Ernst & Young warnt vor finanziellen Schäden durch Datenlecks
Studie: Sensible Daten gehen oft unbemerkt verloren
Das Beratungshaus Ernst & Young warnt: Die Kosten, die Unternehmen durch Datenverluste entstehen, waren noch nie so hoch wie heute. Ein Datenleck, so rechnen die Berater vor, habe im Jahr 2010 durchschnittlich einen Schaden in Höhe von 7,2 Millionen Dollar (zirka 5,3 Millionen Euro) angerichtet. Jeder verlorengegangene Datensatz habe das betroffene Unternehmen damit 214 Dollar (zirka 157 Euro) gekostet. Der Verlust eines besonders sensiblen Datensatzes verursache durchschnittlich sogar Kosten in Höhe von 305 Dollar (224 Euro). Insbesondere der schnelle Wandel in der IT erhöhe dabei die Risiken.
Data Leakage Prevention ist Führungsaufgabe
Watchguard: neues Release für Content-Security-Appliances
Sechs Fragen bei der Auswahl einer DLP-Lösung
Große Datenpannen treten quer durch alle Branchen und Unternehmensgrößen auf, so die aktuelle Veröffentlichung „Data Loss Prevention – Keeping Your Sensitive Data out of the Public Domain“ von Ernst & Young. „Das Schlimme ist: Viele Datenverluste werden noch nicht einmal bemerkt“, so Olaf Riedel, Partner bei Ernst & Young. Er fordert verschärfte Gegenmaßnahmen: Wirkungsvolle Prävention gelinge „nur durch die Entwicklung einer perfekt abgestimmten Strategie“ und die „Installation vielschichtiger Kontrollen“.
In der IT-Landschaft entstehen ständig neue Risiken, so das Beratungshaus. Die kontinuierlich steigende Zahl der Übertragungsmethoden, Speichermöglichkeiten auf kleinstem Raum und die Unübersichtlichkeit der Verteilung erhöhten die Gefahr des Datenverlusts. Auch die Tatsache, dass sensible Daten einen beträchtlichen Wert darstellen und in einer immer größeren Zahl vorhanden sind, erhöhe das Risiko, dass diese entwendet werden. „Bereits in zehn Jahren wird es 44-mal so viele digitale Informationen geben wie heute, nämlich 35 Zettabyte (35 Billionen Gigabyte)“, so Riedel. „Mit steigender Zahl der Informationen wird es dann auch zu wesentlich mehr Datenverlusten kommen, deren Auswirkungen auf die Wirtschaft heute noch nicht überschaubar sind.“
Verhindern könne ein Unternehmen den Verlust wertvollen Daten nur, wenn die Prävention zum klaren Geschäftsziel werde, warnt Riedel. Zur Entwicklung einer Strategie und der Einführung von Kontrollmechanismen hat Ernst & Young einen ganzheitlichen Präventionsansatz entwickelt, der auf vier Grundsäulen beruht: Datenkontrolle, Datenschutzüberwachung, Support der Informationssicherheitsprozesse und die technische Unterstützung des Datenschutzprogramms.
Für eine zuverlässige Kontrolle der Daten müsse ein Unternehmen zunächst identifizieren, über welche sensiblen Daten es verfügt, wo diese gespeichert und wie sie übermittelt werden. Wichtig sei vor allem die Überprüfung der Speicherstruktur: Gerade eine unstrukturierte Datenspeicherung fördere Datenpannen. Auch die Definition von Datenrichtlinien und Standards sei für den Datenschutz unabdingbar. Beispielsweise gelte es festzulegen, wie sensible Daten im Internet oder in E-Mails zu übermitteln sind.
Das Management der Daten, die das Unternehmen verlassen, erfordere ebenfalls zuverlässige Überwachungsmaßnahmen. Zu diesen gehören laut Riedel etwa das Monitoring des Netzwerks oder der Einsatz von Testdaten. Da sich die Technik ständig ändert und die Risiken branchenspezifisch sind, sei vor allem ein regelmäßiges und individuelles Update des Sicherheitskonzepts notwendig.
„Kontrollmechanismen“, so Olaf Riedel weiter, „funktionieren nicht in einem Vakuum. Daher ist die Einbindung in andere Informationssicherheitsprozesse unabdingbar.“ Ein effektives Präventionsprogramm umfasse nicht nur die Datenüberwachung innerhalb des digitalen Systems, sondern auch die gründliche Kontrolle der Infrastruktur, um etwa das Kopieren von Festplatten oder den Verlust von anderen physischen Speichermedien zu verhindern.
Ein weiterer Schlüssel zur effektiven Sicherung der Daten sei die Nutzung spezieller Tools zur Prävention von Datenverlusten: Durch den Einsatz netzwerkbasierter Scanning Tools oder anderer IT-Instrumente könne eine IT-Organisation Datenfluss und Datennutzung an einzelnen Punkten im Unternehmen gezielt überwachen. Diese Maßnahmen verhinderten, dass sensible Daten das Unternehmen verlassen können. „Berücksichtigt ein Unternehmen bei seinem Präventionskonzept die Maßnahmen Datenkontrolle, Datenschutzüberwachung, Support der Informationssicherheitsprozesse und technologische Unterstützung des Programms, senkt es das Risiko erheblich, dass Daten unkontrolliert verloren gehen“, so Riedel.
Weitere Informationen finden sich unter www.de.ey.com.
Lesen Sie mehr zum Thema
