Nur knapp elf Prozent der deutschen IT-Entscheider würden im Falle eines Datenmissbrauchs auch zeitgleich die Öffentlichkeit informieren. Wegen der Angst vor Imageschädigungen und einem damit verbundenen Vertrauensverlust der Kunden würde es nur knapp ein Drittel der Befragten begrüßen, wenn eine gesetzliche Meldepflicht bestünde. Diese Zurückhaltung lässt sich vor allem darauf zurückführen, dass ein Viertel der Firmen, die beispielsweise mit Kundendaten arbeiten, mit einer entsprechenden Meldepflicht eine fünf- bis zehnprozentige Steigerung der internen IT-Kosten verzeichnet. Zu diesen Ergebnissen kommt eine aktuelle Erhebung von Clearswift , einem Hamburger Spezialisten für richtlinienbasierte Content-Filtering- und Security-Lösungen.
"Ein hoher Anteil von Datenverlust entsteht durch den fehlerhaften Umgang mit den gängigen Mail-Systemen. Hier ist beispielsweise die Autovervollständigen-Funktion zu erwähnen", sagt Clearswift-Geschäftsführer Michael Scheffler. Laut dem Experten komme es aber auch zu einem Abfluss von Daten durch das Ausführen von eingeschleuster Schadsoftware in Form von Trojanern in E-Mails. "Durch das Zusammenwachsen der Kommunikationsprotokolle bekommt der Mitarbeiter hiervon jedoch nur selten etwas mit", so der IT-Security-Fachmann. Die Zahlen verdeutlichen die Brisanz des Themas: Datenverlust auf Geräten wie CDs, USB-Sticks oder Notebooks hatten bislang 87,5 Prozent der Unternehmen zu beklagen. "Daher fordern auch wir eine Verständigungspflicht, sobald man darüber Bescheid weiß, dass Kundendaten verloren wurden. Dies sorgt für Transparenz", sagt Hans Zeger, Obmann der Arge Daten.
Wegen der Angst um ein Publikwerden von Missbrauchsfällen sträuben sich viele Firmen aber gegen eine verbindliche Meldepflicht. Wie die Befragung der IT-Entscheider ergab, würden die Unternehmen lieber den internen Weg gehen und die betroffenen Kunden benachrichtigen. Daher wäre auch nur ein Drittel bereit, der Polizei oder Industriebehörden entsprechend Bescheid zu geben. Kaum verwunderlich, dass die Auswirkungen einer gesetzlichen Meldepflicht von Datenmissbrauch bei den IT-Managern umstritten sind. So heben rund 30 Prozent eher die negativen Seiten wie Reputationsverlust oder höhere Kosten hervor. Bei ebenso vielen halten sich die positiven und negativen Auswirkungen die Waage. "Verglichen mit den Kosten durch einen Schaden (und damit eventuell verbundenem Imageverlust) stellen die Investionen in eine sogenannte ,Data-Lost-Prevention-Lösung' (DLP) für E-Mail und Web nur einen Bruchteil dar", ergänzt Scheffler.
Obwohl sich viele Unternehmen mit dem Thema DLP auseinandersetzen und die Bedeutung für das wirtschaftliche Bestehen erfassen, besteht jedoch noch kein Wissen darüber, welche Imageschäden ein Fall von Datenverlust in der Öffentlichkeit verursachen kann. Clearswift nach geht es bei Prävention nicht darum, den E-Mail-Verkehr lahm zu legen, sondern effizient zu verhindern, dass vertrauliche Informationen in falsche Hände geraten. Für E-Mails schlagen die Hamburger Experten eine sogenannte "Realtime-Content-Analyse" vor. Diese soll dabei helfen, die "guten" von den "bösen" E-Mails zu trennen, noch bevor sie verschickt werden. "Die Vorsichtsmaßnahmen sind begründet, da E-Mails mit 67 Prozent weiterhin das am häufigsten eingesetzte Mittel für die Übertragung von Daten bleiben - und dies, obwohl ein Viertel von Datenverlust dadurch entsteht", so Scheffler. Trotz aller Vorbehalte gegenüber der Meldepflicht und der Gefahren aus dem Internet sieht Clearswift eine stärkere Wahrnehmung der Mitarbeiter für die Notwendigkeit effizienterer Sicherheitskonzepte. (pte)