Wie teuer kann eine Datenschutzverletzung für Unternehmen werden?

Das Unternehmen IBM hat 2020 zum 15ten Mal, zusammen mit dem Ponemon Institute den neuesten „Bericht über die Kosten einer Datenschutzverletzung“ veröffentlicht. Für den Report wurden 3200 Menschen aus 524 Firmen, 17 Ländern und ebenso vielen Branchen befragt. Zeit, nochmal einen Blick auf die Studie zu werfen.

Die durchschnittlichen Gesamtkosten einer Datenschutzverletzung belaufen sich demnach auf 3,86 Millionen US-Dollar – überraschenderweise ein leichter Rückgang gegenüber dem Vorjahreswert von 3,92 Millionen Dollar. Geografisch wird eine Datenpanne tatsächlich in den USA am teuersten. In der Branchenbetrachtung ist eine Panne im Gesundheitswesen die teuerste. Es vergehen durchschnittlich 280 Tage (!), bis eine Datenschutzverletzung überhaupt erkannt und eingedämmt ist. Etwa die Hälfte der Verletzungen wird durch „bösartige“ Angriffe verursacht.

Gemäß der Studie werden am häufigsten Datensätze mit persönlich identifizierbaren Informationen („personenbezogenen Daten“) kompromittiert, was in Europa die DSGVO auf den Plan ruft. Ein verlorener oder gestohlener Datensatz dieser Kategorie kostet Unternehmen im Schnitt 150 US-Dollar, bei Verstößen durch einen böswilligen Angriff sogar 175 Dollar. Jedes fünfte Unternehmen (19%), dass eine solche böswillige Datenschutzverletzung erfuhr, wurde aufgrund gestohlener oder kompromittierter Anmeldedaten infiltriert. Daneben stellten falsch konfigurierte Cloud-Server mit ebenfalls 19% den am häufigsten anfänglichen Bedrohungsvektor bei Verletzungen durch böswillige Angriffe dar.

Der anteilig größte Kostenfaktor ist entgangenes Geschäft!

Grafik: IBM/Ponemon

Mega-Datenschutzverletzungen werden auch megateuer

In Unternehmen, wo bei Datenschutzverletzungen über eine Million Datensätze betroffen waren, mussten diese auch mehr als überdurchschnittliche Kosten hinnehmen. Datenschutzverletzungen mit bis 10 Mio. kompromittierten Datensätzen kosteten durchschnittlich 50 Mio. Dollar. Bei Datenschutzverletzungen mit mehr als 50 Mio. kompromittierten Datensätzen beliefen sich die durchschnittlichen Kosten gar auf 392 Mio. Dollar und damit mehr als das 100fache der Kosten einer singulären Datenschutzverletzung.

Die meisten böswilligen Angriffe kamen von finanziell motivierten Cyber-Kriminellen. Am teuersten waren laut der Studie die von nationalstaatlichen Akteuren verursachten Verstöße. 53% der böswilligen Angriffe gehen lt. der Studie vermutlich auf das Konto von finanziell motivierten Cyberkriminellen, verglichen mit 13 % durch nationalstaatliche Bedrohungsakteure, 13 % durch Hacker und 21 % durch Unbekannte.

Phishing, kompromittierte Geschäfts-E-Mail und Social Engineering gehören zu den häufigsten Angriffsmethoden auf Daten von Firmen. Ein leistungsfähiger Schutz der E-Mail-Infrastruktur, egal ob OnPremise oder in der Cloud, ist deswegen ebenso unverzichtbar wie regelmäßige Datenschutz- und Awareness Schulungen und damit die auch gesetzlich geforderte Sensibilisierung der Nutzer, für einen vorsichtigen und umsichtigen Umgang mit insbesondere E-Mails aus unbekannter Quelle.

Irrglaube: Die Cyberversicherung übernimmt das schon!

Die Studio zeigt auch, dass immer häufiger Cyberversicherungen von Unternehmen abgeschlossen werden und diese auch im Schadensfall Leistungen übernehmen müssen. Allen voran sind dann Beratungsleistungen und juristischer Beistand gefragt. Aber auch Entschädigungen an Opfer oder sog. Regulatorische Geldbußen. Gerade bei letzteren ist jedoch auch Vorsicht geboten, denn die Studie berücksichtigt in soweit nicht im Detail die deutsche oder europäische Rechtsprechung und die nationalen Bedingungen der Versicherer. Im Gegensatz zu den sog. zivilrechtlichen Ansprüchen  sind oft die doch drakonisch hohen Geldbußen der DSGVO, die durch nationale Landesaufsichtsbehörden für Datenschutz verhängt werden, gar nicht mit im Versicherungsumfang der Cyberversicherung gedeckt. Ein genauer Blick in die Vertragsunterlagen der jeweiligen Versicherer lohnt daher unbedingt und Vorsicht ist in jedem Fall geboten.

Grafik: IBM/Ponemon

Unser Experten-Team hilft Ihrem Unternehmen gerne mit praxisnahen Lösungen, Ihr Datenschutzniveau nachhaltig zu verbessern und Datenschutzverstößen vorzubeugen.
Kontaktieren Sie uns einfach unter +49 (0) 8505 919 27-0 oder an unserem Münchner Standort unter +49 (0)89 413 2943-0. Alternativ nutzen Sie einfach unser Kontaktformular.