Cybersecurity
Seit dem Start der DSGVO vor zwei Jahren ermitteln Sicherheitsforscher in Deutschland - trotz steigender Zahlen bei Cyberangriffen auf Unternehmen - sinkende Schadenssummen. Zudem werden die Attacken rascher entdeckt. Quelle: dpa

Weniger Schäden – und auch noch schneller repariert

Zwei Jahre nach Inkrafttreten der oft gescholtenen Datenschutzgrundverordnung erweist sie sich als ausgerechnet bei der Abwehr von Cyberattacken als überraschend wirkungsvoll. Eine Ehrenrettung.

  • Teilen per:
  • Teilen per:

Was hatten Kritiker nicht alles an Üblem vorausgesagt, als die Europäische Datenschutzgrundverordnung (DSGVO) im Frühsommer 2018 in Kraft trat: „Handwerklich schlecht gemacht“ sei die neue Verordnung; „ein unkonkretes, kaum zu handhabendes Regelwerk“; ein Papier, „das digitale Hürden aufbaut statt Chancen zu eröffnen, um aus Daten Geschäftsmodelle zu machen“.

Und manch einer fürchtete eine drohende Klagewelle, die vor allem kleine Unternehmen treffen werden - statt der großen Konzerne, deren allgegenwärtige Datensammelei die DSGVO eigentlich einschränken sollte.

Gut zwei Jahre später zeigt sich: Die befürchteten Massenklagen sind ausgeblieben. Dafür hat sich Google die erste 50-Millionen-Euro-Strafe eingefangen. Ausgerechnet das Silicon Valley nimmt sich Europa mal zum Vorbild. Auch wenn mancher US-Netzkonzern die Vorgaben der Verordnung eher kreativ auslegt. Das Regelwerk erweist sich auch an einer unerwarteten Stelle als Segen: Die EU-Verordnung, so sieht es aus, hat speziell bei europäischen Unternehmen wie ein Katalysator für mehr und vor allem wirksamere IT-Sicherheit gesorgt.

So jedenfalls lassen sich die gerade veröffentlichten Ergebnisse einer neuen Studie von IBM und dem Marktforscher Ponemon interpretieren. Der jährliche „Cost of a Data Breach Report“, der unter anderem die durchschnittlichen Schäden durch Datendiebstähle und -verluste auswertet, weist für fast alle untersuchten Staaten teils drastisch steigende Schäden auf. 

Nur Europa blieb davon weitgehend verschont: Sinkende Schadensummen um jeweils rund fünf Prozent im Vergleich zum Vorjahr gab es nur in den EU-Staaten Deutschland (4,45 Millionen Dollar je Vorfall), Italien (3,19 Millionen Dollar) und Frankreich (4,01 Millionen Dollar) - sowie, zugegeben, als einzigem nicht-europäischen Land, in Südafrika (2,14 Millionen Dollar). 

Zum Vergleich: In den USA wuchs die durchschnittliche Schadensumme um 5,5 Prozent auf 8,64 Millionen Dollar pro Sicherheitsvorfall, in Südkorea um sieben Prozent (3,12 Millionen Dollar) und in Japan sogar um 9,5 Prozent (4,19 Millionen Dollar). „Die rigiden Vorgaben der DSGVO haben in vielen Unternehmen dazu geführt, dass die Verantwortlichen – von der IT-Abteilung bis in die Geschäftsleitung – ihre IT-Systeme sehr genau angeschaut und auf Schwachstellen untersucht haben“, sagt Ashkan Vila, Cybersecurity-Spezialist in IBMs Sicherheitslabor in Kassel. 

Durch die neue Verordnung und die drohenden Strafen von bis zu 20 Millionen Euro bei Verstößen habe das Risiko schlecht gewarteter IT-Systeme, aus denen Hacker Nutzerdaten stehlen können, „plötzlich ein konkretes Preisschild bekommen“, so der Experte. „Statt solche Bußgelder zu riskieren, hat sich offenbar mancher lieber seine Rechnersysteme vorgenommen und das Geld in bessere Schutztechnik investiert.“

Deutsche Firmen entdecken Angriffe immer schneller

Und noch etwas dokumentiert die Nebenwirkungen der DSGVO: Die Aufräumarbeiten der ITler in ihren Netzwerken, Datenbanken und Web-Angeboten führt offenbar auch dazu, dass Cyber-Attacken inzwischen deutlich früher auffallen. Vor allem in Deutschland. Laut der Erhebung dauerte es im vergangenen Jahr nur noch 160 Tage, bis ein Angriff entdeckt und seine Folgen behoben waren. 

Klingt nach einer langen Zeit? Nun, es ist immer noch zehn Tage schneller als 2018, 17 Tage schneller als 2017 - und es ist vor allem der beste Wert aller im vergangenen Jahr von IBM und Ponemon analysierten Staaten. Weltweit dauert es im Schnitt 280 Tagen, bis ein Angriff entdeckt und die Schäden beseitigt sind. Ausgerechnet im High-Tech-Land Südkorea vergehen sogar 301 Tagen, also fast ein Jahr.

Vielleicht also ist es zwei Jahre nach dem allgemeinen Lamento Zeit für eine Ehrenrettung. Die DSGVO mag nicht perfekt sein. Aber sie hat die deutsche Wirtschaft offenbar gestärkt - und nicht geschwächt. „Bei insgesamt steigenden Angriffszahlen, weniger Schäden und eine schnellere Reaktion - das ist mit Sicherheit auch dem verschärften Datenschutz durch die EU zu verdanken“, lobt der Sicherheitsexperte Vila.

Mehr zum Thema
WirtschaftsWoche-Redakteur Thomas Kuhn ist Experte für Sicherheit im Netz. In seiner Kolumne „Cybersecurity“ berichtet er über aktuelle IT-Security-Trends, neue Cyber-Gefahren und den Schutz der digitalen Wirtschaft.

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%