Die Fälle von elektronischem Datendiebstahl oder -verlust sind weltweit stark gestiegen. Laut einer aktuellen Analyse des Wirtschaftsprüfungs- und Beratungsunternehmens KPMG hat sich die Zahl der Betroffenen "in den vergangenen drei Jahren mehr als verdoppelt", sagte Michael Schirmbrand, Geschäftsführer der KPMG im Bereich IT-Advisory. Mitarbeiter, die Notebooks oder USB-Sticks verlieren, seien die Hauptschwachstelle, meinte er. Aber auch kriminelle Machenschaften wie Spionage spielen eine Rolle.
In jedem fünften Fall ist der Diebstahl oder Verlust eines Computers die Hauptursache für das Abhandenkommen von Daten. Weitere Gründe sind laut dem jüngsten "KPMG Data Loss Barometer" Netzwerke und das Internet (14 %), menschliches Versagen (12 %), unsachgemäße Entsorgung (12 %), Hacker (11 %) sowie kriminelle Insider (11 %).
Weltweit ist die Zahl der Betroffenen seit dem Jahr 2005 auf 700 Mio. Menschen angewachsen. Rund 2.300 Zwischenfälle sind seither registriert worden. Dennoch sehen die Experten darin nur "die Spitze des Eisbergs", weil viele Sicherheitspannen nicht veröffentlicht würden.
Seit 2005 erscheint die Studie in halbjährlichen Abständen, Daten für Österreich weist der Report allerdings nicht aus. "Aus unserer täglichen Arbeit können wir aber sagen, dass die weltweiten Zahlen zu 85 % mit Österreich vergleichbar sind", meinte Schirmbrand. Weitere Ergebnisse: Die Zahl der von Hacking Betroffenen ist zwischen Jänner und Juni 2009 um 8 % gestiegen. Zurückzuführen sei das auf vermehrte Wirtschaftsspionage, vor allem in Asien, aber auch auf "sogenannte Computer-Kids", die sich Zugang zu fremden Daten verschaffen.
Jeder vierte Vorfall im 1. Halbjahr 2009 betraf Regierungen und ihre Einrichtungen. Sie gelten somit als unsicherste Branche in Bezug auf Datensicherheit. 38 % der Fälle hatten mit dem Diebstahl oder dem Verlust von persönlichen Informationen zu tun (z.B. Adressen, Geburtsdaten, etc.). 26 % betrafen Identitätsnummern wie etwa Sozialversicherungsnummern. Eine Zunahme um 12 % war beim Diebstahl oder Verlust von Daten im Zusammenhang mit Bankkonten zu verzeichnen.
Krise verleitet zu Datendiebstahl
Signifikant ist laut KPMG-Studie, dass es beim Datenverlust durch die eigenen Mitarbeiter zu einem Anstieg um 68 % im Vergleich zum Vorjahreszeitraum gekommen ist. "Die Kombination aus ökonomischem Druck und immer attraktiveren Angeboten von Mitbewerbern und kriminellen Organisationen, die Mitarbeiter zum Datendiebstahl verleiten, können diesen Anstieg erklären", so Schirmbrand. "Menschen sind meistens das anfälligste Glied in der Sicherheitskette. Unternehmen sollten deshalb verstärkt auf jene Mitarbeiter achten, die Zugang zu sensiblen Daten und Systemen haben." Gestohlene Daten wandern laut KPMG zu 70 % direkt zum Mitbewerb.
Der sorglose Umgang mit sensiblen Daten könnte Unternehmen künftig noch stärker zu schaffen machen. Schließlich gebe es Bestrebungen, dies immer strenger zu bestrafen und die Haftung deutlich zu erhöhen. Beispielsweise sei heuer eine internationale Bankengruppe von der Britischen Finanzmarktaufsicht (FSA) zu einer Strafe von 5 Mio. US-Dollar verpflichtet worden, weil sie viele Versäumnisse im Bereich der Datensicherheit aufgewiesen habe.
Informationspflicht bei Zwischenfällen
Berücksichtigen sollten heimische Betriebe auch den derzeitigen Entwurf der Novelle zum Datenschutzgesetz 2010. Er beinhalte unter anderem die Aufnahme einer so genannten "Data Breach Notification". Diese Bestimmung sehe eine Verständigungspflicht im Fall von schwerwiegenden Datenschutzverletzungen vor. Demnach hat ein Unternehmen grundsätzlich alle betroffenen Personen unverzüglich und in geeigneter Form zu informieren.
Einerseits könnten sich Datenschutzverletzungen in der Beeinträchtigung der Reputation des Unternehmens niederschlagen, aber auch auf die Gefahr durch Schadensersatzforderungen der Betroffenen auswirken, so KPMG-Geschäftsführer Gert Weidinger. Er empfehle den Unternehmen, sich auf die geänderte Rechtslage vorzubereiten, indem zum Beispiel geeignete Ablaufprozesse geschaffen werden. "Auch die Überprüfung des unternehmensinternen Datensicherheits- und Datenschutzstandards ist dringend anzuraten", sagte der Experte.
