Was kostet der Verlust sensibler Firmendaten?

Ein kostenloser Online-Rechner soll Unternehmen Aufschluss über den finanziellen Schaden geben, den der unerwünschte Abfluss von Daten für ihre Organisation nach sich ziehen würde.

Das auf technische Haftung spezialisierte Versicherungsunternehmen Darwin Professional Underwriters stellt mit seinem "Data Loss Cost Calculator" ein kostenloses Online-Tool zur Verfügung, das es Firmen ermöglichen soll, das finanzielle Risiko eines Datendiebstahls in ihrer Organisation genauer abzuschätzen.

Der Rechner nutzt dazu proprietäre Algorithmen, die nach Angaben des Versicherers unter Verwendung von Informationen aus Medienberichten zu Sicherheitsvorfällen sowie anderen Industrieressourcen entwickelt wurden. Dazu zähle unter anderem die Studie "2006 Cost of a Data Breach" des Ponemon Institute, das dazu 31 verschiedene Vorfälle im Hinblick auf ihre jeweiligen finanziellen Folgen analysierte.

Grundsätzlich ermittelt der Kalkulator die in den Kategorien "Interne Untersuchungen", "Kundenbenachrichtigung/Krisen-Management" sowie "Compliance" anfallenden Kosten. Nach der Eingabe der erforderlichen Informationen sollen Unternehmen dann umgehend "Kostenvoranschläge" für die mit sicherheitsrelevanten Aktivitäten wie Kundenbenachrichtigung, Kredit-Monitoring, Beratung beim Krisen-Management, staatliche Geldstrafen oder Anwaltsgebühren verbundenen Aufwendungen erhalten.

"In Gesprächen mit Risiko-Managern und CIOs werden wir immer wieder dazu aufgefordert, die Kosten eines Datenverlusts zu beziffern", berichtet Adam Sills von Darwin Professional Underwriters. Unterschiedliche Statistiken aus verschiedenen Quellen hätten Unternehmen die Einschätzung ihres finanziellen Risikos erschwert. Der Online-Rechner nutze die besten verfügbaren Informationen, um diese Aufgabe zu erleichtern. Im Ergebnis liefere er Angaben zu den harten, quantifizierbaren Kosten. Nicht berücksichtigt werden demnach Folgekosten, wie sie beispielsweise Sammelklagen oder andere Gerichtverfahren bei dem Verlust sensibler Daten nach sich ziehen können. Auch pekuniäre Auswirkungen etwa auf den Aktienkurs oder das Firmen-Image, die stark variieren können und damit nur schwer zu verallgemeinern sind, bleiben bei der Kostenanalyse außen vor.

Nach Ansicht von Peter Lindstrom, Analyst bei der Burton Group, können solche Tools Security-Verantwortlichen zu mehr Bodenhaftung verhelfen als etwa flüchtige Gespräche über "Markenschädigung". Selbst wenn die Zahlen, die Darwins Cost Calculator ausspucke, nicht für jede Organisation zu jedem Zeitpunkt akkurat sein dürften, sei dies ein guter Start, der Unternehmen eine Konkretisierung des Problems ermögliche, so Lindstrom.

Gartner-Analystin Avivah Litan wiederum hält die von solchen Rechnern erzeugten Kostenschätzungen für häufig übertrieben. Allerdings könnten diese "Worst-Case-Estimates" Unternehmen dazu bringen, über die finanziellen Folgen von Sicherheitsvorfällen nachzudenken. (Computerwoche - kf/mha)