Aktueller Channel Fokus:

Drucker & MPS

Studie des Ponemon Institutes

Was kosten Datenschutzverletzungen wirklich?

| Autor / Redakteur: Florian Malecki* / Dr. Jürgen Ehneß

Datenschutzverletzungen durch Cyberkriminalität: Welche Kosten entstehen schlimmstenfalls daraus?
Datenschutzverletzungen durch Cyberkriminalität: Welche Kosten entstehen schlimmstenfalls daraus? (Bild: ©Sergey Nivens - stock.adobe.com)

Mehr zum Thema

Untersuchungen zu Datenschutzverletzungen gibt es viele. Kein Wunder, denn die Folgen dieser Attacken sind in der Regel schwerwiegend. Allein die dadurch verursachten Kosten sind immens und machen schmerzlich klar, wie verwundbar die digitale Welt ist.

Dabei sind Cyberattacken und Datenverstöße nichts Neues. Bereits 2014 untersuchte das Ponemon Institute in einer globalen Studie, wie Unternehmen mit dem Diebstahl geschützter Daten umgehen und welche Kosten ihnen dadurch entstehen. Fazit: Der Mensch ist der größte Risikofaktor, und die unmittelbaren wie auch indirekten Kosten lassen sich nur schwer beziffern.

Aktuell hat das Ponemon Institute wieder eine Studie vorgelegt. Diese im Sommer 2018 durchgeführte Untersuchung hat festgestellt, dass ein Datenverstoß durchschnittlich 3,86 Millionen US-Dollar kostet und selbst ein einziger verlorener Datensatz bis zu 148 US-Dollar kosten kann. Diese Zahlen klingen im ersten Moment sehr bedrohlich. Doch es ist anzunehmen, dass die tatsächlichen Kosten einer Datenschutzverletzung deutlich geringer sind.

Der Grund: Die durch eine Datenschutzverletzung verursachten Kosten hängen letztlich von vielen unterschiedlichen Faktoren ab, wie etwa der Anzahl und Art der verlorenen Datensätze, der Reaktionszeit sowie dem gesamten Krisenmanagement, so dass sich die Kosten nur schwer prognostizieren lassen.

Unabhängig von der Dimension eines solchen Vorfalls und den tatsächlichen Folgekosten derartiger Attacken ist es wichtig, dass Unternehmen bestmöglich auf eine solche Situation vorbereitet sind. Das gilt nicht nur hinsichtlich der Schutzmaßnahmen, sondern auch für die im schlimmsten Fall zu ergreifenden Maßnahmen und die damit verbundenen Kosten.

Entwicklung eines Szenarios

Im ersten Schritt sollten die Unternehmen daher ein Worst-Case-Szenario entwickeln und dann die einzelnen Phasen detailliert analysieren. Ein solches Szenario kann wie folgt aussehen: Angenommen, ein Cyber-Krimineller hat sich vollen Zugriff auf das Netzwerk verschafft und kritische Daten abgegriffen, was würde dies für das betroffene Unternehmen bedeuten? Inwiefern sind Externe betroffen? Welche Daten wurden gehackt, und wie ist es den Datendieben gelungen, Zugriff auf diese Daten zu bekommen?

Es ist wichtig, von Anfang an zu verstehen, wie die Attacke ablief, welche Unternehmensbereiche betroffen sind und welcher Gesamtschaden entstanden ist. Nur wenn diese Informationen vorhanden sind, kann daraus abgeleitet werden, welche Kosten schlimmstenfalls entstehen würden.

Um eine bessere Differenzierung der verschiedenen Aspekte eines Datenverstoßes überhaupt vornehmen und deren Relevanz für die anzunehmenden Kosten einschätzen zu können, hilft die Cost of Data Breach Study 2018 des Ponemon-Instituts. Darin legt das Marktforschungsunternehmen, das sich bei seinen Forschungen auf den Datenschutz sowie die Daten- und Informationssicherheit konzentriert, unterschiedliche Kategorien fest:

Identifikation und Eskalation

In dieser Phase beschäftigen sich die Unternehmen mit folgenden Fragen:

  • Welche Kosten sind mit der Datenschutzverletzung verbunden?
  • Was sind die Ursachen und muss der Verstoß gemeldet werden?
  • Müssen externe Experten hinzugezogen werden, um die Ursache und das Ausmaß der Verletzung festzustellen?
  • Welche Kosten entstehen dem betroffenen Unternehmen für den Einsatz eines Krisenmanagement-Teams?
  • Welche Aufwände sind mit potenziellen Anpassungen in der Kommunikation und Befehlshierarchie verbunden?

Reaktion auf Datenschutzverletzungen

Hier gilt es zu definieren, wie im Falle einer Datenschutzverletzung vorzugehen ist, um Schlimmeres zu vermeiden. Es muss abgewogen werden, wie sicherheitsrelevant die Daten sind – sprich, ob es sich beispielweise „nur“ um E-Mail-Adressen handelt oder ob etwa persönliche Daten (zum Beispiel Gesundheitsdaten) betroffen sind. Je nachdem, wie die Antwort ausfällt, sind entsprechende Präventionsmaßnahmen zu empfehlen und sogar finanzielle Rückstellungen sinnvoll.

Verlorene E-Mail-Adressen können zudem die DSGVO betreffen und entsprechende Kontrollen auf den Plan rufen. Sollten von der Datenschutzverletzung Kreditkarten oder Krankenakten betroffen sein, sind eine Kreditkartenüberwachung oder die Einführung eines Identitätsschutzdienstes denkbar. Je nach Schwere des Vorfalls kann es sogar sein, dass Kunden das Unternehmen verklagen. Diese Aspekte sollten deshalb unbedingt bedacht und entsprechende Notfallpläne entwickelt werden.

Kommunikationskosten

Im Zuge der dramatischen Ereignisse rund um eine Datenattacke werden die Kommunikation und die damit verbundenen Kosten oft vergessen. Diese angesichts der Folgen einer Datenschutzverletzung auf den ersten Blick scheinbar unbedeutenden Ausgaben können sich schnell summieren. Deshalb sollte man sich rechtzeitig mit der Frage beschäftigen, wie hoch die Kosten für Briefe, E-Mails, Telefonate und so weiter schlimmstenfalls sein können.

Auch zusätzliches Personal für die Kommunikation mit Kunden oder die Koordination eingehender Anrufe sowie einer deeskalierenden Korrespondenz sollten kalkuliert werden. Nicht zu vergessen ist zudem der administrative Aufwand, der allein durch die Zusammenarbeit mit Aufsichtsbehörden oder Beratungsexperten entsteht.

Entgangene Geschäfte und verlorene Reputation

Grundsätzlich gilt: Niemand ist glücklich, wenn seine Daten verloren gehen oder gestohlen werden. Dennoch sollte von vorne herein analysiert werden, welche Auswirkungen eine Datenschutzverletzung auf das Geschäft haben kann. Es müssen Hypothesen aufgestellt werden, wie schwer es werden kann, bestehende Kunden zu halten oder neue für das Unternehmen zu finden.

In einem Worst-Case-Szenario sollte durchaus erörtert werden, was zu tun ist, wenn eine Datenschutzverletzung einen schlechten Ruf mit sich bringt, denn das kann sogar dazu führen, dass ein Unternehmen sein Business aufgeben muss; auch diese Kosten gilt es zu kalkulieren.

Bußgelder

Auch Bußgelder hängen wie ein Damoklesschwert über den Unternehmen, die von einer Datenpanne betroffen sind. Je nachdem, was passiert ist, kann auch das Volumen der zu befürchtenden Bußgelder ein Unternehmen ruinieren. Die Höhe der Geldstrafen hängt dabei zum einen vom Unternehmensstandort und zum anderen von der Schwere der Verletzung sowie den Ursachen ab.

Im US-amerikanischen Gesundheitswesen kann beispielsweise die Verletzung des Health Insurance Portability and Accountability Act (HIPAA) zwischen 100 und 50.000 Dollar kosten. Verletzungen der in Europäischen Union geltenden DSGVO können sogar mit bis zu 20 Millionen Euro oder im Fall eines Unternehmens bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr bestraft werden – je nachdem, welcher Wert der höhere ist.

Fazit

Eine Datenschutzverletzung wird ein Unternehmen nicht unbedingt Millionen kosten, aber sie ist in jedem Fall sehr teuer. Im Spannungsfeld zwischen der Identifikation der Ursache, dem richtigen Handeln und den potenziellen Kosten sollten die Unternehmen sich rechtzeitig über passende Tools und Dienstleistungen informieren, um sich bestmöglich vor Datenverstößen zu schützen. Darüber hinaus empfiehlt sich die Erstellung eines Notfallplans, um im schlimmsten Fall zumindest richtig reagieren und die Kosten einschätzen zu können.

Florian Malecki, International Product Marketing Director bei StorageCraft.
Florian Malecki, International Product Marketing Director bei StorageCraft. (Bild: StorageCraft)

*Der Autor: Florian Malecki, International Product Marketing Director bei StorageCraft

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45857893 / Studien)