Die jährliche Studie von IBM Security gibt Aufschluss darüber, welche Faktoren die Kosten eines möglichen Datenlecks beeinträchtigen. Wir geben Ihnen außerdem Tipps, wie Sie derartige Sicherheitsbedrohungen vermeiden können. [...]
Datenlecks werden immer teurer
Laut der neusten Studie von IBM Security sind die durchschnittlichen Kosten eines Datenlecks weltweit auf durchschnittlich 3,86 Millionen Dollar angestiegen. Die aktuelle Version der jährlichen Erhebung zeigt damit einen deutlichen Kostenanstieg von 6,6 Prozent im Vergleich zum Vorjahr; dazu zählen sowohl direkte Verluste als auch indirekte Kosten durch investierte Zeit und Aufwand, die benötigt werden, um ein entstandenes Datenleck zu richten, sowie verlorene Chancen wie zum Beispiel Kundenabwanderung in Folge von schlechter Werbung.
„Eigentlich sollte zu erwarten sein, dass man in Anbetracht der Vielzahl von Datenlecks inzwischen besser dafür gerüstet sein sollte, mit ihnen umzugehen“, so John Wheeler, Vizepräsident für Strategie bei IBM Security „Doch immer mehr Unternehmen werden mit derartigen Schwächen in ihrem Sicherheitsplan erwischt, dass es mittlerweile einen Punkt erreicht hat, der einfach nur noch inakzeptabel ist.“
Datenlecks werden immer größer
Die durchschnittliche Größe eines Datenlecks umfasst heutzutage 24.615 Datensätze, was einen Anstieg von 2,2 Prozent im Vergleich zum Jahr 2017 ausmacht. Jeder verlorene Datensatz kostet weltweit durchschnittlich 148 US–Dollar, in den USA sogar durchschnittlich 233 US–Dollar je Datensatz. Die endgültigen Kosten je verlorenem Datensatz kann durch eine ganze Reihe von Faktoren beeinflusst werden, die sich vor allem daran orientieren, wie gut ein Unternehmen auf ein Datenleck vorbereitet ist und wie gut es auf solche zu reagieren weiß.
Angesichts der immer größeren Vernetzung heutiger Unternehmen prognostiziert Wheeler, dass diese Zahl im Laufe der Zeit immer weiterwachsen wird. „Die Daten, Datensätze und Anforderungen an das Management werden immer größer. Jeder bewegt sich in Richtung digitaler Transformation, was bedeutet, dass jeder versucht, sein Geschäft in die Hand zu nehmen und herauszufinden, wie man noch personalisierter mit seinen Kunden interagieren könnte.“
Der Standort des Unternehmens macht einen Unterschied
US-amerikanische Unternehmen haben mit durchschnittlich 7,91 Millionen US–Dollar pro Datenleck die wohl höchsten Kosten zu tragen. Prognosen ergaben, dass etwa 23 Prozent der weltweiten Unternehmen in den nächsten 24 Monaten mindestens ein Datenleck erleiden werden. Unternehmen in Brasilien und Südafrika sind dabei am ehesten von einer solchen Sicherheitsverletzung betroffen. Die Kostenunterschiede sind laut Wheeler auf eine Kombination von Faktoren zurückzuführen: „Nummer eins sind dabei vor allem die Kosten der Regulierung. Außerdem soll es einen Faktor geben, der sich um die Kosten der hinzugezogenen Teams sowie um den Grad der Medienakquise dreht, der erfolgen wird. “
Datenlecks kosten mehr in vertikalen Märkten
Angesichts der äußerst sensiblen und streng regulierten Daten, die sie verwalten, sollte es wenig überraschend sein, dass der Gesundheits- und der Finanzsektor mit den größten Kosten pro Datensatz konfrontiert sind; bis zu 400 US–Dollar für jeden Datensatz. Auf Finanzdienstleistungen spezialisierte Unternehmen sind die häufigsten Opfer, gefolgt von Unternehmen der Dienstleistungs-, Herstellungs- und Technologiebranche. Das Niveau der Regulation spielt eine große Rolle bei dem, was ein Unternehmen letztendlich zahlen muss, um sich von einem Datenleck zu erholen.
Langsame Reaktionen auf Datenlecks erhöhen die Kosten
Laut des IBM-Berichts dauert es durchschnittlich 197 Tage, um ein Datenleck zu identifizieren, und weitere 69 Tage, um es einzudämmen – ein leichter Anstieg gegenüber den 191 bzw. 66 Tagen im Jahr 2017. Deutsche und südafrikanische Organisationen sind am schnellsten dabei, Datenlecks zu finden und einzudämmen – insgesamt 171 bzw. 190 Tage –, während Unternehmen im Nahen Osten (350 Tage) und Brasilien (340 Tage) am längsten dafür benötigen.
Es sind wiederum vor allem Unternehmen im Bereich Unterhaltung und Gesundheitswesen, die die längste Zeit dafür benötigen, eine Sicherheitslücke zu erkennen und einzudämmen – durchschnittlich mehr als 300 Tage –, während Finanzdienstleistungs- und Energiesektoren bei der Entdeckung und Sanierung durchschnittlich am schnellsten agieren.
Zeit ist Geld – und das langsame Aufspüren und Aufdecken eines Datenlecks kann sehr kostspielig sein. Wenn Sie mehr als 100 Tage brauchen, um einen Datensicherheitsverstoß zu erkennen, kann Sie das bis zu 1 Million Dollar kosten. Wenn Sie länger als 30 Tage brauchen, um das Leck zu schließen, nachdem Sie es entdeckt haben, kann Sie das sogar noch mehr kosten als das. Investitionen in Überwachungs- und Forensikfähigkeiten könnten daher langfristig wertvoll sein.
Regulierende Datenleck-Meldungen verursachen zusätzliche Kosten
Ein erheblicher Aufwand, mit dem Unternehmen konfrontiert sind, die sich gerade von einem Datenleck erholen, sind die Kosten, die ein ordentliches Meldesystem für Datenlecks verursacht. Dazu gehören die Erstellung von Kontakt-Datenbanken, die Ermittlung von Regulierungsanforderungen, Beratungsgebühren, Postausgaben, E-Mail-Rückmeldungen und mehr. Indien hat bislang die niedrigsten Kosten für Datenleck-Meldungen zu verzeichnen – durchschnittlich gerade einmal 20.000 US–Dollar (ca. 17 Tausend Euro) –, während die USA mit 740.000 US–Dollar (ca. 640 Tausend Euro) die höchsten Melde-Kosten pro Datenleck aufweisen, hauptsächlich aufgrund von diversen Vorschriften zur Meldepflicht bei Datensicherheitsverletzungen.
Jetzt, da die Verordnung der Europäischen Union in Kraft getreten ist, dürften Unternehmen laut Bericht von IBM in Zukunft „enorme Zunahmen auf der ganzen Welt“ beobachten, wenn es um die Kosten für derlei Sicherheitsmeldungen geht. „Die größte Frage bleibt bisher, wann die Geldbußen festgesetzt und welche Präzedenzfälle dafür festgelegt werden“, so Wheeler. „Wenn der erste große Fall auftritt und die Leute erkennen, wie verdammt groß diese feinen Zahlen sein können, werden sich die C-Suites neu durchmischen. Ein wichtiges Detail zum Umgang mit der DSGVO ist, dass Sie ein 72-Stunden-Offenlegungsfenster haben. Und diese Zeit kann sehr, sehr schnell vergehen. Daher müssen Unternehmen die Notwendigkeit zur Vorbereitung wirklich verstehen.“
Mega-Datenlecks können zu hohen indirekten Kosten führen
Wo der Verlust von Tausenden von Datensätzen zur selben Zeit ein häufiges Phänomen darstellt, sind Verletzungen der Equifax-Ebene mit Millionen von Datensätzen zum Glück immer noch relativ selten. Laut IBM könnte ein „Mega-Datenleck“ von 1 Million Datensätzen ein Unternehmen bis zu 40 Millionen Dollar kosten, während der Verlust von 50 Millionen Datensätzen ein Unternehmen ganze 350 Millionen Dollar kosten könnte.
Die indirekten Kosten tragen laut Wheeler wesentlich zu den eigentlichen Kosten bei, wenn ein Datenleck letztlich in diese Kategorie fällt. „Wenn Sie ein Unternehmen sind, das fünfzig Millionen Datensätze verliert, besteht in erster Linie die Erwartung, dass Sie wahrscheinlich ein sehr großes Unternehmen sind, das sicherlich über die finanziellen Mittel verfügt, um ein angemessenes Niveau an Sicherheit zu schaffen. Die Leute werden Ihr vorgehen mitansehen und zu dem Schluss kommen, dass es sich um einen katastrophalen Fehlschlag handelt, und Ihre Kunden werden als Alternative dazu eine genauere Wahl treffen, mit wem sie in Zukunft Geschäfte machen.“
So reduzieren Sie die Kosten: Haben Sie einen Reaktionsplan
Der weit verbreitete Einsatz von unterschiedlichen Verschlüsselungstaktiken, die Automatisierung von Sicherheit, wo immer dies auch möglich ist, und die Verwendung eines Incident-Response-Teams können die potenziellen Kosten eines Datenlecks wesentlich reduzieren, ebenso wie Mitarbeiterschulungen und Cyber-Versicherungen. Doch der größte Kostensparer ist es letztlich, wenn alle im Unternehmen gut genug vorbereitet sind und im Falle eines Datenlecks genau wissen, was sie zu tun haben
„Sie sollten einen Notfallplan haben, und dieser Plan sollte über die gesamte Bandbreite der C-Suite hinweg getestet und geübt werden“, so Wheeler. „Und es sollte mehr sein, als nur ein paar auf dem Papier existente Ratschläge, sondern so nah wie möglich nachahmen, wie sich die reale Welt im Falle des Falls verhalten könnte.“
Die Vorbereitungen für den Ernstfall erfordern ein gutes Verständnis für die Rollen, die jeder im Unternehmen im Falle einer Datensicherheitsverletzung besetzt, und das Wissen darum, welche externen Parteien man kontaktieren und einbringen müsste, um eine externe Kommunikationsstrategie in Kraft zu setzen.
Umgekehrt können eine Drittanbieter-Beteiligung, eine umfangreiche Cloud-Migration oder die Verwendung von IoT-Geräten zum Zeitpunkt des Datenlecks zur potenziellen Kostenbelastung beitragen, ebenso wie der Verlust von Geräten wie Laptops oder Smartphones. Auf die gleiche Weise reduziert eine bessere Vorbereitung die Kosten, während eine unzureichende Vorbereitung sie bloß erhöht. „Wenn das Unternehmen, das sich mit einem Datenleck konfrontiert sieht, keinen Notfall-Reaktionsplan entwickelt hat, werden seine Kosten wesentlich größer sein, weil es sich im Anschluss an die Katastrophe überhaupt erst in diese Richtung orientieren muss.“
So reduzieren Sie die Kosten: Top-Down-Engagement für interne Sicherheit
Laut Wheeler sind solche Unternehmen, die Sicherheit ihres Unternehmens und die Bedrohung durch Datenlecks ernst nehmen, mit niedrigeren Kosten konfrontiert, weil sie allzeit bereit sind, im Falle eines Vorfalls schnell zu handeln. „Datenschutz und Datensicherheit sollten als eine C-Suite-Verpflichtung gehandelt werden und nicht in die alleinige Verantwortung des CSO fallen. Die C-Suite muss die Risiken kennen und verstehen: Wir müssen diese Daten schützen, denn es wäre eine Katastrophe für unser Geschäft; wir müssen die Informationen, die wir über unsere Verbraucher besitzen, schützen.“
Dazu gehören Rechtsanwaltsteams, die die rechtlichen Auswirkungen eines Verstoßes verstehen, Kommunikationsteams, die das Messaging vorbereiten, und Unternehmensleiter, die bereit sind, Verantwortung zu übernehmen. „Im Falle eines groß angelegten Datenlecks werden Sie wahrscheinlich nicht damit durchkommen, einen CSO, der nicht das öffentliche Gesicht Ihrer Firma war, vor die Kamera zu stellen. Ihre Investoren und Ihre Kunden verlangen die höchstrangige Person der Firma, um ihnen mitzuteilen, was passiert ist, was dagegen getan wird und welche Zusicherungen sie geben können.“
Be the first to comment