Nichts für die Portokasse - Datenpannen werden teurer

Wenn einer Organisation Daten abhandenkommen oder wenn Unternehmen generell von Sicherheitsvorfällen betroffen sind, war das schon immer ärgerlich und meistens auch kostspielig. So konnten wichtige Informationen einem Wettbewerber in die Hände fallen oder Dienste im Rahmen einer solchen Attacke nicht verfügbar sein. Die „Nebenkosten“ eines solchen Vorfalls, also Aufwände für die Benachrichtigung der Öffentlichkeit, Wiederherstellung und Prüfung der Compliance, eventuell aufgerüstete Sicherheitsmaßnahem und mehr Personal stiegen aber erst in den letzten Jahren mit zunehmendem Druck durch die Regulatoren. Mittlerweile haben die Gesamtkosten –direkte und indirekte Auswirkungen – ein bedrohliches Ausmaß erreicht. Eine aktuelle Studie des Ponemon Instituts unter Mithilfe von IBM Security beziffert nun die durchschnittlichen Kosten pro Vorfall auf 3,92 Millionen Dollar. In Deutschland ist es noch teurer, hier werden 4,25 Millionen Euro pro Vorfall fällig. Das entspricht einer Zunahme von zwölf Prozent in den letzten fünf Jahren.

Seit 2012 untersucht das Ponemon Institut in seiner „Cost of a Data Breach“-Studie Hunderte von Kostenfaktoren rund um Datenpannen. Dazu wurden weltweit 500 Unternehmen befragt, 36 davon in Deutschland. Kleinere Firmen mit weniger als 500 Mitarbeitern verloren im globalen Durchschnitt über 2,5 Millionen US-Dollar pro Vorfall. Bei einem Jahresumsatz von 50 Millionen US-Dollar oder weniger können solche Summen schnell existenzbedrohend werden. Besonders beachtlich ist die starke Zunahme der Kosten im Vergleich zum letzten Jahr. Der Wert stieg um 9,76 Prozent, und hat damit den höchsten Anstieg seit Studienbeginn erreicht. Als Gründe sieht Ponemon unter anderem die zunehmende Regulierung, sprich DSGVO, als auch die immer komplexeren Aufklärungsprozesse, die auf kriminelle Attacken folgen.

Erstmalig nahmen die Analysten nicht nur die unmittelbaren, sondern auch die langfristigen Folgen von Cyberangriffen unter die Lupe. Auch wenn der Großteil (67 Prozent) der von Datenpannen verursachten weltweiten Kosten innerhalb des ersten Jahres nach dem Vorfall anfällt, wiegen 22 Prozent noch im zweiten Jahr danach schwer. Weitere elf Prozent der Kosten sind sogar noch über diesen Zeitraum hinaus spürbar. Je höher der Regulierungslevel der Branche ist, desto länger sind auch die Kosten zu spüren. Gesundheitswesen, Bankensektor, Energiewirtschaft oder Pharmazie spüren diese Aufwände am deutlichsten. Pro verlorenem oder gestohlenem Datensatz fallen in Deutschland durchschnittliche Kosten von 172 Euro an, 9,1% mehr als im Vorjahr. Die Finanzbranche verzeichnet hierzulande mit 301 Euro pro kompromittiertem Datensatz die höchsten von Datenpannen verursachten Kosten – gefolgt vom Dienstleistungsgewerbe (230 Euro) und der Industrie (229 Euro). Grund sind tatsächlich aktive Angriffe durch Dritte: Über die Hälfte aller Datenpannen in Deutschland (56 Prozent) waren das Ergebnis böswilliger oder krimineller Angriffe.

Trotzdem sind Gründe wie menschliches Versagen oder technische Pannen keineswegs unbekannt oder kostenlos. Technische Systemfehler sind für ein Viertel aller Datenpannen verantwortlich und verursachen Kosten von 140 Euro pro Datensatz. 19 Prozent der Datenpannen gehen auf menschliches Versagen zurück und schlagen mit 148 Euro pro Datensatz zu Buche. Das bedeutet auch, das 45 Prozent der Vorfälle einfach zu behebende Ursachen haben: Awareness-Schulungen, zum Beispiel, die nicht nur ein Webinar zum Durchklicken beinhalten, sondern konkret auf Unternehmen, Zielgruppen und Bedrohungsvektoren abgestimmte Inhalte vermitteln. In diese Kategorie fallen auch die beliebten Konfigurationsfehler, durch die sensible Daten öffentlich einsehbar sind. Laut IBM führte die falsche Konfiguration von Cloud-Servern beispielsweise allein im Jahr 2018 zur Gefahr für 990 Millionen Datensätzen. So lagen gerade Millionen von Patientendaten ebenso ungeschützt im Internet wie mehr als eine Million Fingerabdrücke. Wenn Firmen hier zunächst an ihren Prozessen arbeiten würden und technische Möglichkeiten nur im Rahmen einer funktionierenden Governance bereitstellen, wäre schon viel (und zu relativ geringen Kosten) erreicht. Weitere kostensenkende Maßnahmen sind laut Ponemon-Report die Geschwindigkeit und Effizienz, mit der ein Unternehmen auf eine Datenpanne reagiert, ein Incident Response Team sowie Verschlüsselung der Daten. So wirkt sich ein bestehendes Incident Response Team mit 13,90 Euro geringeren Kosten pro kompromittiertem Datensatz aus, Verschlüsselung spart 12,70 Euro pro Datensatz ein.