Durchschnittliche Kosten eines Datenschutzverstoßes: $3,86 Millionen

data breach

Eine neue IBM-Studie zeigt, dass die Komplexität von Sicherheitssystemen und die Cloud-Migration die Kosten von Sicherheitsverletzungen erhöhen können.

Die jüngste Ausgabe der jährlichen IBM-Studie über die Kosten eines Datenschutzverstoßes zeigt, dass die Komplexität des Sicherheitssystems und das Testen der Reaktion auf Vorfälle zwei Faktoren sind, die den größten Einfluss auf die Gesamtkosten eines Verstoßes haben.

Die IBM-Studie 2020 - durchgeführt vom Ponemon Institute - basiert auf Daten, die von Führungskräften in 524 Organisationen auf der ganzen Welt gesammelt wurden, die zwischen August2019 und April 2020 eine Datenverletzung erlebt haben. Für die Zwecke der Studie berücksichtigte Ponemon nur Datenschutzverstöße, die zwischen 3.400 und 99.730 kompromittierte Datensätze betrafen.

Um zu berechnen, wie viel ein Datenschutzverstoß ein Unternehmen möglicherweise am Ende gekostet hätte, berücksichtigte die Studie die Kosten, die mit vier prozessbezogenen Aktivitäten verbunden sind: die Kosten, die mit der Aufdeckung eines Datenschutzverstoßes verbunden sind, einschließlich Untersuchungs- und Forensikaktivitäten, Bewertung und Prüfung; Benachrichtigungskosten; entgangene Geschäftsabschlüsse aufgrund von Systemausfallzeiten und -unterbrechungen und; Rechtskosten und Kosten im Zusammenhang mit Aktivitäten wie der Bereitstellung von Helpdesk-Diensten, Kreditüberwachung und ID-Schutz für die Opfer.

Die Analyse ergab, dass eine Datenverletzung Unternehmen während des neunmonatigen Zeitraums der Studie weltweit 3,86 Millionen Dollar pro Vorfall kostete. In den USA waren die durchschnittlichen Kosten eines Datenschutzverstoßes mit durchschnittlich 8,64 Millionen Dollar wie üblich mehr als doppelt so hoch. Organisationen des Gesundheitswesens auf der ganzen Welt haben mit 7,13 Millionen Dollar im Durchschnitt erneut mehr für einen Datenschutzverstoß ausgegeben als Organisationen in irgendeinem anderen Sektor.

Obwohl die Kosten im Zusammenhang mit einem Sicherheitsverstoß für viele Organisationen stiegen,lag der weltweite Durchschnitt mit 3,86 Millionen Dollar selbst geringfügig unter den im letzten Jahr gemeldeten 3,92 Millionen Dollar. Das lag daran, dass es in der 2020-Studie mehr Organisationen mitausgereiften Sicherheitspraktiken und damit wesentlich geringeren Kosten für Sicherheitsverletzungen gab als im Jahr 2019.

Die IBM/Ponemon-Studie zeigte, dass die Gesamtkosten für Datenverstöße bei Organisationen, die von einer komplexen Sicherheitssystemumgebung berichteten, im Durchschnitt fast 292.000 US-Dollar höher waren als bei Unternehmen, die nicht das gleiche Problem hatten. Andere Faktoren, die die durchschnittlichen Kosten eines Sicherheitsverstoßes erheblich erhöhten, waren die Cloud-Migration (267.469 US-Dollar), der Mangel an Sicherheitskompetenzen (257.429 US-Dollar) und Konformitätsmängel (255.626 US-Dollar).

Gleichzeitig hob die Studie mehrere andere Faktoren hervor, die dazu beitragen können, die Kosten eines Sicherheitsverstoßes für Unternehmen zu senken. Beispielsweise gaben Unternehmen, die ihre Pläne zur Reaktion auf Vorfälle regelmäßig testeten, am Ende etwa 295.000 USD weniger für bruchbedingte Kosten aus als der weltweite Durchschnitt, während Unternehmen mit einem Business-Continuity-Plan etwa 279.000 USD weniger ausgaben. Weitere Kosten mindernde Faktoren waren Tests durch Red Teams (243.185 USD), KI-aktivierte Reaktion (259.354 USD) und Mitarbeiterschulungen (238.019 USD).

Charles DeBeck, strategischer Analyst für Cyber-Bedrohungen beim X-Force IRIS Incident Response Team von IBM, sagt, ein bemerkenswerter Punkt aus dem Bericht sei der Unterschied bei den Kostenfür die Behebung von Sicherheitsverletzungen zwischen Unternehmen, die ihre Reaktion auf Bedrohungen automatisiert haben, und solchen, die dies nicht getan haben.

Wachsendes Kostengefälle

"Ich sehe vor allem das wachsende Kostengefälle", sagt DeBeck. "Unternehmen, die in fortschrittlicheTechnologien investieren und die Vorbereitung ihrer Reaktion auf Vorfälle üben, haben deutlich niedrigere Kosten, während diejenigen, die sich nicht vorbereitet haben, ihre Kosten von Jahr zu Jahr steigen sehen.

Tatsächlich beliefen sich die durchschnittlichen Kosten für einen Verstoß für eine Organisation mit einem IR-Team, das regelmäßige Tests einschließlich Übungen durchführte, auf 3,29 Millionen Dollar,während diejenigen, die weder das eine noch das andere getan haben, 5,29 Millionen Dollar ausgaben.

Die IBM/Ponemon-Studie zeigte, dass der Angriffsvektor, die Art der kompromittierten Daten und dieZeit, die eine Organisation brauchte, um einen Verstoß zu entdecken, einen wesentlichen Einfluss aufdie endgültigen Kosten des Verstoßes hatten.

Beispielsweise waren die durchschnittlichen Kosten eines Sicherheitsbruchs bei Vorfällen, bei denen gestohlene oder kompromittierte Zugangsdaten für den Zugriff auf das Netzwerk einer Organisation verwendet wurden, um fast 1 Million Dollar höher. Ein Grund dafür könnte sein, dass die Berechtigungsnachweise den Angreifern eine Möglichkeit bieten, länger unentdeckt zu bleiben, sagt DeBeck. "Infolgedessen könnte der Kompromiss umfangreicher sein, was sich auf die Kosten auswirken würde.

Angriffe unter Beteiligung nationalstaatlicher Akteure, die 13% der Verstöße in der IBM-Studie ausmachten, waren mit 4,4 Millionen Dollar pro Vorfall ebenfalls teuer.

In ähnlicher Weise kosteten Datenverstöße, an denen persönlich identifizierbare Informationen beteiligt waren, Organisationen im vergangenen Jahr mehr als Verstöße, die Mitarbeiterdaten und andere Arten sensibler Daten betrafen. PII waren nicht nur die Daten, die am häufigsten verletzt wurden, sondern auch die teuersten, mit rund 150 US-Dollar pro verletztem Datensatz weltweit und 175 US-Dollar pro Datensatz in den USA.

"Ein wahrscheinlicher Grund dafür ist, dass personenbezogene Daten oft in großen Mengen verloren gehen", sagt DeBeck. "Häufig werden personenbezogene Daten zusammen gespeichert. Wenn also ein Bedrohungsakteur gegen eine Organisation verstößt und sich diese Daten aneignet, kann dies dazu führen, dass all diese Daten verloren gehen, was sehr hohe Kosten verursachen kann.

Die Zeit, die eine Organisation benötigt, um einen Verstoß aufzudecken, wirkt sich auch auf die Kosten des Verstoßes aus. Die in der IBM/Ponemon-Studie untersuchten Organisationen benötigten durchschnittlich 280 Tage, um einen Verstoß aufzudecken und einzudämmen. Wenn ein Opfer in der Lage war, einen Verstoß in weniger als 200 Tagen aufzudecken und einzudämmen, sanken die Gesamtkosten des Verstoßes im Durchschnitt um etwa 1,1 Millionen Dollar.

"Die größte Auswirkung auf die Kosten eines Sicherheitsverstoßes sehen wir in der Fähigkeit einer Organisation, schnell auf einen Angriff zu reagieren, und ein großer Teil davon hängt mit der Planung und Vorbereitung zusammen", sagt Debeck. Die Technologie, insbesondere diejenige, die eine Automatisierung ermöglicht, kann ebenfalls eine große Rolle bei der Beschleunigung der Reaktion und der Senkung der Gesamtkosten von Sicherheitsverletzungen spielen, sagt er.

Über den Autor: Uwe Poltoranin
Datenschutzbeauftragter (DGI / bitkom) Datenschutzbeauftragter (TüV Rheinland Akademie) IT-Sicherheitsbeauftragter (TüV Rheinland Akademie)
BSI Grundschutz Praktiker (DGI), ISMS-Prüfer / leitender Prüfer nach ISO / IEC 27001 ( ISACA), IT-Risikomanager (DGI)
Projektmanagement IPMA® Level C, ITIL®Foundation Level, PRINCE2® Foundation Level, Certified Scrum Master - Scrum Product Owner
Nach oben scrollen