Wieviel kostet es, wenn Hacker Daten klauen und Systeme unbrauchbar machen?
Wieviel kostet es, wenn Hacker Daten klauen und Systeme unbrauchbar machen?
Diese Frage versucht die jährliche von IBM veröffentlichte Studie „Cost of a Data Breach“ zu beantworten und somit auch die entstehenden Kosten zu analysieren, die Cyberkriminelle mit Angriffen auf unternehmerische Infrastrukturen verursachen. Der aktuelle IBM Report zeigt, dass Datenschutzverletzungen kostspieliger und folgenschwerer denn je zuvor sind – und das auf Kosten der Kundschaft. Denn immerhin 60% der Unternehmen, bei denen es zu Datenschutzverletzungen kam, hoben danach die Preise für ihre Angebote an. Und das in einer Zeit, in der Herstellungskosten inflations- und lieferkettenbedingt weltweit massiv ansteigen. Nun gut. Sehen wir uns diese Ergebnisse einmal genauer an!
IBM Security veröffentlichte am 27. Juli 2022 die alljährliche „Cost of a Data Breach“-Studie 2022. Diese wurde unabhängig vom Ponemon Institute durchgeführt und von IBM Security® gesponsert, analysiert und veröffentlicht.
Untersucht wurden hierbei 550 Unternehmen, die zwischen März 2021 und März 2022 von Datenschutzverletzungen betroffen waren. Diese Verstöße ereigneten sich in 17 Ländern und Regionen sowie in 17 verschiedenen Branchen.
Was bedeutet Data Breach?
Data Breach (deutsch: Datenpanne) beschreibt einen Verstoß gegen die Datensicherheit und den Datenschutz, bei denen personenbezogene Daten oder auch Betriebsgeheimnisse Unberechtigten bekannt oder zugänglich gemacht werden. Andere Worte für Data Breach lauten u.a. Datenschutzverletzung, Datenpanne oder Datenschutzvorfall – und münden meist in einem Sicherheitsvorfall, also einem Vorfall, der die Informationssicherheit gefährdet. Ursachen hierfür können z.B. Hackerangriffe sein, die Nutzung eines unbekanntes USB-Sticks, der Diebstahl eines Smartphones oder die bewusste oder auch unbewusste Weitergabe von Informationen an Unbefugte, beispielsweise am Arbeitsplatz. Data Breaches sind oftmals mit erheblichen Risiken, wie z.B. einer Rufschädigung, einem Kreditkartenmissbrauch oder Identitätsdiebstahl für die Betroffenen verbunden sowie mit gravierenden Nachteilen für Unternehmen.
Aus dieser Studie geht hervor, dass die Kosten für eine Datenschutzvorfall höher und folgenschwerer sind als je zuvor – international wie in Deutschland. Die durchschnittlichen Kosten eines Data Breaches für die befragten Unternehmen haben global betrachtet, mit 4,35 Mio. US-Dollar, einen neuen Höchststand erreicht.
Diese fünf Länder oder Regionen, inklusive Deutschland, haben laut IBM Studie im Jahr 2022 durchschnittlich die höchsten Kosten für Datenschutzverletzungen zu tragen.
Im Durchschnitt betrugen die Kosten für einen Sicherheitsvorfall
1. In den Vereinigten Staaten 9,44 Mio. USD
2. Im Nahen Osten 7,46 Mio. USD
3. In Kanada 5,64 Mio. USD
4. Im Vereinigtes Königreich 5,05 Mio. USD
5. InDeutschland 4,85 Mio. USD
Folgende Erkenntnisse der Studie sind besonders signifikant und bezeichnend:
83% der untersuchten Unternehmen hatten mehr als eine Datenschutzverletzung seit Firmengründung.
60% dieser Datenschutzverletzungen führten bei den untersuchten Unternehmen zu Preiserhöhungen ihrer Produkte und Services.
Die Kosten für IT-Sicherheitsvorfälle sind innerhalb der letzten zwei Jahre um knapp 13% angestiegen.
79% der Unternehmen kritischer Infrastruktur nutzen keine Zero-Trust-Architektur.
Die größten Faktoren für die Kosteneinsparung sind künstliche Intelligenz und Automatisierungstechnologien.
Aus dem „Cost of a Data Breach 2022“ geht hervor, dass 83% der untersuchten Unternehmen bereits mehr als einen Sicherheitsvorfall seit Firmenbestehen erlebt haben. Die Nachwirkungen von Verletzungen der Datensicherheit auf diese Unternehmen zeigen sich teilweise erst lange Zeit nach ihrem Auftreten. Beispielsweise fallen 50% der Kosten für einen Datenklau meist erst ein Jahr nach dem Angriff – oder später an.
79% der untersuchten Unternehmen mit kritischer Infrastruktur – dazu gehören u.a. Unternehmen aus dem Finanzdienstleistungs-, Industrie-, Transport- und Gesundheitssektor – verzichten auf Zero-Trust-Sicherheitsmodelle. So betragen die durchschnittlichen Kosten eines Datendiebstahls 5,4 Mio. US-Dollar – das sind 1,17 Mio. US-Dollar mehr, als bei Unternehmen, die auf Zero Trust setzen.
Bei den untersuchten Unternehmen kritischer Infrastruktur machten laut IBM Bericht Ransomware-Angriffe 28% der Verletzungen der Datensicherheit aus. Bedrohungsakteure versuchen hiermit aktiv, globale Lieferketten zu unterbrechen, die von diesen Unternehmen abhängig sind.
17% der Angriffe auf Unternehmen mit kritischer Infrastruktur sind darauf zurückzuführen, dass vorerst ein Geschäftspartner angegriffen wurde. Hieran wird der Risikofaktor einer zu vertrauensvollen Umgebung deutlich.
37% der untersuchten Unternehmen, die über Incident-Response-Pläne verfügen, testen diese nicht regelmäßig.
62% der untersuchten Unternehmen gaben an, dass sie über zu wenig Personal verfügen, um ihre Sicherheitsstrategie umzusetzen.
Unternehmen, die Lösegeldforderungen nachkamen, haben laut IBM Studie durchschnittlich nur 610.000 US-Dollar niedrigere Kosten für Sicherheitsvorfälle (exklusive Lösegeldbetrag) zu tragen, als jene Unternehmen, die das Lösegeld nicht zahlten. Lösegeld zu zahlen lohnt sich in den seltensten Fällen. Auch, weil man durch das gezahlte Geld höchstwahrscheinlich weitere Angriffe mitfinanziert.
Laut dieses Berichts ist die Phishing-Methode die teuerste Ursache von Datenschutzverletzungen.
Kompromittierte Zugangsdaten sind laut dieser Studie zwar weiterhin die häufigste Ursache einer Datenschutzverletzung (19%), Phishing (mit 16% die zweithäufigste Ursache für Datenschutzverletzungen) ist jedoch die teuerste. Hier kann ein Unternehmen bei einem Sicherheitsvorfall mit durchschnittlichen Kosten von 4,91 Mio. US-Dollar rechnen.
Die höchsten Kosten für Datenschutzverletzungen hat der Gesundheitssektor zu tragen.
Bereits zum 12. Mal in Folge haben die untersuchten Unternehmen aus dem Gesundheitswesen die teuersten Datenschutzverletzungen aller Branchen zu verzeichnen. Die durchschnittlichen Kosten einer Datenschutzverletzung im Gesundheitswesen sind auf ein Rekordhoch von 10,1 Millionen US-Dollar gestiegen.
FAZIT: Welche Lösung bietet also die höchste Sicherheit und Kosteneffizienz?
Laut Studienbericht sind die größten Faktoren für die Kosteneinsparung künstliche Intelligenz und Automatisierungstechnologien. Unternehmen sparen unter Einsatz von KI und Automatisierung durchschnittlich 3,05 Mio. US-Dollar Kosten bei Verletzungen der Datensicherheit im Vergleich zu Unternehmen, die diese Technologien nicht einsetzen.
Der Einsatz von Sicherheits-KI und Automatisierung stieg bei den untersuchten Unternehmen um fast ein Fünftel in zwei Jahren, von 59% im Jahr 2020 auf 70% im Jahr 2022.
43% der untersuchten Unternehmen befinden sich noch ganz am Anfang in Sachen Cloud-Security. Dies resultiert in höheren Kosten eines Sicherheitsvorfalls, da jene Unternehmen durchschnittlich 108 Tage mehr Zeit benötigen, um eine Verletzung der Datensicherheit zu erkennen und einzudämmen, als Unternehmen, die IT-Security-Maßnahmen in allen Bereichen anwenden.
Dabei hebt die Studie hervor, dass 45% der untersuchten Datenschutzverletzungen in der Cloud auftraten – eine Tatsache, welche die Bedeutung der Cloud-Sicherheit erneut unterstreicht.
„Unternehmen müssen in Security-Fragen Angreifern zuvorkommen. […] Dieser Bericht zeigt, dass die richtigen Strategien in Verbindung mit den richtigen Technologien den Unterschied machen, wenn Unternehmen angegriffen werden.“
so Charles Henderson, Global Head of IBM Security X-Force. (Quelle: https://de.newsroom.ibm.com/2022-07-27-Cost-of-a-Data-Breach-Studie-2022)
Wie ihr wisst, stehen wir euch jederzeit zur Verfügung, um mit euch über ein vernünftiges IT-Sicherheitskonzept zu sprechen – und freuen uns, gemeinsam mit euch die Welt zu einem sichereren Ort zu machen.
Eure suresecure
Die vollständige Studie findest du hier zum Download.
Hast du bereits eine Cyberversicherung für den Fall des Auftretens von digitaler Spionage, Sabotage oder Datendiebstahl abgeschlossen? Jetzt und hier Versicherbarkeit prüfen.