Kleine Datenpannen – große Wirkung

Die durchschnittlichen Kosten einer Datenpanne betragen in Deutschland 3,88 Millionen Euro. Dies geht aus der von IBM gesponserten “Cost of a Data Breach”-Studie 2018 des Ponemon Instituts hervor. Gegenüber dem Vorjahr sind die Kosten in Deutschland damit um 12,6 Prozent gestiegen. Auch weltweit stiegen die Kosten um 6,4 Prozent auf 3,86 Millionen US-Dollar. Dabei fallen laut der Studie besonders versteckte Kosten – wie zum Beispiel verlorene Geschäftschancen, negative Auswirkungen auf die Reputation und für die Wiederherstellung aufgewendete Arbeitsstunden – ins Gewicht, die zudem schwer zu managen sind. So ergab die Studie, dass bei “Mega-Datenpannen” mit mehr als einer Million betroffenen Datensätzen ein Drittel der Kosten auf verlorene Geschäftschancen zurückzuführen ist.
Seit 2012 führt das Ponemon Institut jährlich die “Cost of a Data Breach”-Studie durch, in der Hunderte von Kostenfaktoren rund um Datenpannen analysiert werden. Hierfür wurden dieses Jahr weltweit fast 500 Unternehmen befragt, die von einer Datenpanne betroffen waren. In Deutschland nahmen 35 Unternehmen teil. Laut der Studie mussten hier pro verlorenem Datensatz rund 156 Euro investiert werden, was einem Kostenanstieg um 4,6 Prozent entspricht. Die durchschnittlichen Gesamtkosten einer Datenpanne stiegen im letzten Jahr um 12.6 Prozent auf 3,88 Millonen Euro. Rund die Hälfte der Datenpannen waren dabei auf böswillige oder kriminelle Angriffe zurückzuführen. 
Zu den untersuchten Kostenfaktoren gehören zum Beispiel technische Abklärungen und Wiederherstellung, Benachrichtigungen, rechtliche und regulatorische Maßnahmen, aber auch Geschäftsverluste oder negative Auswirkungen auf die Reputation in Folge von Datenpannen.
Zum ersten Mal hat das Ponemon Institut dieses Jahr auch die Kosten in Verbindung mit sogenannten “Mega-Datenpannen», also Datenpannen, bei denen zwischen einer und 50 Millionen Datensätze betroffen sind, berechnet. Diese werden auf 40 bis 350 Millionen US-Dollar geschätzt. 
“Auf bekannte Cyberattacken folgen Verlustmeldungen in Millionenhöhe – Datenlecks werden immer mehr zum Risko für Unternehmen. Die Zahlen variieren aber stark und umfassen oft nur Kosten, die sich leicht messen lassen”, erklärt Christian Nern, Leiter Security Software bei IBM Deutschland. “Es gibt aber viele versteckte Kosten, die auch berücksichtigt werden müssen. Zu wissen, wo diese Kosten entstehen und wie man sie reduzieren kann, hilft Unternehmen, ihre Ressourcen strategischer zu investieren und die enormen finanziellen Risiken, die auf dem Spiel stehen, zu senken.”
Erstmals untersucht: Die Kosten von Mega-Datenpannen
In den letzten fünf Jahren hat sich die Zahl der Mega-Datenpannen fast verdoppelt – 2013 gab es neun Mega-Datenpannen, 2017 waren es bereits 16. Aufgrund der dennoch geringen Fallzahlen hat sich die “Cost of a Data Breach”-Studie bisher auf Datenpannen mit etwa 2.500 bis 100.000 verlorenen Datensätzen fokussiert. 
Basierend auf der Analyse von 11 Unternehmen, welche in den letzten zwei Jahren eine Mega-Datenpanne erlitten haben, setzt die diesjährige Studie statistische Modelle ein, um die Kosten für Datenpannen mit einer bis 50 Millionen betroffenen Datensätzen zu ermitteln. Die wichtigsten Ergebnisse: 

  • Durchschnittlich verursacht eine Datenpanne mit einer Million betroffenen Datensätzen beinahe 40 Millionen US-Dollar an Kosten
  • Wenn 50 Millonen Datensätze betroffen sind, betragen die geschätzen Kosten rund 350 Millonen Dollar
  • Die überwiegende Mehrheit dieser Datenpannen (10 von 11) beruhten auf böswilligen und kriminellen Angriffen (im Gegensatz zu technischen Störungen oder menschlichem Versagen)
  • Durchschnittlich dauerte es 365 Tage, bis eine Mega-Datenpanne erkannt und eingedämmt wurde –  fast 100 Tage mehr als bei kleineren Datenpannen (266 Tage)

Der größte Kostenfaktor bei Mega-Datenpannen waren Kosten aufgrund verlorener Geschäftschancen: Für Pannen mit 50 Millonen betroffenen Datensätzen wurden sie auf fast 118 Millionen Dollar geschätzt – fast ein Drittel der Gesamtkosten einer Datenpanne dieser Größenordnung. IBM analysierte die öffentlich gemeldeten Kosten mehrerer bekannter Mega-Datenpannen und stellte dabei fest, dass die gemeldeten Zahlen oft unter den durchschnittlichen Kosten aus der Studie liegen. (4) Dies liegt wahrscheinlich daran, dass die öffentlich ausgewiesenen Kosten oft auf direkte Kosten beschränkt sind, wie z.B. Technologie und Dienstleistungen, um die Folgen der Datenpanne in den Griff zu bekommen, Anwalts- und  regulatorische Kosten und Entschädigungen für Kunden. 
Was beeinflusst die durchschnittlichen Kosten einer Datenpanne?
In den letzten 13 Jahren hat das Ponemon Institute die Kosten im Zusammenhang mit Datenpannen mit weniger als 100.000 betroffenen Datensätzen untersucht und festgestellt, dass die Kosten im Laufe der Jahre gestiegen sind. Die durchschnittlichen Kosten einer Datenpanne in Deutschland beliefen sich 2018 auf 3,88 Millionen Euro, verglichen mit 3,42 Millionen Euro im Jahr 2014 – was einem Anstieg von mehr als 12 Prozent in den letzten fünf Jahren der Studie entspricht. 
Die Studie untersucht auch, welche Faktoren die Kosten einer Datenpanne erhöhen oder senken: Die Kosten hängen stark davon ab, wie schnell ein Datenleck identifiziert und eingedämmt werden kann. Auch Investitionen in Technologien, um die Reaktionszeit zu verkürzen, senken die Kosten. 

  • Durchschnittlich brauchten Unternehmen 197 Tage, um eine Datenpanne zu identifizieren (Deutschland: 138 Tage), und 69 Tage (Deutschland: 41 Tage), um sie einzudämmen.
  • Unternehmen, die eine Datenpanne in weniger als 30 Tagen eindämmen konnten, sparten über 1 Million Dollar im Vergleich zu Unternehmen, die mehr als 30 Tage brauchten (3,09 Millionen Dollar gegenüber 4,25 Millionen Dollar im Durchschnitt). 

Auch die Anzahl der verlorenen oder gestohlenen Datensätze wirkt sich auf die Kosten einer Datenpanne aus. Für einen betroffenen Datensatz fallen in Deutschland Kosten von durchschnittlich 156 Euro an. Folgende Faktoren beeinflussen laut der Studie diese Kosten: 

  • Durchgängige Datenverschlüsselung kann die Kosten deutlich reduzieren. Hiermit lassen sich 14,30 Euro pro kompromittiertem Datensatz einsparen. An zweiter Stelle steht der Einsatz von einem Incident Response Team, wodurch sich 12,80 Euro pro Datensatz einsparen lassen.
  • Der Einsatz einer KI-Plattform für Cybersicherheit hilft, die Kosten pro verlorenem oder gestohlenem Datensatz um 8,70 Euro zu senken.
  • Unternehmen mit Problemen im Bereich Compliance müssen dagegen mit um 13,50 Euro höheren Kosten pro Datensatz rechnen.  

In diesem Jahr untersuchte die Studie ebenfalls zum ersten Mal die Wirkung von Werkzeugen für automatisierte Sicherheitstechnologien. Dazu gehören der Einsatz von künstlicher Intelligenz, Machine Learning, Analytics und Orchestrierung, um menschliche Eingriffe bei der Identifizierung und Eindämmung einer Datenpanne zu verstärken oder zu ersetzen. Die Analyse ergab, dass Unternehmen, die großem Umfang automatisierte Sicherheitstechnologien eingesetzt hatten, über 1,5 Millionen Dollar bei den Gesamtkosten einer Datenpanne einsparen konnten (2,88 Millionen Dollar, verglichen mit 4,43 Millionen Dollar für diejenigen, die keine Sicherheitsautomatisierung eingesetzt hatten).
Weitere Informationen über die globalen Ergebnisse der Studie, sowie Details zu verschiedenen Regionen und Industrien finden Sie in der original US-Pressemitteilung: http://newsroom.ibm.com/2018-07-11-IBM-Study-Hidden-Costs-of-Data-Breaches-Increase-Expenses-for-Bus…
Die komplette 2018 «Cost of a Data Breach Study” können Sie hier herunterladen:  https://www.ibm.com/security/data-breach/
Die digitale Infografik mit Highlights aus der Studie finden Sie hier: https://costofadatabreach.mybluemix.net

PAGE TOP