Der 28. Januar ist der Data Privacy Day (Tag der Datensicherheit), der in Europa als Europäischer Datenschutztag bekannt ist. Bei der Datensicherheit geht es darum, zu entscheiden, wer Zugang zu welchen Informationen haben darf, während es beim Datenschutz darum geht, diese Informationen zu schützen. Ein Datenleck wirft beide aus der Bahn.
Datenschutzverletzungen können in jedem Unternehmen auftreten. Unsere jüngste Studie, die wir gemeinsam mit dem Ponemon Institute durchgeführt haben, zeigt, dass fast die Hälfte, nämlich 48 %, der befragten Unternehmen in fünf Ländern weltweit im vergangenen Jahr von einer Datenschutzverletzung betroffen waren, bei der sensible Informationen über Kunden, Interessenten oder Mitarbeiter verloren gingen oder gestohlen wurden. Bei Finanzdienstleistungsunternehmen sind es 54 %.
Auf die Hauptursachen für Datenschutzverletzungen gehen wir später ein. Doch zunächst zum Risiko.
Damit Cybersecurity ihre volle Wirkung entfalten kann, muss sie von der obersten Führungsebene unterstützt werden. Und Risiko ist die Sprache, die alle Unternehmensleiter verstehen. Wenn es darum geht, einen robusten, gesetzeskonformen Ansatz für Datenschutz und Datensicherheit zu gewährleisten, müssen Führungskräfte verstehen, welche Konsequenzen der Verlust wertvoller Daten nach sich ziehen würde.
Was bedeutet eine Datenschutzverletzung für Ihr Unternehmen?
Die Studie zeigt, dass nicht jeder Datenverlust das gleiche Geschäftsrisiko birgt. Das ist wichtig, denn so können Unternehmen ihre Sicherheitsressourcen entsprechend konzentrieren.
Es überrascht nicht ganz, dass Finanzdaten ganz oben auf der Liste der Informationen stehen, deren Verlust oder Diebstahl die größten finanziellen oder betrieblichen Auswirkungen auf das Unternehmen hätte. Insgesamt 43 % der Befragten nannten dies als einen der beiden Datenverluste mit den größten Auswirkungen.

Weitere interessante Erkenntnisse:
- Der Verlust von Mitarbeiterdatensätzen hat insgesamt die zweithöchste Auswirkung (37 %). Der Abstand zwischen dem zweiten und dem dritten Platz (persönlich identifizierbare Kundendaten (Personally Identifiable Information – PII), mit 36 %) ist gering, aber bei den größten befragten Unternehmen höher (40 %). Dies könnte die Tatsache widerspiegeln, dass Unternehmen oft mehr und detailliertere, sensiblere und vertraulichere Informationen über ihre Mitarbeiter besitzen als über ihre Kunden. Dies könnte von Angreifern zur Erpressung missbraucht werden, um böswillige Insider zu rekrutieren, das Unternehmen kostspieligen Gerichtsverfahren und Compliance-Verstößen auszusetzen und vieles mehr.
- Der Verlust von geistigem Eigentum wirkt sich auf kleinere Unternehmen stärker aus (30 %) als auf größere Unternehmen (21 %). Dies ist möglicherweise darauf zurückzuführen, dass kleinere Unternehmen stärker auf geistiges Eigentum angewiesen sind, um sich einen Wettbewerbsvorteil zu verschaffen, und weniger wahrscheinlich über ein breiteres Spektrum an Vermögenswerten verfügen.
- Der Verlust von E-Mails und informellen Chatverläufen/Textnachrichten wirkt sich am stärksten auf größere Unternehmen aus (32 %). Dies könnte das Risiko fortgeschrittener E-Mail-Bedrohungen widerspiegeln, wie z. B. die Kompromittierung von Geschäfts-E-Mails, und die Notwendigkeit, solche Aufzeichnungen für die rechtliche Offenlegung und Compliance aufzubewahren.
Hauptursachen für Datenschutzverletzungen
Die Befragten wurden nach den Grundursachen von Datenschutzverletzungen gefragt. Die Ergebnisse zeigen, wie groß die digitalen Angriffsflächen geworden sind, mit zahlreichen Schwachstellen, die Netzwerke und Daten gefährden können.
Die Hauptursachen lassen sich offenbar in vier Kategorien einteilen: Menschen, Cyberbedrohungen, Lieferkette oder Systemfehler/Fehlkonfiguration.
Dazu gehören:
- Handlungen von Mitarbeitern/Auftragnehmern, sei es durch Fahrlässigkeit (Hauptursache bei 42 % der Verstöße) oder durch böswillige Handlung (39 %)
- IT-Sicherheitslücken – einschließlich ungepatchter Schwachstellen (34 %), Fehler im System oder im Betriebsprozess (41 %)
- Fehler von Dritten (45%)
- Externe Angreifer – Hacking (34 %), Phishing (39 %) und Viren oder andere Malware (49 %).
Weitere Ergebnisse der Studie zeigen, dass jeder sechste erfolgreiche Phishing-Angriff (17 %) zum Verlust sensibler und vertraulicher Daten führte, wobei mehr als jeder fünfte Fall in Unternehmen des verarbeitenden Gewerbes (22 %), des öffentlichen Sektors (21 %) sowie bei Befragten aus dem Vereinigten Königreich (23 %) und Frankreich (21 %) auftrat.
Viele dieser potenziellen Schwachstellen können durch wirksame Sicherheitstechnologien und -richtlinien behoben werden.
Ihre Daten schützen
Wenn etwa jedes zweite Unternehmen im letzten Jahr von einer Datenschutzverletzung betroffen war, ist es kein großer Schritt, davon auszugehen, dass im Laufe der Zeit jedes Unternehmen von einer Datenschutzverletzung betroffen sein wird. Zumindest sollte jedes Unternehmen seine Datensicherheit und Compliance so angehen, als ob dies der Fall wäre.
Unabhängig von der Größe Ihres Unternehmens können Sie nichts falsch machen, wenn Sie die Grundlagen richtig angehen. Dazu gehört ein solider Ansatz für Authentifizierung und Zugriff, bei dem die Multi-Faktor-Authentifizierung zum Standard gehört und der im Idealfall zu einem Zero-Trust-Ansatz führt.
Ihre IT-Infrastruktur sollte über KI-gestützte Sicherheitstechnologien verfügen, die Ihre gesamte Angriffsfläche und jeden Einstiegspunkt – von Geräten über APIs bis hin zu Cloud-Assets und mehr – abdecken und für vollständige Transparenz sorgen.
Im Idealfall sollte dies durch einen rund um die Uhr funktionierenden Sicherheitsbetrieb und die 24/7-Überwachung unterstützt werden, damit Sie auf jede Bedrohung reagieren, sie entschärfen und neutralisieren können, bevor sie die Cyber Kill Chain weiter durchläuft.
Darüber hinaus müssen Sie Ihre Daten kontinuierlich sichern. Stellen Sie sicher, dass alle Backup-Daten sowohl im Ruhezustand als auch während der Übertragung verschlüsselt sind. Wenden Sie den Goldstandard 3:2:1 an: drei Sicherungskopien auf zwei verschiedenen Medien, von denen eines offline gehalten wird.
Engagement und Schulung der Mitarbeiter sind von entscheidender Bedeutung. Alle Mitarbeiter sollten wissen, warum Cybersecurity so wichtig ist, auf welche aktuellen Bedrohungen und Betrugsmethoden sie achten müssen und was zu tun ist, wenn sie auf etwas Verdächtiges stoßen.
Ihre Pflichten kennen
Zu guter Letzt sollten Sie sicherstellen, dass Sie die Datenschutzbestimmungen für jeden Markt, in dem Sie tätig sind, kennen und einhalten.
In den USA sind Informationen zum Datenschutz von der Cybersecurity & Infrastructure Security Agency (CISA), dem National Institute of Standards and Technology (NIST), der Federal Trade Commission (FTC) und vielen weiteren öffentlichen, privaten und Bildungseinrichtungen erhältlich.
Dasselbe gilt für die Regionen EMEA und Asien-Pazifik. Neben wichtigen regionalen Websites wie der DSGVO-Compliance-Checkliste und mehr enthalten die Portale Europe Data Guidance und Asia Pacific Data Guidance von Deloitte aktuelle Informationen über Datenschutzgesetze und -entwicklungen in den jeweiligen Regionen.
Barracuda gab beim Ponemon Institute eine internationale Studie in Auftrag, die sich mit den Sicherheitsherausforderungen und finanziellen Folgen von Kompromittierungen befasst, mit denen Unternehmen mit 100 bis 5.000 Mitarbeitern konfrontiert sind. Ponemon befragte im September 2023 1.917 IT-Sicherheitsexperten in den Vereinigten Staaten (522), dem Vereinigten Königreich (372), Frankreich (329), Deutschland (425) und Australien (269). Die Ergebnisse wurden in einem Bericht zusammengefasst: Cybernomics 101.

Der Ransomware Insights Bericht 2025
Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit
Abonnieren Sie den Barracuda-Blog.
Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance
Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.