Eine Datenschutzverletzung ist ein Sicherheitsvorfall, bei dem unbefugte Parteien Zugriff auf vertrauliche Daten oder Informationen erhalten, einschließlich persönlicher Daten (Sozialversicherungsnummern, Bankkontonummern, Gesundheitsdaten) oder Unternehmensdaten (Kundendatensätze, geistiges Eigentum, Finanzdaten).
Die Begriffe „Datenschutzverletzung“ und „Verletzung“ werden häufig synonym mit „Cyberangriff“ verwendet. Aber nicht alle Cyberangriffe sind Datenschutzverletzungen – und nicht alle Datenschutzverletzungen sind Cyberangriffe.
Datenschutzverletzungen umfassen nur Sicherheitsverletzungen, bei denen die Vertraulichkeit von Daten beeinträchtigt wird. So ist zum Beispiel ein Distributed-Denial-of-Service-Angriff (DDoS), der eine Website überlastet, keine Datenschutzverletzung. Ein Ransomware-Angriff, bei dem die Kundendaten eines Unternehmens gesperrt werden und damit gedroht wird, sie bei Nichtzahlung eines Lösegelds zu verkaufen, ist hingegen eine Datenschutzverletzung. Dies gilt auch für den physischen Diebstahl von Festplatten, USB-Laufwerken oder sogar Papierdateien mit vertraulichen Informationen.
Datenschutzverletzungen bei Unternehmen, die KI und Automatisierung einsetzen, kosten 3 Millionen US-Dollar weniger als Vorfälle bei Unternehmen ohne diese Technologien.
Laut dem IBM Bericht Kosten einer Datenschutzverletzung 2022 belaufen sich die weltweiten durchschnittlichen Kosten einer Datenschutzverletzung auf 4,35 Millionen US-Dollar. Die durchschnittlichen Kosten einer Datenschutzverletzung betragen in den USA mehr als das Doppelte, nämlich 9,44 Millionen US-Dollar. Dreiundachtzig (83) Prozent der im Bericht befragten Unternehmen haben mehr als eine Datenschutzverletzung erlebt.
Unternehmen jeder Größe und Art sind anfällig für Sicherheitsverstöße – Groß- und Kleinunternehmen, öffentliche und private Unternehmen, Bundes-, Landes- und Kommunalbehörden sowie gemeinnützige Organisationen. Besonders schwerwiegend sind die Folgen einer Datenschutzverletzung jedoch für Unternehmen in Bereichen wie dem Gesundheitswesen, dem Finanzwesen und dem öffentlichen Sektor. Der Wert der von diesen Unternehmen verarbeiteten Daten – Staatsgeheimnisse, Gesundheitsdaten von Patienten, Bankkontonummern und Anmeldedaten – und die strengen Bußgelder und Strafen, mit denen sie im Falle einer Datenschutzverletzung konfrontiert werden, machen die damit verbundenen Kosten noch höher. Dem IBM Bericht zufolge kostete die Datenschutzverletzung im Gesundheitswesen durchschnittlich 10,10 Millionen US-Dollar – mehr als doppelt so viel wie die durchschnittlichen Kosten aller Datenschutzverletzungen.
Die Kosten für Datenschutzverletzungen sind auf mehrere Faktoren zurückzuführen, von denen einige überraschender sind als andere. Die daraus resultierenden Geschäfts-, Umsatz- und Kundenverluste kosten Opfer von Datenschutzverletzungen durchschnittlich 1,42 Millionen US-Dollar. Allerdings sind die Kosten für die Erkennung und Eindämmung einer Datenschutzverletzung etwas höher und liegen im Durchschnitt bei 1,44 Millionen US-Dollar. Die Kosten für die Zeit nach einer Datenschutzverletzung – von Geldstrafen, Schadensersatz und Anwaltsgebühren bis hin zu den Kosten für die Berichterstattung und die kostenlose Kreditüberwachung der betroffenen Kunden – belaufen sich auf durchschnittlich 1,49 Millionen US-Dollar für die Opfer. Berichtsanforderungen für Datenschutzverletzungen können besonders kostspielig und zeitaufwendig sein.
- Der U.S. Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA) schreibt vor, dass Unternehmen aus den Bereichen nationale Sicherheit, Finanzen, kritische Fertigungsprozesse und bestimmten anderen Branchen Cybervorfälle, die entweder personenbezogene Daten oder Geschäftsoperationen betreffen, innerhalb von 72 Stunden an das US-Heimatschutzministerium melden müssen.
- US-Unternehmen, die dem Health Insurance Portability and Accountability Act (HIPPA) unterliegen, müssen das Ministerium für Gesundheitspflege und Soziale Dienste, betroffene Personen und (in einigen Fällen) die Medien informieren, wenn geschützte Gesundheitsinformationen verletzt werden.
- Alle 50 US-Bundesstaaten haben auch ihre eigenen Gesetze zur Meldung von Datenschutzverletzungen.
- Die Datenschutz-Grundverordnung (DSGVO) schreibt vor, dass Unternehmen, die mit EU-Bürgern Geschäfte machen, die Behörden innerhalb von 72 Stunden über Datenschutzverletzungen informieren müssen. Diese Berichterstattung und andere Verpflichtungen nach einer Datenschutzverletzung – von der Zahlung von Bußgeldern, Schadensersatz und Anwaltsgebühren bis hin zur kostenlosen Kreditüberwachung für betroffene Kunden – kosten das durchschnittliche Opfer einer Datenschutzverletzung 1,49 Millionen US-Dollar.
Datenschutzverletzungen können durch Folgendes verursacht werden:
- Unbeabsichtigte Fehler – z. B. ein Mitarbeiter, der vertrauliche Informationen per E-Mail an die falsche Person sendet
- Böswillige Insider – verärgerte oder entlassene Mitarbeiter oder ein gieriger Mitarbeiter, der sich von einem Außenstehenden bestechen lässt
- Hacker – böswillige Außenstehende, die bewusst Cyberangriffe zum Stehlen von Daten einsetzen.
Bei den meisten böswilligen Angriffen geht es um finanziellen Gewinn. Hacker können Kreditkartennummern, Bankkonten oder andere Finanzdaten stehlen, um Geld von Personen und Unternehmen direkt abzuziehen. Sie können personenbezogene Daten (PII) – Sozialversicherungsnummern und Telefonnummern – für Identitätsdiebstahl (Aufnahme von Krediten und Eröffnung von Kreditkarten im Namen ihrer Opfer) oder für den Verkauf im Dark Web stehlen, wo sie bis zu 1 USD pro Sozialversicherungsnummer und 2.000 USD für eine Passnummer erzielen können (Link befindet sich außerhalb von ibm.com). Cyberkriminelle können auch persönliche Zusatzinformationen oder gestohlene Zugangsdaten an andere Hacker im Dark Web verkaufen, die sie für ihre eigenen böswilligen Zwecke verwenden.
Datenverletzungen können andere Ziele haben. Skrupellose Organisationen können Geschäftsgeheimnisse von Wettbewerbern stehlen. Nationalstaatliche Akteure können in Regierungssysteme eindringen, um Informationen über vertrauliche politische Vorgänge, militärische Operationen oder die nationale Infrastruktur zu stehlen. Einige Verstöße sind rein destruktiv, d. h. Hacker greifen auf vertrauliche Daten zu, nur um diese zu zerstören oder zu verunstalten. Solche zerstörerischen Angriffe, auf die laut dem Bericht Kosten einer Datenschutzverletzung 2022 17 Prozent der Verletzungen entfallen, sind häufig das Werk von nationalstaatlichen Akteuren oder Hacktivisten-Gruppen, die versuchen, einem Unternehmen Schaden zuzufügen.
Laut dem Bericht „Kosten einer Datenschutzverletzung 2022“ beträgt der durchschnittliche Lebenszyklus einer Datenschutzverletzung 277 Tage – so lange dauert es nämlich, bis Unternehmen eine aktive Verletzung erkennen und eindämmen.
Beabsichtigte Datenschutzverletzungen, die durch interne oder externe Akteure, von denen eine Sicherheitsbedrohung ausgeht, verursacht werden, folgen demselben Grundmuster:
- Forschung: Hacker wählen ein Ziel aus und suchen dann nach Schwachstellen, die sie im Computersystem oder bei den Mitarbeitern des Ziels ausnutzen können. Sie können auch zuvor gestohlene Informationsmalware kaufen, die ihnen Zugriff auf das Netzwerk des Ziels gewährt.
- Angriff: Sobald ein Ziel und eine Methode identifiziert sind, startet der Hacker den Angriff. Der Hacker kann eine Social-Engineering-Kampagne starten, Schwachstellen im Zielsystem direkt ausnutzen, gestohlene Zugangsdaten verwenden oder einen der anderen gängigen Angriffsvektoren für Datenschutzverletzungen nutzen (siehe unten).
- Kompromittierung von Daten: Der Hacker findet die Daten, hinter denen er her ist, und ergreift Maßnahmen. Dies kann bedeuten, Daten für die Verwendung oder den Verkauf zu exfiltrieren, Daten zu zerstören oder die Daten mit Ransomware zu sperren und eine Zahlung zu verlangen.
Böswillige Akteure können eine Reihe von Angriffsvektoren oder Methoden nutzen, um Datenschutzverletzungen durchzuführen. Einige der häufigsten sind:
Laut Kosten einer Datenschutzverletzung 2022 sind gestohlene oder kompromittierte Zugangsdaten der häufigste erste Angriffsvektor und machen 19 Prozent der Datenschutzverletzungen aus. Hacker können diese Daten stehlen oder kompromittieren, indem sie Brute-Force-Angriffe einsetzen, gestohlene Zugangsdaten im Dark Web kaufen oder Mitarbeiter durch Social-Engineering-Angriffe dazu bringen, ihre Zugangsdaten preiszugeben.
Beim Social Engineering handelt es sich um die psychologische Manipulation von Menschen, um unabsichtlich ihre eigene Informationssicherheit zu gefährden. Phishing, die häufigste Art von Social-Engineering-Angriffen, ist auch der zweithäufigste Angriffsvektor für Datenschutzverletzungen und macht 16 Prozent der Datenschutzverletzungen aus. Phishing-Scams verwenden betrügerische E-Mails, SMS, Social-Media-Inhalte oder Websites, um Benutzer dazu zu verleiten, Zugangsdaten preiszugeben oder Malware herunterzuladen.
Laut Kosten einer Datenschutzverletzung 2022 benötigt ein Unternehmen durchschnittlich 326 Tage, um eine Ransomware-Verletzung zu erkennen und einzudämmen. Dies ist besonders erschreckend, da laut dem X-Force Threat Intelligence Index 2023 die durchschnittliche Zeit bis zur Ausführung von Ransomware von über 60 Tagen im Jahr 2019 auf nur 3,85 Tage im Jahr 2021 gesunken ist. Die durchschnittlichen Kosten einer Ransomware-Verletzung belaufen sich auf 4,54 Millionen US-Dollar – ohne die Lösegeldzahlungen, die sich auf mehrere zehn Millionen Dollar belaufen können.
Cyberkriminelle können sich Zugang zu einem Zielnetzwerk verschaffen, indem sie Schwachstellen in IT-Assets wie Websites, Betriebssystemen, Endpunkten und häufig verwendeter Software wie Microsoft Office oder Webbrowsern ausnutzen. Sobald Hacker eine Sicherheitslücke gefunden haben, nutzen sie diese häufig, um Malware in das Netzwerk einzuschleusen. Spyware, die die Tastenanschläge eines Opfers und andere vertrauliche Daten aufzeichnet und an einen von den Hackern betriebenen Befehls- und Steuerungsserver sendet, ist eine häufige Art von Malware, die bei Datenschutzverletzungen eingesetzt wird.
Eine weitere Methode, um direkt in Zielsysteme einzudringen, ist SQL-Injection. Dabei werden Schwachstellen in den SQL-Datenbanken (Structured Query Language) von ungesicherten Websites ausgenutzt. Hacker geben schädlichen Programmcode in das Suchfeld der Website ein und fordern die Datenbank auf, private Daten wie Kreditkartennummern oder persönliche Zusatzinformationen von Kunden zurückzugeben.
Hacker können Fehler von Mitarbeitern ausnutzen, um Zugang zu vertraulichen Informationen zu erhalten. Laut dem IBM Bericht „Kosten einer Datenschutzverletzung 2022“ waren fehlerhafte Konfigurationen der Cloud bei 15 Prozent der Datenschutzverletzungen der erste Angriffsvektor. Mitarbeiter können Daten auch Angreifern preisgeben, wenn sie diese an ungesicherten Orten aufbewahren, Geräte mit vertraulichen Informationen auf ihren Festplatten verlegen oder Netzwerkbenutzern versehentlich übermäßige Zugriffsrechte auf Daten gewähren. Cyberkriminelle nutzen möglicherweise auch IT-Ausfälle, etwa vorübergehende Systemausfälle, um sich in vertrauliche Datenbanken einzuschleichen.
Angreifer können das geschäftliche oder private Gerät eines Mitarbeiters stehlen, um Zugriff auf die darin enthaltenen vertraulichen Daten zu erhalten, in Firmenbüros einbrechen, um Papierdokumente und physische Festplatten zu stehlen, oder Skimming-Geräte auf physischen Kredit- und Debitkartenlesern platzieren, um die Zahlungskarteninformationen von Einzelpersonen zu sammeln.
Die folgenden Beispiele verdeutlichen die Bandbreite der Ursachen und Kosten von Datenschutzverletzungen.
- TJX: Die Datenschutzverletzung im Jahr 2007 bei der TJX Corporation, der Muttergesellschaft der Einzelhändler TJ Maxx und Marshalls, war damals die größte und kostspieligste Verletzung der Verbraucherdaten in der Geschichte der USA. Dabei wurden 94 Millionen Kundendatensätze kompromittiert und finanzielle Verluste in Höhe von 256 Millionen US-Dollar verursacht. Hacker verschafften sich Zugriff auf die Daten, indem sie das mobile Netz entschlüsselten, das das elektronische Kassensystem eines Geschäfts mit Back-End-Systemen verbindet.
- Yahoo: Im Jahr 2013 erlitt Yahoo die vielleicht größte Datenschutzverletzung der Geschichte. Hacker nutzten eine Schwachstelle im Cookie-System des Unternehmens aus, um Zugriff auf die Namen, Geburtsdaten, E-Mail-Adressen und Kennwörter aller 3 Milliarden Yahoo-Nutzer zu erhalten. Das volle Ausmaß der Verletzung kam erst 2016 ans Licht, als Verizon in Gesprächen über den Kauf des Unternehmens stand. Daraufhin reduzierte Verizon sein Übernahmeangebot um 350 Millionen USD.
- Equifax: Im Jahr 2017 drangen Hacker in die Kreditauskunftei Equifax ein und griffen auf die persönlichen Daten von mehr als 143 Millionen Amerikanern zu. Die Hacker nutzten eine nicht gepatchte Schwachstelle in der Website von Equifax aus, um sich Zugang zum Netzwerk zu verschaffen, und bewegten sich lateral zu anderen Servern, um Sozialversicherungsnummern, Führerscheinnummern und Kreditkartennummern zu finden. Der Angriff kostete Equifax 1,4 Milliarden USD an Schadensersatz, Geldstrafen und anderen Kosten für die Behebung der Datenschutzverletzung.
- SolarWinds: Im Jahr 2020 führten russische nationalstaatliche Akteure mit einem Hack des Softwareanbieters SolarWinds einen Angriff auf die Lieferkette durch. Hacker nutzten Orion, die Netzwerküberwachungsplattform des Unternehmens, um heimlich Malware an die Kunden von SolarWinds zu verteilen. Russische Spione konnten mithilfe der Services von SolarWinds Zugang zu vertraulichen Informationen verschiedener US-Regierungsbehörden erhalten, darunter das Finanz-, Justiz- und Außenministerium.
- Colonial Pipeline: Im Jahr 2021 infizierten Hacker die Systeme von Colonial Pipeline mit Ransomware und zwangen das Unternehmen, die Pipeline, die 45 Prozent des Treibstoffs der US-Ostküste liefert, vorübergehend abzuschalten. Hacker nutzten das im Dark Web gefundene Kennwort eines Mitarbeiters, um in das Netzwerk einzudringen. Die Colonial Pipeline Company zahlte ein Lösegeld in Höhe von 4,4 Millionen USD in Kryptowährung, aber die Strafverfolgungsbehörden konnten etwa 2,3 Millionen USD dieser Zahlung zurückerhalten.
Standardsicherheitsmaßnahmen – regelmäßige Anfälligkeitsbewertungen, geplante Sicherungen, Verschlüsselung von Daten im Ruhezustand oder in Bewegung, ordnungsgemäße Datenbankkonfigurationen, rechtzeitige Anwendung von Systemen und Software – können dazu beitragen, Datenschutzverletzungen zu verhindern und den Schaden abzumildern, wenn sie auftreten. Heutzutage können Unternehmen jedoch spezifischere Datensicherheitskontrollen, Technologien und Best Practices implementieren, um Datenschutzverletzungen besser zu verhindern und den von ihnen verursachten Schaden zu mindern.
Incident-Response-Pläne. Der Incident-Response-Plan (IRP) eines Unternehmens – ein Plan zur Erkennung, Eindämmung und Beseitigung von Cyberbedrohungen – ist eine der effektivsten Möglichkeiten, den Schaden einer Datenschutzverletzung zu mindern. Laut dem Bericht Kosten einer Datenschutzverletzung 2022 belaufen sich die durchschnittlichen Kosten einer Datenschutzverletzung für Unternehmen mit regelmäßig getesteten Incident-Response-Plänen und formellen Notfallteams auf 3,26 Millionen US-Dollar – das sind 2,66 Millionen US-Dollar weniger als die durchschnittlichen Kosten einer Datenschutzverletzung für Unternehmen ohne solche Teams und Pläne.
KI und Automatisierung. Der Bericht „Kosten einer Datenschutzverletzung 2022“ ergab außerdem, dass Unternehmen, die ein hohes Maß an künstlicher Intelligenz (KI) und Automatisierung zur Erkennung und Reaktion auf Bedrohungen einsetzen, durchschnittlich 55,3 Prozent niedrigere Kosten für Datenschutzverletzungen verursachen als Unternehmen, die diese Technologien nicht verbreitet einsetzen. Technologien wie SOAR (Security Orchestration, Automation and Response), UEBA (User and Entity Behavior Analytics), EDR (Endpoint Detection and Response) und XDR (Extended Detection and Response) nutzen KI und fortschrittliche Analysen, um Bedrohungen frühzeitig zu erkennen – noch bevor sie zu Datenschutzverletzungen führen – und bieten Automatisierungsfunktionen, die eine schnellere und kostensparende Reaktion ermöglichen.
Schulung der Mitarbeiter. Da Social-Engineering- und Phishing-Angriffe die Hauptursachen für Datenschutzverletzungen sind, kann die Schulung von Mitarbeitern zur Erkennung und Vermeidung dieser Angriffe das Risiko einer Datenschutzverletzung für ein Unternehmen verringern. Darüber hinaus kann die Schulung von Mitarbeitern im richtigen Umgang mit Daten dazu beitragen, versehentliche Datenschutzverletzungen und Datenlecks zu verhindern.
Identity und Access Management (IAM). Starke Kennwortrichtlinien, Kennwortmanager, Zwei-Faktor-Authentifizierung (2FA) oder Multi-Faktor-Authentifizierung (MFA), Single Sign On (SSO) und andere Technologien von Identity und Access Management (IAM) können Unternehmen dabei unterstützen, sich besser gegen Hacker zu schützen, die gestohlene oder gefährdete Zugangsdaten verwenden, den häufigsten Angriffsvektor für Datenschutzverletzungen.
Ein Zero-Trust-Sicherheitskonzept. Ein Zero-Trust-Sicherheitskonzept ist ein Ansatz, bei dem allen Benutzern oder Entitäten niemals vertraut wird und sie ständig überprüft werden, unabhängig davon, ob sie sich außerhalb oder bereits innerhalb des Netzwerks befinden. Konkret erfordert Zero-Trust:
- Kontinuierliche Authentifizierung, Autorisierung und Validierung: Jeder, der versucht, auf das Netz oder eine Netzressource zuzugreifen, wird als potenziell gefährdet oder böswillig eingestuft und muss kontinuierliche, kontextbezogene Authentifizierungs-, Autorisierungs- und Validierungsprüfungen bestehen, um Zugang zu erhalten oder zu behalten.
- Zugriff nach dem Prinzip der minimalen Rechtevergabe: Nach erfolgreicher Validierung erhalten Benutzer oder Entitäten die niedrigste Zugriffsebene und die niedrigsten Berechtigungen, die zum Ausführen ihrer Aufgabe oder zum Erfüllen ihrer Rolle erforderlich sind.
- Umfassende Überwachung aller Netzaktivitäten: Zero-Trust-Implementierungen erfordern einen Einblick in jeden Aspekt des hybriden Netzökosystems eines Unternehmens, einschließlich der Art und Weise, wie Benutzer und Entitäten auf der Grundlage ihrer Rollen mit Ressourcen interagieren und wo potenzielle Schwachstellen bestehen.
Diese Steuerelemente können dazu beitragen, Datenschutzverletzungen und andere Cyberangriffe zu verhindern, indem sie diese von vornherein erkennen und stoppen und die Bewegungen und das Fortschreiten von Hackern und Angriffen, die Zugang zum Netz erhalten, einschränken.
Eine moderne, verbundene Sicherheitssuite hilft Ihnen dabei, Angreifer zu überlisten. Das QRadar-Portfolio ist mit auf Unternehmen abgestimmter KI ausgestattet und bietet integrierte Produkte für Endpunktsicherheit, Protokollmanagement, SIEM und SOAR – mit einer gemeinsamen Benutzeroberfläche, gemeinsamen Erkenntnissen und vernetzten Workflows.
IBM Datensicherheitslösungen, die lokal oder in einer Hybrid Cloud implementiert werden, bieten Ihnen mehr Transparenz und Erkenntnisse, um Cyberbedrohungen zu untersuchen und zu beheben, Echtzeitkontrollen durchzusetzen und Compliance-Anforderungen zu handhaben.
Proaktive Bedrohungssuche, kontinuierliche Überwachung und eine gründliche Untersuchung von Bedrohungen sind nur einige der Prioritäten, mit denen eine ohnehin schon ausgelastete IT-Abteilung konfrontiert ist. Ein vertrauenswürdiges Notfallteam in Bereitschaft kann Ihre Reaktionszeit verkürzen, die Auswirkungen eines Cyberangriffs minimieren und Ihnen helfen, sich schneller zu erholen.
Hier erhalten Sie die neuesten Erkenntnisse über die immer größer werdende Bedrohungslandschaft und Empfehlungen, wie Zeit gespart und Verluste begrenzt werden können.
CISOs, Sicherheitsteams und Führungskräfte: Hier erhalten Sie verwertbare Erkenntnisse, die Ihnen zeigen, wie Angreifer vorgehen und wie Sie Ihr Unternehmen proaktiv schützen können.
Erfahren Sie, wie Ransomware funktioniert, warum sie sich in den letzten Jahren stark verbreitet hat und wie Unternehmen sich dagegen wehren.