Eine Datenschutzverletzung ist ein Sicherheitsvorfall, bei dem unbefugte Parteien Zugriff auf vertrauliche Daten oder Informationen erhalten, einschließlich persönlicher Daten (Sozialversicherungsnummern, Bankkontonummern, Gesundheitsdaten) oder Unternehmensdaten (Kundendatensätze, geistiges Eigentum, Finanzdaten).
Die Begriffe „Datenschutzverletzung“ und „Verletzung“ werden häufig synonym mit „Cyberangriff“ verwendet. Aber nicht alle Cyberangriffe sind Datenschutzverletzungen – und nicht alle Datenschutzverletzungen sind Cyberangriffe.
Datenschutzverletzungen umfassen nur Sicherheitsverletzungen, bei denen die Vertraulichkeit von Daten beeinträchtigt wird. So ist zum Beispiel ein Distributed-Denial-of-Service-Angriff (DDoS), der eine Website überlastet, keine Datenschutzverletzung. Ein Ransomware-Angriff, bei dem die Kundendaten eines Unternehmens gesperrt werden und damit gedroht wird, sie bei Nichtzahlung eines Lösegelds zu verkaufen, ist hingegen eine Datenschutzverletzung. Dies gilt auch für den physischen Diebstahl von Festplatten, USB-Laufwerken oder sogar Papierdateien mit vertraulichen Informationen.
Datenschutzverletzungen bei Unternehmen, die KI und Automatisierung einsetzen, kosten 3 Millionen US-Dollar weniger als Vorfälle bei Unternehmen ohne diese Technologien.
Laut dem IBM Bericht Kosten einer Datenschutzverletzung 2022 belaufen sich die weltweiten durchschnittlichen Kosten einer Datenschutzverletzung auf 4,35 Millionen US-Dollar. Die durchschnittlichen Kosten einer Datenschutzverletzung betragen in den USA mehr als das Doppelte, nämlich 9,44 Millionen US-Dollar. Dreiundachtzig (83) Prozent der im Bericht befragten Unternehmen haben mehr als eine Datenschutzverletzung erlebt.
Unternehmen jeder Größe und Art sind anfällig für Sicherheitsverstöße – Groß- und Kleinunternehmen, öffentliche und private Unternehmen, Bundes-, Landes- und Kommunalbehörden sowie gemeinnützige Organisationen. Besonders schwerwiegend sind die Folgen einer Datenschutzverletzung jedoch für Unternehmen in Bereichen wie dem Gesundheitswesen, dem Finanzwesen und dem öffentlichen Sektor. Der Wert der von diesen Unternehmen verarbeiteten Daten – Staatsgeheimnisse, Gesundheitsdaten von Patienten, Bankkontonummern und Anmeldedaten – und die strengen Bußgelder und Strafen, mit denen sie im Falle einer Datenschutzverletzung konfrontiert werden, machen die damit verbundenen Kosten noch höher. Dem IBM Bericht zufolge kostete die Datenschutzverletzung im Gesundheitswesen durchschnittlich 10,10 Millionen US-Dollar – mehr als doppelt so viel wie die durchschnittlichen Kosten aller Datenschutzverletzungen.
Die Kosten für Datenschutzverletzungen sind auf mehrere Faktoren zurückzuführen, von denen einige überraschender sind als andere. Die daraus resultierenden Geschäfts-, Umsatz- und Kundenverluste kosten Opfer von Datenschutzverletzungen durchschnittlich 1,42 Millionen US-Dollar. Allerdings sind die Kosten für die Erkennung und Eindämmung einer Datenschutzverletzung etwas höher und liegen im Durchschnitt bei 1,44 Millionen US-Dollar. Die Kosten für die Zeit nach einer Datenschutzverletzung – von Geldstrafen, Schadensersatz und Anwaltsgebühren bis hin zu den Kosten für die Berichterstattung und die kostenlose Kreditüberwachung der betroffenen Kunden – belaufen sich auf durchschnittlich 1,49 Millionen US-Dollar für die Opfer. Berichtsanforderungen für Datenschutzverletzungen können besonders kostspielig und zeitaufwendig sein.
Datenschutzverletzungen können durch Folgendes verursacht werden:
Bei den meisten böswilligen Angriffen geht es um finanziellen Gewinn. Hacker können Kreditkartennummern, Bankkonten oder andere Finanzdaten stehlen, um Geld von Personen und Unternehmen direkt abzuziehen. Sie können personenbezogene Daten (PII) – Sozialversicherungsnummern und Telefonnummern – für Identitätsdiebstahl (Aufnahme von Krediten und Eröffnung von Kreditkarten im Namen ihrer Opfer) oder für den Verkauf im Dark Web stehlen, wo sie bis zu 1 USD pro Sozialversicherungsnummer und 2.000 USD für eine Passnummer erzielen können (Link befindet sich außerhalb von ibm.com). Cyberkriminelle können auch persönliche Zusatzinformationen oder gestohlene Zugangsdaten an andere Hacker im Dark Web verkaufen, die sie für ihre eigenen böswilligen Zwecke verwenden.
Datenverletzungen können andere Ziele haben. Skrupellose Organisationen können Geschäftsgeheimnisse von Wettbewerbern stehlen. Nationalstaatliche Akteure können in Regierungssysteme eindringen, um Informationen über vertrauliche politische Vorgänge, militärische Operationen oder die nationale Infrastruktur zu stehlen. Einige Verstöße sind rein destruktiv, d. h. Hacker greifen auf vertrauliche Daten zu, nur um diese zu zerstören oder zu verunstalten. Solche zerstörerischen Angriffe, auf die laut dem Bericht Kosten einer Datenschutzverletzung 2022 17 Prozent der Verletzungen entfallen, sind häufig das Werk von nationalstaatlichen Akteuren oder Hacktivisten-Gruppen, die versuchen, einem Unternehmen Schaden zuzufügen.
Laut dem Bericht „Kosten einer Datenschutzverletzung 2022“ beträgt der durchschnittliche Lebenszyklus einer Datenschutzverletzung 277 Tage – so lange dauert es nämlich, bis Unternehmen eine aktive Verletzung erkennen und eindämmen.
Beabsichtigte Datenschutzverletzungen, die durch interne oder externe Akteure, von denen eine Sicherheitsbedrohung ausgeht, verursacht werden, folgen demselben Grundmuster:
Böswillige Akteure können eine Reihe von Angriffsvektoren oder Methoden nutzen, um Datenschutzverletzungen durchzuführen. Einige der häufigsten sind:
Laut Kosten einer Datenschutzverletzung 2022 sind gestohlene oder kompromittierte Zugangsdaten der häufigste erste Angriffsvektor und machen 19 Prozent der Datenschutzverletzungen aus. Hacker können diese Daten stehlen oder kompromittieren, indem sie Brute-Force-Angriffe einsetzen, gestohlene Zugangsdaten im Dark Web kaufen oder Mitarbeiter durch Social-Engineering-Angriffe dazu bringen, ihre Zugangsdaten preiszugeben.
Beim Social Engineering handelt es sich um die psychologische Manipulation von Menschen, um unabsichtlich ihre eigene Informationssicherheit zu gefährden. Phishing, die häufigste Art von Social-Engineering-Angriffen, ist auch der zweithäufigste Angriffsvektor für Datenschutzverletzungen und macht 16 Prozent der Datenschutzverletzungen aus. Phishing-Scams verwenden betrügerische E-Mails, SMS, Social-Media-Inhalte oder Websites, um Benutzer dazu zu verleiten, Zugangsdaten preiszugeben oder Malware herunterzuladen.
Laut Kosten einer Datenschutzverletzung 2022 benötigt ein Unternehmen durchschnittlich 326 Tage, um eine Ransomware-Verletzung zu erkennen und einzudämmen. Dies ist besonders erschreckend, da laut dem X-Force Threat Intelligence Index 2023 die durchschnittliche Zeit bis zur Ausführung von Ransomware von über 60 Tagen im Jahr 2019 auf nur 3,85 Tage im Jahr 2021 gesunken ist. Die durchschnittlichen Kosten einer Ransomware-Verletzung belaufen sich auf 4,54 Millionen US-Dollar – ohne die Lösegeldzahlungen, die sich auf mehrere zehn Millionen Dollar belaufen können.
Cyberkriminelle können sich Zugang zu einem Zielnetzwerk verschaffen, indem sie Schwachstellen in IT-Assets wie Websites, Betriebssystemen, Endpunkten und häufig verwendeter Software wie Microsoft Office oder Webbrowsern ausnutzen. Sobald Hacker eine Sicherheitslücke gefunden haben, nutzen sie diese häufig, um Malware in das Netzwerk einzuschleusen. Spyware, die die Tastenanschläge eines Opfers und andere vertrauliche Daten aufzeichnet und an einen von den Hackern betriebenen Befehls- und Steuerungsserver sendet, ist eine häufige Art von Malware, die bei Datenschutzverletzungen eingesetzt wird.
Eine weitere Methode, um direkt in Zielsysteme einzudringen, ist SQL-Injection. Dabei werden Schwachstellen in den SQL-Datenbanken (Structured Query Language) von ungesicherten Websites ausgenutzt. Hacker geben schädlichen Programmcode in das Suchfeld der Website ein und fordern die Datenbank auf, private Daten wie Kreditkartennummern oder persönliche Zusatzinformationen von Kunden zurückzugeben.
Hacker können Fehler von Mitarbeitern ausnutzen, um Zugang zu vertraulichen Informationen zu erhalten. Laut dem IBM Bericht „Kosten einer Datenschutzverletzung 2022“ waren fehlerhafte Konfigurationen der Cloud bei 15 Prozent der Datenschutzverletzungen der erste Angriffsvektor. Mitarbeiter können Daten auch Angreifern preisgeben, wenn sie diese an ungesicherten Orten aufbewahren, Geräte mit vertraulichen Informationen auf ihren Festplatten verlegen oder Netzwerkbenutzern versehentlich übermäßige Zugriffsrechte auf Daten gewähren. Cyberkriminelle nutzen möglicherweise auch IT-Ausfälle, etwa vorübergehende Systemausfälle, um sich in vertrauliche Datenbanken einzuschleichen.
Angreifer können das geschäftliche oder private Gerät eines Mitarbeiters stehlen, um Zugriff auf die darin enthaltenen vertraulichen Daten zu erhalten, in Firmenbüros einbrechen, um Papierdokumente und physische Festplatten zu stehlen, oder Skimming-Geräte auf physischen Kredit- und Debitkartenlesern platzieren, um die Zahlungskarteninformationen von Einzelpersonen zu sammeln.
Die folgenden Beispiele verdeutlichen die Bandbreite der Ursachen und Kosten von Datenschutzverletzungen.
Standardsicherheitsmaßnahmen – regelmäßige Anfälligkeitsbewertungen, geplante Sicherungen, Verschlüsselung von Daten im Ruhezustand oder in Bewegung, ordnungsgemäße Datenbankkonfigurationen, rechtzeitige Anwendung von Systemen und Software – können dazu beitragen, Datenschutzverletzungen zu verhindern und den Schaden abzumildern, wenn sie auftreten. Heutzutage können Unternehmen jedoch spezifischere Datensicherheitskontrollen, Technologien und Best Practices implementieren, um Datenschutzverletzungen besser zu verhindern und den von ihnen verursachten Schaden zu mindern.
Incident-Response-Pläne. Der Incident-Response-Plan (IRP) eines Unternehmens – ein Plan zur Erkennung, Eindämmung und Beseitigung von Cyberbedrohungen – ist eine der effektivsten Möglichkeiten, den Schaden einer Datenschutzverletzung zu mindern. Laut dem Bericht Kosten einer Datenschutzverletzung 2022 belaufen sich die durchschnittlichen Kosten einer Datenschutzverletzung für Unternehmen mit regelmäßig getesteten Incident-Response-Plänen und formellen Notfallteams auf 3,26 Millionen US-Dollar – das sind 2,66 Millionen US-Dollar weniger als die durchschnittlichen Kosten einer Datenschutzverletzung für Unternehmen ohne solche Teams und Pläne.
KI und Automatisierung. Der Bericht „Kosten einer Datenschutzverletzung 2022“ ergab außerdem, dass Unternehmen, die ein hohes Maß an künstlicher Intelligenz (KI) und Automatisierung zur Erkennung und Reaktion auf Bedrohungen einsetzen, durchschnittlich 55,3 Prozent niedrigere Kosten für Datenschutzverletzungen verursachen als Unternehmen, die diese Technologien nicht verbreitet einsetzen. Technologien wie SOAR (Security Orchestration, Automation and Response), UEBA (User and Entity Behavior Analytics), EDR (Endpoint Detection and Response) und XDR (Extended Detection and Response) nutzen KI und fortschrittliche Analysen, um Bedrohungen frühzeitig zu erkennen – noch bevor sie zu Datenschutzverletzungen führen – und bieten Automatisierungsfunktionen, die eine schnellere und kostensparende Reaktion ermöglichen.
Schulung der Mitarbeiter. Da Social-Engineering- und Phishing-Angriffe die Hauptursachen für Datenschutzverletzungen sind, kann die Schulung von Mitarbeitern zur Erkennung und Vermeidung dieser Angriffe das Risiko einer Datenschutzverletzung für ein Unternehmen verringern. Darüber hinaus kann die Schulung von Mitarbeitern im richtigen Umgang mit Daten dazu beitragen, versehentliche Datenschutzverletzungen und Datenlecks zu verhindern.
Identity und Access Management (IAM). Starke Kennwortrichtlinien, Kennwortmanager, Zwei-Faktor-Authentifizierung (2FA) oder Multi-Faktor-Authentifizierung (MFA), Single Sign On (SSO) und andere Technologien von Identity und Access Management (IAM) können Unternehmen dabei unterstützen, sich besser gegen Hacker zu schützen, die gestohlene oder gefährdete Zugangsdaten verwenden, den häufigsten Angriffsvektor für Datenschutzverletzungen.
Ein Zero-Trust-Sicherheitskonzept. Ein Zero-Trust-Sicherheitskonzept ist ein Ansatz, bei dem allen Benutzern oder Entitäten niemals vertraut wird und sie ständig überprüft werden, unabhängig davon, ob sie sich außerhalb oder bereits innerhalb des Netzwerks befinden. Konkret erfordert Zero-Trust:
Diese Steuerelemente können dazu beitragen, Datenschutzverletzungen und andere Cyberangriffe zu verhindern, indem sie diese von vornherein erkennen und stoppen und die Bewegungen und das Fortschreiten von Hackern und Angriffen, die Zugang zum Netz erhalten, einschränken.
Eine moderne, verbundene Sicherheitssuite hilft Ihnen dabei, Angreifer zu überlisten. Das QRadar-Portfolio ist mit auf Unternehmen abgestimmter KI ausgestattet und bietet integrierte Produkte für Endpunktsicherheit, Protokollmanagement, SIEM und SOAR – mit einer gemeinsamen Benutzeroberfläche, gemeinsamen Erkenntnissen und vernetzten Workflows.
IBM Datensicherheitslösungen, die lokal oder in einer Hybrid Cloud implementiert werden, bieten Ihnen mehr Transparenz und Erkenntnisse, um Cyberbedrohungen zu untersuchen und zu beheben, Echtzeitkontrollen durchzusetzen und Compliance-Anforderungen zu handhaben.
Proaktive Bedrohungssuche, kontinuierliche Überwachung und eine gründliche Untersuchung von Bedrohungen sind nur einige der Prioritäten, mit denen eine ohnehin schon ausgelastete IT-Abteilung konfrontiert ist. Ein vertrauenswürdiges Notfallteam in Bereitschaft kann Ihre Reaktionszeit verkürzen, die Auswirkungen eines Cyberangriffs minimieren und Ihnen helfen, sich schneller zu erholen.
Hier erhalten Sie die neuesten Erkenntnisse über die immer größer werdende Bedrohungslandschaft und Empfehlungen, wie Zeit gespart und Verluste begrenzt werden können.
CISOs, Sicherheitsteams und Führungskräfte: Hier erhalten Sie verwertbare Erkenntnisse, die Ihnen zeigen, wie Angreifer vorgehen und wie Sie Ihr Unternehmen proaktiv schützen können.
Erfahren Sie, wie Ransomware funktioniert, warum sie sich in den letzten Jahren stark verbreitet hat und wie Unternehmen sich dagegen wehren.