IBM-Studie beziffert Kosten für Datenschutzpannen

Laut brandneuen Studie von IBM Security sind die Kosten von Datenpannen für Unternehmen weltweit im Zeitraum von 2014 bis 2019 um zwölf Prozent gestiegen – auf durchschnittlich 3,92 Millionen US-Dollar. Die Gründe sieht IBM v.a. in den immer komplexeren Aufklärungsprozessen, die auf kriminelle Attacken folgen. [...]

Besonders für kleine und mittlere Unternehmen sind die Folgen einer Datenpanne finanziell schmerzhaft.
Besonders für kleine und mittlere Unternehmen sind die Folgen einer Datenpanne finanziell schmerzhaft. (c) Pixabay

Seit 2012 führt das Ponemon Institut jährlich die von IBM gesponserte „Cost-of-a-Data-Breach“-Studie durch, in der Hunderte von Kostenfaktoren rund um Datenpannen analysiert werden. Weltweit wurden hierfür 500 Unternehmen befragt. Die untersuchten Unternehmen mit weniger als 500 Mitarbeitern verloren durchschnittlich über 2,5 Millionen US-Dollar (2,2 Mio. Euro) pro Vorfall. Das fällt besonders ins Gewicht, da die meisten Unternehmen dieser Größe einen Jahresumsatz von etwa 50 Millionen US-Dollar (ca. 44,4 Mio. Euro) oder weniger haben. 

Erstmalig langfristige Folgen von Cyberangriffen untersucht

In diesem Jahr wurden erstmals auch die langfristigen finanziellen Folgen von Datenpannen erfasst, die sich teils über Jahre hinziehen können. Während der Großteil (67 Prozent) der von Datenpannen verursachten weltweiten Kosten innerhalb des ersten Jahres nach dem Vorfall anfallen, wiegen 22 Prozent noch im zweiten Jahr danach schwer. Weitere elf Prozent der Kosten sind sogar noch über diesen Zeitraum hinaus spürbar. Diese langfristigen Kosten im zweiten und dritten Jahr nach dem Vorfall fielen höher aus, je stärker reguliert die jeweilige Branche ist – wie im Gesundheitswesen, dem Bankensektor, der Energiewirtschaft oder im Pharmaziebereich.

Wendi Whitmore, Global Lead bei IBM X-Force Incident Response and Intelligence Services, muss leider feststellen: „Cyberkriminalität lohnt sich für Kriminelle, was leider zu hohen Verlusten bei den Unternehmen führt. Neben den Kosten von über 11,7 Milliarden USDollar (10,39 Mrd. Euro) durch Datendiebstahl oder Datenverlust allein in den letzten drei Jahren müssen Unternehmen auch die finanziellen Folgebelastungen berücksichtigen. Denn Datenpannen verursachen auch Jahre nach dem Vorfall Kosten – der Fokus sollte darauf liegen, wie man diese Kosten reduzieren kann.“

Dazu liefert die diesjährige Studie einige Anhaltspunkte:

  • Pannen durch Cyberangriffe am weitesten verbreitet: Über die Hälfte aller Datenpannen war das Ergebnis gezielter Angriffe und verursacht durchschnittlich eine Million US-Dollar (ca. 890.000 Euro) mehr als zufällige Datenpannen.
  • „Mega-Datenpannen“ führen zu Mega-Verlusten: Obwohl nicht so weit verbreitet, verursachen Datenpannen mit über einer Million Datensätzen hochgerechnet satte 42 Millionen US-Dollar (37,3 Mio. Euro) an Verlusten weltweit. Vorfälle mit über 50 Millionen betroffenen Datensätzen verursachen sogar Verluste von bis zu 388 Millionen US-Dollar (ca. 345 Mio Euro) insgesamt. (Die Kostenkalkulationen für sogenannte Mega-Datenpannen beruhen auf Analysen von 14 Unternehmen, ermittelt mit einem Monte-Carlo-Analyseansatz zur Simulation von größerer statistischer Relevanz.)  
  • Übung macht den Meister: Unternehmen mit einem Incident-Response-Team und einem gut getesteten Notfallplan geben 1,23 Millionen US-Dollar (1,09 Mio. Euro) weniger an Kosten durch Datenpannen an, als vergleichbare Unternehmen ohne solche Teams und Pläne. 
  • Pannen im Gesundheitswesen kosten am meisten: Im neunten Jahr in Folge verzeichnet das Gesundheitswesen die höchsten von Datenpannen verursachten Kosten – fast 6,5 Millionen US-Dollar (ca. 5,8 Mio. Euro) im Schnitt, was mehr als 60 Prozent über dem Durchschnitt anderer Branchen liegt.
Die Grafik zeigt, wie sich bestimmte Faktoren auf die Kosten einer Datenpanne auswirken. (c) IBM / Ponemon

Datenangriffe nehmen zu, einfache Pannen gibt es aber weiterhin 

Die Studie zeigt auf, dass gezielte Cyberangriffe die meisten Datenpannen verursachen. Sie sind in den letzten Jahren um 21 Prozent angestiegen und sind am teuersten. Gezielte Angriffe kosten demnach 4,45 Millionen US-Dollar (3,95 Mio. Euro) im Durchschnitt, das ist eine Million mehr als Pannen, die durch technische Systemfehler oder menschliches Versagen entstehen. Letztere zwei Datenpannen sind allerdings ein wachsendes Problem, da sie immer noch rund die Hälfte aller Datenpannen verursachen, was immerhin 3,5 und 3,24 Millionen US-Dollar verursacht.

 Diese Pannen als Folge menschlicher oder technischer Fehler sind aber gleichzeitig eine Möglichkeit, schnell Verbesserungen zu erzielen – und zwar durch Sicherheitstrainings für Mitarbeiter, technische Investitionen und Testservices zur frühzeitigen Identifizierung von Datenunfällen. Die falsche Konfiguration von Cloud-Servern wurde beispielsweise allein im Jahr 2018 zur Gefahr für 990 Millionen Datensätzen. Laut IBM X-Force Threat Intelligence Index 2019 entspricht dies 43 Prozent aller verlorenen Daten dieses Jahres.

Schnell reagieren hilft Kosten sparen 

In den letzten 14 Jahren hat das Ponemon Institut herausgefunden, welche Faktoren die Kosten einer Datenpanne ansteigen oder sinken lassen. Die Geschwindigkeit und Effizienz, mit der ein Unternehmen auf eine Datenpanne reagiert, sind demnach entscheidend für die Gesamtkosten. Die diesjährige Studie stellt heraus, dass der durchschnittliche Lebenszyklus einer Datenpanne 279 Tage umfasst. Das entspricht 206 Tagen, in denen Unternehmen die Panne erkennen und identifizieren und zusätzlichen 73 Tagen, um die Schäden einzudämmen. Unternehmen, die weniger als 200 Tage für Aufdeckung und Eindämmung benötigten, mussten auch 1,2 Millionen US-Dollar (1,07 Mio. Euro) weniger dafür aufwenden.

Eine schnelle Reaktion auf Datenpannen lohnt sich also und steht in direktem Zusammenhang zu den Gesamtkosten. Zwei der wichtigsten Kostensenker sind ein bestehendes Incident-Response-Team und ein gut getesteter Notfallplan. Unternehmen mit beiden Faktoren verzeichneten 1,23 Millionen US-Dollar weniger Gesamtkosten als Mitbewerber, die beides nicht haben (3,51 Millionen im Vergleich zu 4,74 Millionen US-Dollar).

Weitere Faktoren, welche die Kosten einer Datenpanne beeinflussen:

  • Unternehmen, die Werkzeuge für automatisierte Sicherheitstechnologien einsetzen, konnten die Hälfte der Kosten einsparen (2,65 Millionen US-Dollar (2,35 Mio. Euro) im Vergleich zu 5,16 Millionen US-Dollar (4,58 Mio. Euro) im Durchschnitt).
  • Der intensive Einsatz von Verschlüsselungstechnologien ist ebenfalls ein wichtiger Faktor, der die Gesamtkosten einer Datenpanne um 360.000 US-Dollar (ca. 320.000 Euro) senkt. 
  • Datenpannen, die von einem Dritten, wie einem Partner oder Zulieferer, verursacht wurden, schlugen mit zusätzlichen 370.000 US-Dollar (ca. 329.000 Euro) zu Buche. Das zeigt, wie wichtig ein durchgängiges Sicherheitsmodell im gesamten Ökosystem eines Unternehmens ist, mit gemeinsamen Sicherheitsstandards und Zugangsmonitoring zum Firmensystem von außen. 

Regionale und branchenspezifische Trends

Die Studie macht klare Unterschiede zwischen Regionen deutlich. So sind Datenpannen in den USA mit 8,19 Millionen US-Dollar (7,27 Mio. Euro) doppelt so teuer wie der weltweite Durchschnitt. Die Kosten in den USA sind in den letzten 14 Jahren um 130 Prozent angestiegen, von 3,54 Millionen US-Dollar (3,14 Mio. Euro) im Jahr 2006. 

Im Nahen Osten wurden mit etwa 40.000 Datensätzen pro Panne die meisten Daten gestohlen oder sind verloren gegangen. Der weltweite Durchschnitt liegt bei nur 25.500 Datensätzen.

Die komplette Studie „Cost of a Data Breach” 2019 können Interessierte hier herunterladen. 


Mehr Artikel

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*