Weltweit angelegte Ponemon-Studie: Die Kosten der Datenpannen 2017

Auf dem richtigen Weg: In Deutschland sinken die Kosten der Datenpannen 2017

Jeder verlorene Datensatz kostet ca. 150 Euro

Erfreuliche Nachrichten kamen unlängst von IBM: Die Kosten der Datenpannen sind im Jahr 2017 global gesehen um zehn Prozent auf 3,62 Millionen Dollar zurückgegangen. In Deutschland sanken die Kosten dabei auf 3,42 Millionen Euro. Das entspricht einem Rückgang von 5,4 Prozent im Vergleich zum Vorjahr. Pro verlorenem Datensatz mussten durchschnittlich 149 Euro investiert werden, was einem Kostenrückgang um 3,3 Prozent entspricht.

Das geht aus der von IBM gesponserten „Cost of Data Breach“-Studie 2017 des Ponemon Instituts hervor. Die jährliche Studie untersucht die direkten und indirekten Kosten, die Unternehmen bei der Reaktion auf Datenpannen entstehen und gibt ein umfassendes Bild zu Kosten von Datenpannen ab. Im heutigen Artikel fassen wir die wichtigsten Ergebnisse zusammen. An der Studie haben 419 Unternehmen aus elf Ländern und zwei Regionen, darunter auch 35 deutsche, teilgenommen.

Ein europäisches Phänomen

Kosten der Datenpannen Nicht nur in Deutschland, in ganz Europa sanken in diesem Jahr die Gesamtkosten bei erfolgreichen Cyberattacken um 26 Prozent. Deutlich sinkende Kosten im Fall einer Datenpanne konnten vor allem auch Frankreich, Italien und Großbritannien verzeichnen.

EU-DSGVO zeigt bereits Wirkung

Begründet liegt der Rückgang in verbesserten technischen und organisatorischen Maßnahmen der Unternehmen: Die durchgängige Datenverschlüsselung, Mitarbeiterschulungen und der Einsatz von sogenannten Incident Response-Teams, also Notfallteams, deren Aufgabe in der schnellen und effizienten Analyse und Reaktion bei Sicherheitsvorfällen liegt, haben die Kosten bei Datenlecks reduziert.

Kosten der Datenpannen IBM Security sieht in dem europaweiten Kostenrückgang vor allem einen Zusammenhang zwischen der Reaktion auf Regulierungsvorschriften in Europa und den Gesamtkosten von Datenpannen. Europäische Unternehmen unterliegen strengen Meldevorschriften, was Datenpannen betrifft. Die bisher in Europa geltenden Datenschutzgesetze gehen zurück auf die EU-Datenschutzrichtlinie aus dem Jahr 1995 (Richtlinie 95/46/EG). Diese wird mit Anwendung der Europäischen Datenschutzgrundverordnung (DSGVO) im Jahr 2018 abgelöst. Unternehmen aller Größen und Branchen, die in der EU ansässig sind oder personenbezogene Daten von EU-Bürgern verarbeiten, müssen sich an die gleichen strengen Vorschriften halten. Um den neuen Anforderungen gerecht zu werden, haben viele Unternehmen bereits mit der Umsetzung technischer und organisatorischen Maßnahmen entlang dem gesetzlich vorgeschrieben „Stand der Technik“ begonnen. „Es ist erkennbar, dass die neue Datenschutzgrundverordnung europäische Unternehmen zum Handeln anhält“, sagt Christian Nern, Head of Security Software DACH bei IBM Deutschland.

Kosten der Datenpannen in den USA doppelt so hoch wie in Deutschland

Kosten der Datenpannen Schaut man sich allerdings Länder außerhalb Europas an, zeigt sich ein gänzlich anderes Bild. Zu den Verlierern gehören laut Studie ganz klar die USA, der Mittlere Osten, Japan, Südafrika und Indien. Hier mussten Unternehmen und Organisationen bei Datenlecks steigende Kosten verzeichnen. Am teuersten sind Datenpannen in den USA: Jeder verlorene Datensatz kostete amerikanische Unternehmen 225 Dollar, die Gesamtkosten lagen mit durchschnittlich 7,35 Millionen Dollar mehr als doppelt so hoch wie in Deutschland. Das entspricht einem Anstieg der Kosten im Vergleich zum Vorjahr um fünf Prozent.

Während in Europa bald ein einheitlicher Schutz von EU-Bürgern bei der Verarbeitung personenbezogener Daten, unabhängig von Staatsangehörigkeit oder Aufenthaltsort, verpflichtend gilt, haben in den USA beispielsweise 48 von 50 Staaten eigene Datenpannengesetze verabschiedet. Folglich müssen US-amerikanische Unternehmen im Gegensatz zu europäischen eine Vielzahl von Vorschriften beachten und sich darauf vorbereiten. Dies kann laut Studie große Kosten verursachen und wertvolle Ressourcen verschlingen.

Gesundheitssektor hat die höchsten Kosten der Datenpannen

Kosten der Datenpannen Schon zum siebten Mal in Folge führt der Gesundheitssektor die Rangliste der Branchen mit den teuersten Datenpannen an. Der Diebstahl von Gesundheitsdaten kostet laut Studie 380 Dollar pro Datensatz. Das sind 2,5-mal so viel wie im globalen Branchendurchschnitt von 141 Dollar pro Datensatz! Auf den Rängen zwei und drei folgen der Finanzsektor mit 245 Dollar und der Dienstleistungssektor mit 223 Dollar. Die niedrigsten Kosten je verlorenen oder gestohlenen Datensatz weisen übrigens die Sektoren Forschung mit 101 Dollar und der öffentliche Sektor mit 71 Dollar aus.

Die meisten Datenverletzungen gehen auf das Konto von Hackern und kriminellen Insidern

Kosten der Datenpannen Fast die Hälfte aller Studienteilnehmer (47 Prozent) gaben als Hauptursache für Datenpannen bösartige oder kriminelle Angriffe an. Die durchschnittlichen Kosten je entwendetem Datensatz beliefen sich hierbei auf etwa 156 Dollar. Im Gegensatz dazu haben Systemfehler und menschliches Fehlverhalten beziehungsweise Fahrlässigkeit nur zu Kosten von 128 Dollar und 126 Dollar je entwendetem oder verlorenem Datensatz geführt.

Auf das Konto von Hackern und kriminellen Insidern gehen Datenpannen insbesondere in den USA und in den Ländern des Mittleren Ostens. Während dort 52 und 59 Prozent der Datenverluste auf böswillige Angriffe zurückzuführen sind, sind in Italien und Südafrika nur jeweils 40 Prozent derartiger Attacken Grund für Datenpannen. Allerdings gehen in italienischen Unternehmen – neben asiatischen – vergleichsweise die meisten Datenverluste auf menschliches Fehlverhalten zurück (36 Prozent). Deutsche und indische Organisationen waren dagegen mit 34 Prozent am ehesten von Datenpannen durch Systemfehler oder Fehlern in digitalen Geschäftsprozessen betroffen.

Zeit ist Geld

Kosten der Datenpannen Je schneller Cyberattacken eingedämmt werden können, desto besser. Denn die Geschwindigkeit hat direkten Einfluss auf die Kosten der Datenpannen. Laut Studie waren die Kosten bei Unternehmen, die Datenpannen innerhalb eines Monats beheben konnten, um eine Million US-Dollar niedriger als bei Unternehmen, deren Datenpanne länger als einen Monat andauerte.

Sobald im Mai 2018 die EU-DSGVO in Kraft tritt, wird die Reaktionsgeschwindigkeit noch einmal zulegen: Dann müssen Unternehmen, die in Europa ihre Geschäfte machen, Datenpannen binnen 72 Stunden melden, wollen sie keine Strafen zahlen. Und die Bußgelder sind hoch: Bis zu vier Prozent des weltweiten Jahresumsatzes oder 20 Millionen Euro – je nachdem, was höher ist – werden bei Zuwiderhandlung fällig. Der Status Quo sieht bei den meisten Unternehmen allerdings noch nicht gut aus: Im Schnitt benötigen Unternehmen noch mehr als sechs Monate, um Datenpannen zu entdecken. Um diese zu beheben, brauchen sie dann noch einmal weitere 66 Tage – hier heißt es also unbedingt Fahrt aufnehmen.

Reduzierung der Kosten durch technische und organisatorische Maßnahmen

Kosten der Datenpannen Die Schnelligkeit, mit der eine Cyberattacke identifiziert und eingedämmt werden kann, hängt dabei zu großen Teilen von der Nutzung eines Incident-Response-Teams (IR-Teams) und einem Incident-Response-Notfallplan ab. Diese IT-Fachleute können Unternehmen bei komplizierten Cyberattacken unterstützen und so weiteren Verlusten vorbeugen. Und dass sie ihr Geld wert sind, zeigen die Zahlen: Wie aus der Studie hervorgeht, kann der Einsatz von IR-Teams die Kosten von Datenpannen deutlich reduzieren: Bis zu 19 Dollar pro entwendetem Datensatz lassen sich so sparen. Aber auch eine durchgängige Verschlüsselung aller Daten führte laut Studie zu einer Reduktion um 16 Dollar pro Datensatz und die Schulung von Mitarbeitern brachte eine Ersparnis von 12,50 Euro pro Datensatz ein.

Die DSGVO kommt. Sind Sie vorbereitet?

LesetippDer Countdown läuft – die neue DSGVO kommt. Ab Mai 2018 gibt es keine Ausreden mehr, wenn die neuen EU-Datenschutzanforderungen in den Unternehmen nicht umgesetzt wurden. Aufsichtbehörden prüfen dies rigoros und bei Nichteinhaltung drohen empfindliche Geldstrafen. Wie Sie sich konsequent auf die neue Gesetzgebung vorbereiten, erfahren Sie in diesem Artikel.

geschrieben von: Robert Becker

Robert Becker

Robert Becker ist bei GBS als Product Manager Security & Collaboration tätig. Hier verantwortet er die Verbindung der Produktwelten und ist gleichzeitig Schnittstelle zwischen Produktmanagement, Sales und Marketing.

Abonnieren Sie den GBS Newsletter und erhalten Sie neue Artikel sofort in Ihre Mailbox!

Posted in:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.