Wissen ist die Lebensader der Pharmaindustrie. Angefangen bei den experimentellen Rohdaten über chemische Formeln zum Wirkstoff bis hin zum patentierten Medikament – ohne Informationen kann die Branche nicht überleben. Damit neue Medikamente auf dem Markt erscheinen dürfen, muss der gesamte Entwicklungsprozess genauestens dokumentiert sein, und die Vorgaben von Seiten der Regulierungsbehörden erfüllt werden.

Die Entwicklung eines neuen Medikaments dauert Jahre, und die Kosten steigen. Teilweise liegen sie im dreistelligen Millionenbereich. Jeder Verlust oder die ungewollte Veröffentlichung dieser hochsensiblen Informationen fügt dem betroffenen Unternehmen unweigerlich großen Schaden zu. Der pharmazeutisch-chemische Sektor sollte deshalb um das Risiko eines Datenverlusts wissen.

{loadposition position-10}

Es ist daher höchst beunruhigend, dass die europäische Pharmaindustrie schlecht auf Informationsrisiken vorbereitet ist, wie eine Studie [1] von Iron Mountain und PricewaterhouseCoopers zeigt. Und das alles in Zeiten, in denen das Datenvolumen nahezu explodiert und Pharmaunternehmen unter zunehmenden Wettbewerbsdruck stehen.

Auslöser für Sicherheitsvorfälle: Hacker und menschliche Fehler

Datenpannen sind teuer – das zeigen die Zahlen der Cost of a Data Breach-Studie, die Symantec im letzten Jahr zum achten Mal veröffentlicht hat [2]. Die Studie ermittelt die Kosten, die durch einen Datenverlust für Unternehmen entstehen, sei es durch einen Hackerangriff oder durch einen menschlichen Fehler. In fast zwei Drittel der Fälle sind Fehler von Mitarbeitern die Auslöser für Sicherheitsvorfälle. Die durchschnittlichen Kosten pro Datensatz beliefen sich im Jahr 2012 in Deutschland auf 151 Euro, damit liegt Deutschland weit über dem Durchschnitt der analysierten Länder. Dies liegt unter anderem daran, dass in Deutschland in 48 Prozent der Fälle Hacker für Sicherheitsvorfälle verantwortlich waren. Die Kosten in Deutschland steigen von Jahr zu Jahr. Im Jahr 2008 umfassten sie 112 Euro, 2010 erreichten sie 138 Euro pro Datensatz. Mit welchen Kosten wohl im Jahr 2013 zu rechnen ist?

Datenpannen nehmen jährlich zu

{loadposition position-11}

Ein interessantes Detail: 82 dieser 151 Euro entfielen auf indirekte Ausgaben wie die Abwanderung von Kunden. Die Kosten für die deutsche Pharmaindustrie liegen immerhin mit 114 Euro unter dem deutschen Durchschnitt, während die Kosten in der ebenfalls hochregulierten Finanzbranche mit 217 Euro weitaus höher sind. Allerdings wächst die Anzahl der Datenpannen laut einer Studie von PwC [3] um 50 Prozent pro Jahr, und zwar in allen Sektoren. Allein diese Tatsache sollte ein Weckruf für die Verantwortlichen sein. Denn die wirtschaftlichen Nachteile, die sich zum Beispiel durch eine Datenpanne ergeben, liegen auf der Hand: die Markenreputation leidet, das Vertrauen der Kunden ist weg.

Eine Strategie allein reicht nicht

Eine wirksame Informationsrisiko-Strategie ist ein guter Anfang; deren alleinige Existenz reicht jedoch kaum aus, wie die PwC-Studie [1] belegt: 90 Prozent der Pharmaunternehmen besitzen eine Strategie, allerdings wird diese nur in der Hälfte der Unternehmen (48 Prozent) geprüft oder überhaupt ausgeführt. Wie der Begriff Risikovorsorge schon sagt, muss vorgesorgt werden. Dazu muss das Richtige getan werden, bevor etwas passiert. Die allermeisten von uns neigen hingegen dazu, es genau umgekehrt zu machen.

Das Bewusstsein vs. Kostendruck

{loadposition position-12}

Das Bewusstsein für Informationsrisiken ist in der Pharmabranche auf jeden Fall vorhanden. Für drei von vier Firmen ist ein verantwortungsvoller Umgang mit Informationen geschäftskritisch. Fast die Hälfte (47 Prozent) erwartet, dass das Risiko von Datenpannen steigt; und über drei Viertel (77 Prozent) glauben, dass Sicherheitsvorfälle dem Geschäft schaden.

Und wie denkt der Vorstand? Knapp über die Hälfte (52 Prozent) der Befragten meinen, dass Datensicherheit- und -schutz keine ernstzunehmenden Themen sind. Anscheinend ist die Reduzierung von Kosten im Allgemeinen wichtiger als in Informationssicherheit zu investieren. Das glauben zumindest 62 Prozent der befragten Firmen im Pharmasektor. Einige, so scheint es zumindest, haben für sich beschlossen, dass sie ohnehin nichts tun können: 59 Prozent glauben, dass sich die Informationslandschaft einfach zu schnell wandelt.

Besonders beunruhigend ist die Tatsache, dass mehr als ein Drittel (35 Prozent) der Pharmaunternehmen einen Datenverlust als unvermeidbaren Bestandteil des täglichen Geschäfts betrachten; und dass, obwohl mehr als die Hälfte (54 Prozent) behauptet, keine Geschäfte mehr mit einem anderen Unternehmen zu tätigen, bei dem eine Datenpanne auftrat.

Neue Anforderungen an das Informationsmanagement

Informationsmanagement, also das Verwalten von physischen und digitalen Daten, muss auch unter folgendem Gesichtspunkt gesehen werden: Stellenabbau, Outsourcing und Marktkonzentration halten in der Pharmabranche Einzug und können die Anforderungen an das Informationsmanagement verändern. Vor einer geplanten Fusion zum Beispiel muss unbedingt geprüft werden, inwiefern die Systeme zum Dokumentenmanagement zueinander kompatibel sind, und ob die in der Pharmabranche sehr strengen Aufbewahrungsrichtlinien eingehalten werden können. Nach einem Stellenabbau steht das verkleinerte Personal oft vor riesigen Aktenbergen. Das letzte was ein Unternehmen gebrauchen kann, ist der Anruf des Datenschutzbeauftragen, weil Aktenordner mit sensiblen Informationen ungeschützt in einem verlassenen Forschungsgebäude herumstehen. Und wie der Datenschutzskandal in Thüringen beweist, sind ähnliche Datenschutzvorfälle in Deutschland leider traurige Wahrheit [4].

Thema Informationsrisiko jetzt angehen

Menschliches Versagen gab es schon immer. Aber heutzutage werden Informationen gleich von mehreren Seiten bedroht: Wirtschaftsspionage, Cyberkriminalität, IT-Probleme, Naturkatastrophen. Daher muss das Thema jetzt ruhig und strategisch angegangen werden; nicht in Eile, wenn erst die neue EU-Datenschutzverordnung in Kraft getreten ist. Keine andere Branche ist so hochkomplex und unterliegt so strengen Prüfkriterien wie die Pharmabranche. Und kein Unternehmen kann sich heute Verzögerungen bei der Zulassung von Medikamenten erlauben.

Die Entwicklung eines Medikaments dauert oft bis zu 10 Jahre, sie können sich nur amortisieren, wenn ein Arzneimittel möglichst schnell auf dem Markt eingeführt wird. Nicht zu vergessen, dass die Schutzfrist für ein Patent auf einen Wirkstoff oft 20 Jahre beträgt. Bis zu diesem Zeitpunkt darf das Originalpräparat ausschließlich vom Patenteigentümer vermarktet werden, was dem betreffenden Unternehmen feste Umsätze garantiert. Und bis dahin muss das Patent geschützt werden.

Eine Zusammenfassung des Berichts, Beyond Awareness: the Growing Urgency for Data Management in the European Mid-market ist unter folgendem Link abrufbar: http://www.ironmountain.de/risikomanagement/.

[1] Beyond awareness: the growing urgency for data management in the European mid-market, PwC für Iron Mountain, Juli 2013. PwC befragte 600 Führungskräfte in Unternehmen mit 250 bis 2.500 Mitarbeitern in den Branchen Recht, Finanzen, Dienstleistung, Pharma, Versicherung und Fertigung in Frankreich, Deutschland, Ungarn, Spanien, Großbritannien und den Niederlanden.

[2] Symantecs Studie basiert auf einer vom Ponemon Institute im vergangenen Jahr durchgeführten Umfrage. Daran nahmen 1400 Personen in 277 Unternehmen in den USA, Großbritannien, Deutschland, Frankreich, Australien, Indien, Italien, Japan und Brasilien teil.

[3] 2013 Information Security Breaches Survey, PwC for Department of Business Innovation and Skills, April 2013.

[4] http://www.mdr.de/thueringen/mitte-west-thueringen/aktenskandal_immelborn104.html