IBM-Studie

Das kostet ein Datenschutzverstoß wirklich

IBM hat untersucht, wie hoch die Kosten nach einem IT-Sicherheitsvorfall tatsächlich sind und welche Fehler für Unternehmen besonders teuer werden.
Von 
CSO | 03. August 2022 05:50 Uhr
Mehrere Millionen Dollar können Datenschutzverletzungen Unternehmen kosten.
Mehrere Millionen Dollar können Datenschutzverletzungen Unternehmen kosten.
Foto: Rido - shutterstock.com

"Datenschutzverletzungen haben das Potenzial, Unternehmen zu zerstören", heißt es in einem Blogbeitrag von EasyDmarc. Dem Anbieter für E-Mail-Sicherheit zufolge können die Folgen von Datenschutzverstößen kleine Unternehmen dazu zwingen, alle Operationen bis zu sechs Monate lang einzustellen. Größere Unternehmen könnten der Not eher standhalten, aber auch nicht ohne hohe Kosten.

Auch IBM hat sich in der Studie "Cost of a Data Breach" der Frage gewidmet, was eine Datenschutzverletzung als Folge eines IT-Sicherheitsvorfalls wirklich kostet. Daraus geht hervor, dass die durchschnittlichen Kosten, die einem Unternehmen aufgrund von Datenschutzfehlern entstehen, mit 4,35 Millionen Dollar einen neuen Spitzenwert erreicht haben. Im Schnitt dauert es laut IBM 277 Tage, bis ein Unternehmen einen Sicherheitsvorfall bemerkt und eingedämmt hat.

Zu den Kosten, die für Unternehmen entstehen, zählen die Studienautoren:

  • Maßnahmen für die Angriffserkennung, Forensik und das Krisenmanagement;

  • alle Ressourcen, die aufgewendet werden müssen, um betroffene Personen, Datenschutzbehörden und andere Dritte zu benachrichten;

  • Aktivitäten zur Unterstützung der Opfer des Datenschutzverstoßes wie Identitätsschutzdieste, Ausgabe neuer Konten und Kreditkarten, Rabatte und Wiedergutmachungen, aber auch Ausgaben für Rechtsstreitigkeiten und Bußgelder, sowie

  • Umsatzausfälle durch Betriebsunterbrechungen sowie Reputationsverluste.

Für den Report befragten die Forscher von IBM Verantwortliche aus 550 Organisationen weltweit, die zwischen März 2021 und März 2022 einen Datenschutzvorfall erlebt haben.

Das verursacht Kosten

Die Analysten von IBM haben folgende Ursachen für die hohen Kosten nach einem Datenschutzverstoß ausfindig gemacht:

  • Kein Zero Trust: IBM stellte fest, dass 80 Prozent der befragten Unternehmen mit kritischer Infrastruktur keine Zero-Trsut-Strategie einsetzten. Bei einem Datenschutzverstoß kämen auf diese Unternehmen im Schnitt Kosten in Höhe von 5,4 Millionen Dollar zu. Bei Unternehmen mit Zero Trust hingegen würden sich die Kosten nur auf 1,17 Millionen Dollar belaufen. "Als Vergleich nenne ich hier immer gerne die bekannte Brandschutztür", sagt Yasar Yüzer, Threat Management Services Leader DACH bei IBM. "Setzen Unternehmen eine Zero-Trust-Lösung ein, verhindert diese Lösung als Brandschutztür, dass statt allen Unternehmensstandorten vielleicht nur ein oder zwei Standorte von Malware betroffen sind. Je weniger Systeme und Daten betroffen sind, desto niedriger sind natürlich die Kosten, die durch den Sicherheitsvorfall entstehen."

  • Lösegeldzahlungen: Zahlten die Unternehmen den Erpressern Lösegeld für ihre Daten, hatten sie im Schnitt zwar 610.000 Dollar niedrigere Kosten als ein Unternehmen, das das Erpressergeld nicht bezahlte. Hierbei rechneten die Analysten von IBM die Höhe des bezahlten Lösegelds jedoch nicht mit ein. Laut IBM könne die finanzielle Last durch das Bezahlen an die Cyberkriminellen sogar noch höher werden und sei somit keine effektive Strategie.

  • Sicherheitslücken in Clouds: 43 Prozent der untersuchten Unternehmen befanden sich zum Zeitpunkt der Studie laut IBM in einem frühen Stadium der Umsetzung von Sicherheitsmaßnahmen für ihre Cloud-Umgebungen oder hatten noch gar nicht damit begonnen. Durchschnittlich würden dadurch mehr als 660.000 Dollar höhere Kosten bei einem Datenschutzverstoß entstehen als bei Unternehmen mit ausgereifter Cloud-Sicherheitsstrategie, die damit ihre Daten besser schützen und schneller wieder herstellen konnten.

  • Manuelles Arbeiten: 3,05 Millionen Dollar weniger Kosten verzeichneten Unternehmen nach Sicherheitsvorfällen, wenn sie KI und Automatisierungslösungen für forensische Arbeiten und das Wiederaufsetzen von Systemen nutzten, als Unternehmen, die manuell arbeiteten. Diese zwei Aspekte seien die größten Kosteneinsparungen, die in der Studie beobachtet wurden.

Datenschutz beeinflusst die Inflation

Da die Kosten für Datenschutzverletzungen in den vergangenen beiden Jahren laut Studie um fast 13 Prozent angestiegen sind, vermutet IBM, dass diese Vorfälle zu steigenden Kosten für Waren und Dienstleistungen beitragen. Tatsächlich haben 60 Prozent der untersuchten Unternehmen ihre Preise für Produkte oder Services aufgrund hoher Kosten durch eine Datenschutzverletzung angehoben. Und das, obwohl die Herstellungskosten aufgrund der Inflation und Problemen in den Lieferketten bereits weltweit in die Höhe schnellen.

Immerhin haben laut Studie 83 Prozent der Unternehmen seit ihrem Bestehen bereits mehr als eine Datenschutzverletzung erlebt. Zudem zeige die Studie auf, dass Unternehmen noch lange mit den Nachwirkungen zu kämpfen hätten. Fast 50 Prozent der Kosten würden mehr als ein Jahr nach dem Vorfall anfallen. Vielen Unternehmen würde jedoch das nötige Personal fehlen, um eine ausgefeilte IT-Sicherheitsstrategie umzusetzen. Laut Studie ergeht es 62 Prozent der befragten Unternehmen so. Bei ihnen waren die Kosten nach einem Sicherheitsvorfall im Schnitt um 550.000 Dollar höher als bei Unternehmen, die eigenen Angaben nach über ausreichend Personal verfügen.

Melanie Staudacher ist Editor bei CSO. Ihr Schwerpunkt ist IT-Security.