Gemäß der alljährlich durchgeführten Studie des Ponemon Institute stiegen auf einen kompromittierten Kundendatensatz bezogen die Folgekosten unautorisierter Datenbankzugriffe auf 204 $. Die durchschnittlichen Kosten eines solchen Datenlecks stiegen von 6,65 Millionen $ in 2008 auf 6,75 Millionen im Jahr 2009.
Basis für die Schätzungen des Ponemon Institute sind Informationen von 45 Firmen, die während des letzten Jahres die Existenz eines Datenlecks bekanntgegeben haben und bereit sind, dies öffentlich zu thematisieren.
Auf den einzelnen davon betroffenen Kundendatensatz bezogen stiegen die Kosten solcher Vorfälle gegenüber 2008 um nur 2 $ auf 204 $. Allerdings lag dieser Wert zu Anfang der Untersuchungstätigkeit des Ponemon Institute vor fünf Jahren bei lediglich 138 $.
Um die Kosten zu beziffern, bezieht das Ponemon Institute eine Reihe von Faktoren ein: Umsatzeinbußen infolge eines Datenlecks, Gerichts- und Anwaltskosten, Kosten für die Offenlegung der Situation gegenüber Kunden und Öffentlichkeit sowie Zusatzausgaben infolge der Notwendigkeit externer Beratung, neuer Schulungen und veränderter technischer Infrastruktur.
Laut Dr. Larry Ponemon, dem Gründer und Vorsitzenden der gleichnamigen Organisation, sind Datenlecks im Wesentlichen auf drei Gründe zurückzuführen, was auch aus dem von PGP geförderten Bericht "Fifth Annual U.S. Cost of Data Breach Study" ("Fünfter jährlicher Bericht zu den Kosten von Datenlecks") hervorgeht, in dem 45 Firmen ihre Erfahrungen schildern.
Wie Ponemon sagt, "ist der wichtigste Teil unserer Analyse, herauszufinden, wodurch ein Datenleck möglich wurde. Etwa 40 % der Fälle sind auf Nachlässigkeit und menschliches Versagen wie beispielsweise verlorengegangene Laptops zurückzuführen. 36% entfallen auf Lücken in den Datenbanksystemen selbst, infolge derer systemintern Dritte Zugriff auf Daten anderer Nutzer erhielten. Gezielte böswillige Angriffe mit krimineller Energie sind ursächlich für die übrigen 24 %."
Ponemon fügt hinzu, dass in 2009 "die Angriffe ausgefeilter geworden sind, was von uns im Vorjahr nicht erwartet wurde". Solche Angriffe wurden oft unter Zuhilfenahme von Botnets und zum Zweck finanzieller Bereicherung durchgeführt.
Insgesamt spielten Fehler und Versehen Dritter in insgesamt 42 % aller von Ponemon in ihrer Datenlecksstudie untersuchten Fälle eine Rolle. Außerdem gab es in über 82 % aller Vorfälle bei der jeweils betroffenen Organisation mehr als ein Datenleck mit dem Verlust oder Diebstahl von mehr als 1000 persönlichen Datensätzen. Bei etwa 40 % der an der Studie teilnehmenden Firmen war der jeweilige Chief Information Security Officer (CISO) für die Koordination der Maßnahmen in Folge des Datenlecks verantwortlich.
Die Kompetenz des CISO oder eines Verantwortlichen in vergleichbarer Position begrenzte offenbar die Folgekosten eines Datenlecks: Die durchschnittlichen Kosten pro Firmenangehörigen betrugen 157 $ pro Datensatz bei Firmen mit CISO gegenüber 236 $ bei Firmen ohne einen solchen speziell in dieser Situation Verantwortlichen.
Das tatsächliche Ausmaß einzelner Datenleckvorfälle reichte gemäß der Untersuchung von 5000 bis hin zu 101000 verlorenen oder gestohlenen Kundendatensätzen. Unter den gemeldeten Fällen führte das ‚teuerste’ Datenleck zu insgesamt fast 31 Millionen $ Folgekosten, allerdings schlug auch der vergleichsweise ‚günstigste’ Fall noch mit 750000 $ zu Buche.
Kommentare
Kommentieren