- 26. März 2012 | Volker Scheidemann | Security Blog
Es geht aufwärts! Deutschland weltweit auf Platz zwei hinter den USA! Aufwärtstrend hält an!
Schlagzeilen, die selbst unserer Kanzlerin die Mundwinkel nach oben biegen könnten, ginge es nicht um die Ergebnisse der neuesten Studie des Ponemon Institutes (im Auftrag von Symantec) zu den Kosten von Datenklau.
Von IT-Sicherheitsberatern heiß geliebt wie die Frühlingssonne, bei Entscheidern in Unternehmen so beliebt wie Haselpollenallergie und daher leidenschaftlich ignoriert, liefert die bereits zum siebten (in Deutschland zum vierten) Mal durchgeführte Studie „Cost of DataBreach 2011“ auch dieses Jahr steigende Zahlen zu den Kosten, die Fälle von Datenklau in Unternehmen in unterschiedlichen Ländern produzieren. Dabei sind die Kosten, die sich aus so unterschiedlichen Faktoren wie Kosten durch Kundenverluste, Strafen bei Compliance-Verstößen, Schadensersatz und anderem zusammensetzen, gegenüber dem Vorjahr erneut gestiegen, in Deutschland um etwa 6% auf durchschnittlich 3,4 Millionen Euro pro betroffenem Unternehmen oder 146 Euro pro betroffenem Datensatz. Nur in den USA muss man noch tiefer in die Tasche greifen.
Beeindruckende Zahlen, nicht wahr? Nun ja, man könnte jetzt einwenden – und Kritiker tun das – dass eine Stichprobengröße von 26 befragten Unternehmen nicht wirklich eine Aussage über eine gesamtdeutsche Wirklichkeit zulässt, doch kumuliert man die Ergebnisse aller Studien seit 2008 kommt man schon auf 91 verschiedene Unternehmen und die Ergebnisse weisen doch Jahr für Jahr die gleichen oder zumindest ähnliche Charakteristiken auf: auf den ersten Plätzen bei den Gründen, warum Daten in die falschen Hände geraten tummeln sich regelmäßig Fehler und Nachlässigkeiten eigener Mitarbeiter, Hackerangriffe und Schadsoftware. Nur die Reihenfolgen, wer die Gold-, Silber- und Bronzemedallie in dem Wettbewerb des Grauens abräumt, wechselt gelegentlich.
Und warum führen diese vielen Studien alle trotzdem nicht zum Umdenken in den Unternehmen, was die Verbesserung der IT-Sicherheit angeht? Zum Beispiel zur Einführung von Datenverschlüsselung? Oder zu einem vernünftigen IT-Risikomanagement?
Weil wir Mathe schon immer doof fanden und mit der Ignoranz von Statistiken späte Rache für die vier Punkte im Mathe-Grundkurs zu nehmen glauben? Oder weil wir nicht glauben können, dass eine von einem Hersteller von Sicherheitssoftware gesponserte Studie objektive Ergebnisse liefert? Oder weil wir einfach glauben, dass es immer nur die anderen trifft?
Eine Kombination aus allen drei Gründen kommt mir nicht ganz unwahrscheinlich vor.
