Neue Studie: Was kostet Unternehmen eine Datenschutzverletzung?

Veröffentliche eine Notiz:

Eine Datenschutzverletzung kann Unternehmen teuer zu stehen kommen. Wie teuer, diese Frage beantwortet die jährlich erscheinende „Cost of a Data Breach“-Studie von IBM Security und dem Ponemon-Institut, die mittlerweile in ihrer siebzehnten Auflage vorliegt.

Die Besonderheit der Studie liegt in der detaillierten Analyse realer Datenschutzverletzungen aus dem Zeitraum von Mai 2020 bis März 2021. Hierzu wurden mehr als 500 Unternehmen weltweit befragt. Allein aus Deutschland sind die Daten von 35 betroffenen Unternehmen in die Studie eingeflossen. Das Ergebnis zeigt einen Anstieg der durchschnittlichen Kosten für Sicherheitsvorfälle um 10% auf ein bisher nie gemessenes Niveau. Demnach kostet eine Datenschutzverletzung einem deutschen Unternehmen im Durchschnitt 4,11 Millionen Euro. Deutschland bleibt damit auf Platz vier der teuersten Märkte für Datenpannen.

Bereits im Report des vergangenen Jahres haben Unternehmen einen pandemiebedingten Anstieg der Schadenssummen erwartet. Nun zeigt sich, dass sie damit richtig lagen. Insbesondere die schnelle Umstellung auf Homeoffice und andere Formen der Distanzarbeit haben zu dem nicht unerwarteten Kostenanstieg beigetragen. Den größten Teil der Kosten machen dabei Geschäftsausfälle aus. Dazu zählen eine erhöhte Kundenfluktuation, entgangene Umsätze aufgrund von Systemausfällen und steigende Kosten für die Akquise. Wenn über Schadenssummen gesprochen wird, so bekommen Ransomware-Angriffe eine besondere Bedeutung. In der Studie hatten gut 8% der Vorfälle einen solchen Hintergrund. Die Schadenssummen dieser Attacken lagen dabei deutlich über dem Durchschnitt, mögliche Lösegeldzahlungen gar nicht in Betracht gezogen.. Wenn wir uns die aktuelle Entwicklung anschauen, so können wir davon ausgehen, dass wir in der kommenden Studie einen deutlichen Anstieg der Angriffe mit Ransomware-Hintergrund verzeichnen werden.

Hoher Schaden durch kompromittierte E-Mails

Interessante Erkenntnisse liefert die Studie auch bei der Analyse der initialen Angriffsvektoren, die ursächlich für die Datenschutzverletzung sind. Etwa 21 Prozent der untersuchten Fälle waren dabei auf kompromittierte Anmeldeinformationen zurückzuführen. Hier dauerte auch die Erkennung des Vorfalls mit durchschnittlich 250 Tagen am längsten. Beachtenswert ist allerdings, dass die höchsten Schadenssummen durch kompromittierte Geschäfts-E-Mails verursacht wurden.

Wichtiger Bestandteil der Studie ist in jedem Jahr die Betrachtung der Faktoren, die einen positiven oder negativen Einfluss auf die zu erwartenden Schadenssummen haben. Wenn es darum geht, die Kosten eines Vorfalls zu reduzieren stellen sich zwei Faktoren als besonders effektiv heraus: Zum einen sind dies die Incident-Response-Fähigkeiten eines Unternehmens. Insbesondere die Bildung von Incident-Response-Teams und das Testen der Incident-Response-Pläne führten zu einer Reduzierung der durchschnittlichen Schadenshöhe um mehr als 55%. Dieser Wert wurde lediglich von einem hohen Reifegrad an Sicherheits-KI und Automatisierung übertroffen, also die Maßnahmen die dabei helfen, Vorfälle frühzeitig zu erkennen, ihnen entgegen zu wirken um so den Lebenszyklus einer Datenschutzverletzung zu reduzieren.

Best-of-Bread-Ansatz rächt sich

Auf der anderen Seite der Liste finden sich die Faktoren, die zu einer teilweise drastischen Erhöhung der Schadenssumme führen. Hierbei handelt es sich zum Beispiel um eine hohe Komplexität in der Sicherheitslandschaft eines Unternehmens. Hier rächt sich der in vielen Unternehmen gelebte Best-of-Bread-Ansatz der vergangenen Jahre. Maßnahmen wie der Einsatz von Security-Plattformen sind geeignet, hier deutlich Abhilfe zu schaffen. An der Spitze der Faktoren steht jedoch die Cloud-Migration. Die Studie zeigt deutlich, wie sehr das Thema Sicherheit durch die beschleunigte Digitalisierung ins Hintertreffen geraten ist: 60 Prozent der Unternehmen migrierten während der Pandemie in die Cloud. Das Thema Sicherheit spielte dabei offensichtlich eine zweitrangige Rolle.

Beim Thema Cloud-Nutzung lohnt es sich, etwas genauer hinzuschauen. Interessant ist dabei die Tatsache, dass die reine Public Cloud-Nutzung zu einer erheblichen Erhöhung der durchschnittlichen Schadenssumme führt. Unternehmen, die auf die Herausforderungen der Digitalisierung mit einer Hybrid Cloud-Infrastruktur reagierten, haben mit deutlich unter dem Durchschnitt liegenden Schadenssummen zu rechnen.

“Zero-Trust” kann Risiko deutlich verringern

Gerade im Kontext der Cloud-Nutzung ist eines der am meisten diskutierten Themen der vergangenen Monate “Zero Trust”. Grund genug für die Studie sich erstmals diesem Thema anzunehmen. Das Ergebnis ist wenig überraschend und zeigt die Wirksamkeit des Ansatzes. Wie sicher Zero Trust schützt ist dabei stark abhängig vom Reifegrad der Implementierung. Jedoch wird deutlich, dass eine vollständig umgesetzte Zero-Trust-Strategie nicht nur das Risiko verringert, Opfer einer Datenschutzverletzung zu werden, sondern auch die finanziellen Folgen einer solchen Verletzung reduziert.

Welchen Maßstab wir auch anlegen, am Ende geht es immer darum die Zeit zu reduzieren in der ein Angriff unbemerkt bleibt. In Deutschland liegt der Lebenszyklus einer Datenschutzverletzung, also die Zeit zwischen Angriff, Identifizierung und Eindämmung, im Durchschnitt bei 151 Tagen. Dank eines überdurchschnittlich hohen Einsatzes an Security Automation und KI steht Deutschland im internationalen Vergleich gut da, denn dieser liegt bei 287 Tagen. Zur Verdeutlichung: Bei diesem Tempo ist eine Datenschutzverletzung, die sich am 1. Januar ereignet, erst am 14. Oktober abgeschlossen – deutsche Unternehmen hingegen hätten den Vorgang bereits am 1. Juni beendet. Das ist deshalb wichtig, da die Schadenssummen mit zunehmender Dauer des Vorfalls stark steigen. Die komplette „Cost of a Data Breach”-Studie 2021 steht online zum Download zur Verfügung.