Laut einer heute von IBM Security veröffentlichten Studie sind die Kosten von Datenpannen für Unternehmen weltweit innerhalb der letzten fünf Jahre[1] um zwölf Prozent gestiegen – auf durchschnittlich 3,92 Millionen US-Dollar. Auch in Deutschland werden Datenpannen immer teurer: 4,25 Millionen Euro kostet eine Panne durchschnittlich. + Datenpannen werden immer teurer: Datenpannen kosten in Deutschland im Schnitt 172 Euro pro verlorenem oder gestohlenem Datensatz, das sind 9,1 Prozent mehr als im Vorjahr. + Finanzbranche zahlt am meisten: Das Finanzwesen verzeichnet hierzulande mit 301 Euro pro kompromittiertem Datensatz die höchsten von Datenpannen verursachten Kosten – gefolgt vom Dienstleistungsgewerbe (230 Euro) und der Industrie (229 Euro). + Pannen durch Cyberangriffe am weitesten verbreitet: Über die Hälfte aller Datenpannen in Deutschland (56 Prozent) war das Ergebnis böswilliger oder krimineller Angriffe.
Laut einer heute von IBM Security veröffentlichten Studie sind die Kosten von Datenpannen für Unternehmen weltweit innerhalb der letzten fünf Jahre[1] um zwölf Prozent gestiegen – auf durchschnittlich 3,92 Millionen US-Dollar. Auch in Deutschland werden Datenpannen immer teurer: 4,25 Millionen Euro kostet eine Panne durchschnittlich. Im Vergleich zum Vorjahr ist der Wert damit um 9,76 Prozent gestiegen und damit der höchste seit Beginn der Aufzeichnungen. Die Gründe liegen unter anderem in der zunehmenden Regulierung und den immer komplexeren Aufklärungsprozessen, die auf kriminelle Attacken folgen. Besonders für kleine und mittlere Unternehmen sind die Folgen einer Datenpanne finanziell schmerzhaft.
Seit 2012 führt das Ponemon Institut jährlich die von IBM gesponserte „Cost of a Data Breach“-Studie durch, in der Hunderte von Kostenfaktoren rund um Datenpannen analysiert werden. Weltweit wurden hierfür 500 Unternehmen befragt, in Deutschland haben sich 36 Firmen an der Studie beteiligt. Die untersuchten Unternehmen mit weniger als 500 Mitarbeitern verloren im globalen Durchschnitt durchschnittlich über 2,5 Millionen US-Dollar. Das fällt besonders ins Gewicht, da die meisten Unternehmen dieser Größe einen Jahresumsatz von etwa 50 Millionen US-Dollar oder weniger haben.
Erstmalig langfristige Folgen von Cyberangriffen untersucht
In diesem Jahr wurden erstmals auch die langfristigen finanziellen Folgen von Datenpannen erfasst, die sich teils über Jahre hinziehen können. Während der Großteil (67 Prozent) der von Datenpannen verursachten weltweiten Kosten innerhalb des ersten Jahres nach dem Vorfall anfallen, wiegen 22 Prozent noch im zweiten Jahr danach schwer. Weitere elf Prozent der Kosten sind sogar noch über diesen Zeitraum hinaus spürbar.
Diese langfristigen Kosten im zweiten und dritten Jahr nach dem Vorfall fielen höher aus, je stärker reguliert die jeweilige Branche ist – wie im Gesundheitswesen, dem Bankensektor, der Energiewirtschaft oder Pharmazie.
„Cyberkriminalität lohnt sich für Kriminelle, was leider zu hohen Verlusten bei den Unternehmen führt“, sagt Wendi Whitmore, Global Lead bei IBM X-Force Incident Response and Intelligence Services. „Neben den Kosten von über 11,7 Milliarden US-Dollar durch Datendiebstahl oder Datenverlust allein in den letzten drei Jahren müssen Unternehmen auch die finanziellen Folgebelastungen berücksichtigen. Denn Datenpannen verursachen auch Jahre nach dem Vorfall Kosten – der Fokus sollte darauf liegen, wie man diese Kosten reduzieren kann.“
Dazu liefert die diesjährige Studie einige Anhaltspunkte:
- Datenpannen werden immer teurer: Datenpannen kosten in Deutschland im Schnitt 172 Euro pro verlorenem oder gestohlenem Datensatz, das sind 9,1 Prozent mehr als im Vorjahr.
- Finanzbranche zahlt am meisten: Das Finanzwesen verzeichnet hierzulande mit 301 Euro pro kompromittiertem Datensatz die höchsten von Datenpannen verursachten Kosten – gefolgt vom Dienstleistungsgewerbe (230 Euro) und der Industrie (229 Euro).
- Pannen durch Cyberangriffe am weitesten verbreitet: Über die Hälfte aller Datenpannen in Deutschland (56 Prozent) war das Ergebnis böswilliger oder krimineller Angriffe.
- „Mega-Datenpannen” führen zu Mega-Verlusten: Obwohl nicht so weit verbreitet, verursachen Datenpannen mit über einer Million Datensätzen hochgerechnet satte 42 Millionen US-Dollar an Verlusten weltweit. Vorfälle mit über 50 Millionen betroffenen Datensätzen verursachen sogar Verluste von bis zu 388 Millionen US-Dollar insgesamt.[2]
Datenangriffe nehmen zu, einfache Pannen gibt es aber weiterhin
Die Studie zeigt auf, dass gezielte Cyberangriffe hierzulande die meisten Datenpannen (56 Prozent) verursachen – und am teuersten sind. In Deutschland belaufen sich die Kosten für Unternehmen bei böswilligen oder kriminellen Angriffen auf ca. 194 Euro pro Datensatz. Technische Systemfehler sind für ein Viertel aller Datenpannen verantwortlich und verursachen Kosten von 140 Euro pro Datensatz. 19 Prozent der Datenpannen sind hingegen auf menschliches Versagen zurückzuführen und schlagen mit 148 Euro pro Datensatz zu Buche.
Diese Pannen als Folge menschlicher oder technischer Fehler sind aber gleichzeitig eine Möglichkeit, schnell Verbesserungen zu erzielen – und zwar durch Sicherheitstrainings für Mitarbeiter, technische Investitionen und Testservices zur frühzeitigen Identifizierung von Datenunfällen. Die falsche Konfiguration von Cloud-Servern wurde beispielsweise allein im Jahr 2018 zur Gefahr für 990 Millionen Datensätzen. Laut IBM Recherchen[3] entspricht dies 43 Prozent aller verlorenen Daten diesen Jahres.
Schnelle Reaktion hat das größte Einsparpotenzial
In den letzten 14 Jahren hat das Ponemon Institut Faktoren identifiziert, welche die Kosten einer Datenpanne ansteigen oder sinken lassen. Die Geschwindigkeit und Effizienz, mit der ein Unternehmen auf eine Datenpanne reagiert, sind demnach entscheidend für die Gesamtkosten. Deutsche Unternehmen reagieren demnach deutlich schneller auf Vorfälle als noch im letzten Jahr: Der durchschnittliche Lebenszyklus einer Datenpanne umfasst hierzulande 170 Tage – und somit eine Woche weniger als 2018. Das entspricht jedoch immer noch 131 Tagen, in denen Unternehmen die Panne erkennen und identifizieren und zusätzlichen 39 Tagen, um die Schäden einzudämmen.
Der wichtigste Kostensenker in Deutschland ist ein bestehendes Incident Response Team, wodurch sich 13,9 Euro pro kompromittiertem Datensatz einsparen lassen. Verfügen Unternehmen zusätzlich über einen gut getesteten Notfallplan, können sie hierzulande 9,60 Euro pro Datensatz sparen.
Weitere Faktoren, welche die Kosten einer Datenpanne beeinflussen:
- Intensiver Einsatz von Verschlüsselungstechnologien ist der zweitwichtigste Faktor zur Kostensenkung, 12,70 Euro können damit pro Datensatz gespart werden.
- Deutsche Unternehmen, die ihr Wissen über Bedrohungslagen mit anderen teilten (Threat Sharing), haben 9,70 Euro pro Datensatz eingespart.
- Datenpannen, die durch einen Dritten wie einem Partner oder Zulieferer entstanden sind, verursachen hingegen Kosten von 10,80 Euro pro Datensatz. Das zeigt, wie wichtig ein durchgängiges Sicherheitsmodell im gesamten Ökosystem eines Unternehmens ist, mit gemeinsamen Sicherheitsstandards und Zugangs-Monitoring zum Firmensystem.
Regionale und branchenspezifische Trends
Die Studie zeigt klare Unterschiede zwischen Regionen und unterschiedlichen Branchen auf. So wurden im Nahen Osten mit etwa 40.000 Datensätzen pro Panne die meisten Daten gestohlen oder sind verloren gegangen. Der weltweite Durchschnitt liegt bei nur 25.500 Datensätze.
Deutsche Unternehmen müssen im Falle einer Datenpanne tiefer in die Tasche greifen als der weltweite Durchschnitt: Sie zahlen für eine Panne im Schnitt 4,25 Millionen Euro – der weltweite Durchschnitt liegt bei 3,92 Millionen US-Dollar.
Die komplette 2019 ”Cost of a Data Breach”Studie können Sie hier herunterladen: 2019 Cost of a Data Breach Report
https://databreachcalculator.mybluemix.net/
Tipp der Redaktion: Mit dem Maus-Rädchen „vorsichtig“ nach unten drehen! Dann gelangen Sie zur Anmeldung fü die Studie.
[1] Beruhend auf dem Vergleich der Durchschnittskosten von 2014 bis 2019.
[2] Die Kostenkalkulationen für sogenannte Mega-Datenpannen beruhen auf Analysen von 14 Unternehmen, ermittelt mit einem Monte-Carlo-Analyseansatz zur Simulation von größerer statistischer Relevanz.
[3] IBM X-Force Threat Intelligence Index 2019