IBM-Studie beziffert Kosten für Datenschutzpannen

Laut brandneuen Studie von IBM Security sind die Kosten von Datenpannen für Unternehmen weltweit im Zeitraum von 2014 bis 2019 um zwölf Prozent gestiegen – auf durchschnittlich 3,92 Millionen US-Dollar. Die Gründe sieht IBM v.a. in den immer komplexeren Aufklärungsprozessen, die auf kriminelle Attacken folgen. [...]

Besonders für kleine und mittlere Unternehmen sind die Folgen einer Datenpanne finanziell schmerzhaft.
Besonders für kleine und mittlere Unternehmen sind die Folgen einer Datenpanne finanziell schmerzhaft. (c) Pixabay

Seit 2012 führt das Ponemon Institut jährlich die von IBM gesponserte „Cost-of-a-Data-Breach“-Studie durch, in der Hunderte von Kostenfaktoren rund um Datenpannen analysiert werden. Weltweit wurden hierfür 500 Unternehmen befragt. Die untersuchten Unternehmen mit weniger als 500 Mitarbeitern verloren durchschnittlich über 2,5 Millionen US-Dollar (2,2 Mio. Euro) pro Vorfall. Das fällt besonders ins Gewicht, da die meisten Unternehmen dieser Größe einen Jahresumsatz von etwa 50 Millionen US-Dollar (ca. 44,4 Mio. Euro) oder weniger haben. 

Erstmalig langfristige Folgen von Cyberangriffen untersucht

In diesem Jahr wurden erstmals auch die langfristigen finanziellen Folgen von Datenpannen erfasst, die sich teils über Jahre hinziehen können. Während der Großteil (67 Prozent) der von Datenpannen verursachten weltweiten Kosten innerhalb des ersten Jahres nach dem Vorfall anfallen, wiegen 22 Prozent noch im zweiten Jahr danach schwer. Weitere elf Prozent der Kosten sind sogar noch über diesen Zeitraum hinaus spürbar. Diese langfristigen Kosten im zweiten und dritten Jahr nach dem Vorfall fielen höher aus, je stärker reguliert die jeweilige Branche ist – wie im Gesundheitswesen, dem Bankensektor, der Energiewirtschaft oder im Pharmaziebereich.

Wendi Whitmore, Global Lead bei IBM X-Force Incident Response and Intelligence Services, muss leider feststellen: „Cyberkriminalität lohnt sich für Kriminelle, was leider zu hohen Verlusten bei den Unternehmen führt. Neben den Kosten von über 11,7 Milliarden USDollar (10,39 Mrd. Euro) durch Datendiebstahl oder Datenverlust allein in den letzten drei Jahren müssen Unternehmen auch die finanziellen Folgebelastungen berücksichtigen. Denn Datenpannen verursachen auch Jahre nach dem Vorfall Kosten – der Fokus sollte darauf liegen, wie man diese Kosten reduzieren kann.“

Dazu liefert die diesjährige Studie einige Anhaltspunkte:

  • Pannen durch Cyberangriffe am weitesten verbreitet: Über die Hälfte aller Datenpannen war das Ergebnis gezielter Angriffe und verursacht durchschnittlich eine Million US-Dollar (ca. 890.000 Euro) mehr als zufällige Datenpannen.
  • „Mega-Datenpannen“ führen zu Mega-Verlusten: Obwohl nicht so weit verbreitet, verursachen Datenpannen mit über einer Million Datensätzen hochgerechnet satte 42 Millionen US-Dollar (37,3 Mio. Euro) an Verlusten weltweit. Vorfälle mit über 50 Millionen betroffenen Datensätzen verursachen sogar Verluste von bis zu 388 Millionen US-Dollar (ca. 345 Mio Euro) insgesamt. (Die Kostenkalkulationen für sogenannte Mega-Datenpannen beruhen auf Analysen von 14 Unternehmen, ermittelt mit einem Monte-Carlo-Analyseansatz zur Simulation von größerer statistischer Relevanz.)  
  • Übung macht den Meister: Unternehmen mit einem Incident-Response-Team und einem gut getesteten Notfallplan geben 1,23 Millionen US-Dollar (1,09 Mio. Euro) weniger an Kosten durch Datenpannen an, als vergleichbare Unternehmen ohne solche Teams und Pläne. 
  • Pannen im Gesundheitswesen kosten am meisten: Im neunten Jahr in Folge verzeichnet das Gesundheitswesen die höchsten von Datenpannen verursachten Kosten – fast 6,5 Millionen US-Dollar (ca. 5,8 Mio. Euro) im Schnitt, was mehr als 60 Prozent über dem Durchschnitt anderer Branchen liegt.
Die Grafik zeigt, wie sich bestimmte Faktoren auf die Kosten einer Datenpanne auswirken. (c) IBM / Ponemon

Datenangriffe nehmen zu, einfache Pannen gibt es aber weiterhin 

Die Studie zeigt auf, dass gezielte Cyberangriffe die meisten Datenpannen verursachen. Sie sind in den letzten Jahren um 21 Prozent angestiegen und sind am teuersten. Gezielte Angriffe kosten demnach 4,45 Millionen US-Dollar (3,95 Mio. Euro) im Durchschnitt, das ist eine Million mehr als Pannen, die durch technische Systemfehler oder menschliches Versagen entstehen. Letztere zwei Datenpannen sind allerdings ein wachsendes Problem, da sie immer noch rund die Hälfte aller Datenpannen verursachen, was immerhin 3,5 und 3,24 Millionen US-Dollar verursacht.

 Diese Pannen als Folge menschlicher oder technischer Fehler sind aber gleichzeitig eine Möglichkeit, schnell Verbesserungen zu erzielen – und zwar durch Sicherheitstrainings für Mitarbeiter, technische Investitionen und Testservices zur frühzeitigen Identifizierung von Datenunfällen. Die falsche Konfiguration von Cloud-Servern wurde beispielsweise allein im Jahr 2018 zur Gefahr für 990 Millionen Datensätzen. Laut IBM X-Force Threat Intelligence Index 2019 entspricht dies 43 Prozent aller verlorenen Daten dieses Jahres.

Schnell reagieren hilft Kosten sparen 

In den letzten 14 Jahren hat das Ponemon Institut herausgefunden, welche Faktoren die Kosten einer Datenpanne ansteigen oder sinken lassen. Die Geschwindigkeit und Effizienz, mit der ein Unternehmen auf eine Datenpanne reagiert, sind demnach entscheidend für die Gesamtkosten. Die diesjährige Studie stellt heraus, dass der durchschnittliche Lebenszyklus einer Datenpanne 279 Tage umfasst. Das entspricht 206 Tagen, in denen Unternehmen die Panne erkennen und identifizieren und zusätzlichen 73 Tagen, um die Schäden einzudämmen. Unternehmen, die weniger als 200 Tage für Aufdeckung und Eindämmung benötigten, mussten auch 1,2 Millionen US-Dollar (1,07 Mio. Euro) weniger dafür aufwenden.

Eine schnelle Reaktion auf Datenpannen lohnt sich also und steht in direktem Zusammenhang zu den Gesamtkosten. Zwei der wichtigsten Kostensenker sind ein bestehendes Incident-Response-Team und ein gut getesteter Notfallplan. Unternehmen mit beiden Faktoren verzeichneten 1,23 Millionen US-Dollar weniger Gesamtkosten als Mitbewerber, die beides nicht haben (3,51 Millionen im Vergleich zu 4,74 Millionen US-Dollar).

Weitere Faktoren, welche die Kosten einer Datenpanne beeinflussen:

  • Unternehmen, die Werkzeuge für automatisierte Sicherheitstechnologien einsetzen, konnten die Hälfte der Kosten einsparen (2,65 Millionen US-Dollar (2,35 Mio. Euro) im Vergleich zu 5,16 Millionen US-Dollar (4,58 Mio. Euro) im Durchschnitt).
  • Der intensive Einsatz von Verschlüsselungstechnologien ist ebenfalls ein wichtiger Faktor, der die Gesamtkosten einer Datenpanne um 360.000 US-Dollar (ca. 320.000 Euro) senkt. 
  • Datenpannen, die von einem Dritten, wie einem Partner oder Zulieferer, verursacht wurden, schlugen mit zusätzlichen 370.000 US-Dollar (ca. 329.000 Euro) zu Buche. Das zeigt, wie wichtig ein durchgängiges Sicherheitsmodell im gesamten Ökosystem eines Unternehmens ist, mit gemeinsamen Sicherheitsstandards und Zugangsmonitoring zum Firmensystem von außen. 

Regionale und branchenspezifische Trends

Die Studie macht klare Unterschiede zwischen Regionen deutlich. So sind Datenpannen in den USA mit 8,19 Millionen US-Dollar (7,27 Mio. Euro) doppelt so teuer wie der weltweite Durchschnitt. Die Kosten in den USA sind in den letzten 14 Jahren um 130 Prozent angestiegen, von 3,54 Millionen US-Dollar (3,14 Mio. Euro) im Jahr 2006. 

Im Nahen Osten wurden mit etwa 40.000 Datensätzen pro Panne die meisten Daten gestohlen oder sind verloren gegangen. Der weltweite Durchschnitt liegt bei nur 25.500 Datensätzen.

Die komplette Studie „Cost of a Data Breach” 2019 können Interessierte hier herunterladen. 


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*