IBM-Bericht: Die Kosten einer Datenpanne erreichen während einer Pandemie ein Rekordhoch

28th Juli 2021

Datenschutzverletzungen kosten die befragten Unternehmen durchschnittlich 4.24 Millionen US-Dollar pro Vorfall, der höchste Wert in der 17-jährigen Geschichte des IBM-Berichts.

IBM Security gab heute die Ergebnisse einer globalen Studie bekannt, die ergab, dass Datenschutzverletzungen die befragten Unternehmen jetzt durchschnittlich 4.24 Millionen US-Dollar pro Vorfall kosten, die höchsten Kosten in der 17-jährigen Geschichte des Berichts. Basierend auf einer eingehenden Analyse von Datenschutzverletzungen in der Praxis, die von über 500 Organisationen erlebt wurden, legt die Studie nahe, dass Sicherheitsvorfälle aufgrund drastischer betrieblicher Veränderungen während der Pandemie teurer und schwieriger einzudämmen wurden, wobei die Kosten im Vergleich zu vorher um 10 % stiegen Jahr.

Unternehmen waren im vergangenen Jahr gezwungen, ihre Technologieansätze schnell anzupassen. Viele Unternehmen ermutigten oder verlangten von ihren Mitarbeitern, von zu Hause aus zu arbeiten, und 60 % der Organisationen gingen während der Pandemie weiter zu Cloud-basierten Aktivitäten über. (1) Die heute veröffentlichten neuen Erkenntnisse deuten darauf hin, dass die Sicherheit hinter diesen schnellen IT-Änderungen zurückgeblieben sein könnte, was Unternehmen daran hindert, auf Datenschutzverletzungen zu reagieren. 

Der jährliche Cost of a Data Breach Report, der vom Ponemon Institute durchgeführt und von IBM Security gesponsert und analysiert wurde, identifizierte die folgenden Trends bei den untersuchten Organisationen:

  • Auswirkung der Fernarbeit: Die rasche Umstellung auf Remote-Betrieb während der Pandemie scheint zu teureren Datenschutzverletzungen geführt zu haben. Verstöße kosten im Durchschnitt über 1 Mio. US-Dollar mehr, wenn Telearbeit als Faktor für das Ereignis angegeben wurde, im Vergleich zu denen in dieser Gruppe ohne diesen Faktor (4.96 Mio. US-Dollar gegenüber 3.89 Mio. US-Dollar) (2)
  • Die Kosten für Gesundheitsverletzungen stiegen stark an: Branchen, die während der Pandemie mit enormen betrieblichen Veränderungen konfrontiert waren (Gesundheitswesen, Einzelhandel, Gastgewerbe und Konsumgüterherstellung/-vertrieb), verzeichneten Jahr für Jahr ebenfalls einen erheblichen Anstieg der Kosten für Datenschutzverletzungen. Verstöße im Gesundheitswesen kosten mit Abstand am meisten: 9.23 Millionen US-Dollar pro Vorfall – eine Steigerung von 2 Millionen US-Dollar gegenüber dem Vorjahr.
  • Kompromittierte Anmeldedaten führten zu kompromittierten Daten: Gestohlene Benutzerdaten waren die häufigste Ursache für Sicherheitsverletzungen in der Studie. Gleichzeitig waren personenbezogene Kundendaten (wie Name, E-Mail, Passwort) die häufigste Art von Informationen, die bei Datenschutzverletzungen offengelegt wurden – wobei 44 % der Datenschutzverletzungen diese Art von Daten enthielten. Die Kombination dieser Faktoren könnte einen Spiraleffekt verursachen, bei dem die Verletzung von Benutzernamen/Passwörtern Angreifern einen Hebel für weitere zukünftige Datenschutzverletzungen bietet.
  • Moderne Ansätze reduzieren Kosten: Die Einführung von KI, Sicherheitsanalysen und Verschlüsselung waren die drei wichtigsten schadensbegrenzenden Faktoren, die nachweislich die Kosten eines Verstoßes senkten und Unternehmen zwischen 1.25 Millionen und 1.49 Millionen US-Dollar im Vergleich zu denen einsparten, die diese Tools nicht in erheblichem Umfang nutzten. Bei den untersuchten Cloud-basierten Datenschutzverletzungen hatten Organisationen, die einen hybriden Cloud-Ansatz implementiert hatten, geringere Kosten für Datenschutzverletzungen (3.61 Mio. USD) als diejenigen, die einen primär öffentlichen (4.80 Mio. USD) oder hauptsächlich privaten Cloud-Ansatz (4.55 Mio. USD) hatten.

„Höhere Kosten für Datenschutzverletzungen sind eine weitere zusätzliche Ausgabe für Unternehmen im Zuge der schnellen technologischen Veränderungen während der Pandemie“, sagte Chris McCurdy, Vice President und General Manager, IBM Security. „Während die Kosten für Datenschutzverletzungen im vergangenen Jahr ein Rekordhoch erreichten, zeigte der Bericht auch positive Anzeichen für die Auswirkungen moderner Sicherheitstaktiken wie KI, Automatisierung und die Einführung eines Zero-Trust-Ansatzes – was sich bei der Reduzierung der Kosten auszahlen könnte dieser Vorfälle im weiteren Verlauf.“

Scaleup Spotlight: Circuit perfektioniert das Liefererlebnis auf der letzten Meile
Trending
Scaleup Spotlight: Circuit perfektioniert das Liefererlebnis auf der letzten Meile

Auswirkungen von Remote Work und der Umstellung auf die Cloud auf Datenschutzverletzungen

Da sich die Gesellschaft während der Pandemie stärker auf digitale Interaktionen stützte, setzten Unternehmen auf Remote-Arbeit und die Cloud, als sie sich auf diese zunehmend online-Welt umstellten. Der Bericht stellte fest, dass diese Faktoren einen erheblichen Einfluss auf die Reaktion auf Datenschutzverletzungen hatten. Fast 20 % der untersuchten Unternehmen gaben an, dass Remote-Arbeit ein Faktor für die Datenschutzverletzung war, und diese Verletzungen kosteten Unternehmen am Ende 4.96 Millionen US-Dollar (fast 15 % mehr als die durchschnittliche Verletzung).

Unternehmen in der Studie, die während eines Cloud-Migrationsprojekts einen Verstoß erlebten, hatten 18.8 % höhere Kosten als der Durchschnitt. Die Studie ergab jedoch auch, dass diejenigen, die in ihrer gesamten Cloud-Modernisierungsstrategie („ausgereiftes“ Stadium) weiter fortgeschritten waren, Vorfälle effektiver erkennen und darauf reagieren konnten – im Durchschnitt 77 Tage schneller als diejenigen, die sich in der frühen Einführungsphase befanden. Darüber hinaus hatten Unternehmen, die einen hybriden Cloud-Ansatz implementiert hatten, bei den untersuchten Cloud-basierten Datenschutzverletzungen niedrigere Kosten für Datenschutzverletzungen (3.61 Mio.

Kompromittierte Zugangsdaten ein wachsendes Risiko

Der Bericht beleuchtet auch ein wachsendes Problem, bei dem Verbraucherdaten (einschließlich Anmeldeinformationen) bei Datenschutzverletzungen kompromittiert werden, die dann zur Verbreitung weiterer Angriffe verwendet werden können. Da 82 % der befragten Personen zugeben, dass sie Passwörter über mehrere Konten hinweg wiederverwenden, stellen kompromittierte Zugangsdaten sowohl eine der Hauptursachen als auch eine der Hauptfolgen von Datenschutzverletzungen dar, was ein erhöhtes Risiko für Unternehmen darstellt.

  • Offengelegte personenbezogene Daten: Fast die Hälfte (44 %) der Verstöße analysierten offengelegte personenbezogene Kundendaten wie Name, E-Mail, Passwort oder sogar Gesundheitsdaten – was die häufigste Art von verletzten Datensätzen im Bericht darstellt.
  • Kunden-PII am teuersten: Der Verlust von personenbezogenen Daten (PII) von Kunden war im Vergleich zu anderen Datentypen auch am teuersten (180 USD pro verlorenem oder gestohlenem Datensatz gegenüber 161 USD für den Gesamtdurchschnitt pro Datensatz).
  • Häufigste Angriffsmethode: Kompromittierte Benutzeranmeldeinformationen waren die häufigste Methode, die von Angreifern als Einstiegspunkt verwendet wurde, was 20 % der untersuchten Verstöße ausmachte.
  • Länger zu erkennen und einzudämmen: Die Erkennung von Sicherheitsverletzungen, die aus kompromittierten Zugangsdaten resultieren, dauerte am längsten – die Identifizierung dauerte durchschnittlich 250 Tage (gegenüber 212 für die durchschnittliche Sicherheitsverletzung).

Unternehmen, die modernisiert wurden, hatten niedrigere Kosten für Sicherheitsverletzungen

Während bestimmte IT-Verschiebungen während der Pandemie die Kosten für Datenschutzverletzungen erhöhten, entstanden Unternehmen, die angaben, keine Projekte zur digitalen Transformation zur Modernisierung ihrer Geschäftsabläufe während der Pandemie implementiert zu haben, tatsächlich höhere Kosten für Datenschutzverletzungen. Die Kosten eines Verstoßes waren 750,000 USD höher als der Durchschnitt bei Organisationen, die aufgrund von COVID-19 keine digitale Transformation durchlaufen hatten (16.6 % höher als der Durchschnitt).

Untersuchte Unternehmen, die a Null-Vertrauen Sicherheitsansatz waren besser in der Lage, mit Datenschutzverletzungen umzugehen. Dieser Ansatz geht von der Annahme aus, dass Benutzeridentitäten oder das Netzwerk selbst bereits kompromittiert sein könnten. Stattdessen verlässt es sich auf KI und Analysen, um die Verbindungen zwischen Benutzern, Daten und Ressourcen kontinuierlich zu validieren. Unternehmen mit einer ausgereiften Zero-Trust-Strategie hatten durchschnittliche Kosten für Datenschutzverletzungen von 3.28 Millionen US-Dollar – das waren 1.76 Millionen US-Dollar weniger als diejenigen, die diesen Ansatz überhaupt nicht eingesetzt hatten.

Der Bericht stellte auch fest, dass im Vergleich zu den Vorjahren mehr Unternehmen Sicherheitsautomatisierung einsetzen, was zu erheblichen Kosteneinsparungen führte. Rund 65 % der befragten Unternehmen gaben an, dass sie teilweise oder vollständig Automatisierung in ihren Sicherheitsumgebungen einsetzen, verglichen mit 52 % vor zwei Jahren. Diejenigen Unternehmen mit einer „vollständig implementierten“ Sicherheitsautomatisierungsstrategie hatten durchschnittliche Kosten für Sicherheitsverletzungen von 2.90 Millionen US-Dollar – während diejenigen ohne Automatisierung mit 6.71 Millionen US-Dollar mehr als doppelt so viel kosteten.

Investitionen in Incident-Response-Teams und -Pläne reduzierten bei den Befragten auch die Kosten für Datenschutzverletzungen. Beispielsweise hatten Unternehmen mit einem Incident-Response-Team, das auch seinen Incident-Response-Plan testete, durchschnittliche Kosten für Sicherheitsverletzungen von 3.25 Millionen US-Dollar, während Unternehmen, die beides nicht hatten, durchschnittliche Kosten von 5.71 Millionen US-Dollar hatten (was einer Differenz von 54.9 % entspricht).

Weitere Erkenntnisse aus dem Bericht 2021 sind:

  • Zeit zum Antworten: Die durchschnittliche Zeit zur Erkennung und Eindämmung einer Datenschutzverletzung betrug 287 Tage (212 zur Erkennung, 75 zur Eindämmung) – eine Woche länger als im Vorjahresbericht.
  • Mega-Verletzungen: Die durchschnittlichen Kosten einer Mega-Verletzung betrugen 401 Millionen US-Dollar bei Verstößen zwischen 50 Millionen und 65 Millionen Datensätzen.(3) Dies ist fast 100-mal teurer als die Mehrheit der im Bericht untersuchten Verstöße (die zwischen 1,000 und 100,000 Datensätzen lagen).
  • Nach Branche: Datenschutzverletzungen im Gesundheitswesen waren am teuersten in der Industrie (9.23 Mio. USD), gefolgt vom Finanzsektor (5.72 Mio. USD) und der Pharmaindustrie (5.04 Mio. USD). Während die Gesamtkosten niedriger waren, verzeichneten der Einzelhandel, die Medien, das Gastgewerbe und der öffentliche Sektor einen starken Kostenanstieg gegenüber dem Vorjahr.
  • Nach Land/Region: Die USA verzeichneten mit 9.05 Mio. USD pro Vorfall die teuersten Datenschutzverletzungen, gefolgt vom Nahen Osten (6.93 Mio. USD) und Kanada (5.4 Mio. USD).

Methodik und zusätzliche Statistiken zu Datenschutzverletzungen

Der 2021 Cost of a Data Breach Report von IBM Security and Ponemon Institute basiert auf einer eingehenden Analyse von Datenpannen in der Praxis von 100,000 Datensätzen oder weniger, die von über 500 Organisationen weltweit zwischen Mai 2020 und März 2021 erlebt wurden. Der Bericht berücksichtigt Hunderte von Kostenfaktoren, die an Datenschutzverletzungen beteiligt sind, von rechtlichen, behördlichen und technischen Aktivitäten bis hin zum Verlust von Markenwert, Kunden und Mitarbeiterproduktivität.

WEITERLESEN:

Informationen zu IBM Security

IBM Security bietet eines der fortschrittlichsten und integriertesten Portfolios von Sicherheitsprodukten und -services für Unternehmen. Das Portfolio, unterstützt durch die weltbekannte Forschung von IBM Security X-Force®, versetzt Unternehmen in die Lage, Risiken effektiv zu managen und sich gegen neu auftretende Bedrohungen zu verteidigen. IBM betreibt eine der weltweit größten Sicherheitsforschungs-, Entwicklungs- und Bereitstellungsorganisationen, überwacht mehr als 150 Milliarden Sicherheitsereignisse pro Tag in mehr als 130 Ländern und hat weltweit mehr als 10,000 Sicherheitspatente erhalten.

1 IBM Institute for Business Value: COVID-19 und die Zukunft des Geschäfts 
2 Durchschnittliche Kosten von 4.96 Millionen US-Dollar für die Befragten, bei denen Remote-Arbeit ein Faktor war, gegenüber 3.89 Millionen US-Dollar, wenn Remote-Arbeit kein Faktor war
3 Der 2021 Cost of a Data Breach Report untersucht die Kosten eines Mega-Datenverstoßes auf der Grundlage einer separaten Analyse einer bestimmten Stichprobe, die den Verlust oder Diebstahl von mindestens einer Million Datensätzen beinhaltet. Die Mega-Breach-Stichprobe ist nicht in den Berechnungen des gesamten durchschnittlichen Datenschutzverletzungsberichts enthalten, der Datenschutzverletzungen von 1,000 bis 100,000 Datensätzen untersucht.

Vergessen Sie nicht, unser tägliches Bulletin zu abonnieren, um weitere Neuigkeiten von Top Business Tech zu erhalten!

Folge uns auf  LinkedIn und Twitter

Wir glauben, dass Ihnen Folgendes gefallen wird:

Amber Donovan-Stevens

Amber ist Inhaltsredakteurin bei Top Business Tech

Die Lebenshaltungskostenkrise.

TBT-Newsroom • 29. Juni 2022

Was Kommunikationsdienstleister tun können, um ihren Kunden bei der Bewältigung der Lebenshaltungskostenkrise zu helfen. Wir sind alle mit den reißerischen Marketing-Slogans unserer britischen Kommunikationsdienstleister vertraut – „Gemeinsam können wir“, „Die Zukunft ist hell“, „Es dreht sich alles um Sie“ … aber leider scheinen diese für die nicht mehr zu stimmen Millionen Verbraucher...