Bericht von Isabella Pridat-Zapp

Diese jährliche Studie analysiert Hunderte von Kostenfaktoren rund um Datenpannen, basierend auf der Befragung von 500 Unternehmen weltweit – aus Deutschland antworteten 36 Unternehmen.

Erstmalig langfristige Folgen von Cyberangriffen untersucht

In diesem Jahr wurden erstmals auch die langfristigen finanziellen Folgen von Datenpannen erfasst. Während der Großteil (67 Prozent) der von Datenpannen verursachten weltweiten Kosten innerhalb des ersten Jahres nach dem Vorfall anfallen, entstehen 22 Prozent der Kosten im zweiten Jahr und weitere 11 Prozent belasten das Unternehmen noch über diesen Zeitraum hinaus.
Diese langfristigen Kosten im zweiten und dritten Jahr nach dem Vorfall fielen umso höher aus, desto stärker reguliert die jeweilige Branche ist – wie im ­Gesundheitswesen, dem Bankensektor, der Energiewirtschaft oder Pharmazie. Mit 6,5 Mio. US-Dollar lagen die Datenpannenkosten im Gesundheitswesen generell um 60% höher als der Durchschnitt.

• Datenpannen kosten in Deutschland im Schnitt 172 Euro pro verlorenem oder gestohlenem Datensatz, im Vorjahresvergleich, plus 9,1 %.
• Finanzbranche verzeichnete hierzulande mit 301 Euro pro kompromittiertem Datensatz die höchsten von Datenpannen verursachten Kosten – gefolgt vom Dienstleistungsgewerbe (230 Euro) und der Industrie (229 Euro).
• Cyberangriffe am weitesten verbreitet: Über die Hälfte aller Datenpannen in Deutschland (56 Prozent) war das Ergebnis böswilliger oder krimineller Angriffe (siehe hierzu NEWSolutions 1/2019,
  S. 20).

Breaches impact organizations for years, Distribution of total data breach costs over time
© Ponemon Institutes für IBM Security

Cyberangriffe, Systemfehler, menschliches Versagen

In Deutschland belaufen sich die Kosten aufgrund von böswilligen oder kriminellen Angriffen (56%) auf ca. 194 Euro pro Datensatz. Technische Systemfehler verursachen ein Viertel der Pannen und Kosten von 140 Euro pro Datensatz. 19 Prozent der Datenpannen beruhen auf menschlischem Versagen und kosten 148 Euro pro Datensatz.

Die beiden letztgenannten Gruppen bieten eine Möglichkeit, schnell Verbesserungen zu erzielen – und zwar durch Sicherheitstraining und mehr technisches Training für Mitarbeiter, technische Investitionen und Testservices zur frühzeitigen Identifizierung von Datenunfällen. Hierzu siehe auch NEWSolutions 2/2018, S. 14.
Die falsche Konfiguration von Cloud-Servern wurde beispielsweise allein im Jahr 2018 zur Gefahr für 990 Millionen Datensätze. Laut IBM Recherchen entspricht dies 43 Prozent aller verlorenen Daten diesen Jahres.

Schadensbegrenzungs-Faktoren

In den letzten 14 Jahren hat das Ponemon Institut kostensenkende Faktoren identifiziert. Die Geschwindigkeit und Effizienz, mit der ein Unternehmen auf eine Datenpanne reagiert, sind demnach entscheidend für die Gesamtkosten. Deutsche Unternehmen reagieren jetzt deutlich schneller auf Vorfälle als noch im letzten Jahr: Der durchschnittliche Lebenszyklus einer Datenpanne umfasst hierzulande 170 Tage – und somit eine Woche weniger als 2018. Das entspricht jedoch immer noch 131 Tagen, in denen Unternehmen die Panne erkennen und identifizieren und zusätzlichen 39 Tagen, um die Schäden einzudämmen.

Der wichtigste Kostensenker in Deutschland ist ein bestehendes Incident Response Team, wodurch sich 13,9 Euro pro kompromittiertem Datensatz einsparen lassen. Verfügen Unternehmen zusätzlich über einen gut getesteten Notfallplan, können sie hierzulande 9,60 Euro pro Datensatz sparen.

How factors increase or decrease the total cost of a data breach
Difference from average total cost of US $ 3.92 million
© Ponemon Institutes für IBM Security

Weitere Faktoren, welche die Kosten einer Datenpanne beeinflussen:

• Intensiver Einsatz von Verschlüsselungstechnologien ist der zweitwichtigste Faktor zur Kostensenkung, 12,70 Euro können damit pro Datensatz gespart werden.
• Deutsche Unternehmen, die ihr Wissen über Bedrohungslagen mit anderen teilten (Threat Sharing), haben 9,70 Euro pro Datensatz eingespart.
• Datenpannen, die durch einen Dritten wie einen Partner oder Zulieferer entstanden sind, verursachen hingegen Kosten von 10,80 Euro pro Datensatz. Das zeigt, wie wichtig ein durchgängiges Sicherheitsmodell im gesamten Ökosystem eines Unternehmens ist.

Die untersuchten Unternehmen mit weniger als 500 Mitarbeitern verloren im globalen Durchschnitt durchschnittlich über 2,5 Millionen US-Dollar – mit potentiell schwerwiegendsten Konsequenzen, da die meisten Unternehmen dieser Größe einen Jahresumsatz von maximal 50 Millionen US-Dollar haben.

Literaturhinweise

Pridat-Zapp, Isabella. (2019): „Cyberresilienz in Unternehmen“. In: NEWSolutions. Nr. 1. S. 20

Pridat-Zapp, Isabella. (2018): „Unternehmens-Projekt Sicherheit“. In: NEWSolutions. Nr. 2. S. 14. http://newsolutions.de/it/epaper/newsolutions-nr-2-2018/

Pridat-Zapp, Isabella. (2018): „Fokus auf einen Aspekt des X-Force Berichts: Unachtsamkeit“. In: NEWSolutions. Nr. 1. S. 10. http://newsolutions.de/it/fokus-auf-einen-aspekt-des-x-force-berichts-unachtsamkeit/

Ähnliche Artikel:

Entwicklung der Cyberresilienz Anfang April 2019 veröffentlichte das Ponemon Institute – wieder gesponsert von IBM Resilient – im vierten Jahr seine Studie zur Cyberresilienz in Unternehmen. Als wichtigste Erkenntnisse hebt das Institut diesmal…

Unternehmens-Projekt Sicherheit – Fakten aus… Alle Umfrage-Ergebnisse zum Thema Sicherheit stimmten 2017 und 2018 darin überein, dass noch viel getan werden muss. Manche der detaillierteren Umfragen zeigen, dass sogar eine gar nicht so geringe Anzahl…

Fokus auf einen Aspekt des X-Force Berichts: Unachtsamkeit Der aktuelle IT-Sicherheitsreport der X-Force-Forschung von IBM Security analysiert die wichtigsten Ergebnisse aus den ­weltweiten Sicherheitsvorfällen des Jahres 2017 und enthält die Einschätzung der Experten, was im Jahr 2018 auf…