KI, Sicherheitsanalysen und Verschlüsselung reduzieren Schaden Sicherheitsvorfälle kosten richtig viel Geld

Redakteur: Elke Witmer-Goßner

Noch nie verursachten Sicherheitsvorfälle so hohe Kosten, wie jetzt im Zuge der COVID-19-Pandemie. Sie stiegen 2021 auf ein 17-Jahres-Hoch.

Firmen zum Thema

Weniger Kunden, entgangene Umsätze durch Systemausfälle und steigende Kosten für die Akquise: IT-Sicherheitsverletzungen werden immer teurer für Unternehmen.
Weniger Kunden, entgangene Umsätze durch Systemausfälle und steigende Kosten für die Akquise: IT-Sicherheitsverletzungen werden immer teurer für Unternehmen.
(Bild: Hyejin Kang - stock.adobe.com)

Im Durchschnitt kostet ein Datenvorfall einem deutschen Unternehmen 4,11 Millionen Euro. Deutschland liegt damit auf Platz vier der teuersten Märkte für Datenpannen: Mit umgerechnet 4,84 Millionen US-Dollar liegen die Kosten bei den untersuchten Unternehmen hierzulande über dem weltweiten Durchschnitt von 4,24 Millionen US-Dollar pro Vorfall. Zu diesen Ergebnissen kommt die neueste „Cost of a Data Breach“-Studie des Ponemon-Instituts, die von IBM Security gesponsert und ausgewertet wird. Dabei handelt es sich um den höchsten gemessenen Wert seit Beginn der Erhebung vor 17 Jahren.

Bereits 2020 hatten Unternehmen pandemiebedingt höhere Security-Ausgaben erwartet – zu Recht, wie sich jetzt zeigt. Die schnelle Umstellung auf Homeoffice und andere Formen der Distanzarbeit scheint zu teureren Datenvorfällen geführt zu haben. In Deutschland erhöhten sich die Kosten pro kompromittiertem Datensatz (z. B. persönlich identifizierbare Informationen, wie etwa Kreditkartendaten) um 8 Euro auf 170 Euro, die Gesamtkosten pro Datenvorfall erhöhten sich um 0,6 Mio. Euro (Vorjahr: 4,05 Mio. Euro).

IT-Sicherheit nur zweitrangig behandelt

Die Ergebnisse der Studie lassen darauf schließen, dass das Thema IT-Security weltweit durch die Turbo-Digitalisierung ins Hintertreffen geraten ist: 60 Prozent der Unternehmen migrierten während der Pandemie in die Cloud. Das Thema Sicherheit spielte dabei eine zweitrangige Rolle. Cloud-Security ist aber auch schon während der Migration wichtig: Datenvorfälle, die sich während eines Cloud-Migrationsprojekts zutrugen, kosteten fast 19 Prozent mehr.

Weniger Kosten hatten diejenigen der untersuchten Unternehmen, die einen hybriden Cloud-Ansatz verfolgen: Sie zahlten 3,61 Millionen US-Dollar pro Vorfall – im Gegensatz zu 4,80 Millionen US-Dollar bei primär öffentlichem Cloud-Ansatz und 4,55 Millionen US-Dollar bei einem primären Private-Cloud-Ansatz.

Gegenmaßnahmen werden schneller umgesetzt

Es gibt jedoch auch positive Nachrichten. 2020 dauerte die Identifizierung und Eindämmung einer Datenschutzverletzung in Deutschland im Durchschnitt 151 Tage (dabei entfallen 123 Tage auf die Erkennung und 28 auf die Eindämmung) und damit neun Tage weniger als im Vorjahr. Damit steht Deutschland im internationalen Durchschnitt gut da, denn der liegt bei 287 Tagen (212 Tage zur Erkennung, 75 zur Eindämmung). Zur Verdeutlichung: Bei diesem Tempo ist eine Datenschutzverletzung, die sich am 1. Januar ereignet, erst am 14. Oktober abgeschlossen – deutsche Unternehmen hingegen hätten den Vorgang bereits am 1. Juni abgeschlossen. Das ist auch deshalb wichtig, weil die Kosten mit zunehmender Dauer des Vorfalls stark steigen.

„Höhere Kosten für Datenverstöße sind eine weitere zusätzliche Ausgabe für Unternehmen im Zuge des schnellen technologischen Wandels während der Pandemie“, sagt Chris McCurdy, Vice President and General Manager, IBM Security. „Während die Kosten für Datenpannen im vergangenen Jahr ein Rekordhoch erreicht haben, zeigt der Bericht auch positive Anzeichen für die Auswirkungen moderner Sicherheitstaktiken wie KI, Automatisierung und die Einführung eines ‚Zero-Trust‘-Ansatzes – was sich in Zukunft bei der Reduzierung der Kosten für diese Vorfälle auszahlen könnte.“ 85 Prozent der befragten deutschen Unternehmen gaben an, einen Zero-Trust-Ansatz ganz (46 Prozent) oder teilweise (39 Prozent) implementiert zu haben.

Weitere Studienergebnisse

  • Betriebliche Veränderungen als Kostentreiber: Branchen, die pandemiebedingt mit großen betrieblichen Veränderungen konfrontiert waren (Gesundheitswesen, Einzelhandel, Gastgewerbe und Herstellung/Vertrieb von Konsumgütern) verzeichneten einen erheblichen Anstieg der Kosten für Sicherheitsvorfälle.
  • Geschäft leidet am meisten: Mit 38 Prozent machen Geschäftsausfälle im internationalen Vergleich den größten Teil der Kosten eines Datenvorfalls aus. Durchschnittlich entgingen den Unternehmen weltweit 1,59 Millionen US-Dollar. Darunter fallen erhöhte Kundenfluktuation, entgangene Umsätze aufgrund von Systemausfällen und die steigenden Kosten für die Akquise.
  • Meiste Angriffe durch gestohlene Anmeldeinformationen: 20 Prozent der untersuchten Sicherheitsverletzungen waren auf kompromittierte Anmeldeinformationen zurückzuführen. Hier dauerte auch die Erkennung mit durchschnittlich 250 Tagen am längsten (im Vergleich zu 212 Tagen bei einer durchschnittlichen Sicherheitsverletzung). In Deutschland liegt dieser Wert mit 21 Prozent leicht über dem Durchschnitt, die höchsten Kosten werden allerdings durch kompromittierte Geschäfts-E-Mails verursacht.
  • Sicherheitsautomatisierung in Unternehmen steigt: Die teilweise oder vollständige Automatisierung von Sicherheitslösungen stieg um 13 Prozent im Vergleich zum Vorjahr (65 Prozent vs. 52 Prozent im Vorjahr), während gleichzeitig die Kosten pro Vorfall sanken. KI, Sicherheitsanalysen und Verschlüsselung sparten zwischen 1,25 und 1,49 Millionen US-Dollar im Vergleich zu Datenpannen, bei denen diese Technologien nicht in nennenswertem Umfang eingesetzt wurden. 66 Prozent der befragten deutschen Unternehmen hatten Sicherheitsautomatisierungen ganz oder teilweise umgesetzt, 26 Prozent bezeichneten die Einführung als abgeschlossen.

Methodik
Die siebzehnte „Cost of a Data Breach“-Studie von IBM Security und dem Ponemon-Institut (Download gegen Registrierung möglich) basiert auf einer detaillierten Analyse realer Datenschutzverletzungen, die zwischen Mai 2020 und März 2021 bei über 500 Unternehmen weltweit aufgetreten sind. Aus Deutschland haben 35 Unternehmen an der Studie teilgenommen.

(ID:47598241)