Michael Schirmbrand, KPMG
Wien. Laut Analyse von KPMG waren im ersten Halbjahr 2009 weltweit 110 Millionen Menschen von Datendiebstahl und –verlust betroffen – auch in Österreich.
Was viele Unternehmen nicht wissen: Sie sind schon bald durch die neue Datenschutzgesetz-Novelle verpflichtet, die Betroffenen – also meist ihre Kunden – vom erfolgreichen Hacker-Angriff oder Datenverlust in Kenntnis zu setzen.
Laut aktueller Analyse ist die Zahl der von Datendiebstahl oder –verlust Betroffenen seit dem Jahr 2005 auf 700 Millionen Menschen angewachsen.
Die wichtigsten Ursachen für den Datenverlust im ersten Halbjahr 2009 sind
- Diebstahl oder Verlust eines Computers (20%)
- Netzwerke und das Internet (14%)
- menschliches Versagen (12%)
- unsachgemäße Entsorgung (12%)
- Hacker (11%)
- kriminelle Insider (11%)
Das sind die wesentlichen Ergebnisse des jüngsten „KPMG Data Loss Barometers“. Diese seit 2005 regelmäßig erscheinende und weltweit durchgeführte Studie analysiert in halbjährlichen Abständen Gründe und Auswirkungen für Datenverlust und -diebstahl. Weitere wichtige Ergebnisse:
- die Anzahl der Personen, die von Hacking betroffen waren, stieg zwischen Jänner und Juni 2009 um 8 Prozent.
- 25 Prozent aller untersuchten Vorfälle im 1. Halbjahr 2009 betrafen Regierungen und ihre Einrichtungen. Staatliche Einrichtungen gelten somit als unsicherste Branche in Bezug auf Datensicherheit.
- 38 Prozent aller bisherigen Vorfälle des Jahres 2009 hatten mit dem Diebstahl oder dem Verlust von persönlichen Informationen zu tun (z.B. Adressen, Geburtsdaten, etc.). 26 Prozent betrafen Identitätsnummern wie etwa Sozialversicherungsnummern, Versicherungsnummern.
- Die Anzahl jener Diebstähle/Verluste, die im Zusammenhang mit Details über Bankkonten standen, ist im 1. Halbjahr 2009 um 12 Prozent angestiegen.
Immer mehr Delikte durch eigene Mitarbeiter
Signifikant ist laut KPMG-Studie, dass es beim Datenverlust durch die eigenen Mitarbeiter zu einem Anstieg um 68 Prozent im Vergleich zum Vorjahreszeitraum gekommen ist. „Die Kombination aus ökonomischen Druck und immer attraktiveren Angeboten von Mitbewerbern und kriminellen Organisationen, die Mitarbeiter zum Datendiebstahl verleiten können, können diesen Anstieg erklären“, so Michael Schirmbrand, Geschäftsführer der KPMG im Bereich IT Advisory.
Unternehmen werden bestraft
Es gibt sowohl in Europa, als auch den USA verstärkt Bestrebungen die Haftung für die betroffenen Unternehmen deutlich zu erhöhen und den sorglosen Umgang mit sensiblen Daten immer strenger zu bestrafen. In diesem Jahr wurde etwa eine internationale Bankengruppe von der Britischen Finanzmarktaufsicht (FSA) zu einer Strafe von 5 Millionen US-Dollar verpflichtet, weil sie viele Versäumnisse im Bereich der Datensicherheit aufwies.
Der derzeitige Entwurf der Novelle zum österreichischen Datenschutzgesetz 2010 beinhaltet unter anderem die Aufnahme einer so genannten „Data Breach Notification“. Diese Bestimmung sieht eine Verständigungspflicht im Fall von schwerwiegenden Datenschutzverletzungen vor.
Demnach hat ein Unternehmen grundsätzlich alle von einer Datenschutzverletzung betroffenen Personen unverzüglich und in geeigneter Form zu informieren.
„Eine solche Verständigungspflicht kann für Unternehmen zu einer erheblichen rechtlichen und logistischen Herausforderung werden“, erklärt KPMG-Geschäftsführer und Forensic-Experte Gert Weidinger „Datenschutzverletzungen können sich somit einerseits in der Beeinträchtigung der Reputation des Unternehmens nieder schlagen, aber auch in der Gefahr von Schadensersatzforderungen durch Betroffene auswirken. Daher kann man Unternehmen nur empfehlen, sich auf die geänderte Rechtslage vorzubereiten, in dem zum Beispiel geeignete Ablaufprozesse geschaffen werden. Auch die Überprüfung des unternehmensinternen Datensicherheits- und Datenschutzstandards ist dringend anzuraten.“
Link: KPMG
