von Datenverlust kostete das betroffene Unternehmen 12,4 Millionen Euro. Die Summe ist damit fast doppelt so hoch wie bei der kostspieligsten Datenpanne im Jahr 2009.
Ein Datensatz kostet 138 Euro
Der Verlust eines einzigen Datensatzes schlägt dabei mit 138 Euro zu Buche. Das sind vier Prozent mehr als im Jahr 2009 (132 Euro) und 23 Prozent mehr als 2008 (112 Euro). Im Schnitt gehen den Firmen pro Datenpanne zwischen 3.000 und 78.000 Datensätze verloren oder werden gestohlen. 56 Prozent der Studienteilnehmer hatten 2010 das erste Mal unter den Folgen einer Datenverletzung zu leiden. Diese sogenannten "First Timer" verloren im Schnitt durch Datenverlust- oder Datendiebstahl rund 1.000 Datensätze mit persönlichen Informationen.
Erschreckend ist, dass nicht einmal ein Drittel der Studienteilnehmer im Unternehmen eine Stelle geschaffen hat, etwa einen CISO (Chief Information Security Officer), die sich speziell um Datenverletzungen kümmert. Der Studie zufolge ließen sich dadurch die Kosten durch Datenklau oder -verlust signifikant senken.
Die drei häufigsten Gründe für Datenverluste sind: Cyberangriffe durch Hacker, Fahrlässigkeit und Fehler durch Dritte, etwa einen Outsourcing-Dienstleister. In diesen drei Bereichen sind auch die Kosten pro Datensatz am höchsten. Diese liegen bei 181 Euro für einen bei einer Cyber-Attacke gestohlenen Datensatz. 173 Euro kostet Firmen jeder Datensatz auf einem verlorenen oder gestohlenen Laptop und 168 Euro bei Fehlern von Dritten.
Foto: Symantec
In jeweils 40 Prozent der Fälle waren Schadcode und kriminelle Angriffe oder fahrlässiges Verhalten für einen Datenvorfall verantwortlich. Auffallend ist, dass im Vergleich zu 2009 in Unternehmen die Zahl der durch Fahrlässigkeit verursachten Datenpannen um acht Prozent gestiegen ist. Darunter fallen als größter Posten auch gestohlene oder verlorene Geräte, deren Anzahl im Vergleich zu 2009 um fünf Prozent auf 32 Prozent stieg. Weitere Ursachen für Datenlecks liegen in unzureichenden Sicherheitsmaßnahmen oder System-Fehlern.
Bei Datenpanne droht Kundenverlust
Am meisten treffen Unternehmen bei einer Datenpanne inzwischen die finanziellen Verluste durch entgangene Geschäfte mit Kunden. Das schließt auch die Kosten für die Wiederherstellung wichtiger Geschäfts- und Kundendaten mit ein. Diese machen aktuell insgesamt 44 Prozent der Gesamtkosten aus, neun Prozent mehr als 2009. 27 Prozent der Kosten entfallen auf die Kommunikation und den Kontakt mit Kunden nach einer Datenpanne.
Auch Compliance ist teuer
Der finanzielle Aufwand für die Entdeckung eines Datenlecks und dessen Untersuchung in den verschiedenen Eskalationsstufen liegt bei 22 Prozent. Sieben Prozent der Kosten entfallen inzwischen auf die vom Bundesdatenschutzgesetz (BDSG) vorgeschriebene Erfüllung von Compliance-Anforderungen, wie etwa die Benachrichtigung von Behörden und Ämtern bei einer Datenpanne.
Für die Studie verschickte das Ponemon-Institut Fragebögen an 330 Firmen in Deutschland mit einem Fall von Datendiebstahl oder Datenverluste im Jahr 2010. 25 Unternehmen aus zwölf Branchen schickten die Fragebögen vollständig ausgefüllt zurück und gaben detailliert Auskunft zu dem Schaden, den sie durch einen Datenverlust erlitten hatten.