Courtroom
Laut Aussagen der Angestellten beim Identity Theft Research Center (ITRC) wurden im letzten Jahr fast 450 Verstöße und über 17 Millionen verlorene Kundendaten von amerikanischen Unternehmen, Behörden, Universitäten und anderen gemeinnützigen Vereinen gemeldet. Diese Zahlen sind deutlich besser als noch 2007, als die Anzahl gestohlener Daten unfassbare 122 Millionen erreichte. Ein Faktor, der nur sehr schwer zu bestimmen ist, sind die direkten Kosten in Verbindung mit einem Datenschutzverstoß. Diese werden nämlich für gewöhnlich nicht in die Statistiken der Verstöße aufgenommen. Öffentliche Unternehmen werden die Kosten des Eingriffs letztendlich irgendwie verrechnen – sofern sie „materieller“ Natur sind – allerdings sind die Zahlen in den Geschäftsberichte nicht einfach zu finden.
Die Gesamthaftung für Verstöße geht meist über die grundlegenden Betrugskosten (Händler und Unternehmen, die glauben falsch abgerechnet worden zu sein) hinaus und umfasst Untersuchungskosten, Kreditüberwachungskosten, Rechtskosten, Kosten für außergerichtliche Einigungen sowie zivilrechtliche Bußgelder. Um ein besseres Verständnis über die entsprechenden Kosten zu bekommen, habe ich als Fallbeispiel einen genaueren Blick auf einen der größten Verstöße von 2012 geworfen, bei dem es um ein Kreditkartenunternehmen ging. Während der tatsächliche Tathergang weiterhin unklar ist, wird davon ausgegangen, dass mindestens 1,5 Millionen Kreditkartennummern gestohlen wurden –die wahre Dunkelziffer ist bestimmt noch höher.
In seinem Geschäftsbericht gab das Unternehmen an, dass ihm ein Schaden von rund 94 Millionen US-Dollar in Verbindung mit dem Datenschutzverstoß entstanden ist. Etwas mehr als ein Drittel davon (35 Millionen Dollar) bezog sich laut Unternehmen auf die Betrugsverluste, Geldbußen und andere Gebühren, die ihm auferlegt wurden. Die genauen Umstände dieses Verstoßes sind nicht ganz eindeutig. Experten sind der Meinung, dass die Hacker bereits im Juni 2011 auf die Server gelangt sind, obwohl das Kreditkartenunternehmen den Vorfall erst Anfang 2012 meldete. Die falschen Kreditkartengebühren hätten sich also über einen längeren Zeitraum anhäufen können, was auch die hohen Betrugskosten erklären würde.
Darüber hinaus fielen rund 60 Millionen Dollar für „Beratungskosten und andere Dienste“ in Verbindung mit der Untersuchung, Wiedergutmachung, Geschäftspartnerabfindung und Kreditüberwachung an. Um die letzte Kategorie besser nachvollziehen zu können, lesen Sie meinen Post zu den US-Kreditauskunfteien, die Informationen von Verbraucherkreditkarten aufbewahren.
Wenn ein Verbraucher von einem Identitätsdiebstahl ausgeht, können seine Daten per Gesetz eingefroren werden, sodass Gläubiger über die Möglichkeit eines Identitätsdiebstahls informiert sind. Bei einem großen Verstoß übernimmt das Unternehmen die Kosten für diesen Dienst, bei dem Millionen an Daten eingefroren und auf Auffälligkeiten hin überwacht werden – z. B. Adressänderungen oder neue Konten basierend auf bestehenden Kreditinformationen. Das sind zusätzliche Ausgaben, die in der Kostengleichung eines Eingriffs berücksichtigt werden müssen.
Wie steht es mit den Rechtskosten und Prozessen? Um eine Vorstellung über die Höhe dieser Kosten zu bekommen, habe ich mir den Bericht eines der schlimmsten Verstöße von 2007 angesehen. Damals meldete ein großer Einzelhändler den Diebstahl von 45 Millionen Kundendaten. Es ist schwierig, eine genaue Aufzählung der Rechtskosten in Finanzberichten von Unternehmen zu finden, und in diesem speziellen Fall wurden die Kosten über mehrere Jahre abgerechnet.
Aber hier ist, was wir wissen: In ihrem Geschäftsbericht für 2007 erklärten Führungskräfte den Investoren, dass eine Rücklage vor Steuern im Wert von gut 200 Millionen US-Dollar festgelegt wurde, damit alle Verbindlichkeiten aus Verstößen gedeckt werden können. Die Mehrheit dieses Betrags wurde für rechtliche Angelegenheiten beiseitegelegt.
Es gab zu viele Klagen, als dass ich sie in diesem kurzen Post alle angeben könnte. Der Einzelhändler konnte jedoch eine Sammelklage von Kreditkartenunternehmen beilegen, die unzählige neue Konten für ihre Kunden eröffnen mussten. Es standen auch mehrere Sammelklagen aus. Eine davon basierte auf dem Fair and Accurate Credit Transaction Act (FACTA), dem amerikanischen Gesetz zu fairen und korrekten Kredittransaktionen, das sich mit dem Datenschutz von Verbraucherkreditdaten befasst. Während der Geschäftsbericht erstellt wurde, untersuchten mehrere Generalstaatsanwälte, ob der Einzelhändler gegen Verbraucherschutzrechte verstoßen hatte. Gleichzeitig untersuchte die amerikanische Bundeshandelskammer (FTC), ob es zu Verstößen gegen andere Bundesgesetze gekommen ist.
Es gibt einige bereits veröffentliche Zahlen für die Gesamtkosten eines Verstoßes: rund 200 $ pro Datensatz. Das umfasst auch indirekte Kosten, wie den Verlust von Kunden, Rufschädigung, Rückgang der Mitarbeiterproduktivität und andere immaterielle Werte. Die Auswertung der direkten Kosten – Rechtskosten, Wiedergutmachung, Verwaltungskosten etc. – kam dann jedoch eher auf den Betrag von 4 und 10 $ pro Datensatz, also den Betrag, den ich in meinem Post für Kosten bei Verstößen angegeben hatte.
Auch wenn Ihnen die indirekten Kosten vielleicht als übertrieben erscheinen, sollten allein die direkten Kosten sollten vor allem in großen Unternehmen zu einem Umdenken der Geschäftsführung führen, wenn es um den Schutz von Daten geht. Letztendlich könnte eine Datei mit einer Million Kontonummern bis zu 10 Millionen Dollar kosten – eine hohe Summe für schlecht konfigurierte Zugriffsberechtigungen!
Bildquelle: Fayerollinson
The post Kosten für Verstöße sind hoch. Warum fragen Sie? appeared first on Varonis Deutsch.