Was kosten eigentlich Datenschutzverletzungen? (Teil III)

Datenschutzverletzungen

Dieser Artikel ist Teil der Reihe „Was kosten eigentlich Datenschutzverletzungen?“. Lesen Sie hier die anderen Teile :

Wie hoch sind die Kosten einer Datenschutzverletzung für ein Unternehmen? In den ersten beiden Teilen habe ich gezeigt, dass es eine enorme Diskrepanz zwischen den Berechnungen von Ponemon und denen des Verizon DBIR gibt. Wir haben gesehen, dass das größere Problem darin liegt, dass ein einziger Mittelwert für einen Datensatz nicht die beste Vorgehensweise ist.

Ponemon kontra Verizon-Kontroverse

Mit anderen Worten: In den Verizon-Daten gibt es gigantische Sicherheitsverstöße mit hundert Millionen Datensätzen, die einen gewaltigen Nenner bei der Mittelwertberechnung darstellen.

Ponemons Datensatz hingegen basiert auf Sicherheitsverstößen mit weniger als 100.000 Datensätzen. Da Cyberereignisse hohe Fixkosten für Beratung und Forensik beinhalten, erhält man unweigerlich einen höheren Mittelwert, wenn man die Kosten pro Vorfall durch einen kleineren Nenner (also weniger Datensätze) teilt.

Kurzum: Die durchschnittlichen Kosten pro Datensatz von Ponemon in Höhe von 201 USD gegenüber den Kosten von Verizon in Höhe von 0,58 USD bilden eine Kontroverse, die dadurch entsteht, dass Extreme der jeweiligen Datensätze verglichen werden.

Wenn wir nun allerdings die Anzahl der Datensätze ignorieren und uns den Kosten pro Vorfall zuwenden, erkennen wir eine größere Übereinstimmung zwischen Verizon und Ponemon mit jeweils etwa 6 Millionen USD pro Sicherheitsverstoß.

Es gibt jedoch ein „Aber“: Da wir es mit Potenzgesetzen zu tun haben, ist ein einziger Mittelwert nicht repräsentativ. Dies führte ja zu unserer dreistufigen IOS-Blog-Kostentabelle im zweiten Teil dieser Reihe.

Ponemon und die indirekten Kosten

Aber kommen wir zurück in die reale Welt und werfen wir einen weiteren Blick auf die Ponemon-Umfrage. Ihre Analyse basiert auf Interviews mit echten Personen, die für hunderte Unternehmen weltweit tätig sind.

Anschließend berechnet Ponemon die Gesamtkosten, in denen direkte Ausgaben berücksichtigt sind (wie Kreditüberwachung für betroffene Kunden, forensische Analysen) sowie verdeckte indirekte Kosten (z.B.  zusätzliche Mannstunden und mögliche entgangene Umsätze). Und diese indirekten Kosten sind erheblich: in ihrer Umfrage 2015 betrugen diese Kosten rund 40 % der Gesamtkosten eines Verstoßes!

Im Hinblick auf die Begrenzung auf Vorfälle mit maximal 100.000 Datensätzen ist sich Ponemon dieser Problematik bewusst und warnt davor, dass die durchschnittlichen Kosten eines Verstoßes nicht  bei großen Sicherheitsverstößen angerechnet werden sollten. 2014 wurden bei Target Kreditkartennummern von über 40 Millionen Kunden offengelegt. Basierend auf den Ponemon-Zahlen hätte der Schaden insgesamt über 8 Milliarden USD-Dollar betragen. Die tatsächlichen Kosten waren jedoch weitaus niedriger.

Wenn man sich eingehender mit den Ponemon-Berichten befasst, erhält man sehr aufschlussreiche Erkenntnisse: So zeigt der Bericht 2016, dass man durch die Bereitstellung eines Notfallteams die Datenkosten um 16 USD pro Datensatz senken kann, Data Loss Prevention (DLP) reduziert um weitere 8 USD und Datenklassifizierungsschemata verringern um weitere 4 USD.

Ein weiterer interessanter Punkt ist, dass „Churn“ (Abwanderung) ein wesentlicher Faktor für indirekte Kosten ist. „Churn“ bezeichnet laut Ponemon die Tatsache, dass aktuelle Kunden ihre Geschäftsbeziehung infolge eines Vertrauensverlust mit dem Unternehmen nach einem Sicherheitsverstoß beenden.

Außerdem bewertet Ponemon eine „verschlechtere Kundenakquise“ als weitere indirekte Kosten in Bezug auf Churn, da es sich hierbei um Kosten für entgangenen künftigen Umsatz infolge der Beschädigung einer Marke handelt.

Datenschutzverletzungen

Ponemons Daten über entgangenen Umsatz.

Die Abwanderungsquote nach einem Datensicherheitsvorfall wird mit historischen Mittelwerten verglichen, wodurch ungewöhnliche Quoten erkannt und den Kosten der Datenschutzverletzung zugeordnet werden können.

Ponemon konsolidierte den durch Abwanderung entgangenen Umsatz, zusätzliche Akquisekosten und den Schaden für den „Firmenwert“ in ein Balkendiagramm (siehe oben), das nach Ländern unterteilt ist. Für die USA liegen die durchschnittlichen Opportunitätskosten für einen Sicherheitsverstoß bei etwa 4 Millionen USD, für Deutschland bei rund 1,8 Millionen USD.

Vor diesem Hintergrund ist es hilfreich, sich die durchschnittlichen Kosten pro Datensatzverstoß anzusehen, um sich eine Vorstellung vom Gesamtausmaß zu verschaffen.

Was bedeutet das?

Neben den eigentlichen Ausgaben können Sie sich den Mittelwert von Ponemon auch als zusätzlichen (Arbeits-)Aufwand im Bereich IT, Recht, Callcenter und Beratung vorstellen. Dabei  gilt verstärkte Aufmerksamkeit dem künftigen Produktmarketing und Branding sowie administrativen und HR-Ressourcen, die beispielsweise für personelle Angelegenheiten nach einem Sicherheitsverstoß erforderlich sind.

All diese Faktoren gilt es zu berücksichtigen, wenn Ihr Unternehmen ein eigenes Programm zur Reaktion auf Sicherheitsverstöße plant!

Abschließende Gedanken

In unseren Gesprächen mit Sicherheitsexperten, Anwälten oder auch Inhabern von Kleinunternehmen, die direkt von einem Hacker-Angriff betroffen waren, erfahren wir regelmäßig aus erster Hand, dass ein Sicherheitsverstoß großen Schaden anrichten kann.

Dabei geht es nicht nur um die „Kosten für die Geschäftstätigkeit“, wie oftmals angeführt wird. In den letzten Jahren wurden auch einige CEOs entlassen. Und aktuell wird durch den Equifax-Sicherheitsverstoß und den damit einhergehenden Abgängen bzw. „Rücktritten“ der obersten Führungsriege die Existenz des Unternehmens von einer Prozesswelle bedroht.

Bei einer Datenschutzverletzung kommt noch etwas hinzu: Informationen über Kunden und Führungskräfte sowie gestohlenes geistiges Eigentum können auf verschiedene Weise böswillig genutzt werden, sei es durch Identitätsdiebstahl, Erpressung oder Wettbewerbsdrohungen.

Obwohl die direkten Kosten nicht unbedingt die in der Presse dargelegten 100 bis 200 USD pro Datensatz widerspiegeln, ist ein Cyberangriff, der zu einem Datenleck führt, immer noch ein kostspieliger Vorfall. Wie wir oben gesehen haben, kostet er im Durchschnitt bei den meisten Unternehmen über 1 Million USD.

Und auf längere Sicht sind Ponemons Zahlen der einzige Maßstab den ich kenne, welcher die Bilanzierung all dieser Unbekannten wiedergibt.

Letztlich kann es eigentlich auch nicht schaden, wenn Sie sich von den Statistiken von Ponemon abschrecken lassen und Ihre Datensicherheitspraktiken entsprechend ändern.