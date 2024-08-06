Sicherheitsverantwortliche sind es gewohnt, über umfassende Verteidigungsmaßnahmen nachzudenken und sicherzustellen, dass ihre Sicherheitsinfrastruktur und Gesamtarchitektur Ausfallsicherheit und Schutz bieten. Obwohl dieses Paradigma heute noch gültig ist, könnte es an der Zeit sein, über eine Umstellung auf datenorientierte Sicherheit nachzudenken. Das bedeutet Datenverwaltung, die den heutigen Anwendungsfall entspricht und bei dem Daten das zentrale Asset sind, das während ihres gesamten Lebenszyklus, ihrer Nutzung und Entsorgung geschützt werden muss. Ein Paradigmenwechsel in der Datensicherheit wird durch die Erkenntnisse der Ausgabe 2024 des Cost of a Data Breach Report gut unterstützt.
Der Bericht präsentiert Forschungsergebnisse zu den Ursachen, Kostenauswirkungen und der Wiederherstellung nach tatsächlichen Sicherheitsverletzungen bei 604 Unternehmen in 17 Branchen weltweit. Die Ergebnisse zeigen einige interessante Trends auf, die zur Lösung des Datenpuzzles beitragen können, darunter Auswirkungen auf Sicherheit, Datenschutz, Governance und Regulierung. All diese Aspekte bergen bereits erhöhte Risiken, die sich aus der Eile ergeben, neue Initiativen im Bereich der generativen KI (Gen AI) bereitzustellen und schnell auf den Markt zu bringen, wobei Sicherheitsaspekte vernachlässigt werden. Eine aktuelle Umfrage unter Führungskräften zum Thema KI-Sicherheit ergab besorgniserregenderweise, dass nur 24 % der neuen Initiativen eine Sicherheitskomponente beinhalten.
Daten sind heutzutage das wichtigste Asset, auf das sich Unternehmen verlassen. Obwohl Daten von entscheidender Bedeutung sind, werden sie nach wie vor nicht in einem Maße verwaltet und geschützt, das ihrer Bedeutung und den potenziellen Auswirkungen eines Datenverlusts angemessen wäre. Betrachten wir einige Aspekte, in denen Daten, der Datenfluss und die Schutzparadigmen rund um ihren Lebenszyklus wesentliche Faktoren für die Kosten von Datenverstößen waren.
Erstens haben Daten heutzutage ein solches Ausmaß erreicht, dass Unternehmen über ihre bisherigen lokalen und privaten Cloud-Infrastrukturen hinausgehen müssen. Die treibenden Faktoren sind hier die Skalierbarkeit des Datenvolumens, aber auch die Anforderungen an den Datenverkehr und die Arbeitslast, die mit der Zeit zunehmen. Angesichts der Tatsache, dass Daten durch Multi-Cloud-Umgebungen übertragen werden, weist der Bericht „Cost of a Data Breach Report“ deutlich darauf hin, dass 40 % der Datenschutzverletzungen Daten betrafen, die in verschiedenen Arten von Umgebungen gespeichert waren. Bei einer Sicherheitsverletzung verursachten Public-Cloud-Umgebungen mit 5,17 Millionen USD die höchsten durchschnittlichen Kosten.
Warum passiert das? Die dezentrale Natur von Multi-Cloud stellt einen komplexen Faktor bei der Visualisierung und Kontrolle von Daten dar. Im Falle einer Sicherheitsverletzung dauert es länger, Informationen zu sammeln, Untersuchungen durchzuführen und den Support des Cloud-Anbieters zu aktivieren, um die Sicherheitsverletzung einzudämmen. Clouds hosten auch mehr Daten, und aufgrund ihrer Größe können bei einem Angriff mehr Daten auf einmal kompromittiert werden, was die Auswirkungen auf Kunden und die Wiederherstellungskosten potenziell erhöht.
Daten sind an mehr Orten verteilt als je zuvor, und 35 % der Sicherheitsverletzungen in diesem Jahr betrafen Daten, die in nicht verwalteten Datenspeichern gespeichert waren – so genannte „Schattendaten“. Dies führte dazu, dass Daten nicht ordnungsgemäß oder gar nicht klassifiziert, nicht angemessen geschützt und hinsichtlich ihres Lebenszyklus beim Eintritt in das Unternehmen und innerhalb des Unternehmens nicht verwaltet wurden. Angesichts der Tatsache, dass 25 % der Verstöße im Zusammenhang mit Schattendaten ausschließlich vor Ort stattfanden, verdeutlicht diese Situation wahrscheinlich unkontrollierte Risiken in Form von Lücken in der Datenverwaltung, Problemen beim Datenschutz und drohenden regulatorischen Auswirkungen.
Verstöße im Zusammenhang mit Schattendaten dauerten außerdem 26,2 % länger, bis sie entdeckt wurden, und 20,2 % länger, bis sie eingedämmt werden konnten, was einem Durchschnitt von 291 Tagen entspricht. Dies führte zwangsläufig zu höheren Kosten für Datenschutzverletzungen in Höhe von durchschnittlich 5,27 Millionen USD, wenn Schatten-Daten betroffen waren. Diese Kosten stellen jedoch nur die Spitze des Eisbergs dar, wenn man die Auswirkungen von Datenschutzverletzungen auf andere Akteure im Ökosystem, potenzielle vertragliche Probleme und Rechtsstreitigkeiten berücksichtigt, die Teil einer längeren Kostenkette sind, die sich noch zwei bis drei Jahre nach der Datenschutzverletzung weiter summiert.
Wenn Daten nicht effektiv inventarisiert und katalogisiert werden, werden sie nicht ordnungsgemäß klassifiziert und somit auch nicht angemessen geschützt. Es könnte sich dabei um Daten handeln, die als eingeschränkt oder vertraulich gekennzeichnet werden sollten, was zur nächsten Statistik aus dem Bericht führt. Angreifer konnten bei Sicherheitsverletzungen auf deutlich mehr sensible Daten zugreifen, was zu einem Anstieg des IP-Diebstahls um 26,5 % führte. Die Kosten für verlorene IPs sind im Vergleich zum Vorjahr deutlich gestiegen, von 156 USD pro Datensatz im Bericht von 2023 auf 173 USD im Jahr 2024, was einem Anstieg von 11 % entspricht.
Aber lassen wir diese harten Kosten für einen Moment einmal beiseite. Die Auswirkungen von IP-Diebstahl können dazu führen, dass das Unternehmen seinen Wettbewerbsvorteil verliert. Das Unternehmen könnte erhebliche Marktanteile und Einnahmen verlieren, die es sich von strategischem geistigem Eigentum erhofft hatte. Welcher Aktionär wäre angesichts dieser Statistik nicht besorgt, wenn man bedenkt, dass die meisten Unternehmen aktiv mit der Entwicklung innovativer KI-Anwendungen beginnen, von denen sie sich eine exklusive Monetarisierung versprechen?
Eine kostspielige Nebenwirkung unzureichender Datenschutzmaßnahmen sind Geschäftsverluste und Reputationsschäden, die sich im Durchschnitt auf 1,47 Millionen USD belaufen und den größten Teil des Anstiegs der durchschnittlichen Kosten einer Datenschutzverletzung im Jahr 2024 ausmachen.
Da generative KI derzeit als neuer Goldrausch gilt, können verschiedene Interessengruppen innerhalb des Unternehmens leicht unkontrollierte Risiken eingehen, die mit nicht genehmigten Daten, Modellen und der allgemeinen Nutzung von KI verbunden sind. Diese Verwendungszwecke können für die IT- und Sicherheitsteams nicht erkennbar sein, was im Nachhinein zu schwerwiegenden Vorfällen führen kann.
Ein weiterer Risikofaktor sind Datensätze, die für die Implementierung von KI vorgesehen sind und von mehreren Drittanbietern stammen. Da diese externen Quellen nicht vom Sicherheitsteam verwaltet werden, können sie Risiken wie Vergiftungen und Schwachstellen mit sich bringen. Die subtileren Risiken sind jedoch Schattenmodelle und große Mengen unverschlüsselter Trainingsdaten, die in Cloud-Umgebungen ein- und ausströmen.
Stellen Sie sich beispielsweise folgendes Szenario vor: Eine Gesundheitsorganisation nutzt generative KI, um Anomalien in Röntgenaufnahmen des Brustkorbs zu erkennen. They send the images into a cloud model to receive results, but the images are traveling and used in unencrypted form. Die Bilder werden an ein Cloud-Modell gesendet, um Ergebnisse zu erhalten, jedoch werden die Bilder in unverschlüsselter Form übertragen und verwendet. Das Gleiche kann mit Klartext oder anderen ungeschützten Daten geschehen, die besser geschützt werden sollten. Seien Sie nicht überrascht, wenn die betroffenen Personen umgehend Klage erheben.
Die meisten Unternehmen verlieren heutzutage nahezu ihre gesamte Produktivität, wenn sie den Zugriff auf Daten verlieren. Von der einfachsten Form der Mitarbeiterproduktivität bis hin zur Komplexität datengesteuerter Unternehmen betrachten Unternehmen Daten nicht als Nebenprodukt ihrer Geschäftstätigkeit. Daten sind das wichtigste Kapital, auf das Unternehmen ihre Kultur, Organisation und Technologie ausrichten, um nachhaltige Innovation und nachhaltiges Geschäftswachstum zu erzielen. Es ist nur logisch, dass Daten entsprechend ihrer Klassifizierung verwaltet und geschützt werden und dass dazu die richtigen Technologien eingesetzt werden.
Identifizieren, klassifizieren, verschlüsseln. Je besser die Daten geschützt sind, desto geringer ist der Einfluss, den Angreifer im Falle einer Datenverletzung haben. Dies wird auch geringere Auswirkungen auf die betroffenen Personen haben und die Wahrscheinlichkeit von Bußgeldern verringern. Daher ist es ratsam, Daten zu verschlüsseln und dabei umsichtig vorzugehen. Nicht alle Daten sind gleich. Wenn Ihr Unternehmen Bilder oder andere Arten von Daten verwendet, informieren Sie sich über bessere Möglichkeiten zur Verschlüsselung, damit Sie diese sicher nutzen und von ihren Vorteilen profitieren können.
Je innovativer Ihr Unternehmen ist und je mehr Daten es verwendet, desto wichtiger wird die Verschlüsselung. Bitte erwägen Sie den Einsatz von Confidential Computing für Ihre Anwendungsfälle sowie von Post-Quantum-Verschlüsselung, um sicherzustellen, dass geschützte Daten auch in Zukunft geschützt bleiben.
Da Daten offensichtlich über verschiedene Umgebungen verteilt sind und in vielen Fällen weiterhin offen sind, ist eine Möglichkeit, die Kontrolle zurückzugewinnen, das Data Security Posture Management (DSPM). DSPM ist eine Cybersicherheitstechnologie, die sensible Daten in verschiedenen Cloud-Umgebungen und -Diensten identifiziert und ihre Anfälligkeit für Sicherheitsbedrohungen und das Risiko der Nichteinhaltung von Vorschriften bewertet. Anstatt die Geräte, Systeme und Anwendungen zu sichern, auf denen Daten gespeichert, übertragen oder verarbeitet werden, können Sicherheitsteams DSPM einsetzen, um sich auf den direkten Schutz der Daten zu konzentrieren.
Angesichts des Umfangs und der Verwendungsszenarien von Daten in generative KI-Lösungen müssen Unternehmen ihren Datenlebenszyklus überdenken und überlegen, wie sie diese Daten in großem Maßstab und in all ihren Zuständen schützen können. Denken Sie darüber nach, Trainingsdaten zu sichern, indem Sie sie vor Diebstahl und Manipulation schützen. Unternehmen können Datenerkennung und -klassifizierung nutzen, um sensible Daten zu erkennen, die beim Training oder bei der Feinabstimmung verwendet werden. Sie können auch Datensicherheitskontrollen für Verschlüsselung, Zugriffsverwaltung und Compliance-Überwachung implementieren.Erweitern Sie das Haltungsmanagement auf KI-Modelle, um sensible KI-Trainingsdaten zu schützen, erhalten Sie Einblick in die Verwendung von nicht genehmigten oder Schatten-KI-Modellen, böswilligen Drifts, KI-Missbrauch oder Datenlecks.
Die Verwendung von Daten unterliegt bereits umfangreichen Anforderungen seitens der Datenschutzbehörden. Diese Anforderungen werden immer komplexer und differenzierter, wenn es um Daten geht, die in KI-gestützten Lösungen und Szenarien verwendet werden. Dies bedeutet, dass herkömmliche Datenschutzfunktionen möglicherweise nicht ausreichen und verbesserte Klassifizierungs-, Schutz- und Überwachungsmechanismen sowie verbesserte Kontrollen für die Überprüfbarkeit und Aufsicht erforderlich sind.
Der diesjährige „Cost of a Data Breach Report“, der bereits zum 19. Mal erscheint, bietet Führungskräften aus den Bereichen IT, Risikomanagement und Sicherheit aktuelle, quantifizierbare Erkenntnisse, die ihnen als Grundlage für ihre strategischen Entscheidungen dienen können. Darüber unterstützt er Teams bei der Verwaltung ihrer Risikoprofile und Sicherheitsinvestitionen. Dieses Jahr liefern die Statistiken Erkenntnisse aus den Erfahrungen von 604 Unternehmen und 3.556 Führungskräften aus den Bereichen Cybersicherheit und Wirtschaft, die mit einem Datenleck konfrontiert waren. Laden Sie eine Kopie des Berichts herunter, um sich anhand von Beispielen aus der Praxis und Empfehlungen von Experten über Möglichkeiten zur Risikominderung zu informieren.