Bedrijven van wie het klantenbestand gestolen wordt door crackers houden daar gemiddeld 6,6 miljoen dollar schade aan over en afhankelijk van de sector waarin de bedrijven opereren verliezen ze er ook nog veel klanten door. Dit blijkt uit een studie van het Ponemon Institute in opdracht van beveiligingsbedrijf PGP.

Ponemon Institute hield het onderzoek onder 43 Amerikaanse bedrijven die het afgelopen jaar te maken hadden met diefstal van hun klantenbestand. De gemiddelde kosten die de bedrijven moesten maken lagen op 6,6 miljoen dollar per diefstal, een stijging ten opzichte van de 6,3 miljoen dollar per diefstal in 2007 en 4,7 miljoen dollar per diefstal in 2006. De 6,6 miljoen dollar vertaalt zich in 202 dollar per klant. De hogere kosten waren vooral te danken aan de inzet van juridische diensten, terwijl de kosten voor klantondersteuning juist daalden.

Opmerkelijk genoeg was het voor slechts zestien procent van de onderzochte bedrijven de eerste keer dat er klantgegevens werden gestolen. Voor de nieuwkomers lag de schadepost wel hoger, op gemiddeld 243 dollar per klant. Bedrijven die al eerder te kampen hadden met crackers moesten gemiddeld 192 dollar per klant ophoesten.

Uit het onderzoek komt verder naar voren dat een diefstal van persoonsgegevens voor sommige sectoren extra vervelend is, omdat klanten overstappen naar een ander bedrijf als ze horen dat hun gegevens in verkeerde handen terecht zijn gekomen. Bij bedrijven in de gezondheidszorg stapte 6,5 procent van de klanten op na bekendmaking van de diefstal, in de financiële sector lag dat percentage op 5,5 procent. Dat is aanzienlijk hoger dan het gemiddelde opstappercentage van 3,6 procent. Ook de kosten per klant liggen voor bedrijven in de gezondheidszorg veel hoger, namelijk op 282 dollar per klant.

Hoewel 84 procent van de bedrijven dus eerder te maken had met crackers, lijkt het erop dat deze bedrijven geen les hebben getrokken uit eerdere diefstallen. Aan 88 procent van alle succesvolle crackpogingen lag nalatigheid van werknemers ten grondslag. Daarnaast was er in 40 procent van de gevallen sprake van diefstal bij een externe partij die de gegevens van het bedrijf beheerden of in bezit hadden.

Bedrijven die het slachtoffer waren van een diefstal ondernemen veelal dezelfde acties, te weten het trainen van personeel, het terugbrengen van geautomatiseerde handelingen en meer toepassing van encryptie en toegangsbeveiliging.