Von: Kryptus

Datenschutzverletzungen und Sicherheitsvorfälle werden immer kostspieliger. British Airways und Marriott mussten die Gesamtkosten ihrer Vorfälle jeweils um 100 Millionen Dollar erhöhen, nachdem festgestellt wurde, dass sie für die Europäisches Datenschutz-Grundgesetz.

Obwohl diese Beispiele nur am äußersten Ende der Skala liegen, nehmen die finanziellen Auswirkungen eines Datenlecks für Unternehmen jeder Art und Größe von Jahr zu Jahr zu. Laut einem neuen Bericht von IBM und dem Ponemon Institute sind die durchschnittlichen Kosten eines Datenlecks auf 3,92 Millionen US-Dollar gestiegen.

Der Bericht zeigt einen Kostenanstieg von 1,6 % im Jahr 2018 und von 12 % in den letzten fünf Jahren. Dieser Anstieg umfasst direkte und indirekte Kosten, die durch den Zeit- und Arbeitsaufwand bei der Behebung von Sicherheitsverletzungen, verpasste Chancen wie Kundenabwanderung aufgrund negativer Publicity und Bußgelder entstehen.

Datenlecks werden immer größer und teurer

Weltweit dürften knapp 30 % der Unternehmen in den nächsten 24 Monaten mindestens einen Datendiebstahl erleiden. Die höchsten Kosten entstehen Unternehmen in den USA mit durchschnittlich 8,19 Millionen US-Dollar pro Datendiebstahl. Dies ist auf die komplexen Regulierungen zurückzuführen, die von Bundesstaat zu Bundesstaat variieren können, insbesondere bei der Meldung von Datendiebstählen. In Großbritannien liegt der Wert etwas unter dem weltweiten Durchschnitt von 3,88 Millionen US-Dollar.

 Die durchschnittliche Größe eines Datenlecks beträgt mittlerweile 25.575 Datensätze, ein Anstieg von 3,9 % gegenüber 2018. Die endgültigen Kosten pro Datensatz können durch Faktoren beeinflusst werden, die mit der Qualität des Unternehmens und seiner Reaktion auf ein Datenleck zusammenhängen. Ein Datenleck kann zu einer Kundenabwanderungsrate von 3,4 % führen, was einem leichten Anstieg gegenüber dem Vorjahr entspricht und darauf hindeutet, dass die Akzeptanz von Kunden gegenüber Sicherheitsverletzungen abnimmt.

Während der gleichzeitige Verlust von Tausenden von Datensätzen immer häufiger vorkommt, sind Datendiebstähle auf Equifax-Ebene, die Millionen von Datensätzen betreffen, noch relativ selten. Laut IBM könnte ein „Mega-Datendiebstahl“ von einer Million Datensätzen ein Unternehmen 1 Millionen US-Dollar kosten – im Vorjahr waren es noch 42 Millionen US-Dollar. Der Verlust von 40 Millionen Datensätzen könnte ein Unternehmen 50 Millionen US-Dollar kosten.

Angesichts der hochsensiblen und regulierten Natur der von ihnen verwalteten Daten, Finanzsektoren und Gesundheit Wenig überraschend sind die Kosten pro Datensatz am höchsten: bis zu 429 US-Dollar im Gesundheitswesen und 210 US-Dollar im Finanzwesen. Der Grad der Regulierung spielt eine große Rolle bei den Kosten, die ein Unternehmen für die Wiederherstellung nach einem Datenleck aufbringen muss. Stark regulierte Branchen wie medizinische Hilfe e Finanzdienstleistungen, verursachen durchschnittliche Kosten von 6,45 Millionen US-Dollar bzw. 5,86 Millionen US-Dollar pro Vorfall, während in weniger regulierten Branchen wie dem Einzelhandel und dem Gastgewerbe die durchschnittlichen Vorfallkosten weniger als 2 Millionen US-Dollar betragen.

„Bei Gesundheitsakten erhält man in manchen Fällen sogar die gesamte Krankengeschichte – zum Beispiel, dass die Person letztes Jahr eine Knieoperation hatte und Physiotherapie gemacht hat“, sagt Wendi Whitmore, IBMs Leiterin von X-Force Threat Intelligence. „Man erhält in der Regel auch viele weitere personenbezogene Daten, die man auch von einer Kreditkarte erhält.“

Eine langsame Reaktion auf einen Datenschutzverstoß erhöht die Kosten

Zeit ist Geld, und eine langsame Erkennung und Eindämmung eines Sicherheitsverstoßes kann kostspielig sein. Laut dem Bericht von IBMDie Erkennung und Eindämmung eines Sicherheitsverstoßes dauert heute 279 Tage, im Vergleich zu 266 Tagen im Vorjahr. Schnelle Reaktionen können enorme Kosten sparen. Unternehmen, die einen Sicherheitsverstoß in weniger als 200 Tagen erkennen und eindämmen konnten, gaben durchschnittlich 1,2 Millionen Dollar weniger aus.

„Zeit ist wirklich Geld“, sagt Whitmore. „Je länger ein Angreifer in einer Umgebung ist, desto mehr Zugriff hat er auf verschiedene Geräte, Daten und Konten. Wir müssen alles tun, um den Zugriff zu unterbinden und zukünftige Auswirkungen zu begrenzen. Das erhöht natürlich die Kosten.“

Deutsche und südafrikanische Unternehmen entdecken und beheben Sicherheitslücken am schnellsten – insgesamt 170 bzw. 226 Tage. Unternehmen im Nahen Osten (381) und Brasilien (361) benötigen dafür am längsten. Unternehmen im Gesundheitswesen, im öffentlichen Sektor und in der Unterhaltungsbranche benötigen mit durchschnittlich über 310 Tagen am längsten, um Sicherheitslücken zu entdecken und zu beheben. Die Branchen Finanzdienstleistungen, Technologie und Forschung hingegen waren am schnellsten bei der Entdeckung und Behebung von Sicherheitslücken.

IBM und Ponemon untersuchten dieses Jahr erstmals die „Long Tail“-Folge von Datenschutzverletzungen und stellten fest, dass Unternehmen die Kosten einer Datenschutzverletzung noch jahrelang tragen. Etwa 67 Prozent der Kosten entstehen im ersten Jahr, 22 Prozent in den darauffolgenden 12 bis 24 Monaten und die restlichen 11 Prozent erst mehr als zwei Jahre später. Obwohl dies ein extremes Beispiel ist, erklärte sich Equifax kürzlich im Rahmen eines Vergleichs mit der Federal Trade Commission (FTC) bereit, 575 Millionen US-Dollar – potenziell bis zu 700 Millionen US-Dollar – wegen der Datenschutzverletzung im Jahr 2017 zu zahlen.

„Die Kunden, denen wir helfen, betrachten einen Datendiebstahl oft als einmalige Kosten: Es ist ein enormer Aufwand, aber danach sind wir wieder im Geschäft“, sagt Whitmore. „Tatsächlich fallen jedoch nur 67 Prozent dieser Kosten im ersten Jahr an, die restlichen 33 Prozent fallen in den folgenden zwei bis drei Jahren an – beispielsweise für Folge- oder Kreditüberwachung. Capital One und Equifax sind für die Beeinträchtigung zahlreicher Kreditdaten von Kunden verantwortlich, und das verursacht laufende Kosten.“

Vorschriften und Bußgelder

Mit der Einführung der DSGVO und einer Flut von Nachahmergesetzen weltweit macht die Einhaltung von Vorschriften einen erheblichen Teil der Kosten von Datenschutzverletzungen aus. „Allein in den USA gibt es 52 verschiedene bundesstaatliche Datenschutzgesetze“, sagt Whitmore. „Das bedeutet, dass die meisten Unternehmen bei solchen Verstößen nicht über die entsprechenden Mitarbeiter in ihren Teams verfügen. Sie müssen also Personal einstellen und auslagern, um diese Kosten zu vermeiden.“

Unternehmen, die nicht bereit sind, für die Expertise zur Gewährleistung der Compliance zu zahlen, müssen mit zunehmend höheren Bußgeldern rechnen. Die Hotelkette Marriott gab ursprünglich an, dass ihr Datenschutzverstoß im Jahr 2018 sie rund 28 Millionen Dollar gekostet habe, wovon der Großteil durch die Versicherung des Unternehmens gedeckt war. Im Juli 2019 verhängte die britische Datenschutzbehörde ICO jedoch eine Geldstrafe von 124 Millionen Dollar gegen das Unternehmen, weil es die Vorschriften nicht eingehalten hatte. DatenschutzIn derselben Woche verhängte das ICO eine noch höhere Geldstrafe gegen BA. Angesichts der drohenden hohen Geldstrafen sollten Unternehmen beim Datenschutz proaktiver vorgehen, um die Zustimmung der Aufsichtsbehörden zu gewinnen.

„Wir gehen davon aus, dass die Kosten steigen und wahrscheinlich sogar deutlich steigen werden. Ich denke, das wird die Investitionslandschaft der Unternehmen dramatisch verändern“, so Whitmore. „Im Idealfall bedeutet das, dass sie proaktiver investieren und sich intensiv vorbereiten, proben und sicherstellen, dass sie die Auswirkungen des Datenverlusts bei solchen Sicherheitsverletzungen begrenzen können.“

Auswirkungen von Datenschutzverletzungen auf den Aktienkurs

Neben den Materialkosten dürften auch die Aktienkurse börsennotierter Unternehmen durch Datenlecks beeinträchtigt werden. Comparitech analysierte den Aktienwert von Unternehmen an der New Yorker Börse nach 33 Datenlecks, von denen mindestens eine Million Datensätze betroffen waren. Das Unternehmen kam zu dem Schluss, dass Datenlecks in der Regel keine langfristigen Auswirkungen auf den Unternehmenswert haben.

Die Aktienkurse betroffener Unternehmen erreichten innerhalb von 7,3 Handelstagen nach dem Angriff einen Tiefstand von etwa 14 % und blieben mit einem Minus von 4 % hinter dem breiteren NASDAQ zurück. Zwar dürften sich die Aktienkurse der Unternehmen in den ersten sechs Monaten nach einem Angriff erholen und sogar über den Marktdurchschnitt steigen, doch dürften sie in den nächsten sechs Monaten weiterhin unterdurchschnittlich abschneiden. NASDAQ, zwölf Monate später um 6,5 %. Ein aktuelles Beispiel: Im November 12 fiel die Macy’s-Aktie an einem einzigen Tag um 2019 %, nachdem das Unternehmen einen Verstoß bekannt gegeben hatte und im Oktober ein „hochkomplexer und gezielter Datensicherheitsvorfall … eine kleine Anzahl von Kunden innerhalb einer Woche betraf“. Bis Ende Dezember desselben Jahres hatte sich der Aktienkurs des Unternehmens jedoch wieder erholt.

„Unternehmen, die hochsensible Daten wie Kreditkartennummern weitergeben, darunter auch Macy’s, verzeichnen typischerweise einen stärkeren Rückgang des Aktienkurses als Unternehmen, die weniger sensible Daten weitergeben“, sagt Paul Bischoff, Datenschutzbeauftragter bei Comparitech.

So reduzieren Sie die Kosten eines Verstoßes: Erstellen Sie einen Reaktionsplan

Es ist allgemein bekannt, dass ein Datenleck nahezu unvermeidlich ist. Daher ist die beste Möglichkeit, die Kosten niedrig zu halten, auf alle Eventualitäten vorbereitet zu sein. Der Bericht besagt, dass Unternehmen, die über ein Incident-Response-Team (IR) verfügten und ihren IR-Plan mit mindestens zwei Planspielen umfassend testeten, im Durchschnitt 1,23 Millionen US-Dollar weniger Kosten durch Datenlecks verursachten als Unternehmen, die keine dieser Maßnahmen ergriffen hatten.

„Sie sollten nicht nur ein Dokument haben, in dem steht: ‚Hier sind die Kontaktinformationen des Sicherheitsteams‘, sondern solche Szenarien tatsächlich in einer immersiven Umgebung durchspielen, in der sie andere Pläne testen, Lücken identifizieren und diese idealerweise eindämmen können, bevor sie diese Angriffe im wirklichen Leben erleben“, sagt Whitmore.

Ein weiterer wichtiger Aspekt ist die öffentliche Reaktion. Verlorenes Kundenvertrauen führt zu Geschäftsverlusten, was die Gesamtkosten eines Verstoßes erhöhen kann. „Ein wichtiger Aspekt ist die Kommunikation nach und während eines Verstoßes“, erklärt Whitmore. „Wie informieren wir unsere Verbraucher oder Kunden effektiv über die Geschehnisse? Solche Ereignisse können bei richtiger Handhabung die Chance bieten, Kundenzufriedenheit und Vertrauen zu stärken. Dies erfordert jedoch im Vorfeld umfangreiche Vorbereitungen und Schulungen für die entsprechenden Organisationen.“

Durch den verstärkten Einsatz von Verschlüsselung, die Automatisierung der Sicherheit, wo immer dies möglich ist, und den Einsatz eines IR-Teams können die potenziellen Kosten eines Verstoßes gesenkt werden, insbesondere wenn IR-Teams und -Pläne regelmäßig getestet werden.

Auf der technischen Seite sind die Ansätze von DevSecOps, Mitarbeiterschulungen, Cyber-Versicherungen und die Einbindung des Vorstands in Sicherheitsfragen reduzieren die Kosten eines Datenlecks im Durchschnitt um mehr als 100.000 US-Dollar. Andererseits können Datenlecks, die von Dritten, der Cloud-Migration, dem Internet der Dinge oder betrieblichen Technologien verursacht werden, die Kosten eines Datenlecks im Durchschnitt um mehr als 100.000 US-Dollar erhöhen.

Whitmores wichtigster Rat zur Kostensenkung bei Sicherheitsverletzungen ist ausreichende Transparenz in der eigenen Umgebung und die Gewährleistung robuster, getesteter Offline-Backups. „Wenn wir die Zeit bis zur Erkennung und Eindämmung einer Sicherheitsverletzung deutlich verkürzen können, verlieren diese Unternehmen weniger Datensätze und müssen letztlich weniger hohe Bußgelder zahlen als heute.“

„In Fällen von Ransomware oder Malware „Unternehmen verlieren oft den Zugriff auf ihre wichtigsten Daten und verbringen viel Zeit damit, ihre Umgebungen wiederherzustellen, um wieder darauf zugreifen zu können“, fährt Whitmore fort. „Ich empfehle Offline-Backups Ihrer wichtigsten Daten.“

Quelle: cio.com.br

DAS KÖNNTE IHNEN AUCH GEFALLEN:
Die Lösegeldforderungen für Ransomware stiegen 950 um 2019 %
Die Lösegeldforderungen für Ransomware stiegen 950 um 2019 %

Von: Débora Menezes Studie zeigt, dass der Wert der Lösegeldforderungen von US$ gestiegen ist Lesen Sie mehr

Ist Ihr Unternehmen sicher? 5 Anzeichen für Cyberangriffe
Die Illustration zeigt die Silhouette eines vermummten Cyberkriminellen, der seine Hände zu einem digitalen Vorhängeschloss ausstreckt, umgeben von Binärcodes und digitalen Symbolen, was auf Anzeichen von Cyberangriffen hindeutet.

Erkennen Sie jetzt die Anzeichen von Cyberangriffen und vermeiden Sie katastrophale Einbrüche. In einem Lesen Sie mehr