Die 7 wichtigsten Erkenntnisse aus dem IBM Cost of a Data Breach Report 2020

Das Jahr 2020 hat uns einige tiefgreifende Lektionen in puncto Cybersicherheit und Datenschutz erteilt. Während beispiellose Massen von Menschen zum Home-Office und Fernunterricht gewechselt sind undUnternehmen ums Überleben gekämpft haben, sind Cyberangriffe auf dem Vormarsch. Unsere Abhängigkeit von Daten war nie so groß wie heutzutage. Und folglich können die Konsequenzen und Kosten von Datenpannen für Unternehmen jeglicher Größe äußerst verheerend sein.

Am 1. Juni 2020 wurde die medizinische Forschungsabteilung der University of California in San Francisco, die an einem Impfstoff gegen COVID-19 arbeitet, kompromittiert. Hacker erpressten ein Lösegeld in Höhe von 116,4 Bitcoins (1,14 Millionen US-Dollar) von dem Forschungsinstitut, um die verschlüsselten Daten wiederherzustellen. Entgegen der allgemeinen Empfehlungen von Experten entschied sich die Universität das Lösegeld zu zahlen, da ihre für ihre Arbeit kritisch für das Gemeinwohl ist.

Die Höhe dieses Lösegelds allein bedeutet einen schweren Verlust für die Organisation und dennoch ist dies nur ein Bruchteil der mit der Datenpanne verbundenen Ausgaben. Was sind also die tatsächlichen Kosten einer Datenpanne? Auf diese Frage mit einem nominalen Wert zu antworten mag für Führungskräfte im Bereich Sicherheit nicht zufriedenstellend sein, wenn es um Risikoverminderung und Betriebskontinuität geht - besonders im aktuellen Kontext disruptiver Veränderungen und flächendeckender Remote-Arbeit.

In dieser Hinsicht ist IBMs Cost of a Data Breach Report weit mehr als eine Übersicht über potenzielle Kostenelemente. Die auf einer Basis von Interviews mit 524 Organisationen erstellte Analyse bietet Unternehmen aufschlussreiche Details über Kostenkomponenten, Ursachen, Datentypen und präventive Sicherheitsmaßnahmen. Um Ihnen eine Orientierung zu möglichen Kosten von Datenpannen anzubieten, haben wir nachstehend die wichtigsten Ergebnisse der Studie zusammengefasst.

1. Trotz des leichten Rückgangs in den Kosten für Datenpannen zahlen viele Unternehmen immer noch viel mehr

Es mag verwunderlich sein, dass die durchschnittlichen Kosten für Datenpannen im Vergleich zum letzten Jahr auf 3,86 Millionen US-Dollar gesunken sind. Beim näheren Betrachten der Ergebnisse stellt sich jedoch heraus, dass die Kosten für Unternehmen mit mangelnden Sicherheitsmaßnahmen viel höher ausfallen als für diejenigen, die auf fortschrittliche Sicherheitsautomatisierung setzen.

2. Datenpannen sind weiterhin am kostspieligsten im Gesundheitssektor und in den USA

Nach wie vor erleidet das Gesundheitswesen die höchsten Kosten für Datenpannen in Höhe von durchschnittlich 7,13 Millionen US-Dollar, was ein Anstieg von 10% gegenüber letztem Jahr bedeutet. Der übermäßige Druck, dem medizinische Institute im Zuge von COVID-19 standhalten mussten, ist nur ein einzelner Faktor, der den Sektor zur attraktiven Zielscheibe für Hacker macht. Patientendaten sind viel Geld wert und Gesundheitsinstitute hinken hinterher, wenn es um den Einsatz sicherer Technologien geht.

Während 12 von 16 Ländern eine Erhöhung der Durchschnittskosten erlebten, sind Datenpannen mit durchschnittlichen Kosten in Höhe von 8,64 US-Dollar in den Vereinigten Staaten am teuersten.

3. Remote-Arbeit wegen COVID-19 treibt die Kosten und die Reaktionszeit in die Höhe

Jede zweite Organisation (54%) berichtet darüber, dass ihre Mitarbeiter während der Pandemie ins Home-Office gewechselt sind. Die Teilnehmer geben an, dass die neue Arbeitsweise die Zeitspanne für die Erkennung und Behebung einer Datenpanne verlängert. 70% der Unternehmen mit über die Entfernung arbeitendem Personal sind der Überzeugung, dass Remote-Arbeit die mit einer potenziellen Datenpanne verbundenen Kosten erhöhen wird.

4. Personenbezogene Kundendaten sind in höchster Gefahr und am teuersten

80% der Datenpannen zielten auf personenbezogene Kundendaten (personally identifiable information, PII) ab, während geistiges Eigentum in 30% der Fälle kompromittiert wurde. Aus der Studie geht zudem hervor, dass personenbezogene Daten mit einem Wert von 150 US-Dollar pro kompromittiertem Datensatz der kostspieligste Datentyp sind.

5. Bösartige Angriffe sind die häufigste und kostspieligste Ursache

52% der Datenpannen können auf bösartige Angriffe zurückgeführt werden und kosten 4,27 Millionen US-Dollar im Durchschnitt. Den Wert der Daten auszuschöpfen ist nicht nur für Unternehmen verlockend, auch Cyberkriminelle finden dies lukrativ. Die durch COVID-19 erzwungene und oft unvorbereitete Digitalisierung war anscheinend auch für böswillige Menschen ein günstiger Umstand.

Während 53% der Datenpannen von finanziell motivierten Cyberkriminellen verursacht worden sind, waren kompromittierte Authentifizierungsdaten und eine falsch konfigurierte Cloud für 19% der bösartigen Angriffe verantwortlich. Schwachstellen in Drittanbieter-Software (16%) und Phishing (14%) zählen immer noch zu den häufigsten Ursachen.

6. Sicherheitsautomatisierung trägt effektiv zur Kostensenkung bei

Unternehmen ziehen aus Sicherheitsautomatisierung und der Nutzung von künstlicher Intelligenz, maschinellem Lernen und automatisierter Orchestrierung immer mehr Nutzen. Länder wie die Vereinigten Staaten und Deutschland zeichnen sich durch einen hohen Automatisierungsgrad aus und einige Sektoren, darunter Kommunikation, Technologie und Einzelhandel, gehören zu den frühzeitigen Anwendern der neuen Sicherheitstechnologien.

Die positive Auswirkung dieses Ansatzes geht aus den Ergebnissen klar hervor: Mit Durchschnittskosten in Höhe von 6,03 Millionen US-Dollar haben Unternehmen ohne Sicherheitsautomatisierung zweimal so viel zu zahlen wie Organisationen mit automatisierten Sicherheitsabläufen.

7. Geschäftsverluste sind der umfangreichste Kostenfaktor

Wenn es um die Ausgaben nach einer Datenpanne geht, sind die sich im Laufe der Zeit anhäufenden Kosten wie ein ins Wasser geworfener Stein – dieser wird immer und immer größere Kreise ziehen. Es kann sein, dass die aus Vorfallerkennung, regulatorischen Geldbußen und Gerichtsverfahren resultierenden unmittelbaren Kosten sofort erkennbar sind. Dennoch erleben die Unternehmen den tiefsten Schock infolge der versteckten Kosten.

Dem Bericht zufolge entstanden 40% der durchschnittlichen Gesamtkosten aus Geschäftseinbußen. Betriebsunterbrechung, gebrochenes Kundenvertrauen und negative Presse – all dies hat einen ungünstigen Einfluss auf den Umsatz und kann das Wachstum langfristig ins Stocken bringen. Besonders stark regulierte Sektoren wie Gesundheits- und Bildungswesen, Technologie, Pharma- und Finanzindustrie erlitten erhebliche langfristige Kosten.

Indem typische Verwundbarkeiten und die weitreichenden Folgen von Datenpannen dargestellt werden, können die Erkenntnisse des Berichtes Unternehmen dabei helfen, sich in die Denkweise der Hacker hineinzuversetzen und ihre Strategie mit Fokus auf Sicherheit zu erarbeiten.

Ein zentrales Ergebnis der Studie ist, dass personenbezogene Kundendaten zu den attraktivsten und wertvollsten Datentypen für Hacker gehören. Dies sollte bei den Unternehmen die Alarmglocken läuten lassen und sie dazu bewegen, zu sicheren, Ende-zu-Ende-verschlüsselten Services zu wechseln, wenn es um die Zusammenarbeit mit Kunden und externen Partnern oder um die Integration von Drittanbieter-Diensten geht. Kundenvertrauen ist das wertvollste Asset Ihrer Organisation. Und dennoch unterschätzen Unternehmen zu oft die Bedeutung der sicheren Handhabung von Kundendaten und neigen dazu, Sicherheit auf dem Altar der Bequemlichkeit zu opfern.