10. September 2018 David Swinhoe* und Julia Krokoszinski

Was kostet ein Datenleck wirklich?

Die jährliche Studie von IBM Security gibt Aufschluss darüber, welche Faktoren die Kosten eines möglichen Datenlecks beeinträchtigen. Wir geben Ihnen außerdem Tipps, wie Sie derartige Sicherheitsbedrohungen vermeiden können. [...]

Nur, wenn Sie wissen, was Sie erwartet, können Sie auf alles gefasst sein (c) Pixabay.com

Datenlecks werden immer teurer

Laut der neusten Studie von IBM Security sind die durchschnittlichen Kosten eines Datenlecks weltweit auf durchschnittlich 3,86 Millionen Dollar angestiegen. Die aktuelle Version der jährlichen Erhebung zeigt damit einen deutlichen Kostenanstieg von 6,6 Prozent im Vergleich zum Vorjahr; dazu zählen sowohl direkte Verluste als auch indirekte Kosten durch investierte Zeit und Aufwand, die benötigt werden, um ein entstandenes Datenleck zu richten, sowie verlorene Chancen wie zum Beispiel Kundenabwanderung in Folge von schlechter Werbung.

„Eigentlich sollte zu erwarten sein, dass man in Anbetracht der Vielzahl von Datenlecks inzwischen besser dafür gerüstet sein sollte, mit ihnen umzugehen“, so John Wheeler, Vizepräsident für Strategie bei IBM Security „Doch immer mehr Unternehmen werden mit derartigen Schwächen in ihrem Sicherheitsplan erwischt, dass es mittlerweile einen Punkt erreicht hat, der einfach nur noch inakzeptabel ist.“

Datenlecks werden immer größer

Die durchschnittliche Größe eines Datenlecks umfasst heutzutage 24.615 Datensätze, was einen Anstieg von 2,2 Prozent im Vergleich zum Jahr 2017 ausmacht. Jeder verlorene Datensatz kostet weltweit durchschnittlich 148 USDollar, in den USA sogar durchschnittlich 233 USDollar je Datensatz. Die endgültigen Kosten je verlorenem Datensatz kann durch eine ganze Reihe von Faktoren beeinflusst werden, die sich vor allem daran orientieren, wie gut ein Unternehmen auf ein Datenleck vorbereitet ist und wie gut es auf solche zu reagieren weiß.

Haben Sie mal eben 3,86 Millionen Dollar übrig? So viel kostet Sie ein Datenleck nämlich im Durchschnitt (c) IBM Security

Angesichts der immer größeren Vernetzung heutiger Unternehmen prognostiziert Wheeler, dass diese Zahl im Laufe der Zeit immer weiterwachsen wird. „Die Daten, Datensätze und Anforderungen an das Management werden immer größer. Jeder bewegt sich in Richtung digitaler Transformation, was bedeutet, dass jeder versucht, sein Geschäft in die Hand zu nehmen und herauszufinden, wie man noch personalisierter mit seinen Kunden interagieren könnte.“

Der Standort des Unternehmens macht einen Unterschied

US-amerikanische Unternehmen haben mit durchschnittlich 7,91 Millionen USDollar pro Datenleck die wohl höchsten Kosten zu tragen. Prognosen ergaben, dass etwa 23 Prozent der weltweiten Unternehmen in den nächsten 24 Monaten mindestens ein Datenleck erleiden werden. Unternehmen in Brasilien und Südafrika sind dabei am ehesten von einer solchen Sicherheitsverletzung betroffen. Die Kostenunterschiede sind laut Wheeler auf eine Kombination von Faktoren zurückzuführen: „Nummer eins sind dabei vor allem die Kosten der Regulierung. Außerdem soll es einen Faktor geben, der sich um die Kosten der hinzugezogenen Teams sowie um den Grad der Medienakquise dreht, der erfolgen wird. “

Datenlecks kosten mehr in vertikalen Märkten

Angesichts der äußerst sensiblen und streng regulierten Daten, die sie verwalten, sollte es wenig überraschend sein, dass der Gesundheits- und der Finanzsektor mit den größten Kosten pro Datensatz konfrontiert sind; bis zu 400 USDollar für jeden Datensatz. Auf Finanzdienstleistungen spezialisierte Unternehmen sind die häufigsten Opfer, gefolgt von Unternehmen der Dienstleistungs-, Herstellungs- und Technologiebranche. Das Niveau der Regulation spielt eine große Rolle bei dem, was ein Unternehmen letztendlich zahlen muss, um sich von einem Datenleck zu erholen.

Pro verlorenen Datensatz kostet Sie eine Datensicherheitsverletzung 148 Dollar (c) IBM Security

Langsame Reaktionen auf Datenlecks erhöhen die Kosten

Laut des IBM-Berichts dauert es durchschnittlich 197 Tage, um ein Datenleck zu identifizieren, und weitere 69 Tage, um es einzudämmen – ein leichter Anstieg gegenüber den 191 bzw. 66 Tagen im Jahr 2017. Deutsche und südafrikanische Organisationen sind am schnellsten dabei, Datenlecks zu finden und einzudämmen – insgesamt 171 bzw. 190 Tage –, während Unternehmen im Nahen Osten (350 Tage) und Brasilien (340 Tage) am längsten dafür benötigen.

Es sind wiederum vor allem Unternehmen im Bereich Unterhaltung und Gesundheitswesen, die die längste Zeit dafür benötigen, eine Sicherheitslücke zu erkennen und einzudämmen – durchschnittlich mehr als 300 Tage –, während Finanzdienstleistungs- und Energiesektoren bei der Entdeckung und Sanierung durchschnittlich am schnellsten agieren.

Zeit ist Geld – und das langsame Aufspüren und Aufdecken eines Datenlecks kann sehr kostspielig sein. Wenn Sie mehr als 100 Tage brauchen, um einen Datensicherheitsverstoß zu erkennen, kann Sie das bis zu 1 Million Dollar kosten. Wenn Sie länger als 30 Tage brauchen, um das Leck zu schließen, nachdem Sie es entdeckt haben, kann Sie das sogar noch mehr kosten als das. Investitionen in Überwachungs- und Forensikfähigkeiten könnten daher langfristig wertvoll sein.

Regulierende Datenleck-Meldungen verursachen zusätzliche Kosten

Ein erheblicher Aufwand, mit dem Unternehmen konfrontiert sind, die sich gerade von einem Datenleck erholen, sind die Kosten, die ein ordentliches Meldesystem für Datenlecks verursacht. Dazu gehören die Erstellung von Kontakt-Datenbanken, die Ermittlung von Regulierungsanforderungen, Beratungsgebühren, Postausgaben, E-Mail-Rückmeldungen und mehr. Indien hat bislang die niedrigsten Kosten für Datenleck-Meldungen zu verzeichnen – durchschnittlich gerade einmal 20.000 USDollar (ca. 17 Tausend Euro) –, während die USA mit 740.000 USDollar (ca. 640 Tausend Euro) die höchsten Melde-Kosten pro Datenleck aufweisen, hauptsächlich aufgrund von diversen Vorschriften zur Meldepflicht bei Datensicherheitsverletzungen.

Jetzt, da die Verordnung der Europäischen Union in Kraft getreten ist, dürften Unternehmen laut Bericht von IBM in Zukunft „enorme Zunahmen auf der ganzen Welt“ beobachten, wenn es um die Kosten für derlei Sicherheitsmeldungen geht. „Die größte Frage bleibt bisher, wann die Geldbußen festgesetzt und welche Präzedenzfälle dafür festgelegt werden“, so Wheeler. „Wenn der erste große Fall auftritt und die Leute erkennen, wie verdammt groß diese feinen Zahlen sein können, werden sich die C-Suites neu durchmischen. Ein wichtiges Detail zum Umgang mit der DSGVO ist, dass Sie ein 72-Stunden-Offenlegungsfenster haben. Und diese Zeit kann sehr, sehr schnell vergehen. Daher müssen Unternehmen die Notwendigkeit zur Vorbereitung wirklich verstehen.“

Ein Notfall-Plan ist im Falle des Falls Ihr letzter Strohhalm (c) IBM Security

Mega-Datenlecks können zu hohen indirekten Kosten führen

Wo der Verlust von Tausenden von Datensätzen zur selben Zeit ein häufiges Phänomen darstellt, sind Verletzungen der Equifax-Ebene mit Millionen von Datensätzen zum Glück immer noch relativ selten. Laut IBM könnte ein „Mega-Datenleck“ von 1 Million Datensätzen ein Unternehmen bis zu 40 Millionen Dollar kosten, während der Verlust von 50 Millionen Datensätzen ein Unternehmen ganze 350 Millionen Dollar kosten könnte.

Die indirekten Kosten tragen laut Wheeler wesentlich zu den eigentlichen Kosten bei, wenn ein Datenleck letztlich in diese Kategorie fällt. „Wenn Sie ein Unternehmen sind, das fünfzig Millionen Datensätze verliert, besteht in erster Linie die Erwartung, dass Sie wahrscheinlich ein sehr großes Unternehmen sind, das sicherlich über die finanziellen Mittel verfügt, um ein angemessenes Niveau an Sicherheit zu schaffen. Die Leute werden Ihr vorgehen mitansehen und zu dem Schluss kommen, dass es sich um einen katastrophalen Fehlschlag handelt, und Ihre Kunden werden als Alternative dazu eine genauere Wahl treffen, mit wem sie in Zukunft Geschäfte machen.“

So reduzieren Sie die Kosten: Haben Sie einen Reaktionsplan

Der weit verbreitete Einsatz von unterschiedlichen Verschlüsselungstaktiken, die Automatisierung von Sicherheit, wo immer dies auch möglich ist, und die Verwendung eines Incident-Response-Teams können die potenziellen Kosten eines Datenlecks wesentlich reduzieren, ebenso wie Mitarbeiterschulungen und Cyber-Versicherungen. Doch der größte Kostensparer ist es letztlich, wenn alle im Unternehmen gut genug vorbereitet sind und im Falle eines Datenlecks genau wissen, was sie zu tun haben

„Sie sollten einen Notfallplan haben, und dieser Plan sollte über die gesamte Bandbreite der C-Suite hinweg getestet und geübt werden“, so Wheeler. „Und es sollte mehr sein, als nur ein paar auf dem Papier existente Ratschläge, sondern so nah wie möglich nachahmen, wie sich die reale Welt im Falle des Falls verhalten könnte.“

Die Vorbereitungen für den Ernstfall erfordern ein gutes Verständnis für die Rollen, die jeder im Unternehmen im Falle einer Datensicherheitsverletzung besetzt, und das Wissen darum, welche externen Parteien man kontaktieren und einbringen müsste, um eine externe Kommunikationsstrategie in Kraft zu setzen.

Den Berichten zufolge ist es wahrscheinlicher, ein Datenleck zu erleiden, als eine Grippe zu bekommen (c) IBM Security

Umgekehrt können eine Drittanbieter-Beteiligung, eine umfangreiche Cloud-Migration oder die Verwendung von IoT-Geräten zum Zeitpunkt des Datenlecks zur potenziellen Kostenbelastung beitragen, ebenso wie der Verlust von Geräten wie Laptops oder Smartphones. Auf die gleiche Weise reduziert eine bessere Vorbereitung die Kosten, während eine unzureichende Vorbereitung sie bloß erhöht. „Wenn das Unternehmen, das sich mit einem Datenleck konfrontiert sieht, keinen Notfall-Reaktionsplan entwickelt hat, werden seine Kosten wesentlich größer sein, weil es sich im Anschluss an die Katastrophe überhaupt erst in diese Richtung orientieren muss.“

So reduzieren Sie die Kosten: Top-Down-Engagement für interne Sicherheit

Laut Wheeler sind solche Unternehmen, die Sicherheit ihres Unternehmens und die Bedrohung durch Datenlecks ernst nehmen, mit niedrigeren Kosten konfrontiert, weil sie allzeit bereit sind, im Falle eines Vorfalls schnell zu handeln. „Datenschutz und Datensicherheit sollten als eine C-Suite-Verpflichtung gehandelt werden und nicht in die alleinige Verantwortung des CSO fallen. Die C-Suite muss die Risiken kennen und verstehen: Wir müssen diese Daten schützen, denn es wäre eine Katastrophe für unser Geschäft; wir müssen die Informationen, die wir über unsere Verbraucher besitzen, schützen.“

Dazu gehören Rechtsanwaltsteams, die die rechtlichen Auswirkungen eines Verstoßes verstehen, Kommunikationsteams, die das Messaging vorbereiten, und Unternehmensleiter, die bereit sind, Verantwortung zu übernehmen. „Im Falle eines groß angelegten Datenlecks werden Sie wahrscheinlich nicht damit durchkommen, einen CSO, der nicht das öffentliche Gesicht Ihrer Firma war, vor die Kamera zu stellen. Ihre Investoren und Ihre Kunden verlangen die höchstrangige Person der Firma, um ihnen mitzuteilen, was passiert ist, was dagegen getan wird und welche Zusicherungen sie geben können.“


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

5. November 2024 Christof Baumgartner

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

5. November 2024

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

5. November 2024 Jiannis Papadakis *

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

5. November 2024

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*