IBM-Data Breach-Studie: Finanzwesen zahlt mit 301 Euro pro kom­pro­mit­tier­tem Datensatz am meisten

Laut der aktuellen IBM Security-Studie “Cost of a Data Breach Report 2019” sind die Kosten von Datenpannen innerhalb der letzten fünf Jahre um zwölf Prozent gestiegen – auf durchschnittlich 3,92 Millionen US-Dollar. Auch in Deutschland werden Datenpannen immer teurer: 4,25 Millionen Euro kostet eine Panne durchschnittlich. Im Vergleich zum Vorjahr ist der Wert damit um 9,76 Prozent gestiegen und damit der höchste seit Beginn der Aufzeichnungen. Die Gründe lägen unter anderem in der zunehmenden Regulierung und den immer komplexeren Aufklärungsprozessen, die auf kriminelle Attacken folgen. Das Finanzwesen verzeichnet hierzulande mit 301 Euro pro kompromittiertem Datensatz die höchsten von Datenpannen verursachten Kosten.

Seit 2012 führt das Ponemon Institut jährlich die von IBM gesponserte „Cost of a Data Breach“-Studie durch, in der Hunderte von Kostenfaktoren rund um Datenpannen analysiert werden. Weltweit wurden hierfür 500 Unternehmen befragt, in Deutschland haben sich 36 Firmen an der Studie beteiligt. Die untersuchten Unternehmen mit weniger als 500 Mitarbeitern verloren im globalen Durchschnitt durchschnittlich über 2,5 Millionen US-Dollar. Das fällt besonders ins Gewicht, da die meisten Unternehmen dieser Größe einen Jahresumsatz von etwa 50 Millionen US-Dollar oder weniger haben.

Erstmalig langfristige Folgen von Cyber-Angriffen untersucht

In diesem Jahr wurden erstmals auch die langfristigen finanziellen Folgen von Datenpannen erfasst, die sich teils über Jahre hinziehen können. Während der Großteil (67 Prozent) der von Datenpannen verursachten weltweiten Kosten innerhalb des ersten Jahres nach dem Vorfall anfallen, wiegen 22 Prozent noch im zweiten Jahr danach schwer. Weitere elf Prozent der Kosten sind sogar noch über diesen Zeitraum hinaus spürbar.

Diese langfristigen Kosten eines Data Breach im zweiten und dritten Jahr nach dem Vorfall fielen höher aus, je stärker reguliert die jeweilige Branche ist – wie im Gesundheitswesen, dem Bankensektor, der Energiewirtschaft oder Pharmazie.

Cyber-Kriminalität lohnt sich für Kriminelle, was leider zu hohen Verlusten bei den Unternehmen führt. Neben den Kosten von über 11,7 Milliarden US-Dollar durch Datendiebstahl oder Datenverlust allein in den letzten drei Jahren müssen Unternehmen auch die finanziellen Folgebelastungen berücksichtigen. Denn Datenpannen verursachen auch Jahre nach dem Vorfall Kosten – der Fokus sollte darauf liegen, wie man diese Kosten reduzieren kann.“

Wendi Whitmore, Global Lead bei IBM X-Force Incident Response and Intelligence Services

Dazu liefert die Studie einige Anhaltspunkte:

1. Datenpannen werden immer teurer: Datenpannen kosten in Deutschland im Schnitt 172 Euro pro verlorenem oder gestohlenem Datensatz, das sind 9,1 Prozent mehr als im Vorjahr.
2. Finanzbranche zahlt am meisten: Das Finanzwesen verzeichnet hierzulande mit 301 Euro pro kompromittiertem Datensatz die höchsten von Datenpannen verursachten Kosten – gefolgt vom Dienstleistungsgewerbe (230 Euro) und der Industrie (229 Euro)
3. Pannen durch Cyber-Angriffe: Über die Hälfte aller Datenpannen in Deutschland (56 Prozent) war das Ergebnis böswilliger oder krimineller Angriffe.
4. „Mega-Datenpannen” führen zu Mega-Verlusten: Obwohl nicht so weit verbreitet, verursachen Datenpannen mit über einer Million Datensätzen hochgerechnet satte 42 Millionen US-Dollar an Verlusten weltweit. Vorfälle mit über 50 Millionen betroffenen Datensätzen verursachen sogar Verluste von bis zu 388 Millionen US-Dollar insgesamt.^[2]

Datenangriffe nehmen zu, einfache Pannen gibt es aber weiterhin

Die Studie zeigt auf, dass gezielte Cyber-Angriffe hierzulande die meisten Datenpannen (56 Prozent) verursachen – und am teuersten sind. In Deutschland belaufen sich die Kosten für Unternehmen bei böswilligen oder kriminellen Angriffen auf ca. 194 Euro pro Datensatz. Technische Systemfehler sind für ein Viertel aller Datenpannen verantwortlich und verursachen Kosten von 140 Euro pro Datensatz. 19 Prozent der Datenpannen sind hingegen auf menschliches Versagen zurückzuführen und schlagen mit 148 Euro pro Datensatz zu Buche.

Diese Pannen als Folge menschlicher oder technischer Fehler sind aber gleichzeitig eine Möglichkeit, schnell Verbesserungen zu erzielen – und zwar durch Sicherheitstrainings für Mitarbeiter, technische Investitionen und Testservices zur frühzeitigen Identifizierung von Datenunfällen. Die falsche Konfiguration von Cloud-Servern wurde beispielsweise allein im Jahr 2018 zur Gefahr für 990 Millionen Datensätzen. Laut IBM Recherchen[3] entspricht dies 43 Prozent aller verlorenen Daten diesen Jahres.

Schnelle Reaktion hat das größte Einsparpotenzial

In den letzten 14 Jahren hat das Ponemon Institut Faktoren identifiziert, welche die Kosten einer Datenpanne ansteigen oder sinken lassen. Die Geschwindigkeit und Effizienz, mit der ein Unternehmen auf einen Data Breach reagiert, sind demnach entscheidend für die Gesamtkosten. Deutsche Unternehmen reagieren demnach deutlich schneller auf Vorfälle als noch im letzten Jahr: Der durchschnittliche Lebenszyklus einer Datenpanne umfasst hierzulande 170 Tage – und somit eine Woche weniger als 2018. Das entspricht jedoch immer noch 131 Tagen, in denen Unternehmen die Panne erkennen und identifizieren und zusätzlichen 39 Tagen, um die Schäden einzudämmen.

Der wichtigste Kostensenker in Deutschland ist ein bestehendes Incident Response Team, wodurch sich 13,9 Euro pro kompromittiertem Datensatz einsparen lassen. Verfügen Unternehmen zusätzlich über einen gut getesteten Notfallplan, können sie hierzulande 9,60 Euro pro Datensatz sparen.

Weitere Faktoren, welche die Kosten einer Datenpanne beeinflussen:

1. Intensiver Einsatz von Verschlüsselungstechnologien ist der zweitwichtigste Faktor zur Kostensenkung, 12,70 Euro können damit pro Datensatz gespart werden.
2. Deutsche Unternehmen, die ihr Wissen über Bedrohungslagen mit anderen teilten (Threat Sharing), haben 9,70 Euro pro Datensatz eingespart.
3. Datenpannen, die durch einen Dritten wie einem Partner oder Zulieferer entstanden sind, verursachen hingegen Kosten von 10,80 Euro pro Datensatz. Das zeigt, wie wichtig ein durchgängiges Sicherheitsmodell im gesamten Ökosystem eines Unternehmens ist, mit gemeinsamen Sicherheitsstandards und Zugangs-Monitoring zum Firmensystem.

Regionale und branchenspezifische Trends

Die Studie zeigt klare Unterschiede zwischen Regionen und unterschiedlichen Branchen auf. So wurden im Nahen Osten mit etwa 40.000 Datensätzen pro Data Breach die meisten Daten gestohlen oder sind verloren gegangen. Der weltweite Durchschnitt liegt bei nur 25.500 Datensätze.

Deutsche Unternehmen müssen im Falle einer Datenpanne tiefer in die Tasche greifen als der weltweite Durchschnitt: Sie zahlen für eine Panne im Schnitt 4,25 Millionen Euro – der weltweite Durchschnitt liegt bei 3,92 Millionen US-Dollar.

Die komplette ”Cost of a Data Breach 2019”-Studie können Sie hier (nach Angabe der Kontaktdaten) herunterladen. Tipp: Nach dem Registrieren diese Seite aufrufen und den Reiter links am Bildschirmrand “Download the full report” anklicken.aj