Der Datenverlust von 228.435 Datensätzen des Gesundheitsamtes in South Carolina hat einen Preis. Eine Studie des Ponemon Instituts im März 2012 beziffert die Kosten pro Datenverlust bei US Organisationen auf 5,5 Mio. US$, bzw. ca. 200,- US$ pro verlorenen Datensatz. Ursächlich für den Datenverlust am South Carolina Department of Health and Human Service war ein Datendiebstahl seitens eines Mitarbeiters.

Hierbei war es nicht Anonymous oder andere Hackergruppen die versucht haben sich einen Namen zu machen. Der South Carolina Fall ist exemplarisch für die Blauäugigkeit mit der einige Organisationen und Unternehmen vorgehen, wenn es um organisatorische und technische Fragen im Rahmen der IT-Sicherheit geht.


Im aktuellen Fall hat ein Arbeitnehmer die persönlichen Daten von 228.435 Patienten und Kunden an sein persönliches E-Mail-Konto weitergeleitet. Dies war nicht nur ein eklatanter Verstoss gegen die Organisationspolitik, sondern auch ein hochbrisanter Diebstahl von personenbezogenen Daten.

Die Person, Christopher L. wurde seitens der Behörden in der Zwischenzeit festgenommen. L. war in seiner Funktion als Projektmanager für die Organisation tätig, bis dato ist jedoch unklar was L. mit den entwendeten personenbezogenen Daten vorhatte.

Was können Unternehmen und Organisationen aus derlei Vorfällen lernen ?

Zunächst einmal sollte jedes Unternehmen in Kooperation mit dem Datenschutzbeauftragten beleuchten, an welchen Stellen Daten erhoben werden und um welche Daten genau es sich an dieser Stelle handelt. Hierbei ist reflektorisch vorzugehen und nachfolgende Fragen spielen schon bei der Datenorganisation eine gewichtige Rolle:

  • Wie sind die Datensätze organisiert ? (Fahren von Auswertungen, Export-Schnittstellen, Zugriffsschutz)
  • Wieviele Datenbanken existieren im Unternehmen, wo sind welche Daten gespeichert und wie werden diese Daten von den einzelnen Abteilungen abgefragt ?
  • Ist es wirklich sinnvoll, das jede Abteilung alle Datensätze eines Kunden einsehen kann ?
  • Welche Daten werden an welchen Stellen erhoben, welche Datenabfragen sind hierbei unabdingbar und welche sind überflüssig ?
  • Welche Möglichkeiten haben Mitarbeiter um Auswertungen (Zugriffsschutz) zu fahren und gibt es hierbei Exportfunktionen und Export-Schnittstellen ?
  • Wer kann Datensätze in welcher Form erheben, ändern, kopieren ?
  • Wer hat Zugriff auf die komplette Datenbank und wie ist dieser Zugriff reglementiert ?
  • Auf welchen "Kanälen" können Daten das Unternehmen oder die Organisation verlassen und welche Maßnahmen können getroffen werden dies zu unterbinden, bzw. einzuschränken ?

An vielen Stellen wird man bei genauer Analyse feststellen, dass vielfach Daten erhoben werden die schlichtweg irrelevant für den Unternehmenseinsatz sind. Oft genug wird man auch auf Szenarien treffen, bei denen kundenbezogene persönliche Daten an andere Abteilungen weitergegeben werden. Hier kann man sich z.B. die berechtigte Frage stellen, ob eine komplette oder teilweise Anonymisierung dieser Übergabe-Daten nicht sogar noch wertvolle Bearbeitungszeit einsparen würde. Die Lösungsansätze sind somit in erster Linie organisatorischer Natur und in zweiter Linie technischer Natur was die serverseitige Zugriffsverwaltung von Nutzerrechten angeht.

Ein weiterer interessanter Beleg der Ponemon Studie ist dass das Gefahrenpotential durch BYOD-Szenarien (also die Nutzung von Mitarbeiter-Eigener IT im Unternehmen) stetig steigt. Maßnahmen zur Prävention, sei es durch Unternehmensrichtlinien, Monitoring-Tools und End-Point-Protection werden somit immer wichtiger, zudem komplizierter und somit auch teurer. So belegt die Studie, dass Sicherheitsrichtlinien für Mitarbeitergeräte oftmals laxer sind als für unternehmenseigene Notebooks. Sogar 27% der lt. Ponemon Studie befragten IT-Profis gaben an, überhaupt keine Richtlinien für BYOD Szenarien zu haben. Hitliste Suchmaschinen Optimierung SEO