Über den Einsatz von Cookies auf dieser Website Unsere Websites benötigen einige Cookies, um ordnungsgemäß zu funktionieren (erforderlich). Darüber hinaus können mit Ihrer Zustimmung weitere Cookies verwendet werden, um die Nutzung der Website zu analysieren, die Benutzerfreundlichkeit zu verbessern und Werbung zu schalten. Weitere Informationen finden Sie in Ihren. Durch den Besuch unserer Website erklären Sie sich mit der Verarbeitung von Informationen einverstanden, wie in der IBMDatenschutzbestimmung beschrieben. Um eine reibungslose Navigation zu ermöglichen, werden Ihre Cookie-Präferenzen über die hier aufgeführten IBM Web-Domains hinweg gemeinsam genutzt.
Was ist ein Data Breach?
Aktualisiert: 24. Mai 2024
Mitwirkender: Matthew Kosinski
Eine Datenschutzverletzung ist ein Sicherheitsvorfall, bei dem unbefugte Parteien auf sensible oder vertrauliche Informationen zugreifen, einschließlich personenbezogener Daten (Sozialversicherungsnummern, Bankkontonummern, Gesundheitsdaten) und Unternehmensdaten (Kundendatensätze, geistiges Eigentum, Finanzinformationen).
Die Begriffe „Datenschutzverletzung“ und „Breach“ werden oft synonym mit „Cyberangriff“ verwendet. Jedoch sind nicht alle Cyberangriffe auch Datenschutzverletzungen. Datenschutzverletzungen umfassen nur Sicherheitsverletzungen, bei denen sich jemand unbefugten Zugriff auf Daten verschafft.
Ein Distributed Denial-of-Service (DDoS)-Angriff, der eine Website überwältigt, ist beispielsweise kein Verstoß gegen den Datenschutz. Ein Ransomware-Angriff, bei dem die Kundendaten eines Unternehmens gesperrt werden und damit gedroht wird, sie preiszugeben, sofern das Unternehmen kein Lösegeld zahlt, ist eine Datenschutzverletzung. Der physische Diebstahl von Festplatten, USB-Flash-Laufwerken oder sogar Papierakten mit sensiblen Informationen ist ebenfalls eine Datenschutzverletzung.
Mit dem neuesten Bericht über die Kosten einer Datenschutzverletzung erhalten Sie Erkenntnisse, um das Risiko einer Datenschutzverletzung besser zu managen.
Laut Data Breach Kostenreport von IBM betragen die weltweiten durchschnittlichen Kosten eines Datenschutzverstoßes 4,88 Millionen USD. Unternehmen jeder Größe und Art sind zwar anfällig für Sicherheitsverletzungen, aber der Schweregrad dieser Verletzungen und die Kosten für ihre Behebung variieren.
Beispielsweise belaufen sich die durchschnittlichen Kosten einer Datenschutzverletzung in den Vereinigten Staaten auf 9,36 Millionen USD, etwa viermal so hoch wie die Kosten einer Datenschutzverletzung in Indien (2,35 Millionen USD).
Die Folgen von Sicherheitsverletzungen sind in der Regel besonders schwerwiegend für Unternehmen in stark regulierten Bereichen wie dem Gesundheitswesen, dem Finanzwesen und dem öffentlichen Sektor, wo hohe Geldstrafen und Bußgelder die Kosten noch weiter in die Höhe treiben können. Dem IBM Bericht zufolge kostet eine durchschnittliche Datenschutzverletzung im Gesundheitswesen 9,77 Millionen US-Dollar, was doppelt so viel ist wie der durchschnittliche Kostenpunkt für Datenschutzverletzungen.
Die Kosten für Datenschutzverletzungen ergeben sich aus mehreren Faktoren, wobei der IBM-Bericht vier Hauptfaktoren nennt: Geschäftseinbußen, Erkennung und Eindämmung, Reaktion nach dem Verstoß, Benachrichtigung.
Der Verlust von Geschäften, Einnahmen und Kunden infolge einer Sicherheitsverletzung kostet Unternehmen im Durchschnitt 1,47 Millionen USD. Der Preis für die Erkennung und Eindämmung des Verstoßes ist mit 1,63 Millionen USD sogar noch höher. Die Kosten nach einem Verstoß – darunter Bußgelder, Entschädigungen, Anwaltskosten, die Bereitstellung einer kostenlosen Kreditüberwachung für betroffene Kunden und ähnliche Ausgaben – kosten das durchschnittliche Opfer eines Verstoßes 1,35 Millionen USD.
Die Benachrichtigungskosten, die die Meldung von Verstößen an Kunden, Aufsichtsbehörden und andere Dritte umfassen, sind mit 430.000 USD am niedrigsten. Allerdings können die Berichtspflichten immer noch aufwändig und zeitraubend sein.
Der US Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA) schreibt vor, dass Unternehmen aus den Bereichen nationale Sicherheit, Finanzwesen und bestimmten anderen Branchen Cybervorfälle, die personenbezogene Daten oder Geschäftsoperationen betreffen, innerhalb von 72 Stunden an das US-Heimatschutzministerium melden müssen.
US-Unternehmen, die dem Health Insurance Portability and Accountability Act (HIPPA) unterliegen, müssen das Ministerium für Gesundheitspflege und Soziale Dienste, betroffene Personen und manchmal auch die Medien informieren, wenn der Schutz geschützter Gesundheitsinformationen verletzt wird.
Alle 50 US-Bundesstaaten haben auch ihre eigenen Gesetze zur Meldung von Datenschutzverletzungen.
Die Datenschutz-Grundverordnung (DSGVO) verlangt, dass Unternehmen, die Geschäfte mit EU-Bürgern machen, Behörden innerhalb von 72 Stunden über Verstöße informieren.
Datenschutzverletzungen können durch Folgendes verursacht werden:
Unbeabsichtigte Fehler, z. B. ein Mitarbeiter, der vertrauliche Informationen per E-Mail an die falsche Person sendet.
Böswillige Insider, einschließlich verärgerter oder entlassener Mitarbeiter, die dem Unternehmen schaden möchten, und gierige Mitarbeiter, die von den Daten des Unternehmens profitieren wollen.
Hacker, böswillige Außenstehende, die bewusst Cyberangriffe zum Stehlen von Daten einsetzen. Hacker können einzeln oder als Teil eines organisierten Rings agieren.
Finanzieller Gewinn ist die Hauptmotivation für die meisten böswilligen Datenschutzverletzungen. Hacker stehlen Kreditkartennummern, Bankkonten oder andere Finanzdaten, um Privatpersonen und Unternehmen auf direktem Wege Geld zu entwenden.
Einige Angreifer stehlen personenbezogene Daten (PBD), z. B. Sozialversicherungsnummern und Telefonnummern für Identitätsdiebstahl, Aufnahme von Krediten und Eröffnung von Kreditkarten in den Namen ihrer Opfer. Cyberkriminelle können auch gestohlene personenbezogene Daten und Kontoinformationen im Dark Web verkaufen, wo sie bis zu 500 USD für Bankanmeldedaten erzielen können.1
Eine Datenschutzverletzung kann auch die erste Phase eines größeren Angriffs sein. So könnten Hacker beispielsweise die Passwörter von E-Mail-Konten von Führungskräften stehlen und diese Konten für die Kompromittierung geschäftlicher E-Mails nutzen.
Datenschutzverletzungen können andere Ziele als die persönliche Bereicherung verfolgen. Skrupellose Unternehmen könnten Geschäftsgeheimnisse von Konkurrenten stehlen, und staatliche Akteure könnten in Regierungssysteme eindringen, um Informationen über vertrauliche politische Geschäfte, militärische Operationen oder die nationale Infrastruktur zu stehlen.
Die meisten vorsätzlichen Datenschutzverletzungen, die durch interne oder externe Bedrohungsakteure verursacht werden, folgen demselben grundlegenden Muster:
- Forschung: Der Bedrohungsakteur identifiziert ein Ziel und sucht nach Schwachstellen, mit denen er in das System des Ziels eindringen kann. Diese Schwachstellen können technischer Natur sein, z. B. unzureichende Sicherheitskontrollen, oder menschlicher Natur, wie z. B. Mitarbeiter, die anfällig für Social Engineering sind.
- Angriff: Der Bedrohungsakteur startet einen Angriff auf das Ziel, indem er seine gewählte Methode verwendet. Der Angreifer kann eine Spear-Phishing-E-Mail senden, direkt Schwachstellen im System ausnutzen, gestohlene Login-Daten verwenden, um ein Konto zu übernehmen oder andere gängige Angriffsvektoren für Datenschutzverletzungen einsetzen.
- Kompromittieren von Daten: Innerhalb des Systems findet der Angreifer die gewünschten Daten und tut, was er tun wollte. Zu den üblichen Taktiken gehören das Exfiltrieren von Daten zum Verkauf oder zur Verwendung, die Zerstörung der Daten oder das Sperren von Daten, um Lösegeld zu verlangen.
Häufige Angriffsvektoren für Datenschutzverletzungen
Böswillige Akteure können eine Reihe von Angriffsvektoren oder Methoden nutzen, um Datenschutzverletzungen durchzuführen. Einige der häufigsten sind:
Laut Data Breach Kostenreport 2024 sind gestohlene oder kompromittierte Zugangsdaten der zweithäufigste anfängliche Angriffsvektor, der für 16 % der Datenschutzverletzungen verantwortlich ist.
Hacker können Anmeldedaten kompromittieren, indem sie Brute-Force-Angriffe zum Knacken von Passwörtern einsetzen, gestohlene Anmeldedaten im Dark Web kaufen oder Mitarbeiter durch Social-Engineering-Angriffe dazu bringen, ihre Passwörter preiszugeben.
Beim Social Engineering handelt es sich um die psychologische Manipulation von Menschen, um unabsichtlich ihre eigene Informationssicherheit zu gefährden.
Phishing, die häufigste Art von Social-Engineering-Angriffen, ist auch der häufigste Angriffsvektor für Datenschutzverletzungen und macht 16 Prozent der Datenschutzverletzungen aus. Phishing-Scams verwenden betrügerische E-Mails, SMS, Social-Media-Inhalte oder Websites, um Benutzer dazu zu verleiten, Zugangsdaten preiszugeben oder Malware herunterzuladen.
Ransomware, eine Art von Schadsoftware, die Daten solange als Geisel hält, bis das Opfer ein Lösegeld zahlt, verursacht laut Data Breach Kostenreport im Durchschnitt Kosten in Höhe von 4,91 Millionen USD. Diese Angriffe sind meist sehr kostspielig, da in dieser Summe die Lösegeldzahlungen nicht eingerechnet sind, die sich auf mehrere zehn Millionen Dollar belaufen können.
Cyberkriminelle können sich Zugang zu einem Zielnetzwerk verschaffen, indem sie Schwachstellen in Websites, Betriebssystemen, Endpunkten und häufig verwendeter Software wie Microsoft Office oder anderen IT-Ressourcen ausnutzen.
Bedrohungsakteure müssen ihre Ziele nicht direkt erreichen. Bei Angriffen auf die Lieferkette nutzen Hacker Schwachstellen in den Netzwerken von Dienstleistern und Lieferanten eines Unternehmens aus, um dessen Daten zu stehlen.
Wenn Hacker eine Schwachstelle finden, nutzen sie diese oft, um Malware im Netzwerk zu installieren. Spyware, die die Tastenanschläge eines Opfers und andere vertrauliche Daten aufzeichnet und an einen von den Hackern kontrollierten Server sendet, ist eine häufige Art von Malware, die bei Datenschutzverletzungen eingesetzt wird.
Eine weitere Methode, um direkt in Zielsysteme einzudringen, ist die SQL-Injektion, bei der Schwachstellen in den SQL-Datenbanken (Structured Query Language) von ungesicherten Websites ausgenutzt werden.
Hacker geben bösartigen Code in benutzerorientierte Felder wie Suchleisten und Anmeldefenster ein. Dieser Code veranlasst die Datenbank, private Daten wie Kreditkartennummern oder persönliche Daten von Kunden preiszugeben.
Bedrohungsakteure können Fehler von Mitarbeitern ausnutzen, um Zugang zu vertraulichen Informationen zu erhalten.
So können beispielsweise falsch konfigurierte oder veraltete Systeme Unbefugten den Zugriff auf Daten ermöglichen, auf die sie keinen Zugriff haben sollten. Mitarbeiter können Daten preisgeben, indem sie sie an ungesicherten Orten aufbewahren, Geräte mit sensiblen Informationen auf ihren Festplatten verlegen oder Netzwerkbenutzern versehentlich übermäßige Zugriffsrechte gewähren. Cyberkriminelle nutzen möglicherweise auch IT-Ausfälle, etwa vorübergehende Systemausfälle, um sich in vertrauliche Datenbanken einzuschleichen.
Laut Data Breach Kostenreport machen Cloud-Fehlkonfigurationen 12 % der Sicherheitsverletzungen aus. Bekannte, ungepatchte Sicherheitslücken belaufen sich auf 6 % der Sicherheitsverletzungen. Unbeabsichtigte Datenverluste, einschließlich verlorener oder gestohlener Geräte, machen weitere 6 % aus. Insgesamt sind diese Fehler für fast ein Viertel aller Datenschutzverletzungen verantwortlich.
Bedrohungsakteure können in Firmenbüros einbrechen, um die Geräte der Mitarbeiter, Papierdokumente und physische Festplatten mit sensiblen Daten zu stehlen. Angreifer können auch Skimming-Geräte auf physischen Kredit- und Debitkartenlesern platzieren, um Kartendaten zu sammeln.
Der Datendiebstahl bei TJX Corporation, der Muttergesellschaft der Einzelhändler TJ Maxx und Marshalls, im Jahr 2007 war damals der größte und teuerste Datendiebstahl in der US-Geschichte. Nicht weniger als 94 Millionen Kundendatensätze wurden kompromittiert, und das Unternehmen erlitt einen finanziellen Schaden von mehr als 256 Millionen USD.
Die Hacker verschafften sich Zugriff auf die Daten, indem sie Traffic-Sniffer in den drahtlosen Netzwerken von zwei Geschäften platzierten. Die Sniffer ermöglichten es den Hackern, Informationen abzufangen, während sie von den Kassen der Geschäfte an die Backend-Systeme übertragen wurden.
Im Jahr 2013 erlebte Yahoo die vielleicht größte Datenschutzverletzung der Geschichte. Hacker nutzten eine Schwachstelle im Cookie-System des Unternehmens aus, um an die Namen, Geburtsdaten, E-Mail-Adressen und Passwörter aller 3 Milliarden Yahoo-Nutzer zu gelangen.
Das volle Ausmaß der Datenschutzverletzung wurde 2016 bekannt, als Verizon Gespräche über den Kauf des Unternehmens führte. Daraufhin reduzierte Verizon sein Übernahmeangebot um 350 Millionen USD.
Im Jahr 2017 drangen Hacker in die Kreditauskunftei Equifax ein und verschafften sich Zugriff auf die personenbezogenen Daten von mehr als 143 Millionen Amerikanern.
Die Hacker nutzten eine ungepatchte Schwachstelle in der Website von Equifax aus, um sich Zugang zum Netzwerk zu verschaffen. Die Hacker griffen dann lateral auf andere Server zu, um Sozialversicherungsnummern, Führerscheinnummern und Kreditkartennummern zu finden. Der Angriff kostete Equifax 1,4 Milliarden USD an Schadensersatz, Geldstrafen und anderen Kosten für die Behebung der Datenschutzverletzung.
Im Jahr 2020 führten russische Bedrohungsakteure mit einem Hack des Softwareanbieters SolarWinds einen Angriff auf die Lieferkette durch. Hacker nutzten Orion, die Netzwerküberwachungsplattform des Unternehmens, um heimlich Malware an die Kunden von SolarWinds zu verteilen.
Russische Spione verschafften sich Zugang zu den vertraulichen Informationen verschiedener US-Regierungsbehörden, darunter das Finanz-, Justiz- und Außenministerium, die die Dienste von SolarWinds nutzen.
Im Jahr 2021 infizierten Hacker die Systeme von Colonial Pipeline mit Ransomware und zwangen das Unternehmen, die Pipeline, die 45 % des Treibstoffs an der US-Ostküste liefert, vorübergehend abzuschalten.
Hacker drangen in das Netzwerk ein, indem sie das Passwort eines Mitarbeiters verwendeten, das sie im Dark Web gefunden hatten. Die Colonial Pipeline Company zahlte ein Lösegeld in Höhe von 4,4 Millionen USD in Kryptowährung, aber die Strafverfolgungsbehörden des Bundes konnten etwa 2,3 Millionen USD dieser Zahlung zurückholen.
Im Herbst 2023 stahlen Hacker die Daten von 6,9 Millionen 23andMe-Nutzern. Der Verstoß war aus mehreren Gründen bemerkenswert. Erstens erhielten die Angreifer einige unkonventionelle und sehr persönliche Informationen, darunter Stammbäume und DNA-Daten, da 23andMe Gentests durchführt.
Zweitens drangen die Hacker durch eine Technik namens „Credential Stuffing“ in Benutzerkonten ein. Bei dieser Art von Angriffen verwenden Hacker Anmeldedaten, die in früheren Leaks aus anderen Quellen aufgedeckt wurden, um in die Konten von Nutzern auf verschiedenen Plattformen einzudringen. Diese Angriffe funktionieren, weil viele Menschen dieselben Kombinationen aus Benutzernamen und Passwort auf verschiedenen Websites verwenden.
Laut Data Breach Kostenreport dauert es branchenübergreifend durchschnittlich 272 Tage, um eine aktive Datenschutzverletzung zu erkennen und einzudämmen. Die Bereitstellung der richtigen Sicherheitslösungen kann Unternehmen helfen, diese Verstöße schneller zu erkennen und darauf zu reagieren.
Standardmaßnahmen wie regelmäßige Schwachstellenanalysen, geplante Backups, rechtzeitige Patches und ordnungsgemäße Datenbankkonfigurationen können dazu beitragen, einige Sicherheitsverletzungen zu verhindern und die Folgen von Sicherheitsverletzungen zu mildern.
Viele Unternehmen setzen heute jedoch fortschrittlichere Kontrollen und Best Practices ein, um mehr Sicherheitsverletzungen zu verhindern und den von ihnen verursachten Schaden deutlich zu verringern.
Unternehmen können spezialisierte Datensicherheitslösungen einsetzen, um sensible Daten automatisch zu erkennen und zu klassifizieren, Verschlüsselung und andere Schutzmaßnahmen anzuwenden und in Echtzeit Einblick in die Datennutzung zu erhalten.
Unternehmen können den Schaden durch Sicherheitsverletzungen begrenzen, indem sie formelle Notfallpläne zur Erkennung, Eindämmung und Beseitigung von Cyber-Bedrohungen einführen. Laut Data Breach Kostenreport war der beliebteste Bereich für Sicherheitsinvestitionen in diesem Jahr die IR-Planung und -Tests bei 55 % aller Befragten.
Laut Data Breach Kostenreport lösen Unternehmen, die künstliche Intelligenz (KI) und Automatisierung in den Sicherheitsbetrieb integrieren, Probleme rund um Sicherheitsverletzungen fast 100 Tage schneller als diejenigen, die dies nicht tun. Der Bericht zeigt auch, dass KI und Automatisierung im Sicherheitsbereich die Kosten einer durchschnittlichen Sicherheitsverletzung um 1,88 Millionen USD oder Einsparungen von über 30 % reduzieren.
Viele Tools für Datensicherheit, Schutz vor Datenverlust und Identity und Access Management (IAM) integrieren inzwischen KI und Automatisierung.
Da Social-Engineering- und Phishing-Angriffe die Hauptursachen für Datenschutzverletzungen sind, kann die Schulung von Mitarbeitern zur Erkennung und Vermeidung dieser Angriffe das Risiko einer Datenschutzverletzung für ein Unternehmen verringern. Darüber hinaus kann die Schulung von Mitarbeitern im richtigen Umgang mit Daten dazu beitragen, versehentliche Datenschutzverletzungen und Datenlecks zu verhindern.
Password Manager, Zwei-Faktor-Authentifizierung (2FA) oder Multifaktor-Authentifizierung (MFA), Single Sign-On (SSO) und andere Identity und Access Management (IAM)-Tools können Mitarbeiterkonten und Zugangsdaten vor Diebstahl schützen.
Unternehmen können auch rollenbasierte Zugriffskontrollen und das Prinzip der geringsten Privilegien durchsetzen, um den Zugriff der Mitarbeiter auf die Daten zu beschränken, die sie für ihre Aufgaben benötigen. Diese Richtlinien können dazu beitragen, sowohl Insider-Bedrohungen als auch Hacker zu stoppen, die legitime Konten kapern.
Weiterführende Lösungen
Schützen Sie Daten über Hybrid-Clouds hinweg und vereinfachen Sie Compliance-Anforderungen.
Stärken Sie den Datenschutz, bauen Sie Kundenvertrauen auf und steigern Sie Ihren Umsatz.
Verbessern Sie das Programm zur Reaktion auf Vorfälle in Ihrem Unternehmen, minimieren Sie die Auswirkungen einer Sicherheitsverletzung und profitieren Sie von einer schnellen Reaktion auf Vorfälle im Bereich der Cybersicherheit.
Ressourcen
Erfahren Sie, wie Sie Ihre Datensicherheit und Compliance verbessern können, indem Sie die Sicherheit zentralisieren, Schwachstellen beseitigen und vieles mehr.
Erfahren Sie, wie sich die heutige Sicherheitslandschaft verändert und wie Sie die Herausforderungen meistern und die Leistungsfähigkeit der generativen KI nutzen können.
Erfahren Sie, wie Ransomware funktioniert, warum sie sich in den letzten Jahren stark verbreitet hat und wie Unternehmen sich dagegen wehren können.
Fußnoten
1 How Much Do Hackers Make From Stealing Your Data? (Link befindet sich außerhalb von ibm.com), Nasdaq. 16. Oktober 2023
