Die Kosten für Datenschutzverletzungen steigen im Zeitalter von COVID-19

Eine vom Ponemon Institute im Auftrag von IBM Security durchgeführte Umfrage unter mehr als 500 Unternehmen deutet darauf hin, dass der Wechsel zur Remote-Arbeit ein wesentlicher Faktor für den Anstieg der Kosten von Datenschutzverletzungen ist.

Fast 20 % der befragten Unternehmen gaben an, dass Remote-Arbeit einer der Faktoren bei einer Datenschutzverletzung war. Aus der Umfrage ging weiter hervor, dass Verstöße durchschnittlich 1 Million US-Dollar mehr kosten, wenn Remote-Arbeit dafür als Faktor angegeben wurde, verglichen mit den Kosten für Datenverstöße ohne diesen Faktor (4,96 Mio. vs. 3,89 Mio. US-Dollar).

Gestohlene Zugangsdaten waren die häufigste Zugangsmethode von Angreifern. Auf sie sind 20 % der untersuchten Sicherheitsverletzungen zurückzuführen. Persönliche Kundendaten wie Namen, E-Mail-Adressen und Passwörter waren die häufigsten Informationskategorien, die bei Datenschutzverletzungen preisgegeben wurden (44 %).

Die durchschnittliche Zeit bis zur Entdeckung und Eingrenzung einer Datenschutzverletzung betrug 287 Tage. Bei Verstößen, die auf gestohlene Zugangsdaten zurückzuführen sind, war der Zeitraum bis zur Entdeckung 250 Tage länger als bei allen anderen Arten von Verstößen.

Der Verlust von personenbezogenen Daten (Personal Identifiable Information, PII) war im Vergleich zu anderen Datenarten am teuersten, mit durchschnittlich 180 US-Dollar pro verlorenem oder gestohlenem Datensatz, im Vergleich zu 161 US-Dollar für alle Arten von Datensätzen.

Insgesamt ergab die Umfrage, dass den Unternehmen im Durchschnitt Kosten in Höhe von 4,24 Millionen Dollar pro Vorfall entstanden sind, was einem Anstieg von 10 % gegenüber dem Vorjahr entspricht. In diesen Durchschnittskosten sind jedoch auch mehrere große Datenschutzverletzungen berücksichtigt. Die durchschnittlichen Kosten eines umfangreichen Verstoßes – der 50 bis 65 Millionen Datensätze betrifft – beliefen sich auf 401 Millionen US-Dollar. Damit sind sie fast 100-mal teurer als die meisten untersuchten Sicherheitsverletzungen.

Die Studie zeigt auch, dass Unternehmen, bei denen während eines Cloud-Migrationsprojekts eine Sicherheitsverletzung auftrat, 18,8 % höhere Kosten zu schultern hatten als der Durchschnitt. Allerdings waren diejenigen, die in ihrer allgemeinen Cloud-Modernisierungsstrategie bereits weiter fortgeschritten waren, in der Lage, Vorfälle im Durchschnitt 77 Tage schneller zu erkennen und darauf zu reagieren als diejenigen, die sich in einem frühen Stadium ihrer Cloud-Migration befanden. Unternehmen mit einem hybriden Cloud-Ansatz hatten niedrigere Kosten bei Datenschutzverletzungen (3,61 Mio. US-Dollar) als diejenigen, die hauptsächlich eine öffentliche Cloud (4,88 Mio. US-Dollar) oder hauptsächlich eine private Cloud (4,55 Mio. US-Dollar) nutzen.

Auch Unternehmen, die in verschiedene Sicherheitstechnologien investiert haben, waren in der Lage, die Kosten einer Sicherheitsverletzung zu begrenzen. Die Implementierung von KI, Sicherheitsanalysen und Verschlüsselungsmaßnahmen waren die drei bedeutendsten schadensbegrenzenden Faktoren, mit denen die Kosten im Durchschnitt um zwischen 1,25 Millionen und 1,49 Millionen US-Dollar gesenkt werden konnten.

Die Kosten eines Verstoßes waren bei Unternehmen, die keine digitale Transformation durchgeführt hatten, im Durchschnitt 750.000 US-Dollar höher. Unternehmen mit einer ausgereiften Zero-Trust-Strategie hatten durchschnittliche Kosten von 3,28 Millionen für Datenschutzverletzungen. Das sind 1,76 Millionen US-Dollar weniger als diejenigen, die keine Zero-Trust-IT-Architektur implementiert haben.

Der Bericht zeigte auch, dass im Vergleich zu den Vorjahren mehr Unternehmen automatisierte Sicherheitslösungen einsetzten, was zu erheblichen Kosteneinsparungen führte. Etwa 65 % der befragten Unternehmen gaben an, dass sie ihre Sicherheitsmaßnahmen teilweise oder vollständig automatisieren, verglichen mit nur 52 % vor zwei Jahren. Unternehmen mit einer umfangreichen Sicherheitsautomatisierungsstrategie hatten durchschnittliche Sicherheitsverletzungskosten von 2,9 Millionen US-Dollar. Unternehmen mit nur teilweisen Automatisierungsmaßnahmen entstanden Schäden von 6,71 Millionen US-Dollar – also mehr als das Doppelte.

Organisationen mit einem Incident-Response-Team, die ihren Incident-Response-Plan auch getestet haben, hatten durchschnittliche Kosten von 3,25 Millionen US-Dollar, während diejenigen, die keinen Plan hatten oder ihren Plan nicht getestet hatten, durchschnittlich 55 % höhere Kosten, also in einer Höhe von 5,71 Millionen US-Dollar, hatten.

Natürlich sind die Kosten einer Datenschutzverletzung von Unternehmen zu Unternehmen sehr unterschiedlich. Und es gibt viele Möglichkeiten, diese Kosten zu reduzieren. Doch da die meisten Unternehmen keine zusätzlichen Anstrengungen unternehmen, um sich zu schützen, kann man sagen, dass die durchschnittlichen Kosten für Sicherheitsverletzungen steigen.