Studie: Risiken durch Identitätsdiebstahl überschätzt

In einer Studie kommt das US-Unternehmen ID Analytics zu dem Schluss, dass nur ein geringer Teil gestohlener oder versehentlich preisgegebener sensibler Kundendaten für kriminelle Aktivitäten missbraucht wird. Das bestätigt die Firma in ihrer Überzeugung, dass "Benachrichtigungen in vielen Fällen von Datendiebstahl mit geringem Risiko die Kunden unnötig alarmieren würden". Insbesondere sei das Risiko für einen Betroffenen umso geringer, je mehr Datensätze bei einem Vorfall kompromittiert wurden.

ID Analytics rechnet vor, dass die systematische Verwertung einer Million gestohlener identitätsbezogener Datensätze einen Betrüger 50 Jahre beschäftigen oder durch Outsourcing 830.000 US-Dollar kosten würde. Den in der Regel praktizierten lukrativen Verkauf großer Datenmengen auf dem Schwarzmarkt lässt das Unternehmen dabei jedoch außer Acht. Insgesamt stützt sich die Studie für ihre Ergebnisse auf vier Vorfälle mit sensiblen Kundendaten von US-Unternehmen. Aus der Studie geht allerdings auch hervor, dass öffentliche Benachrichtigungen durchaus "einen abschreckenden Effekt auf Datendiebe" haben können.

ID Analytics ist spezialisiert auf Beratung und Produkte für das Risikomanagement im Umgang mit Kundendaten. Dass sich die nun erstellte Studie explizit auch an "gewählte Amtsinhaber, die an einer Lösung auf dem Gesetzesweg arbeiten" richtet, ist nur folgerichtig: Der US-Senat behandelt derzeit einen Gesetzesentwurf, der eine grundsätzliche Pflicht zur Benachrichtigung der Betroffenen vorschreibt. Dessen Befürworter sind der Ansicht, dass sich Unternehmen dann aus Scheu vor schlechter Publicity und durch die Androhung empfindlicher Strafen zu höheren Sicherheitsstandards im Umgang mit sensiblen Kundendaten bewegen lassen.

Siehe dazu auch: (cr)

• US-Senatoren legen Gesetz gegen Identitätsdiebstahl und Cyberbetrug vor, Bericht von heise online