Security

Datenpannen schlagen teuer zu Buche – selbst Jahre danach

Die Digitalisierung schafft zwar zahlreiche neue Möglichkeiten, gleichzeitig aber auch bislang unbekannte Angriffsflächen. Unternehmen müssen sich daher mit der Realität von Hackerangriffen und Cyberkriminalität auseinandersetzen und ihre Daten schützen. Wie teuer der Verlust von Daten für Unternehmen wird, zeigt die jährliche Studie „2019 Cost of a Data Breach“, die das Ponemon Institut seit 2012 im Auftrag von IBM Security durchführt. Hunderte von Kostenfaktoren rund um Datenpannen werden darin analysiert. Weltweit wurden in diesem Jahr 500 Unternehmen befragt, die selbst von einer Datenpanne betroffen waren. Aus Deutschland beteiligten sich 36 Firmen.

Im Detail zeigt sich, dass die Datenpannen in Deutschland im Schnitt 172 Euro pro verlorenem oder gestohlenem Datensatz kosten. Besonders teuer wird es hierzulande mit 301 Euro pro kompromittiertem Datensatz für die Finanzbranche, gefolgt vom Dienstleistungsgewerbe (230 Euro) und der Industrie (229 Euro). Mit „Kosten“ sind übrigens die anfallenden Kosten pro verlorenem Datensatz gemeint, die durch einen Datenvorfall zu Buche schlagen. Nicht etwa Lösegeld; wie empfohlen, wird dieses nur sehr selten bei Cyberattacken gezahlt. Zu den finanziellen Belastungen gehören unter anderem Kosten für die Wiederherstellung von Datensätzen, Anwaltskosten für DSGVO-Streitfälle, aber auch die laufenden Kosten für einen Security-Dienstleister oder Personalkosten für neue geschaffene Stellen, wie die eines Chief Information Security Officer (CISO).

Langzeitfolgen treffen einzelne Branchen härter

Erstmals wurden in diesem Jahr auch die langfristigen Kosten von Datenpannen untersucht – und die haben es in sich. In den letzten fünf Jahren sind diese Kosten weltweit um 12 Prozent gestiegen – auf durchschnittlich 3,92 Millionen US-Dollar. Auch in Deutschland werden Datenpannen mit auffallend hohen 4,25 Millionen Euro pro Vorfall immer teurer. Das bedeutet einen Anstieg um 9,76 Prozent im Vergleich zum Vorjahr, auch ist dies der höchste Betrag seit Beginn der Aufzeichnungen. Die Gründe liegen unter anderem in der zunehmenden Regulierung und den immer umfassenderen Aufklärungsprozessen, die auf kriminelle Attacken folgen. Die langfristigen finanziellen Folgen können sich teils über Jahre hinziehen – mit einmaliger Schadensbehebung ist es leider nicht getan. Während der Großteil (67 Prozent) der von Datenpannen verursachten weltweiten Kosten innerhalb des ersten Jahres nach dem Vorfall anfallen, wiegen 22 Prozent noch im zweiten Jahr danach schwer. Weitere 11 Prozent der Kosten sind laut der Studie sogar noch über diesen Zeitraum hinaus spürbar.

Datenpannen-Infografik

Diese langfristigen Kosten im zweiten und dritten Jahr nach dem Vorfall fallen höher aus, je stärker reguliert die jeweilige Branche ist – wie im Gesundheitswesen, dem Bankensektor, der Energiewirtschaft oder dem Pharmaziebereich. Und das betrifft nicht nur Großkonzerne: Die untersuchten Unternehmen mit weniger als 500 Mitarbeitern verloren im globalen Durchschnitt über 2,5 Millionen US-Dollar bei Datenpannen. Das fällt besonders stark ins Gewicht, da die meisten Unternehmen dieser Größe einen Jahresumsatz von etwa 50 Millionen US-Dollar oder weniger haben. Besonders für kleine und mittlere Unternehmen sind die Folgen einer Datenpanne also finanziell schmerzhaft.

Wie lassen sich die Kosten senken?

Ein Blick auf die Gründe für die Datenpannen spricht Bände und liefert wertvolle Ansatzpunkte zum effizienten Kostensenken. Denn nur gut die Hälfte der Datenverluste (56 Prozent) sind das Ergebnis krimineller Angriffe. Der Rest ist hausgemacht und beruht auf technischem oder menschlichem Versagen. Hier verbirgt sich ein mächtiger Hebel, den jedes Unternehmen selbst in der Hand hat – und der bares Geld spart. Denn obwohl die Kosten für gezielte Cyberangriffe mit rund 194 Euro pro Datensatz am höchsten sind, verursachen technische Systemfehler immerhin Kosten von 140 Euro pro Datensatz – diese Vorfälle machen gleichzeitig ein Viertel aller Datenpannen aus! 19 Prozent der Datenpannen sind auf menschliches Versagen zurückzuführen und schlagen mit 148 Euro pro Datensatz zu Buche.

Datenpannen-Kostenfaktoren

Die gute Nachricht: Technische und menschliche Fehler lassen sich vermeiden und damit Kosten senken. Etwa durch Sicherheitstrainings für Mitarbeiter, technische Investitionen und Testservices zur frühzeitigen Identifizierung von Datenunfällen. Die Analysen der letzten 14 Jahre zeigen außerdem, dass sich Schnelligkeit bei der Behebung finanziell deutlich auszahlt. Die Studie zeigt, dass deutsche Unternehmen in diesem Punkt aufgeholt haben und nun wesentlich schneller auf Vorfälle reagieren als noch im letzten Jahr. Der durchschnittliche Lebenszyklus einer Datenpanne umfasst hierzulande 170 Tage – und somit eine Woche weniger als noch 2018. Das entspricht jedoch immer noch 131 Tagen, in denen Unternehmen die Panne erkennen und identifizieren und zusätzlichen 39 Tagen, um die Schäden einzudämmen.

Incident Response Team macht den Unterschied

Der mit Abstand wichtigste Kostensenker in Deutschland ist aber ein bestehendes Incident Response Team. Allein dadurch lassen sich 13,90 Euro pro kompromittiertem Datensatz sparen. Kommt zusätzlich noch ein gut getesteter Notfallplan hinzu, spart das 9,60 Euro pro Datensatz. Leider zeigt der „IBM X-Force Threat Intelligence Index 2019“, dass ein solcher Notfallplan in deutschen Unternehmen noch immer nicht zum Standard gehört – obwohl die finanziellen Vorteile klar auf der Hand liegen.

Datenpannen lassen sich nicht vollständig vermeiden, wie schwer sie aber wirken, haben Unternehmen selbst in der Hand. Diese können die langfristigen finanziellen Folgen für ihre Bilanz deutlich abmildern, sei es durch eine entsprechende Vorbereitung, geschulte Mitarbeiter oder technologische Unterstützung.

Die vollständige Studie finden Sie hier zum Download: 2019 Cost of a Data Breach Report

Add Comment
No Comments

Leave a Reply

Your email address will not be published.Required fields are marked *

More Security Stories

Cyberkriminalität: Wie sich Unternehmen durch Datenverschlüsselung schützen können

Gibt es einen Ausweg aus der Welle an Datendiebstählen, die die globale Wirtschaft seit mehreren Jahren überspült? Welche Chancen gibt es, die vermutlich 2 Billionen Dollar Schaden bis 2019 aus den Auswirkungen von Cyberkriminalität abzumildern? Welche Möglichkeiten haben Unternehmen, sich besser zu schützen und gleichzeitig die steigenden regulatorischen Maßnahmen bei personenbezogenen Daten zu bewältigen? Kein […]

Cyber Security Intelligence Index 2016: Gesundheitsdaten ziehen Kriminelle besonders an

„Krankenakten sind bares Geld wert” – so könnte man verknappt die neue Form räuberischer Cyberüberfälle in einem Satz charakterisieren. Denn die Jagd auf Patientendaten ist eröffnet: Aus dem neuen „Cyber Security Intelligence Index 2016“ geht hervor, dass Cyberangriffe auf die Gesundheitsbranche ein nie dagewesenes Ausmaß erreicht haben und betroffene Organisationen auch weiter in Atem halten […]

Datenorientiertes Risikomanagement: Wie aus Daten-Silos blühende Landschaften werden

Überall dort, wo Menschen Daten sammeln, verwalten und ablegen, entstehen fast immer auch regelrechte Daten-Silos, auf denen diese Daten ihre vermeintlich letzte Ruhestätte finden. Doch diese scheinbar letzte Ruhestätte ist nicht wirklich ruhig. Denn höchst aktive Cyberkriminelle wissen ganz genau, wo sie graben müssen, um auf die wertvollen Datenschätze zu stoßen. Besser ist es also, […]