Insolvent durch ein Databreach? Ja das geht schnell
Was kostet es, wenn in Ihrem Unternehmen eine Datenschutzverletzung passieren würde? Zu dem finanziellen Aspekt der Erpressung oder einer Strafe kommt nämlich noch ein viel größerer finanzieller Bereich hinzu. Das Ponemon institute gibt regelmäßig eine Studie heraus, die sich mit den durchschnittlichen Kosten von Datenschutzverletzungen beschäftigt. Diese Studie wird weltweit durchgeführt. Der Schwerpunkt sind die USA mit 12 Firmen. Aus Deutschland haben 7 Firmen beigetragen.
Auch was die Unternehmensgrösse angeht wurde ein breites Spektrum befragt. Vom Großkonzern mit über 25.000 Mitarbeitern bis zum Unternehmen mit weniger als 500 Angestellten ist alles vertreten.
In der Studie werden auf einer globalen Ebene durchschnittliche Gesamtkosten eines Databreaches von
3,65 Millionnen pro Vorfall.
ausgerechnet. Und wir reden hier nicht von den ganz großen Vorfällen mit Millionen Datensätzen. Wir reden von Vorfällen wie einer Brauerrei oder eines Automobilzulieferes.
In den 3200 Interviews aus 17 Branchen wurden unterschiedliche Kostenkategorien abgefragt. Der Kostenbereich der den meisten Menschen zuerst in den Sinn kommt sind die Kosten für die Nachbereitung eines Vorfalls. Sie beinhalten Strafen und neue Server und betragen circa 1 Millionen Dollar. Die Kosten für die Kommunikation mit Behörden und Betroffenen betrugen im Schnitt 240.000 Dollar. 1 Millionen Dollar hat im Durchschnitt die Erkennung und Eskalation des Vorfalls gekostet. Hierunter fallen die Kosten für Forensiker, Spezialisten oder Krisenmanager. Als grösster Brocken wurde jedoch in den Interviews der Kostenbereich “verlorenenes Geschäft” mit 1,3 Millionen genannt. Das sind dann zum Beispiel entgangene Aufträge weil die Produktion lahmgelegt war oder verlorene Kunden.
Bei den grossen Firmen betrugen die Kosten ca 5,5 Millionen. Aber selbst bei den kleinen Firmen mit 500 Mitarbeitern kamen immer noch Kosten von mehr als 2,5 Millionen Dollar zusammen.
Das wird für viele Firmen dieser Grössenordnung existenzbedrohend sein.
In Deutschland gab es durchschnittliche Kosten von 4,45 Millionen und es hat ca 160 Tage gedauert bis der Vorfall unter Kontrolle gebracht worden ist. Diese Zahl für die Anzahl der Tage ist deshalb wichtig, weil die Gesamtkosten stark von der Dauer abhängen.
Es geht hier aber nicht nur um Angriffe. Es geht auch um Vorfälle die aus Störungen im Betrieb oder druch Fehler der Angestellten erzeugt wurden. Also selbst wenn man der irrigen Annahme ist, das man nicht angegriffen wird. Diese Vorfälle können auch durch firmeninterne Gründe hervorgerufen werden.
Die durchschnittlichen Kosten eines Databreaches sind also für kleine und mittlere Unternehmen existenzbedrohend. Ich kann nur jedem Unternehmer raten hier kein Risiko einzugehen.