Die Kosten der Datenpannen (II)
Das in den USA ansässige Ponemon Institute errechnet alljährlich, welche Kosten Unternehmen durch verlorene Datensätze entstehen. Nach der letzten Studie für das Jahr 2010 kommen dabei nach einem Bericht der Firma Symantec, die Aufraggeber der Studie ist, pro Datensatz 146 EUR zusammen.
Praktisch vorstellbar
Seit einiger Zeit kann ich mir ganz praktisch vorstellen, wie so eine Summe zustande kommt.
Betroffen war eine Datenbank eines Unternehmens mit rund 30 Mitarbeitern. Die Datenbank enthielt rund 1000 Kundendaten, als sie von einem Hacker angegriffen wurde. Die IP-Adresse ließ sich noch bis Bulgarien zurück verfolgen, danach war Schluss. Name, Anschrift, eine Historie bestellter Ware, E-Mail Adressen, Zahlungsdaten. Es war nur ein kleines Nebengeschäft für das Unternehmen; es wurden pro Tag ungefähr 5 bis 10 telefonisch eingehende Bestellungen abgewickelt. Die Datenbank war bei einem externen Dienstleister gehostet, der, wie sich im Laufe des Untersuchung des Vorfalls heraus stellte, gar nicht in der Lage war, eine solche Datenbank sicher zu beherbergen. Und mit dem es auch nur eine mündliche Absprache über den Betrieb des Systems gab.
Personalkosten
Am Ende hatte der IT-Leiter und der PR Verantwortliche des Unternehmens eine halbe Woche lang fast ausschließlich mit der Aufklärung des Vorfalls und der Koordination der Schadensbegrenzung verbracht – mit den damit verbundenen mittelbaren Kosten für ihr Gehalt. Der Dienstleister schrieb eine Rechnung über 3.500,00 EUR zusätzlichen Aufwand. Die Datenschutzbeauftragten schrieben eine Rechnung über 1.800,00 EUR Aufwand. Später kamen dann noch 2.000,00 EUR Honorar für einen Anwalt hinzu, der prüfen sollte, ob der Dienstleister in Regress zu nehmen wäre.
Entgangene Geschäfte
Entgangene Geschäfte, die nach der Studie des Ponemon Instituts inzwischen den größten Teil der Kosten nach Datenpannen ausmachen, waren dabei wegen des geringen Umfangs des Nebengeschäfts in diesem Fall keine wirklich relevante Größe. Am Ende hatten nur drei Kunden angekündigt, nicht wieder zu bestellen. Auch der Schaden, der durch Missbrauch von E-Mail Adressen entsteht, hielt sich offenbar in Grenzen. Es ist unschwer vorstellbar, welche Kosten entstehen, wenn das anders ist und wenn nicht nur 1000, sondern 100.000 Kundendaten betroffen sind.
Ein bitteres Fazit
Das bittere Fazit lautete: Das alles hätte nicht passieren müssen, wäre ein zuverlässiger und sachkundiger Dienstleister beauftragt und zur Einhaltung von Sicherheitsmaßnahmen angehalten worden.