15.09.2022
Bereits seit 17 Jahren veröffentlicht IBM Security die jährliche Studie „Cost of a Data Breach“, die sich mit der Entwicklung der Kosten beschäftigt, die für Datenschutzverstöße auf Unternehmensseite anfallen. Zu diesem Zweck wurden Daten aus 17 Ländern und 17 Industriezweigen analysiert. Das Ergebnis: Die Kosten für einen Datenschutzverstoß steigen nicht nur für Unternehmen. Auch für Kunden bedeutet dies Mehrkosten, da zahlreiche Unternehmen die entstandenen Kosten an diese weitergeben.
Betrugen die durchschnittlichen Kosten für einen Datenschutzverstoß im Jahr 2020 noch 3,86 Mio. US-Dollar, so seien laut der Studie im Jahr 2022 bereits Kosten in Höhe von 4,35 Millionen US-Dollar entstanden. In dem Zweijahreszeitraum sei mithin ein Anstieg von 12,7 Prozent zu verzeichnen gewesen. Dabei ist zu beachten, dass die Studie nicht nur Daten aus Europa berücksichtigt und daher der Anstieg nicht allein durch das Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO) zu erklären ist. Gleichwohl wird der Anteil der DS-GVO nicht unerheblich sein, da diese zur Verhängung von enormen Bußgeldern gegen Google (90 Millionen Euro), WhatsApp (225 Millionen Euro) oder Amazon (746 Millionen Euro) geführt hat.
Mit diesem Anstieg einher gehen laut der Studie erhöhte Kosten für Produkte und Services auf Seiten der Kunden, da ganze 60 Prozent der untersuchten Unternehmen ihre Preise aufgrund der gestiegenen Kosten für Datenschutzverstöße angehoben hätten.
Ein Blick auf die „Top 3“ der Datenschutzverstöße überrascht wenig: häufigste Datenschutzverstöße, so die Studie, waren gestohlene oder kompromittierte Anmeldedaten (19 Prozent), Phishing (16 Prozent) sowie eine Fehlkonfiguration der Cloud (15 Prozent). Hinsichtlich der Häufigkeit „nur“ auf dem zweiten Platz, mittlerweile aber als teuerste Ursache etabliert, habe sich das sog. Phishing. Ein solcher Angriff auf die IT-Infrastruktur verursache durchschnittliche Kosten von 4,91 Millionen US-Dollar.
Zugleich sei festgestellt worden, dass sich die Zahlung eines Lösegeldes – etwa im Falle eine Ransomware-Attacke – für die betroffenen Unternehmen aus finanzieller Sicht wenig lohne. Zwar wiesen diese um 610.000 US-Dollar niedrigere durchschnittliche Kosten für einen Datenschutzverstoß auf, jedoch habe die durchschnittliche Lösegeldzahlung wiederum 812.000 US-Dollar betragen. Außerdem sei zu berücksichtigen, dass durch die Zahlung eines Lösegeldes ungewollt künftige Ransomware-Attacken finanziert werden. Im Falle einer Ransomware-Attacke sei vielmehr ein funktionierendes Incident-Response-Playbook (IR) entscheidend. Selbst wenn ein solches Sicherheitskonzept besteht, würde dieses aber von bis zu 37 Prozent der Unternehmen nicht regelmäßig getestet.
Ohnehin habe sich laut IBM Security gezeigt, dass die technischen Sicherheitsmaßnahmen bei vielen Unternehmen unzureichend seien. Dies liege schon darin begründet, dass zahlreiche Unternehmen nach eigener Auskunft nicht über ausreichend Sicherheitspersonal (62 Prozent) verfügen. Ein solcher Mangel wirke sich direkt auf die durchschnittlichen Kosten für einen Datenschutzverstoß aus, fielen diese doch um durchschnittlich 550.000 US-Dollar niedriger aus, wenn ein Unternehmen nach eigenen Angaben über ausreichend Personal verfügt.
Des Weiteren sei zu beobachten, dass Unternehmen der kritischen Infrastruktur – etwa aus dem Finanzdienstleistungs-, Industrie-, Transport- und Gesundheitssektor – trotz Empfehlungen oftmals kein sog. Zero-Trust-Sicherheitsmodell implementiert hätten. Im Bereich der kritischen Infrastruktur würden laut Studie lediglich 21 Prozent der Unternehmen eine solche risikobasierte Strategie nutzen. In anderen Bereichen sei der Anteil immerhin auf 41 Prozent gestiegen. Dabei wirke sich ein Zero-Trust-Sicherheitsmodell insofern positiv auf die Kosten von Datenschutzverstößen aus, als dass diese im Durchschnitt um 1 Million US-Dollar sinken.
Ein weiteres wiederkehrendes Problem betreffe Sicherheitslücken in Clouds. Demnach befänden sich 43 Prozent der untersuchten Unternehmen noch in einem frühen Stadium der Umsetzung von Sicherheitsmaßnahmen in ihren Cloudumgebungen oder hätten sogar noch gar nicht damit begonnen. Ein solcher Mangel wirke sich durchschnittlich in mehr als 660.000 US-Dollar höheren Kosten für Datenschutzverstöße aus.
Bedenklich sei zudem, dass 83 Prozent der untersuchten Unternehmen während ihres Bestehens bereits mehr als einen Datenschutzverstoß erlebt haben. Dies verdeutliche die Zunahme von Cyberattacken, zeige aber zugleich die immer noch bestehenden Mängel in der IT-Sicherheit. Dies ist aus unternehmerischer Sicht auch deswegen problematisch, als dass fast 50 Prozent der Kosten für Datenschutzverstöße erst mehr als ein Jahr nach dem Vorfall anfielen, was die finanzielle Planung deutlich erschwert.
Die Studie identifizierte die Verwendung einer Hybrid-Cloud-Umgebung als vorteilhaft gegenüber einem reinen Public- oder Private-Cloud-Modell. Während bei der Nutzung einer Hybrid-Cloud-Umgebung im Falle von Datenschutzverstößen durchschnittlich Kosten in Höhe von 3,8 Millionen US-Dollar entstanden, betrugen diese bei einer reinen Public- oder Private-Cloud 5,02 Millionen US-Dollar bzw. 4,24 Millionen US-Dollar. Dies sei auch dadurch begründet, dass die Anwender einer Hybrid-Cloud in der Lage seien, Datenschutzverletzungen durchschnittlich 15 Tage früher zu erkennen und einzudämmen als der globale Durchschnitt, der 277 Tage benötigte.
Eine weitere kostenschonende Maßnahme stelle laut Studie die Nutzung einer sog. XDR-Technologie (Extended detection and response) dar. Bei Unternehmen, welche diese Technologie verwendeten, verkürzte sich die Zeit zur Erkennung und Eindämmung von Datenschutzverstößen um durchschnittlich einen Monat im Vergleich zu Unternehmen, die XDR nicht implementiert haben.
Schließlich könne der Einsatz Künstlicher Intelligenz (KI) im IT-Sicherheitsbereich für die größte Kostenreduzierung auf Unternehmensseite sorgen. So habe die Datenauswertung ergeben, dass Unternehmen mit entsprechender KI ein Datenschutzverstoß durchschnittlich bis zu 3,05 Millionen US-Dollar weniger kostete als Unternehmen, welche keine KI einsetzen.
Die veröffentlichte Studie zeigt eindrücklich, dass noch immer zu viele Unternehmen das Thema IT-Sicherheit nicht ernst genug nehmen. Cyber-Attacken nehmen stetig zu, und werden Unternehmen ohne ausreichende IT-Sicherheit von ihnen getroffen, kann dies nicht nur in empfindlichen behördlichen Bußgeldern oder Schadensersatzansprüchen resultieren. Durch Ransomware-Attacken können ganze Unternehmen lahmgelegt werden, und der Image-Schaden in diesen Fällen ist immens. So zeit- und kostenintensiv die Implementierung von IT-Sicherheitsmaßnahmen und Datenschutz-Modellen auch sein mag, wird es doch Zeit, dass sich die Erkenntnis durchsetzt, dass ein proaktiver Schutz im Endeffekt kostengünstiger ist.
Maximilian Plote
maximilian.plote@luther-lawfirm.com
Tel: +49 221 9937 10037