Seit vielen Jahren veröffentlicht IBM Security einen „Cost of a Data Breach“ Report. Diese Zusammenstellung und Auswertung aus über 500 echten Vorfällen in 17 Ländern erzeugt einen wiederholbar vergleichenden Benchmark für die Cybersecurity-Branche. Die Studie soll damit besonders Unternehmen, die mit sensiblen Daten umgehen, einen aktuellen Status zur Lageeinschätzung zugänglich machen und auch eine finanzielle Bewertung ermöglichen. Der Bericht ist darauf fokussiert, einen nachvollziehbaren Trend im Bereich der Kosten pro Datenschutzverletzung zu ermitteln. Der größte Anteil der oftmals immensen Kosten ist überwiegend der Ausfall der Geschäftstätigkeit [1].Wenig überraschend ist der deutlichste Anstieg der Vorfälle in der Gesundheitsbranche zu finden, die höchsten Kosten pro einzelnen Vorfall fallen hingegen im öffentlichen Sektor an. Es gibt aber auch gute Nachrichten: Verbessert hat sich die Statistik für die Energiebranche.
Stärkste Steigerungen seit 2015
Die Ergebnisse des aktuellen Berichts 2021 sind recht eindeutig: Sowohl die durchschnittlichen Gesamtkosten einer Datenschutzverletzung als auch die Kosten pro kompromittiertem Datensatz bei einem Vorfall erreichten den höchsten Stand, seit IBM mit der Veröffentlichung dieses Berichts begonnen hat. Allgemein wurde auch die höchste jährliche Steigerung der Schadenssummen um durchschnittlich 10%, festgestellt. Weitere Auswertungen sind z.B. hier zu finden [2,3].
Was sind wichtige Erkenntnisse des Reports?
Eines vorweg, der Report und die einzelnen Bereiche der Untersuchungen und Auswertungen sind sehr umfangreich. Wie leider zu erwarten sind in vielen Bereichen Zunahmen der Cyberkriminalität zu erkennen, die dringend ein steigendes Maß an Verbesserungen und zusätzlichen Vorbereitungen erfordern. Einige zusammengefasste Ergebnisse geben ein folgendes Bild ab:
1) Ransomware-Vorfälle sind teurer als reine Datenschutzverletzungen
Von 2020 bis 2021 sind die durchschnittlichen Kosten einer Datenschutzverletzung von 3,86 Millionen Dollar auf 4,24 Millionen Dollar gestiegen. Die durchschnittlichen Kosten eines Ransomware-Verstoßes waren dabei höher als die Kosten eines Datenschutzverstoßes (4,62 Millionen Dollar). Es wurde festgestellt, dass der Zeitfaktor den größten Anteil an den Kosten für sicherheitsrelevante Vorkommnisse hat. Je länger eine Sicherheitsverletzung unentdeckt bleibt, desto mehr sensible Daten können von Cyberkriminellen abgezogen werden. Die negativen finanziellen Auswirkungen längerer Störungen verstärken sich noch, wenn die Wertschöpfung aufgrund von längeren Systemausfällen und Kundenfluktuation ausfällt.
2) Kompromittierte Anmeldeinformationen sind der häufigste Angriffsvektor
Offengelegte Anmeldeinformationen, wie z. B. kompromittierte Geschäfts-E-Mails, waren für 20 % der Datenschutzverletzungen verantwortlich. Gefolgt wird die Statistik von Phishing, Fehlkonfigurationen in der Cloud und Schwachstellen in Software von Drittanbietern.
- Business Email Compromise – ca. 5 Millionen US-Dollar
- Phishing – ca. 4,6 Millionen Dollar
- Böswillige Insider – ca. 4,6 Millionen Dollar
- Kriminelle Social-Engineering-Angriffe – ca. 4,5 Millionen Dollar
- Schwachstellen in Software von Drittanbietern – ca. 4,3 Millionen Dollar
3) Dauer hat Auswirkung auf Schadenshöhe – Gegenmaßnahmen helfen
Der gesamte Zyklus einer Sicherheitsverletzung umfasst die Zeit zwischen dem Auftreten einer Datenschutzverletzung und ihrer Eindämmung. Im Jahr 2019 dauerte es im Durchschnitt 206 Tage, um eine Sicherheitsverletzung zu erkennen und 73 Tage, um sie einzudämmen, also insgesamt 279 Tage. Im Jahr 2021 dauert es durchschnittlich 212 Tage, um eine Sicherheitsverletzung zu erkennen, und 75 Tage, um sie einzudämmen, in Summe also 287 Tage.
Lag dieser Zeitraum unter 200 Tagen, waren die Vorfälle im Durchschnitt um 1,26 Millionen Dollar weniger kostspielig als darüber (3,61 Millionen Dollar gegenüber 4,87 Millionen Dollar). Zu beobachten war dabei, dass die individuelle Vorbereitung der Unternehmen einen großen Einfluss auf die Schadenshöhe hat. Bei Unternehmen, die ein ausgereiftes Sicherheitskonzept implementiert hatten, waren die Schadenssummen deutlich niedriger, bei fehlenden Vorkehrungen waren diese Kosten wesentlich höher anzusetzen.
4) Automatismen reduzieren Kosten für Cyber-Security-Vorfälle
Unternehmen, die Technologien und Services zur Sicherheitsautomatisierung einsetzen, konnten die Kosten für Datenschutzverletzungen und Security-Vorfälle um bis zu 80 % senken. Unternehmen, die keine solchen aktuellen Technologien einsetzten, mussten im Durchschnitt 6,7 Millionen Dollar für eine Datenpanne einplanen, verglichen mit 2,9 Millionen Dollar bei Unternehmen, die solche technischen aktuellen Lösungen und Services implementiert hatten. Das ist mehr als die Hälfte weniger!
Fazit: Dass ein Auftreten von Cyber-Security-Vorfällen zugenommen und die Häufigkeit von cyberkriminellen Aktivitäten im Steigen ist, wird niemanden mehr überraschen. Dass sich die finanziellen Auswirkungen durch Vorbereitung, Planung und den Einsatz aktueller Technologien und Werkzeuge deutlich verbessern lassen, sollte Grund genug sein sich mit diesem Thema umfangreich zu beschäftigen und auf einen möglichen Vorfall gut vorzubereiten. IKARUS berät Sie hierzu gerne!
IKARUS Sales Hotline: +43 1 58995-500
Quellen: