Awareness

Datendiebstahl: Kosten und weiterführende Maßnahmen

Aktualisiert am

Sind Daten heutzutage eigentlich noch sicher? Ständig kursieren News und Gerüchte, dass wieder ein Datenleck gefunden wurde oder ein großes Unternehmen Opfer eines Datendiebstahls geworden ist. Es gibt nahezu niemanden, dessen Daten noch nicht von einem Leck betroffen waren, auch wenn es viele sicherlich gar nicht wissen.

Doch vor allem Unternehmen sollten sich unbedingt mit einem potenziellen Datendiebstahl befassen und sich auch mit den Folgen und somit Konsequenzen von genau diesem auseinandersetzen. Gerade die Kosten eines Datendiebstahls können enorm ausfallen und kleine wie auch mittelständische Unternehmen schnell an den Rand ihrer Existenz treiben.

Damit Ihnen das nicht passiert und Sie schon vorab bestens über das Thema Datendiebstahl informiert sind, möchten wir mit diesem Artikel Aufklärung leisten. Als kleine Hilfestellung und Grundlage, um sich mit der Materie zu befassen.

Was Datendiebstahl deutsche Unternehmen kostet

Jedes dritte Unternehmen in Deutschland, also um die 30 Prozent aller Unternehmen, hat bereits mit Datendiebstahl zu tun gehabt. Das jedenfalls war das Ergebnis einer Umfrage, die von der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC durchgeführt wurde. Hier gaben rund ein Drittel aller Befragten an, bereits Opfer von Datendiebstahl geworden zu sein. Dabei geht es um einen Schaden von über einer Million US-Dollar.

Der Fakt, dass die verlorene Summe so hoch ausfällt, ist überaus interessant. Datendiebstahl und auch Daten, sind für gewöhnlich nämlich eher schwer zu greifen. Sie lassen sich nicht darstellen oder beziffern. Die Summe von einer Million US-Dollar, die viele Unternehmen verloren haben, ist aber für jeden greifbar. Datendiebstahl kostet also primär sehr viel Geld und dies fehlt dann an anderer Stelle.

Speziell in Bezug auf Marketing-Maßnahmen ist das Budget oft knapp. In Krisenzeiten, wie auch aktuell gerade, ist es jedoch wichtig, mit den richtigen Investments gegenzusteuern und das eigene Unternehmen weiter aktiv im Gespräch zu halten. Das verlorene Geld aus einem Datendiebstahl wäre also besser für Marketingzwecke ausgegeben. Einer der Gründe dafür, warum die IT-Sicherheit möglichst ernst genommen werden sollte, um solche Lecks und somit die unnötig hohen Kosten zu vermeiden.

Prominentes Datendiebstahl-Beispiel AT&T

Ein wunderbares Beispiel, wenn es um gigantische Datenlecks geht, ist das Unternehmen AT&T. Der nordamerikanische Telekommunikationskonzern wurde zuletzt von der Hackgruppe ShinyHunters angegriffen, die daraufhin erste Proben in einem Hacker-Forum online stellten. Dabei ging es vorwiegend um sensible Kundendaten.

ShinyHunters war unter anderem schon durch Hacks von Microsoft, Pixlr und anderen Diensten aufgefallen. Fast immer handelte es sich dabei um Kundendaten, die dann entsprechend veräußert werden sollten. Auch bei AT&T wurden die 70 Millionen Kundendaten später in einem Forum angeboten.

Spannend ist, dass AT&T selbst nicht davon ausging, dass bei ihnen ein Leck vorhanden sei. ShinyHunters hingegen wollte eine Vereinbarung treffen oder den Datensatz veröffentlichen, falls AT&T weiter leugnen würde, dass es ein Leck gegeben habe. Ein spannender Fall, dem wir einen eigenen Artikel gewidmet haben. Hier können Sie die ganze Geschichte nachlesen, fall es Sie interessiert.

Massiver Schaden durch Datendiebstahl

Für Unternehmen ergeben sich aus solchen Lecks und Datenpannen gleich mehrere Probleme. Das erste und offensichtliche Problem ist der Datendiebstahl selbst. Auch wenn viele Daten häufig erst einmal harmlos wirken, können diese später, gerade auch in Kombination mit weiteren Lecks oder Datensätzen, entsprechend verbunden und interpretiert werden. Der Schaden für die Betroffenen kann dann gigantisch ausfallen und zudem in Zukunft noch weitaus akuter werden.

Das nächste Problem sind die hohen Kosten. Nicht nur, dass ein Datendiebstahl sofortiges Handeln der IT-Sicherheit erfordert, er führt auch zu hohen Strafen in Bezug auf den Datenschutz. Spätestens seit der DSGVO, kann so etwas richtig teuer werden, wenn keine entsprechenden Maßnahmen ergriffen wurden. Die eben erwähnte eine Million Euro, die so etwas im Durchschnitt zu kosten scheint, ist hier noch verschwindet gering angegeben.

Ebenfalls wichtig zu wissen ist, dass Sie mit Ihrem Unternehmen das Vertrauen der Kunden verlieren. Sind die Kunden erst einmal in Kenntnis darüber gesetzt, dass ein Datendiebstahl stattgefunden hat, verlieren diese schlichtweg das Vertrauen in das jeweilige Unternehmen und kündigen, wechseln oder leiten gar selbst noch weitere Schritte gegen Sie ein. Datendiebstahl hat immer weitreichende Konsequenzen, die gerade am Anfang oft noch gar nicht ersichtlich sind.

Handlungsbedarf im Bereich IT-Sicherheit

Vor oder nach Angriffen wird meist schnell gehandelt, doch Prävention ist in diesem Bereich deutlich wertvoller. Das haben viele kleine und mittelständische Unternehmen in Deutschland auch bereits verstanden. Sie erhöhen ihre Investments zum Teil deutlich und setzen neue Budgets für die IT-Sicherheit fest, mit denen mehr bewirkt werden kann. Rund 65 Prozent der leitenden Angestellten geben an, die Mittel im aktuellen Jahr noch einmal anzuheben zu wollen.

Das Problem dabei ist allerdings, dass es trotz Erhöhung vier Prozent weniger sind als noch im Vorjahr. Die Budgets selbst sind also geschrumpft. In Deutschland liegt der Wert zudem weiterhin unter dem weltweiten Durchschnitt. Anderswo wird also weitaus mehr und bereitwilliger in die Sicherheit der IT-Systeme investiert als hierzulande. Auch ein potenzielles Problem, welches im Blick behalten werden sollte, wenn es um das eigene Unternehmen geht.

Wir können jedem Unternehmen nur dazu raten, die IT-Sicherheit als einen Eckpfeiler der jeweiligen Strategie zu betrachten. Regularien für die Berichterstattungen, erhöhtes Aufkommen von Sicherheitsvorfällen und geforderte Transparenz auf allen Seiten, macht es erforderlich, dass Unternehmen sich keinen Fauxpas innerhalb der Cybersecurity mehr erlauben. Gerne helfen wir Ihnen dabei. Sprechen Sie uns einfach an, damit wir gemeinsam eine neue Strategie besprechen können.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.