Datendiebstahl, verlorene Datenträger: Wie berechnet sich der Schaden?

von Dr. Michael Karger, veröffentlicht am 06.02.2009

Datenskandale - die Meldungen hierzu haben nahezu inflationären Charakter. Im Zugabteil vergessene Datenträger, "Security Breach" beim Dienstleister für Kreditkartenabrechnung - allenthalben geraten personenbezogene Daten in die Öffentlichkeit oder in die Hände von Cyber-Kriminellen. Der Imageschaden ist in solchen Fällen gross, doch was kostet die betroffenen Firmen ein solcher Vorfall? Bei der Inanspruchnahme der Verantwortlichen muss der Schaden ja beziffert werden.

Die Computerwoche berichtet einer von der PGB Corporation in Auftrag gegebenen Studie, die einige Anhaltspunkte zu den Hauptschadensursachen und zu Schadensgrößen gibt. Befragt wurden 43 US-Firmen aus 17 Branchen. Die Informationen waren u.a deshalb verfügbar, weil zahlreiche US-Bundesstaaten gesetzlich vorsehen, dass die betroffenen Bürger von einem "Data Breach" informiert werden müssen. Es handelt sich bereits um die 4. Studie in Folge, so dass auch die Entwicklungen über die letzten Jahre beleuchtet werden. 

Risiken: Besonders gefährdet sind Unternehmen aus dem Finanzsektor, aus dem Einzelhandelsbereich (Retail) und aus dem Gesundheitssektor. Bemerkenswert ist, dass eine steigende Anzahl von Vorfällen von externen Dienstleistern der betroffenen Unternehmen (z.B. deren Outsourcing-Dienstleister) zu verantworten sind. Die Großzahl der Vorfälle geht aber auf Versäumnisse der eigenen Mitarbeiter zurück.

Hauptursachen: Abhandenkommen von Notebooks (!) und Versagen der IT-Sicherheitssysteme.

Schäden: Die Hauptschäden (insbesondere in den Bereichen Finance und Healthcare) liegen in einem Vertrauensverlust bei den Kunden und deren Abwanderung ("churn rate") .

Schadenshöhe: Die durchschnittlichen Gesamtkosten pro Vorfall lagen 2008 bei 6,6 Millionen Dollar pro Vorfall (wobei sich das Spektrum von 613.000 Dollar bis hin zu 32 Millionen Dollar erstreckte). Die Kosten pro betroffenen Datensatz beliefen sich im Durchschnitt auf 202 Dollar.

Natürlich ist die Studie keine belastbare Grundlage für die Schadensbezifferung in einem deutschen Haftungsprozess. Aber immerhin gibt sie Anhaltspunkte dafür, in welchem Rahmen man sich in etwa bewegt. Laut Computerwoche soll für Deutschland demnächst ebenfalls eine entsprechende Studie vorgelegt werden.

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

5 Kommentare

Kommentare als Feed abonnieren

Vertrauensverlust in Geld zu messen ist so, wie die "Raubkopiererkampagnen", die vermitteln wollen, dass jeder Download mehr ein Kinoticket weniger bedeutet.

0

Ich denke es ist ein falscher Ansatz der allerdings Systembedingt ist.
Es wird alles versucht monetär zu bewerten.
Ich weiß nich ob man das jemandem zum Vorwurf machen kann ... aber es lohnt sich darüber kurz nachzudenken ob sich wirklich alles in Geld festlegen lässt.
Lässt es sich in Geld ausdrücken wieviel schlechter man sich fühlt wenn jemand im privaten Tagebuch geschmökert hat? Oder jemand wildfremdes ohne Erlaubnis sämtliche persönlichen Akten und Dokumente eingesehen und kopiert hat?

0

Bei der "churn-rate" geht es nicht nur um Vertrauensverlust, sondern konkret um die Abwanderung von Kunden - der entsprechende Umsatzverlust läßt sich durchaus messen. In die Schadensberechnung fließen aber auch noch andere Posten ein (siehe Figure 3 der Studie, S. 12): Detection and Escalation, Notification und Ex-post Response.

0

Man muss doch immer bedenken, man bewegt sich im geschäftlichen bereich, und gerade dort ist das Image beim Kunden bares Geld ... Das betroffene Unternehmen kann u.U. gewaltige Umsatzeinbrüche auf Grund des Vertrauensverlustes hinnehmen müssen. Vergleichbar ist die Thematik auch mit der Rücknahme von Ebay Bewertungen und der Bezifferung der Gegenstandswertes

0

Kommentar hinzufügen