Datenschutzgesetze machen Datenpannen teuer


Internationale Vergleichsstudie zu den Kosten von Datenmissbrauchsfällen
Gesetzesregelungen haben signifikante Auswirkungen auf die Schadenshöhe

(10.05.10) - Das auf die Technologiethemen Datenschutz und Informationsmanagement spezialisierte Marktanalyseunternehmen Ponemon Institute hat erstmals eine internationale Vergleichsstudie zu den Kosten von Datenmissbrauchsfällen durchgeführt. Die "2009 Annual Study: Global Cost of a Data Breach" erfasst die Auswirkungen von mehr als einhundert realen Fällen von Datenmissbrauch aus dem Jahr 2009. Unterstützt wurde diese Studie, an der 133 Unternehmen und Organisationen 18 unterschiedlicher Branchen aus den fünf Ländern Australien, Frankreich, Großbritannien, Deutschland und USA teilnahmen, von der PGP Corporation.

Die Untersuchung ergab international eine durchschnittliche Gesamtkostensumme von 3,43 Millionen US-Dollar für jeden einzelnen Fall von Datenmissbrauch; der Schaden lag damit im Schnitt bei 142 US-Dollar pro betroffenen Datensatz. Dabei ergaben sich deutliche Unterschiede zwischen den Ergebnissen für die einzelnen Länder - während beispielsweise in Großbritannien lediglich Kosten in Höhe von 98 US-Dollar pro kompromittierten Datensatz anfielen, lag dieser Wert in den USA bei 204 US-Dollar.

Als durchschnittliche Kosten eines Falles von Datenmissbrauch konnten für die an der Studie beteiligten Länder folgende Werte ermittelt werden:

Bild: PGP


Gesetzliche Vorgaben erhöhen die Kosten bei Datenpannen signifikant
Die Studie zeigt, dass die durch Datenpannen entstandenen Kosten in Ländern mit einer gesetzlich verankerten Veröffentlichungspflicht bei Datenmissbrauchsfällen signifikant höher sind als in Ländern ohne solche Gesetze. So lagen die Kosten pro betroffenen Datensatz beispielsweise in den USA, wo mittlerweile 46 der 50 Bundesstaaten eine Veröffentlichungspflicht eingeführt haben, um 43 Prozent über dem globalen Durchschnittswert. Die zweithöchsten Kosten entstanden in Deutschland, wo adäquate Gesetze seit Juli 2009 gelten; hier lag der Durchschnitt 25 Prozent über dem internationalen Vergleichswert. Dagegen wiesen die Länder Australien, Frankreich und Großbritannien, in denen die Veröffentlichungspflicht bei Datenpannen gesetzlich noch nicht festgeschrieben ist, im internationalen Vergleich unterdurchschnittliche Kosten pro kompromittierten Datensatz auf.

"Eine zentrale Schlussfolgerung aus den Ergebnissen dieser Studie ist, dass regulative Vorschriften deutlichste Auswirkungen auf die Höhe der Kosten von Datenpannen haben", so Dr. Larry Ponemon, Vorsitzender und Gründer des Ponemon Institutes. "Die Situation in den USA belegt dies und es ist klar, dass die Kosten auch in den anderen Ländern der Welt steigen werden, wenn dort eine Veröffentlichungspflicht bei Datenmissbrauchsfällen gesetzlich verankert wird."

In Großbritannien, wo bislang lediglich der öffentliche Dienst und Finanzorganisationen mit gesetzlichen Auflagen bei Datenmissbrauchsfällen konfrontiert sind, liegen die Kosten 45 Prozent unterhalb des globalen Durchschnitts und damit bei weniger als der Hälfte dessen, was US-Unternehmen im Schadensfall pro Datensatz durchschnittlich aufwenden müssen.

"Es kann kaum überraschen, dass die finanziellen Folgen einer Datenpanne in den USA, wo die Datenschutzgesetze nicht nur streng, sondern auch ausgereift sind, am schwersten wiegen. Wundern darf man sich dagegen über das relativ niedrige Kostenniveau in Großbritannien", so der Kommentar von Jonathan Armstrong, ein auf den Bereich Technologie spezialisierter Anwalt der international renommierten Anwaltskanzlei Duane Morris. "Es wird interessant sein, zu sehen, wie steil die Kosten in Großbritannien zukünftig ansteigen werden, wenn die dortige Datenschutzbehörde - das U.K. Information Commissioner's Office - ihre Vorgaben für den Datenschutz einschließlich der avisierten hohen Geldstrafen bei Verstößen für alle Unternehmen konsequent umsetzt."

Umsatzeinbußen durch Vertrauensverluste verursachen den Großteil der Kosten
Mit einem Anteil von rund 44 Prozent an den durch Fälle von Datenmissbrauch verursachten Kosten bilden die entgangenen Umsätze den Hauptposten in der Schadensbilanz der betroffenen Unternehmen. Dies zeigt die Sensibilisierung der Verbraucher beim Thema Datenschutz auf und belegt die Auswirkungen der durch Datenpannen verursachten Imageverluste von Unternehmen bei der Bemühung um neue Kunden. Im Ländervergleich zeigten sich dabei deutliche Unterschiede - am stärksten betroffen waren US-amerikanische Unternehmen, bei denen entgangene Umsätze durchschnittlich 66 Prozent der Gesamtkosten eines Datenmissbrauchsfalls ausmachten.

Bild: PGP


"Unabhängig vom Standort eines Unternehmens leidet sein Ruf, wenn bekannt wird, dass es fahrlässig mit vertraulichen Daten umgeht", so Phillip Dunkelberger, President und CEO der PGP Corporation. "Daten sind ein wichtiges Kapital, das geschützt werden muss. Immer mehr Länder verabschieden verschärfte Datenschutzvorschriften und Gesetze, die Unternehmen eine Veröffentlichungspflicht im Falle einer Datenpanne auferlegen. Denn sie haben erkannt, dass Kunden das Vertrauen in Unternehmen verlieren und abwandern, wenn es zu einer Datenpanne kommt."

Datenschutzgesetze beeinflussen die Kosten für die Aufdeckung und Aufarbeitung von Datenpannen maßgeblich
Die durch die Aufdeckung und Aufarbeitung verursachten Kosten im Falle eines Datenmissbrauchs lagen in Deutschland mit 52 US-Dollar pro betroffenen Datensatz am höchsten, was die Aufwendungen der Unternehmen und Organisationen in neue Sicherheitstechnologien und -prozesse aufgrund der erfolgten Novellierung der Datenschutzgesetze reflektiert.

In den USA, wo entsprechende Gesetze bereits seit 2005 gelten, nahmen die Kosten dagegen in den letzten Jahren ab und lagen 2009 bei 8 US-Dollar pro betroffenen Datensatz. Dies legt nahe, dass US-amerikanische Unternehmen die Zeit genutzt haben, effizientere Erkennungs- und Aufarbeitungsprozesse zu etablieren. Es ist davon auszugehen, dass sich die Kosten auch in den anderen Ländern reduzieren werden, wenn die initialen Aktivitäten zur Einhaltung verschärfter gesetzlicher und branchenspezifischer Regelungen absolviert und die entsprechenden Prozesse auf die Arbeitsabläufe besser abgestimmt wurden.

Bild: PGP


Mehr Kosten durch Pannen mit externer Beteiligung oder kriminellem Hintergrund
Wenn externe Partner oder Dienstleister für einen Datenmissbrauchsfall verantwortlich waren, stieg in allen fünf Ländern die Schadenshöhe aufgrund der für die Aufklärung notwendigen zusätzlichen Forensik- und Ermittlungskosten. Dabei zeigte es sich, dass die Steigerungsrate bei der Beteiligung Dritter in den einzelnen Ländern höchst unterschiedlich war - am niedrigsten in den USA mit 12 Prozent und am höchsten in Frankreich mit 116 Prozent.

Bild: PGP


Fälle von Datenverlust, resultierend aus bösartigen oder kriminellen Aktivitäten, verursachen ebenfalls höhere Kosten als der Durchschnitt, wobei französische Unternehmen die größten negativen Auswirkungen erfahren mussten. Der Anteil der Fälle von Datenmissbrauch ausgehend von böswilligen oder kriminellen Attacken nahm in allen Ländern zu und liegt im Bereich zwischen 24 und 54 Prozent der Gesamtfälle. Dies lässt die Schlussfolgerungen zu, dass IT-Organisationen mehr in geeignete proaktive Schutzmaßnahmen investieren sollten, um insgesamt die Kosten zu reduzieren.

Bild: PGP


Klare Kompetenzzuordnung reduziert Kosten von Datenpannen
In Fällen, in denen die Verantwortung für die Datensicherheit und die Abwicklung der Schadensbehebung klar an einen Datenschutzbeauftragten oder an ein Mitglied der Unternehmensleitung mit adäquater Funktion delegiert war, konnten Unternehmen oder Organisationen in allen fünf Ländern die durch Datenpannen entstehenden Kosten reduzieren. Allerdings verzichtet der Großteil der untersuchten Unternehmen bislang auf eine derartige Position innerhalb der Geschäftsführung oder auf die klare Zuordnung der Verantwortlichkeiten.

Bild: 6


"Mit der Tatsache, dass die Kosten im Falle eines Datenmissbrauchs unabhängig vom Standort des Unternehmens und der einzuhaltenden Gesetze dann sinken, wenn die Verantwortlichkeiten klar an ein Mitglied der Unternehmensleitung delegiert sind, zeigt diese Studie einen positiven Aspekt auf", so Dunkelberger weiter. "Unternehmen sind also gut beraten, solch eine Position möglichst umgehend in ihren Führungsreihen zu etablieren." (PGP: ra)

PGP: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Studien

  • Gefahren von strategischer Korruption

    Transparency International hat den Korruptionswahrnehmungsindex 2024 (Corruption Perceptions Index, CPI) veröffentlicht. Der jährlich erscheinende Index ist der weltweit bekannteste Korruptionsindikator. Er umfasst 180 Staaten und Gebiete und bewertet den Grad der in Politik und Verwaltung wahrgenommenen Korruption. Der Meta-Index beruht auf der Einschätzung von Experten sowie Führungskräften.

  • Budgets für Datenschutz 2025 werden sinken

    Mehr als zwei von fünf (45 Prozent) Datenschutzbeauftragten in Europa glauben, dass das Datenschutzbudget ihrer Organisation unterfinanziert ist. Dies bedeutet einen Anstieg von 41 Prozent im Jahr 2024. Mehr als die Hälfte (54 Prozent) erwartet zudem, dass die Budgets im Jahr 2025 weiter sinken werden. Das geht aus einer neuen Studie von ISACA hervor, dem weltweit führenden Berufsverband, der Einzelpersonen und Organisationen bei ihrem Streben nach Digital Trust unterstützt.

  • Compliance-Regulierungsdruck nimmt weltweit zu

    Sphera hat ihren Supply Chain Risk Report 2025 veröffentlicht. Dieser Bericht umfasst eine eingehende Analyse der dringendsten Risiken und aufkommenden Chancen, die die globalen Lieferketten verändern. Er bietet Führungskräften aus den Bereichen Beschaffung, Lieferkette und Nachhaltigkeit handlungsrelevante Einblicke, um die komplexen Herausforderungen zu meistern, mit denen sich Unternehmen angesichts neuer gesetzlicher Bestimmungen, wirtschaftlicher Unbeständigkeit und erhöhter ökologischer und sozialer Verantwortung auseinandersetzen müssen.

  • Digitale Steuer-Transformation

    Eine von Vertex veröffentlichte Studie zeigt, dass Fachkräftemangel und Qualifikationsdefizite in Steuerteams Unternehmen auf ihrem Weg zu einer erfolgreichen digitalen Steuer-Transformation behindern können. Die Studie "Global Tax Transformation" befragte 610 Fachleute in Europa und den USA, um die aktuelle Situation in den Unternehmen und die Einstellung der Fachleute zur Transformation in ihrer Organisation zu verstehen.

  • NIS2-Richtlinie & wie es um die Vorbereitung steht

    Eine aktuelle Veeam-Studie zur NIS2-Richtlinie zeichnet ein ernüchterndes Bild der IT-Sicherheitslage in deutschen Unternehmen. Während sich 70 Prozent der befragten Firmen gut auf die neue EU-Richtlinie vorbereitet fühlen, sind nur 37 Prozent von ihnen nach eigener Angabe tatsächlich konform zur NIS2. Diese eklatante Diskrepanz zwischen Selbstwahrnehmung und Realität ist bezeichnend für den oftmals leider noch zu laxen Umgang vieler Organisationen mit Cyber-Sicherheit und vor allem im KRITIS-Bereich bedenklich.

Compliance-Maßnahmen in Unternehmen Kaum ein Thema: Datenschutz in Unternehmen

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen