Die Technik ist vorhanden, die Einsicht fehlt

Die Studie zeigte weiter, dass heute auf der technischen Seite bereits viele Möglichkeiten gegeben wären, ohne dass spezielle Fachkräfte komplizierte Sicherheitslücken zu schließen hätten. Nach wie vor sei die Menge an Datenverlusten durch Diebstahl oder Verlust von mobilen Geräten wie USB-Sticks, Notebooks oder Handys mit 171 Vorfällen sehr hoch und eine Vorschrift zur generellen Verschlüsselung mobiler Datenträger sei von jedem Unternehmen leicht umzusetzen. Natalya Kaspersky vergleicht die Situation wie folgt: „Es ist wie beim Brandschutz, wo jeder um den Sinn von Brandschutzmaßnahmen weiß, aber niemand den Ernstfall erwartet. So sind auch hier die technischen Lösungen für jedermann verfügbar, aber niemand erwartet sich konkret einen Nutzen.“

Ferner zeigt die Studie, dass DLP-Lösungen, die sowohl unbeabsichtigten Datenabfluss durch Anwenderfehler als auch vorsätzliche Datendiebstähle verhindern sollen, nur sehr unzureichend in den IT-Infrastrukturen der Firmen implementiert seien. Denn auch hier stünden Kosten und Aufwand dem unwahrscheinlichen Fall eines gravierenden Vorfalls gegenüber. Lasche Vorschriften und oft mangelnde Haftbarkeit für entstandenen Schaden, so die Studie weiter, würden überdies die Motivation für Unternehmen verringern, in DLP-Lösungen zu investieren.

Bekannte Datenmissbrauchsfälle nur Spitze des Eisbergs

Bei der Frage, wie groß die tatsächliche Gefahr von Datenmissbrauch einzuschätzen ist, seien einige Unwägbarkeiten gegeben. Dennoch ließe sich die Zahl der Vorfälle vergleichsweise gut abschätzen und der wirtschaftliche Schaden in seiner ungefähren Größenordnung bestimmen.

Die USA waren lange Zeit das einzige Land, in dem es eine Meldepflicht für Verstöße gegen die Datenschutzbestimmungen des Unternehmens gab. 2009 führte auch Großbritannien eine solche Meldepflicht ein und die Anzahl der Vorfälle stieg sprunghaft an. Vergleicht man nun die Zahlen von Großbritannien von heute mit denen von früher, oder vergleicht man die Vorfälle pro Kopf in den USA, immerhin durchschnittlich 1,4 Vorfälle pro 1 Million Einwohner, mit denen in Deutschland, wo offiziell nur 0,09 Vorfälle pro 1 Million Einwohner vorkommen, dann lässt sich unschwer erahnen, wie viele Fälle tatsächlich in deutschen Firmen passieren und wie viele Vorfälle davon nie an die Öffentlichkeit gelangen.

Wirtschaftlicher Schaden beträchtlich

Auch der wirtschaftliche Schaden könne annähernd beziffert werden, da einige wenige Vorfälle für einen beträchtlichen Teil der 654 Millionen Datensätze verantwortlich seien. Bei diesen großen Vorfällen könne sehr gut nachvollzogen werden, welcher wirtschaftliche Schaden entstand, ohne den Schaden durch Reputationsverlust überhaupt zu berücksichtigen. InfoWatch bezifferte so allein für 2010 den gesamten entstandenen Schaden auf 200 Millionen US-Dollar. Umgerechnet ergebe das etwa 33 US-Cent pro Datensatz. Natalya Kaspersky gibt zu bedenken, dass „diese Zahl noch deutlich höher wird, wenn man berücksichtigt, dass ein Großteil der betroffenen Daten nicht finanziell missbraucht werden konnte. Der gezielte Datendiebstahl von wertvollen und veräußerbaren Daten ist also durchaus lukrativ, vor allem, wenn es einen etablierten Schwarzmarkt für gestohlene Daten gibt und die Risiken so gering bleiben wie bisher.“