Allein im ersten Halbjahr 2009 gab es mehr als 110 Millionen betroffene Menschen.
Laut aktueller Analyse des Wirtschaftsprüfungs- und Beratungsunternehmens "KPMG" ist die Zahl der von Datendiebstahl oder -verlust Betroffenen seit dem Jahr 2005 auf 700 Millionen Menschen angewachsen. Alleine im ersten Halbjahr 2009 waren 110 Millionen Menschen betroffen.
Gründe
Hauptursache für den Datenverlust im ersten Halbjahr
2009 ist in 20 Prozent der Fälle der Diebstahl oder Verlust eines Computers.
Weitere Ursachen für den Verlust von Daten sind Netzwerke und das Internet
(14%), menschliches Versagen (12%), unsachgemäße Entsorgung (12%), Hacker
(11%) sowie kriminelle Insider (11%).
Das sind die wesentlichen Ergebnisse des jüngsten "KPMG Data Loss Barometers". Diese seit 2005 regelmäßig erscheinende und weltweit durchgeführte Studie analysiert in halbjährlichen Abständen Gründe und Auswirkungen für Datenverlust und -diebstahl.
Weitere wichtige Ergebnisse
- Alleine die Anzahl der Personen, die von Hacking betroffen waren, stieg zwischen Jänner und Juni 2009 um 8 Prozent.
- 25 Prozent aller untersuchten Vorfälle im 1. Halbjahr 2009 betrafen Regierungen und ihre Einrichtungen. Staatliche Einrichtungen gelten somit als unsicherste Branche in Bezug auf Datensicherheit.
- 38 Prozent aller bisherigen Vorfälle des Jahres 2009 hatten mit dem Diebstahl oder dem Verlust von persönlichen Informationen zu tun (z.B. Adressen, Geburtsdaten, etc.). 26 Prozent betrafen Identitätsnummern wie etwa Sozialversicherungsnummern, Versicherungsnummern.
- Die Anzahl jener Diebstähle/Verluste, die im Zusammenhang mit Details über Bankkonten standen, ist im 1. Halbjahr 2009 um 12 Prozent angestiegen.
Immer mehr Delikte durch eigene Mitarbeiter
Signifikant ist laut
KPMG-Studie, dass es beim Datenverlust durch die eigenen Mitarbeiter zu
einem Anstieg um 68 Prozent im Vergleich zum Vorjahreszeitraum gekommen ist.
"Die Kombination aus ökonomischen Druck und immer attraktiveren Angeboten
von Mitbewerbern und kriminellen Organisationen, die Mitarbeiter zum
Datendiebstahl verleiten können, können diesen Anstieg erklären", so Michael
Schirmbrand, Geschäftsführer der KPMG im Bereich IT Advisory. Diese Zahlen
alarmieren und Unternehmen sollten unbedingt vorsorgen. Schirmbrand:
"Menschen sind meistens das anfälligste Glied in der Sicherheitskette.
Unternehmen sollten deshalb verstärkt auf jene Mitarbeiter achten, die
Zugang zu sensiblen Daten und Systemen haben."
Unternehmen werden bestraft
Es gibt sowohl in Europa, als auch
den USA verstärkt Bestrebungen die Haftung für die betroffenen Unternehmen
deutlich zu erhöhen und den sorglosen Umgang mit sensiblen Daten immer
strenger zu bestrafen. In diesem Jahr wurde etwa eine internationale
Bankengruppe von der Britischen Finanzmarktaufsicht (FSA) zu einer Strafe
von 5 Millionen US-Dollar verpflichtet, weil sie viele Versäumnisse im
Bereich der Datensicherheit aufwies. Die Rechtslage ist hier in Österreich
vergleichbar mit anderen Staaten der Europäischen Union. Dennoch sind lokale
Spezifika, wie z.B. Anforderungen von Aufsichtsbehörden mit zu
berücksichtigen.
Datenschutz in Österreich
Der derzeitige Entwurf der Novelle
zum Datenschutzgesetz 2010 beinhaltet unter anderem die Aufnahme einer so
genannten „Data Breach Notification“. Diese Bestimmung sieht eine
Verständigungspflicht im Fall von schwerwiegenden Datenschutzverletzungen
vor. Demnach hat ein Unternehmen grundsätzlich alle von einer
Datenschutzverletzung betroffenen Personen unverzüglich und in geeigneter
Form zu informieren. „Eine solche Verständigungspflicht kann für Unternehmen
zu einer erheblichen rechtlichen und logistischen Herausforderung werden“,
erklärt KPMG-Geschäftsführer und Forensic-Experte Gert Weidinger
„Datenschutzverletzungen können sich somit einerseits in der
Beeinträchtigung der Reputation des Unternehmens nieder schlagen, aber auch
in der Gefahr von Schadensersatzforderungen durch Betroffene auswirken.
Daher kann man Unternehmen nur empfehlen, sich auf die geänderte Rechtslage
vorzubereiten, in dem zum Beispiel geeignete Ablaufprozesse geschaffen
werden. Auch die Überprüfung des unternehmensinternen Datensicherheits- und
Datenschutzstandards ist dringend anzuraten.“
