Ein ganzheitlicher Präventionsansatz sollte auf vier Säulen ruhen. Ernst & Young baut darauf einen Zehn-Punkte-Ratgeber für Unternehmen auf.

Der finanzielle Schaden durch Datenverlust bewegt sich auf Rekordniveau. Analysten beziffern die Kosten pro verlorenen Datensatz im internationalen Durchschnitt auf 157 Euro, sogar 224 Euro bei sensiblen Daten. Im Durchschnitt seien im vergangenen Jahr in großen Unternehmen 5,3 Millionen Euro Schaden entstanden, so Ernst & Young. Aus Sicht der Wirtschaftsprüfer und Berater ein alarmierender Befund: "Das Schlimme ist: Viele Datenverluste werden noch nicht einmal bemerkt", sagt Olaf Riedel, Partner bei Ernst & Young. "Eine wirkungsvolle Prävention gelingt also nur durch die Entwicklung einer perfekt abgestimmten Strategie und der Installation vielschichtiger Kontrollen." In einer Studie gibt Ernst & Young den Anwendern eine Liste mit zehn Tipps an die Hand, die beim Schutz vor diesem sich verschärfenden Problem helfen.

In der IT-Landschaft entstehen ständig neue Risiken durch die steigende Zahl der Übertragungsmethoden, Speichermöglichkeiten auf kleinstem Raum und die Unübersichtlichkeit der Verteilung. "Bereits in zehn Jahren wird es 44 Mal so viele digitale Informationen geben wie heute, nämlich 35 Zettabyte, also 35 Billionen Gigabyte", schätzt Riedel. Mit steigender Zahl der Informationen werde es dann auch zu wesentlich mehr Datenverlusten kommen, deren Auswirkungen auf die Wirtschaft heute noch nicht überschaubar seien. "Verhindern können Unternehmen den Verlust ihrer wertvollen Daten nur, wenn die Prävention zum klaren Geschäftsziel wird", so der Analyst weiter.

Ein ganzheitlicher Präventionsansatz muss nach Einschätzung von Ernst & Young auf vier Säulen ruhen: Datenkontrolle, Datenschutzüberwachung, Support der Informationssicherheitsprozesse und technologischer Unterstützung des Datenschutzprogramms. Auf dieser Basis haben die Berater ihre zehn konkreten Empfehlungen für die Unternehmen aufgestellt.

1. Eigene Daten identifizieren und klassifizieren: Ein Dateninventar, das ein Klassifikationsraster mit den spezifischen Daten in der IT-Infrastruktur und im Austausch mit Dritten verknüpft, helfe bei der Aufstellung eines Data Loss Prevention Programs (DLP), so Ernst & Young.

2. View-Only-Zugänge kritisch bewerten: Viele Zugriffsrechte sind ursprünglich so eingerichtet worden, dass nur ein kleiner Mitarbeiterkreis die für sie relevanten Daten betrachten und lesen konnte – in der Annahme, dass damit eine dauerhafte Sicherheitskontrolle eingezogen sei. Ernst & Young weist aber darauf hin, dass Data Warehousing und der Bedarf nach unternehmensweitem Reporting diese Maßnahme in der Praxis oft ausgehöhlt habe. Eine umfassende Überprüfung scheint also geboten. Zentrale Fragestellung: Welcher Mitarbeiter benötigt wirklich Zugang zu welchen sensiblen Daten?