Was ist ein Data Breach?

Die Begriffe „Data Breach“ und „Breach“ werden oft synonym mit „Cyberangriff“ verwendet. Jedoch sind nicht alle Cyberangriffe auch Data Breaches. Data Breaches umfassen nur die Sicherheitsverletzungen, bei denen sich jemand unbefugten Zugriff auf Daten verschafft.

Ein Distributed Denial-of-Service (DDoS)-Angriff, der eine Website überwältigt, ist beispielsweise kein Data Breach. Ein Ransomware-Angriff, bei dem die Kundendaten eines Unternehmens gesperrt werden und damit gedroht wird, die gestohlenen Daten zu veröffentlichen, sofern das Unternehmen kein Lösegeld zahlt, ist ein Data Breach. Der physische Diebstahl von Festplatten, USB-Flash-Laufwerken oder sogar Papierakten mit sensiblen Informationen ist ebenfalls ein Data Breach.

Laut dem IBM-Bericht Cost of a Data Breach 2025 betragen die weltweiten durchschnittlichen Kosten eines Data Breaches 4,44 Mio. USD. Unternehmen jeder Größe und Art sind zwar anfällig für Sicherheitsverletzungen, aber der Schweregrad dieser Verletzungen und die Kosten für ihre Behebung variieren.

Beispielsweise belaufen sich die durchschnittlichen Kosten eines Data Breaches in den Vereinigten Staaten auf 10,22 Mio. USD, etwa viermal so viel wie die Kosten eines Data Breaches in Indien (2,51 Mio. USD).

Die Folgen von Sicherheitsverletzungen sind in der Regel besonders schwerwiegend für Unternehmen in stark regulierten Bereichen wie dem Gesundheitswesen, dem Finanzwesen und dem öffentlichen Sektor, wo hohe Geldstrafen und Bußgelder die Kosten noch weiter in die Höhe treiben können. Dem Bericht von IBM zufolge belaufen sich die durchschnittlichen Kosten eines Data Breaches im Gesundheitswesen im Jahr 2025 auf 7,42 Mio. USD. Dies sind die höchsten durchschnittlichen Kosten für Data Breaches in einer Branche zum 14. Mal in Folge.

Die Kosten für Data Breaches ergeben sich aus mehreren Faktoren, wobei der IBM-Bericht vier Hauptfaktoren nennt: entgangene Geschäfte, Erkennung und Eskalation, Reaktion nach dem Breach, Benachrichtigung.

Entgangene Geschäfte, entgangene Einnahmen und Kundenverlust infolge einer Sicherheitsverletzung kosten Unternehmen im Durchschnitt 1,38 Mio. USD. Der Preis für die Erkennung und Eskalation des Verstoßes ist mit 1,47 Mio. USD sogar noch höher. Die Kosten nach einem Verstoß – darunter Bußgelder, Entschädigungen, Anwaltskosten, die Bereitstellung einer kostenlosen Kreditüberwachung für betroffene Kunden und ähnliche Ausgaben – kosten das durchschnittliche Opfer eines Verstoßes 1,20 Millionen USD.

Die Benachrichtigungskosten, die die Meldung von Breaches an Kunden, Aufsichtsbehörden und andere Dritte umfassen, sind mit 390.000 USD am niedrigsten. Allerdings können die Berichtspflichten immer noch aufwändig und zeitraubend sein.

• Der US Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA) schreibt vor, dass Unternehmen aus den Bereichen nationale Sicherheit, Finanzwesen und bestimmten anderen Branchen Cybersicherheitsvorfälle, die personenbezogene Daten oder Geschäftsoperationen betreffen, innerhalb von 72 Stunden an das US-Heimatschutzministerium melden müssen.
  
  

• US-Unternehmen, die dem Health Insurance Portability and Accountability Act (HIPPA) unterliegen, müssen das Ministerium für Gesundheitspflege und Soziale Dienste, betroffene Personen und manchmal auch die Medien informieren, wenn der Schutz geschützter Gesundheitsinformationen verletzt wird.
  
  

• Alle 50 US-Bundesstaaten haben auch ihre eigenen Gesetze zur Meldung von Datenschutzverletzungen.
  
  

• Die Datenschutz-Grundverordnung (DSGVO) verlangt, dass Unternehmen, die Geschäfte mit EU-Bürgern machen, Behörden innerhalb von 72 Stunden über Verstöße informieren.
  

Datenschutzverletzungen können durch Folgendes verursacht werden:

• Unbeabsichtigte Fehler, z. B. ein Mitarbeiter, der vertrauliche Informationen per E-Mail an die falsche Person sendet.
   

• Böswillige Insider, einschließlich verärgerter oder entlassener Mitarbeiter, die dem Unternehmen schaden oder den Ruf des Unternehmens schädigen wollen, und gierige Mitarbeiter, die von den Daten des Unternehmens profitieren wollen.
   

• Hacker, böswillige Außenstehende, die bewusst Cyberangriffe zum Stehlen von Daten einsetzen.Hacker können einzeln oder als Teil eines organisierten Rings agieren.

Finanzieller Gewinn ist die Hauptmotivation für die meisten böswilligen Datenschutzverletzungen. Hacker stehlen Kreditkartennummern, Bankkonten oder andere Finanzdaten, um Privatpersonen und Unternehmen auf direktem Wege Geld zu entwenden.

Einige Angreifer stehlen personenbezogene Daten (PII), z. B. Sozialversicherungsnummern und Telefonnummern – für Identitätsdiebstahl, Aufnahme von Krediten und Eröffnung von Kreditkarten in den Namen ihrer Opfer. Cyberkriminelle können auch gestohlene personenbezogene Daten und Kontoinformationen im Dark Web verkaufen, wo sie bis zu 500 USD für Bankanmeldedaten erzielen können.

Eine Datenschutzverletzung kann auch die erste Phase eines größeren Angriffs sein. So könnten Hacker beispielsweise die Passwörter von E-Mail-Konten von Führungskräften stehlen und diese Konten für die Kompromittierung geschäftlicher E-Mails nutzen.

Datenschutzverletzungen können andere Ziele als die persönliche Bereicherung verfolgen. Skrupellose Unternehmen könnten Geschäftsgeheimnisse von Konkurrenten stehlen, und staatliche Akteure könnten in Regierungssysteme eindringen, um Informationen über vertrauliche politische Geschäfte, militärische Operationen oder die nationale Infrastruktur zu stehlen.

Die meisten vorsätzlichen Data Breaches, die durch interne oder externe Bedrohungsakteure verursacht werden, folgen demselben grundlegenden Muster:

1.  Forschung: Der Bedrohungsakteur identifiziert ein Ziel und sucht nach Schwachstellen, mit denen er in das System des Ziels eindringen kann. Diese Schwachstellen können technischer Natur sein, z. B. in Form von unzureichende Sicherheitskontrollen, oder menschlicher Natur, wie z. B. in Form von Mitarbeitern, die anfällig für Social Engineering sind.
   
   
2. Angriff: Der Bedrohungsakteur startet einen Angriff auf das Ziel, indem er seine gewählte Methode verwendet. Der Angreifer kann eine Spear-Phishing-E-Mail senden, direkt Schwachstellen im System ausnutzen, gestohlene Zugangsdaten verwenden, um ein Konto zu übernehmen oder andere gängige Angriffsvektoren für Data Breaches einsetzen.
   
   
3. Kompromittieren von Daten: Innerhalb des Systems findet der Angreifer die gewünschten Daten und tut, was er tun wollte. Zu den üblichen Taktiken gehören das Exfiltrieren von Daten zum Verkauf oder zur Verwendung, die Zerstörung der Daten oder das Sperren von Daten, um Lösegeld zu verlangen. 
   

Böswillige Akteure können eine Reihe von Angriffsvektoren oder Methoden nutzen, um Datenschutzverletzungen durchzuführen. Einige der häufigsten sind:

Der Datendiebstahl bei TJX Corporation, der Muttergesellschaft der Einzelhändler TJ Maxx und Marshalls, im Jahr 2007 war damals der größte und teuerste Datendiebstahl in der US-Geschichte. Der Datenschutz von etwa 94 Millionen Kunden wurde gefährdet, und das Unternehmen erlitt finanzielle Verluste in Höhe von über 256 Millionen USD.

Die Hacker verschafften sich Zugriff auf die Daten, indem sie Traffic-Sniffer in den drahtlosen Netzwerken von zwei Geschäften platzierten. Die Sniffer ermöglichten es den Hackern, Informationen abzufangen, während sie von den Kassen der Geschäfte an die Backend-Systeme übertragen wurden.

Im Jahr 2013 erlebte Yahoo die vielleicht größte Datenschutzverletzung der Geschichte. Hacker nutzten eine Schwachstelle im Cookie-System des Unternehmens aus, um an die Namen, Geburtsdaten, E-Mail-Adressen und Passwörter aller 3 Milliarden Yahoo-Nutzer zu gelangen.

Das volle Ausmaß der Datenschutzverletzung wurde 2016 bekannt, als Verizon Gespräche über den Kauf des Unternehmens führte. Daraufhin reduzierte Verizon sein Übernahmeangebot um 350 Millionen USD.

Im Jahr 2017 drangen Hacker in die Kreditauskunftei Equifax ein und verschafften sich Zugriff auf die personenbezogenen Daten von mehr als 143 Millionen Amerikanern. 

Die Hacker nutzten eine ungepatchte Schwachstelle in der Website von Equifax aus, um sich Zugang zum Netzwerk zu verschaffen. Die Hacker griffen dann lateral auf andere Server zu, um Sozialversicherungsnummern, Führerscheinnummern und Kreditkartennummern zu finden. Der Angriff kostete Equifax 1,4 Milliarden USD an Schadensersatz, Geldstrafen und anderen Kosten für die Behebung der Datenschutzverletzung.

Im Jahr 2020 führten russische Bedrohungsakteure mit einem Hack des Softwareanbieters SolarWinds einen Angriff auf die Lieferkette durch. Hacker nutzten Orion, die Netzwerküberwachungsplattform des Unternehmens, um heimlich Malware an die Kunden von SolarWinds zu verteilen.

Russische Spione verschafften sich Zugang zu den vertraulichen Informationen verschiedener US-Regierungsbehörden, darunter das Finanz-, Justiz- und Außenministerium, die die Dienste von SolarWinds nutzen.

Im Jahr 2021 infizierten Hacker die Systeme von Colonial Pipeline mit Ransomware und zwangen das Unternehmen, die Pipeline, die 45 % des Treibstoffs an der US-Ostküste liefert, vorübergehend abzuschalten.

Hacker drangen in das Netzwerk ein, indem sie das Passwort eines Mitarbeiters verwendeten, das sie im Dark Web gefunden hatten. Die Colonial Pipeline Company zahlte ein Lösegeld in Höhe von 4,4 Millionen USD in Kryptowährung, aber die Strafverfolgungsbehörden des Bundes konnten etwa 2,3 Millionen USD dieser Zahlung zurückholen.

Im Herbst 2023 stahlen Hacker die Daten von 6,9 Millionen 23andMe-Nutzern. Der Verstoß war aus mehreren Gründen bemerkenswert. Erstens erhielten die Angreifer einige unkonventionelle und sehr persönliche Informationen, darunter Stammbäume und DNA-Daten, da 23andMe Gentests durchführt.

Zweitens drangen die Hacker durch eine Technik namens „Credential Stuffing“ in Benutzerkonten ein. Bei dieser Art von Angriffen verwenden Hacker Anmeldedaten, die in früheren Leaks aus anderen Quellen aufgedeckt wurden, um in die Konten von Nutzern auf verschiedenen Plattformen einzudringen. Diese Angriffe funktionieren, weil viele Menschen dieselben Kombinationen aus Benutzernamen und Passwort auf verschiedenen Websites verwenden.

Laut dem Bericht Cost of a Data Breach 2025 dauert es branchenübergreifend durchschnittlich 241 Tage, um einen aktiven Data Breach zu erkennen und einzudämmen. Die Bereitstellung der richtigen Sicherheitslösungen kann Unternehmen helfen, diese Verstöße schneller zu erkennen und darauf zu reagieren.

Standardmaßnahmen im Bereich Risikomanagement wie z. B. regelmäßige Schwachstellenbewertungen, geplante Backups, rechtzeitiges Patchen und ordnungsgemäße Datenbankkonfigurationen, können dazu beitragen, einige Breaches zu verhindern und die Auswirkungen derjenigen, die auftreten, abzumildern.

Viele Unternehmen setzen heute jedoch fortschrittlichere Kontrollen und Best Practices ein, um mehr Sicherheitsverletzungen zu verhindern und den von ihnen verursachten Schaden deutlich zu verringern.

Unternehmen können spezielle Datensicherheit Lösungen bereitstellen, um vertrauliche Daten automatisch zu erkennen und zu klassifizieren, Verschlüsselung und andere Schutzmaßnahmen anzuwenden und in Echtzeit Erkenntnis in die Datennutzung zu erhalten.

Unternehmen können den Schaden durch Sicherheitsverletzungen begrenzen, indem sie formelle Notfallpläne zur Erkennung, Eindämmung und Beseitigung von Cyber-Bedrohungen einführen. Laut dem Bericht Cost of a Data Breach 2025 war der dritthäufigste Bereich für Sicherheitsinvestitionen im Jahr 2025 die IR-Planung und -Tests mit 35 % aller Befragten.

Laut dem Cost of a Data Breach 2025 lösen Unternehmen, die künstliche Intelligenz (KI) und Automatisierung in den Sicherheitsbetrieb integrieren, Sicherheitsverletzungen 80 Tage schneller als diejenigen, die dies nicht tun. Der Bericht fand außerdem heraus, dass KI im Sicherheitsbereich und Automatisierung die Kosten eines durchschnittlichen Breaches um 1,9 Mio. USD bzw. 34 % senken (im Vergleich zu Unternehmen, die keine KI im Sicherheitsbereich und Automatisierung verwenden).

Viele Tools für Datensicherheit, Schutz vor Datenverlust und Identity und Access Management (IAM) integrieren inzwischen KI und Automatisierung.

Da Social-Engineering- und Phishing-Angriffe die Hauptursachen für Datenschutzverletzungen sind, kann die Schulung von Mitarbeitern zur Erkennung und Vermeidung dieser Angriffe das Risiko einer Datenschutzverletzung für ein Unternehmen verringern. Darüber hinaus kann die Schulung von Mitarbeitern im richtigen Umgang mit Daten dazu beitragen, versehentliche Datenschutzverletzungen und Datenlecks zu verhindern.

Password Manager, Zwei-Faktor-Authentifizierung (2FA) oder Multifaktor-Authentifizierung (MFA), Single Sign-on (SSO) und andere Identity und Access Management (IAM)-Tools können Mitarbeiterkonten, VPNs und Zugangsdaten vor Diebstahl schützen.

Unternehmen können auch rollenbasierte Zugriffskontrollen und das Prinzip der geringsten Privilegien durchsetzen, um den Zugriff der Mitarbeiter auf die Daten zu beschränken, die sie für ihre Aufgaben benötigen. Diese Richtlinien können dazu beitragen, sowohl Insider-Bedrohungen als auch Hacker zu stoppen, die legitime Konten kapern.

Ein Breach (auch: Datenpanne) ist ein Sicherheitsereignis, bei dem Vertraulichkeit, Integrität oder Verfügbarkeit von Daten verletzt wird – etwa durch unbefugten Zugriff, Offenlegung, Veränderung oder Verlust. Typische Auslöser sind Phishing und gestohlene Zugangsdaten, Ransomware, Schwachstellen in Anwendungen, Fehlkonfigurationen in der Cloud oder Handhabungsfehler. Entscheidend ist der Impact: Sobald personenbezogene Daten betroffen sind, spricht die DSGVO von einer meldepflichtigen Verletzung des Schutzes personenbezogener Daten.

Bei einem Datenleck werden Informationen unbeabsichtigt nach außen sichtbar – z. B. durch falsch konfigurierte Speicher (offene Cloud-Buckets), fehlende Zugriffsrechte, unverschlüsselte Backups oder falsch adressierte E-Mails. Folgen können Identitätsdiebstahl, Reputationsschäden, regulatorische Maßnahmen und operative Risiken sein.
Best Practice nach Entdeckung:

• Eindämmen: Zugriff sperren, Systeme isolieren.
• Analysieren: Quelle, Umfang, Datentypen forensisch klären.
• Melden: Nach DSGVO i. d. R. binnen 72 Stunden an die Aufsicht; Betroffene informieren, wenn ein Risiko besteht.
• Absichern: Ursachen beheben, Maßnahmen (MFA, Least Privilege, Verschlüsselung, Logging) nachschärfen.

Ein Hackerangriff ist ein Sicherheitsvorfall. Er wird zum Datenschutzvorfall, wenn dabei personenbezogene Daten betroffen sind oder ein Risiko hierfür besteht. Nicht jeder Angriff führt automatisch zu einer Datenschutzverletzung – dokumentations- und ggf. meldepflichtig ist er, wenn personenbezogene Daten gefährdet oder offengelegt wurden.

Datenleck beschreibt die unbeabsichtigte Offenlegung von Informationen, häufig ohne aktiven Angriff: etwa durch Fehlkonfigurationen, menschliche Fehler oder unsichere Prozesse. Im Sprachgebrauch werden Datenleck und Breach teils synonym verwendet; streng genommen betont das Leck die versehentliche Exposition, während ein Breach oft einen aktiven Angreifer impliziert. Beides kann rechtlich relevant sein und erfordert ein strukturiertes Incident-Response-Vorgehen.

Deutlich häufiger, als viele annehmen: Datenlecks entstehen branchenübergreifend – vom KMU bis zum Konzern. Haupttreiber sind Phishing, Fehlkonfigurationen in Cloud-Umgebungen, unsichere Zugriffe in der Lieferkette sowie veraltete Systeme. Wer das Risiko senken will, setzt auf:

• Zero-Trust-Prinzipien: MFA, geringste Rechte, segmentierte Zugriffe.
• Sichere Konfiguration & Patch-Management: kontinuierliche Härtung und Updates.
• Verschlüsselung & DLP: Schutz von Daten im Ruhezustand und in Bewegung.
• Überwachung & Tests: Logging, Anomalie-Erkennung, Pen-Tests, Red/Blue-Team-Übungen.
• Schulung & Prozesse: Awareness-Trainings, klare Meldewege, geübter Incident-Response-Plan.