IBM „Cost of a Data Breach“-Studie 2018

Kosten bei Datenpannen in Deutschland steigen deutlich

| Redakteur: Peter Schmitz

Die für ein Unternehmen bei einer Datenpanne entstehenden Kosten sind 2017 in Deutschland laut einer neuen IBM-Studie um 12,6 Prozent auf 3,88 Millionen Euro gestiegen.
Die für ein Unternehmen bei einer Datenpanne entstehenden Kosten sind 2017 in Deutschland laut einer neuen IBM-Studie um 12,6 Prozent auf 3,88 Millionen Euro gestiegen. (Bild: Pixabay / CC0)

Die durchschnittlichen Kosten einer Datenpanne betragen in Deutschland 3,88 Mio. Euro. Das zeigt die von IBM gesponserte „Cost of a Data Breach“-Studie 2018 des Ponemon Instituts. Gegenüber dem Vorjahr sind die Kosten in Deutschland damit um 12,6 Prozent gestiegen. Auch weltweit stiegen die Kosten um 6,4 Prozent auf 3,86 Millionen US-Dollar. Erstmals wurden auch die Kosten von Mega-Datenpannen untersucht.

Seit 2012 führt das Ponemon Institut jährlich die „Cost of a Data Breach“-Studie durch, in der Hunderte von Kostenfaktoren rund um Datenpannen analysiert werden. Hierfür wurden dieses Jahr weltweit fast 500 Unternehmen befragt, die von einer Datenpanne betroffen waren. In Deutschland nahmen 35 Unternehmen teil. Laut der Studie mussten hier pro verlorenem Datensatz rund 156 Euro investiert werden, was einem Kostenanstieg um 4,6 Prozent entspricht.

Die durchschnittlichen Gesamtkosten einer Datenpanne stiegen im letzten Jahr um 12.6 Prozent auf 3,88 Millionen Euro. Rund die Hälfte der Datenpannen waren dabei auf böswillige oder kriminelle Angriffe zurückzuführen. Zu den untersuchten Kostenfaktoren gehören zum Beispiel technische Abklärungen und Wiederherstellung, Benachrichtigungen, rechtliche und regulatorische Maßnahmen. Besonders ins Gewicht fallen laut der Studie versteckte Kosten wie zum Beispiel verlorene Geschäftschancen, negative Auswirkungen auf die Reputation und für die Wiederherstellung aufgewendete Arbeitsstunden, die zudem schwer zu managen sind.

Erstmals untersucht: Die Kosten von Mega-Datenpannen

Zum ersten Mal hat das Ponemon Institut dieses Jahr auch die Kosten in Verbindung mit sogenannten „Mega-Datenpannen“, also Datenpannen, bei denen zwischen einer und 50 Millionen Datensätze betroffen sind, berechnet. Diese werden auf 40 bis 350 Millionen US-Dollar geschätzt.

In den letzten fünf Jahren hat sich die Zahl der Mega-Datenpannen fast verdoppelt – 2013 gab es neun Mega-Datenpannen, 2017 waren es im ganzen Jahr 17 und 2018 bereits im ersten Halbjahr 15. Aufgrund der dennoch geringen Fallzahlen hat sich die „Cost of a Data Breach“-Studie bisher auf Datenpannen mit etwa 2.500 bis 100.000 verlorenen Datensätzen fokussiert.

Basierend auf der Analyse von 11 Unternehmen, welche in den letzten zwei Jahren eine Mega-Datenpanne erlitten haben, setzt die diesjährige Studie statistische Modelle ein, um die Kosten für Datenpannen mit einer bis 50 Millionen betroffenen Datensätzen zu ermitteln. Durchschnittlich verursacht eine Datenpanne mit einer Million betroffenen Datensätzen demnach beinahe 40 Millionen US-Dollar an Kosten. Wenn 50 Millionen Datensätze betroffen sind, betragen die geschätzten Kosten rund 350 Millionen Dollar. Die überwiegende Mehrheit dieser Datenpannen (10 von 11) beruhten auf böswilligen und kriminellen Angriffen (im Gegensatz zu technischen Störungen oder menschlichem Versagen) und durchschnittlich dauerte es 365 Tage, bis eine Mega-Datenpanne erkannt und eingedämmt wurde – fast 100 Tage mehr als bei kleineren Datenpannen (266 Tage).

Der größte Kostenfaktor bei Mega-Datenpannen waren Kosten aufgrund verlorener Geschäftschancen: Für Pannen mit 50 Millionen betroffenen Datensätzen wurden sie auf fast 118 Millionen Dollar geschätzt - fast ein Drittel der Gesamtkosten einer Datenpanne dieser Größenordnung. IBM analysierte die öffentlich gemeldeten Kosten mehrerer bekannter Mega-Datenpannen und stellte dabei fest, dass die gemeldeten Zahlen oft unter den durchschnittlichen Kosten aus der Studie liegen. Dies liegt wahrscheinlich daran, dass die öffentlich ausgewiesenen Kosten oft auf direkte Kosten beschränkt sind, wie z.B. Technologie und Dienstleistungen, um die Folgen der Datenpanne in den Griff zu bekommen, Anwalts- und regulatorische Kosten und Entschädigungen für Kunden.

Was beeinflusst die durchschnittlichen Kosten einer Datenpanne?

In den letzten 13 Jahren hat das Ponemon Institute die Kosten im Zusammenhang mit Datenpannen mit weniger als 100.000 betroffenen Datensätzen untersucht und festgestellt, dass die Kosten im Laufe der Jahre gestiegen sind. Die durchschnittlichen Kosten einer Datenpanne in Deutschland beliefen sich 2018 auf 3,88 Millionen Euro, verglichen mit 3,42 Millionen Euro im Jahr 2014 - was einem Anstieg von mehr als 12 Prozent in den letzten fünf Jahren der Studie entspricht. Die Studie untersucht auch, welche Faktoren die Kosten einer Datenpanne erhöhen oder senken: Die Kosten hängen stark davon ab, wie schnell ein Datenleck identifiziert und eingedämmt werden kann. Auch Investitionen in Technologien, um die Reaktionszeit zu verkürzen, senken die Kosten.

Durchschnittlich brauchten Unternehmen 197 Tage, um eine Datenpanne zu identifizieren (Deutschland: 138 Tage), und 69 Tage (Deutschland: 41 Tage), um sie einzudämmen. Unternehmen, die eine Datenpanne in weniger als 30 Tagen eindämmen konnten, sparten über 1 Million Dollar im Vergleich zu Unternehmen, die mehr als 30 Tage brauchten (3,09 Millionen Dollar gegenüber 4,25 Millionen Dollar im Durchschnitt).

Auch die Anzahl der verlorenen oder gestohlenen Datensätze wirkt sich auf die Kosten einer Datenpanne aus. Für einen betroffenen Datensatz fallen in Deutschland Kosten von durchschnittlich 156 Euro an. Folgende Faktoren beeinflussen laut der Studie diese Kosten: Durchgängige Datenverschlüsselung kann die Kosten deutlich reduzieren. Hiermit lassen sich 14,30 Euro pro kompromittiertem Datensatz einsparen. An zweiter Stelle steht der Einsatz von einem Incident Response Team, wodurch sich 12,80 Euro pro Datensatz einsparen lassen. Der Einsatz einer KI-Plattform für Cybersicherheit schließlich hilft, die Kosten pro verlorenem oder gestohlenem Datensatz um 8,70 Euro zu senken. Unternehmen mit Problemen im Bereich Compliance müssen dagegen mit um 13,50 Euro höheren Kosten pro Datensatz rechnen.

In diesem Jahr untersuchte die Studie ebenfalls zum ersten Mal die Wirkung von Werkzeugen für automatisierte Sicherheitstechnologien. Dazu gehören der Einsatz von künstlicher Intelligenz, Machine Learning, Analytics und Orchestrierung, um menschliche Eingriffe bei der Identifizierung und Eindämmung einer Datenpanne zu verstärken oder zu ersetzen. Die Analyse ergab, dass Unternehmen, die großem Umfang automatisierte Sicherheitstechnologien eingesetzt hatten, über 1,5 Millionen Dollar bei den Gesamtkosten einer Datenpanne einsparen konnten (2,88 Millionen Dollar, verglichen mit 4,43 Millionen Dollar für diejenigen, die keine Sicherheitsautomatisierung eingesetzt hatten).

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45404132 / Sicherheitsvorfälle)