Ich bin über eine Studie von Symantec gestolpert, die das Unmögliche versucht, indem sie die Kosten von Datenlecks beziffert.
Sie schwächelt natürlich - sie wurde immerhin von einer Firma gesponsort, die mit Sicherheitslösungen und einer zugehörigen Grundpanik Geld verdient - an sehr vielen Stellen. Die absoluten Zahlen dürften daher Richtung Traumdeuterei einzusortieren sein. Dennoch lohnt es sich, einzelne Aspekte herauszugreifen und ein wenig zu beleuchten.

Böswilliger Angriff, menschlicher Fehler oder technischer Fehler

Weltweit scheinen diese drei Ursachen von Datenlecks ungefähr gleich oft aufzutreten. In Deutschland überwiegt wohl der "böswillige Angriff" - oder wollen hier Firmen seltener zu ihrer Verantwortung stehen?
Klar ist auf jeden Fall, dass das Risiko eher von "Innen" kommt als von "Außen", was dementsprechend auch bei der Architektur wie auch bei der Wartung bedacht werden sollte. Es reicht nicht aus, sich nach "Außen" zu schützen. Vielmehr muss auch mit einbezogen werden, was passiert, wenn ein - eventuell schlecht geschulter - Mitarbeiter z.B. aus Versehen eine E-Mail an den gesamten Kundenkreis sendet - mit offenem Verteiler.

Faktoren, die die Kosten verringern

Der wichtigste Faktor für die Verringerung der Kosten eines Datenlecks ist, schon vorher sicher aufgestellt gewesen zu sein. Das Argument "wenn ich nicht investiere und dann den Schaden wegräume, kommt mich das billiger als die Investition zu tätigen und keinen Schaden zu haben" zählt also womöglich nicht, da sich die Nichtinvestition in Sicherheit gleich doppelt rächt: in der höheren Eintrittswahrscheinlichkeit des Schadensfalles und in den höheren Kosten der "Beseitigung". Leuchtet ja auch ein, denn wer sicherer aufgestellt ist, kann den Schaden kleiner halten und schneller die Ursache aufspüren, weil er die Tools und Prozesse dafür bereits implementiert hat.

Der Faktor direkt im Gefolge ist der Notfallplan. Wer bereits vorher weiß, was zu tun ist, kann natürlich den Schaden auch schneller eindämmen, Ursachen finden, Löcher stopfen, zuständige Stellen informieren. Elementare Fehler werden eventuell erst gar nicht gemacht, wenn vorher viel über den Plan nachgedacht wurde. Ganz anders wenn man in der Eile improvisieren muss.

Klare Zuständigkeiten können die Kosten ebenfalls deutlich verringern. Laut Studie waren alle Unternehmen, die einen CISO (Chief Information Security Officer) oder Ähnliches hatten, deutlich im Vorteil. Hier treten in der Bewertung natürlich Redundanzen auf, denn ein CISO wird vermutlich für einen Notfallplan oder überhaupt sichere Prozesse sorgen, so dass er sich gleich mehrfach lohnen dürfte.

Allein schon wegen der Entlastung des internen Personals, das im Regelfall ohnehin hart an der Belastungsgrenze arbeitet, lohnt sich ein externer Consultant. Der Einsatz eines Externen dürfte die Reaktionszeit auf den Datenverlust massiv verringern (wenn er kurzfristig genug eingesetzt werden kann). Umso besser noch, wenn der Consultant Erfahrung mit diesen Situationen mitbringt, die ein interner Mitarbeiter gar nicht haben kann.

Faktoren, die die Kosten erhöhen

Am teuersten ist ein Fehler von Dritten - also z.B. von Dienstleistern, die Daten im Auftrag verarbeiten. Das wundert nicht, hat man doch die Sicherheitsmaßnahmen nicht unter Kontrolle und kann auch die Reaktion auf den Datenverlust in nur geringem Maße beeinflussen. Je nach Kommunikation erfährt man gar erst viel zu spät von dem aufgetauchten Problem, weil die dritte Partei versucht, die eigene Verantwortung nach Möglichkeit klein zu halten bzw. von sich zu weisen, statt durch Transparenz den Schaden möglichst gering zu halten.

Dass die Kosten auch steigen, wenn der Datenverlust durch ein verlorenes oder gestohlenes Gerät aufgetreten ist, mag daran liegen, dass eine Eindämmung besonders schwer wird, da die Reichweite des Schadens kaum abschätzbar ist. Es mag noch möglich sein, zu identifizieren, welche Daten betroffen sind, aber nicht, wer diese zu welchem Zweck unautorisiert nutzt. Außerdem sind auf den gestohlenen Geräten eventuell nicht nur lokale Daten vorhanden, sondern auch Zugriffsmöglichkeiten auf weitere Unternehmensdaten.

Mir als Freund der Transparenz will so gar nicht gefallen, dass diese noch als ein zusätzlicher Kostenfaktor bewertet wird . Wobei offenbar auch der Zeitpunkt eine Rolle spielt, denn je früher die Bekanntgabe des Datenlecks stattfindet, desto teurer. Was Wunder, dass die Datenlecks in jenen Ländern teurer sind, die eine strenge Regulierung bezüglich der Benachrichtigungspflicht vorweisen können. Wer wie in Deutschland ab einer bestimmten Größe und Sensibilität des Datenlecks Anzeigen in überregionalen Tageszeitungen schalten muss, greift dafür tief in die Tasche und (v)erschreckt viele Kunden.

Diskussion

Warum schreibe ich überhaupt darüber?
Aus der Ecke der mobilen Geräte her kommend sehe ich, dass die damit verbundenen Risiken noch immer nicht voll wahrgenommen werden bzw. aus Kostengründen kleingerechnet werden. Oftmals werden die Smartphones immer noch so wahrgenommen, wie die quasi nicht mehr vorhandenen Mobiltelefone, die sich zwischen ihrer Produktion und der Verschrottung nicht veränderten und auch keine Daten in großem Umfang speichern konnten.
Das hat sich jedoch geändert. Ein Smartphone kann die gleichen Daten mit sich herum tragen, wie der Desktop auf dem Schreibtisch, nur dass jenes im Unterschied zu diesem im wahrsten Sinne herumgetragen wird und allein schon deshalb größeren Risiken ausgesetzt ist. Und wie wir oben feststellten ist der Datenverlust im Zusammenhang mit dem Verlust eines Gerätes, das alle Daten und ggf. noch Zugangskonfigurationen enthält, ein Kostentreiber. Die Auswahl und der Einsatz eines MDM kann somit nur eine Einzelmaßnahme von vielen in Folge einer detaillierten Risikoevaluation sein, um eben jener Risiken Herr zu werden.
"Bring mir mal eben meine E-Mails auf mein iPhone*." ist ein Satz, der aus dem Wortschatz gestrichen werden muss.

Kleines Schmankerl am Rande : Klick

* Hier jede beliebige andere Marke eintragen