Textversion
Wer bietet was Recht Markt Produkte Services Whitepapers Fachartikel Compliance-Kiosk Schwerpunkte Branchen Videothek Schulungen Literatur Governance Webinare Compliance-Lexikon Success Stories Specials Security-Telegramm SaaS / Cloud-Telegramm Compliance-Archiv Security & Safety
Home Markt Studien, Umfragen, Untersuchungen

Markt


Hintergrund Hinweise & Tipps Interviews Invests Kommentare, Meinungen, Stellungnahmen Nachrichten Personen Studien, Umfragen, Untersuchungen Meinungsumfragen Unternehmen

Events / Veranstaltungen Datenschutzerklärung Newsletter Marktübersichten Stellenanzeigen - Jobsuche Compliance-Shop Shopping-Portal & Shopping Mall Impressum Kontakt: Pressemitteilungen Links RSS: Compliance-Magazin.de-News Feed abonnieren RSS: IT SecCity.de-News Feed abonnieren Geschäftsbedingungen Wichtiger Hinweis zu Rechtsthemen Compliance-Magazin für Mobile Devices Sitemap Suche Mediadaten

Gesetzliche Vorschriften völlig unzureichend?


"Global Data Leakage Report 2010": Vermeidbare Datenverluste verursachten 200 Millionen Dollar Schaden
Hohe Zahl von Datenmissbrauchsfälle: Ein Grund für den erwarteten Anstieg von Vorfällen liege "in einem zunehmend etablierten und halblegalisierten Schwarzmarkt für gestohlene Daten"

Anzeige

(23.05.11) - Dem IT-Security-Unternehmen InfoWatch zu Folge gab es im vergangenen Jahr 794 bekannt gewordene Fälle von Datenmissbrauch und Datenverlust, bei denen insgesamt 654 Millionen Datensätze betroffen waren. Der Schaden belief sich allein 2010 auf rund 200 Millionen US-Dollar. Diese Zahlen wurden jetzt im "InfoWatch Global Data Leakage Report" für das Jahr 2010 veröffentlicht. Seit 2004 trugen Experten von InfoWatch mittlerweile über 3000 Vorfälle von Data Leakage zusammen. Statistisch ist so jeder Mensch jedes Jahr von mindestens einem Vorfall persönlich betroffen.

Während viele Vorfälle von Datenmissbrauch schnell mit krimineller Energie in Zusammenhang gebracht werden, stehen bei der Studie von InfoWatch auch unbeabsichtigte Datenverluste im Fokus, die vor allem auf Anwenderfehler und mangelnde Sorgfalt zurückzuführen sind. Das Verhältnis von beabsichtigten zu unbeabsichtigten Datenverlusten - im vergangenen Jahr kamen auf 334 absichtliche 420 unabsichtliche Datenverluste - ist für die Experten dabei ein wichtiger Indikator bei der Suche nach Ursachen für die immer noch alarmierend hohe Zahl von Datenmissbrauchsfällen. Zwar ist dieses Verhältnis bei nahezu allen Branchen in etwa gleich, variiert jedoch sehr stark, wenn man sich die verschiedenen Kanäle anschaut, auf denen Daten ungewollt abfließen:

Lesen Sie zum Thema "IT-Sicherheit" auch: IT SecCity.de (www.itseccity.de)

Sind versehentliche Datenverluste bei Servern, Workstations und Storage-Centern mit 63 Vorfällen 2010 vergleichsweise selten, so sind unbeabsichtigte Datenpannen in E-Mails oder bei Papier-Ausdrücken, die in falsche Hände gelangen umso häufiger, immerhin 167 Vorfälle. Umgekehrt wurden bei Servern allerdings 129 Fälle von absichtlichem Datendiebstahl bekannt während Papier und E-Mails gerade einmal für 41 Fälle vorsätzlichen Datendiebstahls missbraucht wurden.

Natalya Kaspersky, CEO von InfoWatch, wies des Öfteren darauf hin, dass es "nutzlos ist, wenn Server mit sehr viel Geld und viel Aufwand gegen alle Arten von Angriffen geschützt werden, solange die Daten auch im Altpapier zu finden sind. Mit guten DLP-Lösungen können Drucker überwacht und E-Mails gescannt werden. Sehr vielen Unternehmen ist immer noch nicht bewusst, wo die Schwachstellen ihrer Sicherheitspolitik liegen und investieren so an den falschen Stellen".

Die Menge von Daten wächst rapide, da immer mehr Unternehmen das Internet als Verkaufs- und Kommunikationsplattform nutzen. Selbst ein kleines Unternehmen verarbeitet dabei mit 10.000 Transaktionen oft schon mehrere Tausend Kundendaten. Datenbanken wachsen so kontinuierlich und es entstehen täglich neue. Um das Risiko von Datenverlusten zu reduzieren müssten demzufolge die Sicherheitsvorkehrungen in den Unternehmen schneller besser werden als die Daten mehr werden.

"Der Stand der Dinge ist jedoch, dass Unternehmen immer noch weit hinter den technischen Möglichkeiten des Datenschutzes zurückbleiben, meist aus Kostengründen. Gesetzliche Regelungen könnten hier viel bewirken, sind jedoch nicht zu erwarten", fasst Natalya Kaspersky die Lage in der Wirtschaft zusammen.

Ein weiterer Grund für den erwarteten Anstieg von Vorfällen liegt in einem zunehmend etablierten und halblegalisierten Schwarzmarkt für gestohlene Daten. Insbesondere personalisierte Daten und Kundeninformationen haben feste Preise und lassen sich mit geringem Risiko weiter verkaufen. Da Kundendaten meist weniger stark geschützt sind als betriebsinterne Dokumente und überdies oft einer sehr großen Anzahl von Mitarbeitern zur Verfügung stehen, wundert es nicht, wenn 96 Prozent der betroffenen Datensätze personalisierte Daten sind. "An dieser Stelle wäre abermals der Gesetzgeber gefordert, der den Datendiebstahl an sich stärker bestrafen müsste und nicht erst den entstandenen Schaden, der oft gerichtlich nur schwer nachzuweisen ist. Aber von einem Gesetzgeber der selbst illegale Daten in Form einer Steuer-CD einkauft wird wohl kaum eine Initiative in diese Richtung zu erwarten sein", bemerkt Natalya Kaspersky.

Die Technik ist vorhanden, die Einsicht fehlt
Die Studie zeigt weiter, dass heute auf der technischen Seite bereits viele Möglichkeiten gegeben wären, ohne dass spezielle Fachkräfte komplizierte Sicherheitslücken zu schließen hätten. Nach wie vor ist die Menge an Datenverlusten durch Diebstahl oder Verlust von mobilen Geräten wie USB-Sticks, Notebooks oder Handys mit 171 Vorfällen sehr hoch und eine Vorschrift zur generellen Verschlüsselung mobiler Datenträger ist von jedem Unternehmen leicht umzusetzen. Natalya Kaspersky vergleicht die Situation wie folgt: "Es ist wie beim Brandschutz, wo jeder um den Sinn von Brandschutzmaßnahmen weiß, aber niemand den Ernstfall erwartet. So sind auch hier die technischen Lösungen für jedermann verfügbar, aber niemand erwartet sich konkret einen Nutzen."

Ferner zeigt die Studie, dass auch DLP-Lösungen, die unbeabsichtigten Datenabfluss durch Anwenderfehler sehr wirksam bekämpfen können und selbst vorsätzlichen Datendiebstählen hohe Hürden in den Weg setzen, nur sehr unzureichend in den IT-Infrastrukturen der Firmen implementiert sind. Denn auch hier stünden feste Kosten und klar kalkulierbarer Aufwand auf der einen Seite dem unwahrscheinlichen Fall eines gravierenden Vorfalls auf der anderen Seite gegenüber. Lasche Vorschriften und oft mangelnde Haftbarkeit für entstandenen Schaden, so die Studie weiter, verringern überdies die Motivation für Unternehmen in DLP-Lösungen zu investieren. Dies sind keine Voraussetzungen, die hoffen lassen, dass sich die Situation ohne strengere gesetzliche Vorgaben signifikant verbessern wird.

Bekannte Datenmissbrauchsfälle nur Spitze des Eisbergs
Bei der Frage, wie groß die tatsächliche Gefahr von Datenmissbrauch einzuschätzen ist, sind einige Unwägbarkeiten gegeben. Dennoch lässt sich die Zahl der Vorfälle vergleichsweise gut abschätzen und der wirtschaftliche Schaden in seiner ungefähren Größenordnung bestimmen.

Die USA waren lange Zeit das einzige Land, in dem es eine Meldepflicht für Verstöße gegen die Datenschutzbestimmungen des Unternehmens gab. 2009 führte auch Großbritannien eine solche Meldepflicht ein und die Anzahl der Vorfälle stieg sprunghaft an. Vergleicht man nun die Zahlen von Großbritannien von heute mit denen von früher, oder vergleicht man die Vorfälle pro Kopf in den USA, immerhin durchschnittlich 1,4 Vorfälle pro 1 Million Einwohner, mit denen in Deutschland, wo offiziell nur 0,09 Vorfälle pro 1 Million Einwohner vorkommen, dann lässt sich unschwer erahnen, wie viele Fälle tatsächlich in deutschen Firmen passieren und wie viele Vorfälle davon nie an die Öffentlichkeit gelangen.

Wirtschaftlicher Schaden beträchtlich
Auch der wirtschaftliche Schaden kann annähernd beziffert werden, da einige wenige Vorfälle für einen beträchtlichen Teil der 654 Millionen Datensätze verantwortlich sind. Bei diesen großen Vorfällen kann sehr gut nachvollzogen werden, welcher wirtschaftliche Schaden entstand, ohne den Schaden durch Reputationsverlust überhaupt zu berücksichtigen. Die Experten von InfoWatch bezifferten so allein für 2010 den gesamten entstandenen Schaden auf 200 Millionen US-Dollar. Umgerechnet ergibt das ca. 33 US-Cent pro Datensatz. Natalya Kaspersky gibt zu bedenken, dass "diese Zahl noch deutlich höher wird, wenn man berücksichtigt, dass ein Großteil der betroffenen Daten nicht finanziell missbraucht werden konnte. Der gezielte Datendiebstahl von wertvollen und veräußerbaren Daten ist also durchaus lukrativ, vor allem, wenn es einen etablierten Schwarzmarkt für gestohlene Daten gibt und die Risiken so gering bleiben wie bisher."

Fazit
Neben kriminellem Datendiebstahl wird der versehentliche Abfluss von Daten nach wie vor unzureichend bekämpft. Technische Möglichkeiten sind vorhanden, werden jedoch nicht eingesetzt, da die Gefahr oft unterschätzt wird und politische Rahmenbedingungen fehlen. Ein gut funktionierender Schwarzmarkt für Personaldaten mit festen Strukturen macht den Schutz noch dringender, da vorsätzlicher Datendiebstahl lukrativer wird.

Neben politischen Vorgaben zu konkreten Datenschutzmaßnahmen kann eine Meldepflicht für Firmen bei Datenverlusten, wie das Beispiel Großbritannien zeigt, dazu führen, dass überhaupt bekannt wird, welche Unternehmen hier zu den schwarzen Schafen zählen. Diese muss einhergehen mit einer drastischen Erhöhung der Strafen, so dass Datenschutz für Unternehmen nicht nur moralisch sondern auch wirtschaftlich sinnvoll wird. (InfoWatch: ra)

InfoWatch: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -


Meldungen: Studien

Anforderungen von Privatanlegern In Zeiten volatiler Kapitalmärkte profitieren Unternehmen von Privatanlegern, die Aktien halten und Anleihen zeichnen und so Stabilität schaffen. Wie und mit welchen Informationen diese Zielgruppe versorgt werden möchte und wo heute noch Defizite in der Finanzkommunikation liegen, hat das Institut für Kommunikations- und Medienwissenschaft der Universität Leipzig gemeinsam mit der Deutschen Schutzvereinigung für Wertpapierbesitz e.V. (DSW), der Schutzgemeinschaft der Kapitalanleger e.V. (SdK) und der Deutsche EuroShop AG untersucht. Befragt wurden mehr als 500 Privatanleger in Deutschland mit monetärem Engagement in Aktien, Investmentfonds und/oder Unternehmensanleihen.

Angemessenheit der Vorstandsvergütung Stimmt die Vergütung der Mitglieder deutscher Aufsichtsräte und Vorstände mit der gewachsenen Verantwortung und Komplexität ihrer Aufgaben überein? Werden Leistung und Qualität der Kontrolleure angemessen gefördert? Im Mittelpunkt der 10. Panel-Befragung der Zeitschrift "Der Aufsichtsrat" stand die kontroverse Diskussion um die Aufsichtsrats- und Vorstandsvergütung von Unternehmen.

Fehlende Compliance im Software-Lizenzbereich 26 Prozent aller Software in Deutschland war 2011 unlizenziert. Insgesamt wurde hierzulande PC-Software im Wert von 6,7 Mrd. Euro eingesetzt - lizenziert und bezahlt wurden aber nur Programme im Wert von 4,9 Mrd. Euro. Laut Selbstauskunft greifen nur 66 Prozent der deutschen Software-Nutzer nie zu unlizenzierter Software. Auch die zunehmende Verbreitung von Tablet-Computern und die Popularität von Software-as-a-Service (SaaS) konnte nicht verhindern, dass die "Schattenwirtschaft" mit illegaler Software weiterhin blüht: Trotz des rasanten Wachstums dieser Angebote war ihr Anteil zu gering, um deutliche Auswirkungen zu haben. Weltweit waren 42 Prozent aller eingesetzten Programme unlizenziert, was Software im Wert von 63 Mrd. US-Dollar entspricht. Die Ergebnisse stammen aus der aktuellen Piraterie-Studie der Business Software Alliance (BSA) im Verbund mit der IDC und dem Marktforschungsinstitut Ipsos.

Soziale Medien und Unternehmenskultur Fast die Hälfte (47 Prozent) aller Unternehmen in Deutschland setzt soziale Medien ein. Weitere 15 Prozent haben bereits konkrete Pläne, damit in Kürze zu beginnen. Das geht aus einer Studie hervor, die der Hightech-Verband Bitkom in Berlin vorgestellt hat. Dabei wurden im Auftrag des Bitkom 732 Unternehmen aller Branchen befragt. Die Umfrage ist repräsentativ für die Gesamtwirtschaft.

Hoch im Kurs bei ECM: Compliance Effiziente Suche, Vorgangsbearbeitung mittels elektronischer Akte und Business-Process-Management sind für Unternehmen die Top-Trends im Umfeld von Enterprise Content Management (ECM). Dies ergab eine umfangreiche Studie des Marktanalyse- und Beratungsunternehmens Pierre Audoin Consultants (PAC). Befragt wurden mehr als 100 Unternehmen mit über 1.000 Angestellten in der DACH-Region.

Professionelle Solvency II-Lösungen bevorzugt Nach aktuellen Verlautbarungen der EU-Kommission ist der 30. Juni 2013 der Stichtag, bis zu dem alle europäischen Versicherungsunternehmen ihre Governance, Risk und Compliance (GRC) Prozesse und Systeme der Solvency II-Richtlinie angepasst haben müssen. Während jedoch die Unternehmen ihr Augenmerk bei den Vorbereitungen zur Umsetzung der Anforderungen auf Säule I (Kapitaleffizienz) und Säule II (Risikomanagement) richten, wird Säule III (Reporting) nur wenig Beachtung geschenkt. Bis heute haben 84 Prozent der europäischen Versicherer noch keinen Berichtsrahmen und ergänzende Systeme implementiert. Folglich sind nur 16 Prozent darauf vorbereitet, den EU-Aufsichtsbehörden die geforderten Quartals- und Jahresberichte vorzulegen. Dies sind die Ergebnisse einer aktuellen Studie der Management- und Technologieberatung BearingPoint bei der über 350 europäische Versicherungsunternehmen in verschiedenen Schlüsselmärkten befragt wurden.

Klarheit und Verständlichkeit der AGB Nur jeder fünfte Internetnutzer (22 Prozent) liest mehr oder weniger regelmäßig die Allgemeinen Geschäftsbedingungen von Online-Anbietern. So lesen einer Bitkom-Umfrage zufolge 6 Prozent "immer" und 16 Prozent zumindest "manchmal" die AGB (Allgemeine Geschäftsbedingungen). Dagegen erklärten 17 Prozent der Anwender, das Kleingedruckte "selten" zu lesen, 23 Prozent tun dies "nie". Ein weiteres Drittel der Onliner machte dazu keine Angaben.

Studie zur Umsetzung der EU-Änderungen zu Cookies Die durch die EU vorgegebenen Änderungen für den Umgang mit Cookies werden in den Mitgliedsstaaten sehr unterschiedlich umgesetzt. Entscheidende Fragen, wie die Einholung der Einwilligung zum Setzen von Cookies, sind daher von Unternehmen auch zukünftig nicht europaweit einheitlich zu beantworten. Das hat eine Vergleichsstudie zahlreicher europäischer Kanzleien ergeben, die von der englischen Kanzlei Bristows initiiert wurde und zu der Oppenhoff & Partner beigetragen hat.

Internet und Demokratie Das Internet fördert in den Augen seiner Nutzer die Demokratie. 61 Prozent der deutschen Internetnutzer sind aktuell der Meinung, das Internet trage zu mehr Demokratie bei. Das geht aus einer Erhebung im Auftrag des Hightech-Verbandes Bitkom hervor. "Das Internet bietet hervorragende Möglichkeiten, die politische Arbeit transparenter zu machen und breite Bevölkerungsschichten einzubeziehen", sagte Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder. "In vielen Ländern ist das Web sogar zu einer wichtigen Voraussetzung geworden, um demokratische Strukturen überhaupt erst auf den Weg zu bringen."

Rechtswesen vernachlässigt Informationssicherheit Unternehmen im Bereich Rechtsberatung wie zum Beispiel Anwaltskanzleien gehen im Vergleich mit anderen Branchen am nachlässigsten mit ihren Informationen um. Bei einer aktuellen europaweiten Studie von Iron Mountain und PwC zum Umgang mittelständischer Unternehmen mit Informationen landeten sie auf dem letzten Platz hinter Finanzdienstleistern, Versicherungen, produzierenden Unternehmen und der Pharmaindustrie. 42 Prozent der Kanzleien in Europa wissen nicht einmal, ob ihnen in den vergangenen drei Jahren Daten abhanden gekommen sind. Viele überprüfen auch nicht, ob ihre Mitarbeiter überhaupt Maßnahmen für eine höhere Informationssicherheit ergreifen. Mit der Studie wurde auch der europaweit erste europäische Vergleichsindex (Information Risk Maturity Index) erstellt, mit dem Unternehmen ermitteln können, ob sie angemessen auf Informationsrisiken vorbereitet sind.

Druckbare Version

Planungsmängel im Integrationsprozess Unzulängliche Spionageabwehr in vielen Firmen