Der Preis der Datenamnesie

Eine aktuelle Studie des Ponemon Institute kommt anhand von Zahlen aus Deutschland auf Kosten von über 100 Euro pro verlorenen oder gestohlenen Datensatz. Phillip Dunkelberger, CEO des Verschlüsselungsunternehmens PGP Corporation, sprach mit ORF.at über Laptop-Durchsuchungen bei Grenzkontrollen und sichere Verschlüsselung.

Laut einer vom Ponemon-Institute veröffentlichten Studie zu den 2008 in Deutschland bekanntgewordenen Datendiebstählen sind die Kosten für einen Datenverlust außerordentlich hoch.

Pro Fall lagen sie bei 2,4 Millionen Euro, umgelegt auf den einzelnen Datensatz kamen die Analysten von Ponemon auf 112 bis 125 Euro. Als Grundlage der Studie dienten die Angaben von 18 deutschen Unternehmen aus zehn verschiedenen Branchen, die 2008 von "Datenverlusten" aller Art betroffen waren.

Die Gesamtkosten pro Vorfall betrugen zwischen knapp 270.000 Euro und 6,75 Millionen Euro, was einen Schnitt von etwa 2,4 Mio. ergibt.

Datensätze, Verluste

Die Spannweite der erfassten "Pannen", wie sich die mit Zahlen der PGP Corporation erstellte Studie ausdrückt, reicht von Fällen mit weniger als 3.750 bis zu Fällen mit mehr als 90.000 verlorenen Datensätzen.

Die Kosten pro Datensatz setzten sich ziemlich ausgewogen aus den Faktoren "entgangene Umsätze", "Aufdeckung" sowie den notwendigen Reaktionen des Unternehmens auf den Vorfall zusammen. In erster Linie bilden sie nämlich verlorene Personenstunden ab, die sich im Produktionsbereich wie in den Verkäufen negativ niederschlagen.

Und genau diese 2008 in Deutschland grassierenden Datendiebstähle und -verluste, die in den USA dazu geführt haben, dass Identitätsbetrug zum raschestwachsenden Delikt überhaupt aufgestiegen ist, sind die Grundlage dafür, dass die PGP Corporation seit ihrem Buy-out 2002 floriert.

Daten als Währung

"Als privates (i. e. nicht börsennotiertes) Unternehmen geben wir weder Jahreszahlen noch Quartalsumsätze bekannt", sagte Dunkelberger, den wir am Donnerstag in München erreichen konnten.

Er rechne nicht damit, dass die herrschende Krise das seit 26 Quartalen anhaltende Wachstum seines Unternehmens gefährden könnte. Wie die Anti-Virus- und Firewall-Branche das Platzen der Dot.com-Blase nach 2001 wegen des hohen Bedarfs an Virenschutz nicht nur unbeschadet, sondern mit Zuwächsen überstanden hatte, so werde es der PGP Corp. in diesen aktuellen Krisenzeiten gehen.

"Heutzutage sind Daten die Währung im Internet", sagte Dunkelberger, und seine Firma liefere eben jene Produkte, mit denen diese "Währung" sicher verschlüsselt würde.

Das vom legendären Programmierer Phil Zimmermann Mitte der 90er Jahre gegründete Unternehmen ist auf Verschlüsselungslösungen für Firmen und Behörden spezialisiert.

Zimmermann ist mittlerweile wieder im Beratergremium der PGP Corp.

• PGP Corporation

- Phil Zimmermann über PGP und Backdoors

• Phil Zimmermann über PGP und Backdoors

Open Source, proprietär

Dazu geht die PGP Corp. einen in der gesamten Software-Branche gänzlich unüblichen Weg. Obwohl die PGP Encryption Suite keineswegs freie Software ist, sondern ein proprietäres Produkt, wird der Quellcode offengelegt.

"Wir hatten allein von der neuen Version 9x etwa 100.000 Downloads des Quellcodes von unserer Website", sagte Dunkelberger. "Unsere Kunden können unsere Plattform selbst aus dem Quellcode kompilieren, Block für Block." Nur so könne der Kunde sicher sein, dass es "weder Anomalien noch Backdoors" gebe.

Vertrauen und Umsatz

Auf die Frage von ORF.at, ob denn nicht zu befürchten sei, dass diese in langen Jahren vom relativ simplen E-Mail-Verschlüsselungsprogramm zur Suite für alle möglichen Unternehmensanwendungen entwickelte Plattform einfach gestohlen werde, sagte Dunkelberger:

"Genau diese Probleme, die uns von Anfang an prophezeit wurden, haben wir nicht erlebt. Vertrauen ist das wichtigste Gut in unserer Branche. Vertrauen ist weit wichtiger als ein bisschen mehr Umsatz."

An der US-Grenzkontrolle

Die Antwort Dunkelbergers auf die Frage, was er denn europäischen Geschäftsreisenden rate, die mit einer Konfiszierung ihrer Laptops rechnen müssten, so sie verschlüsselte Daten damit in die USA transportierten, fiel ebenso diplomatisch wie deutlich aus:

"Wenn ich verreise, dann nur mit einer nackten Maschine, auf meinem Laptop ist nichts drauf", sagt Dunkelberger, zumal es in letzter Zeit immer öfter vorkomme, dass Reisende bei den Zollkontrollen gezwungen würden, den Inhalt der Festplatte zu entschlüsseln.

In China

Die entsprechenden Daten befänden sich, selbstverständlich verschlüsselt, auf einem mobilen Speicher beziehungsweise auf einem sicheren Server im Internet. Genau diese Vorgangsweise habe man auch jenen Kunden empfohlen, die anlässlich der Olympischen Spiele verstärkt in Bejing zu tun hatten.

Mit chinesischen Firmen oder gar den Behörden unterhalte die PGP Corporation keinerlei Geschäftsbeziehungen, sagt Dunkelberger.

Die gesetzlichen Rahmenbedingungen seien dort so verschwommen ("murky" eigentlich "schlammig"), dass man sich auf derlei nicht einlassen könnte.

Mehr zum Thema:

• Sicher verschlüsselte Internet-Telefonie

• Mehr Sicherheit für Internet-Telefonie

(futurezone/Erich Moechel)