Ein Datenleck kostet durchschnittlich 4,3 Millionen Euro
Der jährlich erscheinende „Cost of a Data Breach Report“ – hier geht's zur diesjährigen Ausgabe – beziffert seit 18 Jahren die durchschnittlichen Kosten von Datenlecks, also Verletzungen der Sicherheit, der Integrität oder auch der Verfügbarkeit von Daten, auf Basis realer Vorfälle weltweit. Im Jahr 2023 beliefen sich in Deutschland die durchschnittlichen Kosten eines Vorfalls auf 4,3 Millionen Euro, was gegenüber 2022 (4,41 Millionen Euro) einem leichten Rückgang entspricht. Ein Grund: Die 45 analysierten deutschen Unternehmen benötigten im Schnitt 182 Tage, um die Datenlecks aufzudecken und einzudämmen – und damit 95 Tage weniger als die Welt im Durchschnitt mit 277 Tagen.
2023 basierte der Report auf der Analyse realer Datenlecks, die 553 Unternehmen weltweit zwischen März 2022 und März 2023 erlitten hatten. Die von IBM Security in Auftrag gegebene und analysierte Studie wurde vom US-Markt- und Meinungsforschungsinstitut Ponemon durchgeführt. Die zentralen Erkenntnisse aus 3.475 Interviews:
Von allen 17 untersuchten Branchen meldeten die Unternehmen aus dem Gesundheitswesen (Krankenhäuser und Kliniken) das 13. Jahr in Folge die höchsten Kosten für Datenlecks. Sie lagen 2023 bei umgerechnet 10,05 (2022: 9,28) Millionen Euro. In den vergangenen drei Jahren sind die durchschnittlichen Kosten für ein Datenleck im Gesundheitswesen laut IBM um 53,3 Prozent gestiegen.
37 Prozent aller untersuchten Unternehmen haben die Strafverfolgungsbehörden nicht eingeschaltet.
Nur ein Drittel der weltweit untersuchten Vorfälle wurde von eigenen Cyber-Security-Teams der Unternehmen entdeckt. Die Gesamtkosten der selbst entdeckten Datenlecks kosteten im globalen Durchschnitt rund 890.000 Euro weniger.
„Zeit ist die neue Währung in der Cybersecurity, sowohl für die Verteidiger als auch für die Angreifer“, sagt Chris McCurdy von IBM Security Services. „Wie der Bericht zeigt, können eine frühzeitige Erkennung und eine schnelle Reaktion die Folgen eines Angriffs erheblich reduzieren.“
Investitionen in Erkennungs- und Reaktionsmaßnahmen – beispielsweise mithilfe von Künstlicher Intelligenz (KI) und Automatisierung – seien entscheidend und würden zunehmend von großen Unternehmen eingesetzt. Sie könnten das Auffinden und Schließen von Datenlecks beschleunigen und so die Kosten eines Vorfalls reduzieren: In der aktuellen Stichprobe sanken die Folgekosten in diesen Fällen um 1,6 Millionen Euro pro Vorfall.
Wer nicht die Polizei einschaltet, zahlt drauf
IBM berichtet weiter, einige untersuchte Unternehmen scheuten sich nach wie vor, bei einem Cyberangriff die Strafverfolgungsbehörden einzuschalten, weil sie glauben, dass dies die Situation nur verkomplizieren würde. 2023 befasste sich die Untersuchung zum ersten Mal näher mit diesem Thema befasst und kommt zum gegenteiligen Schluss: Bei den analysierten Unternehmen, die die Strafverfolgungsbehörden nicht einschalteten, war weltweit der Zeitraum der Datenlecks im Durchschnitt 33 Tage länger als bei denen, die die Strafverfolgungsbehörden hinzuzogen. Dieses Schweigen hatte seinen Preis: Im Durchschnitt ergaben sich aus der Verzögerung durchschnittlich rund 418.000 Euro an Mehrkosten.
Der Bericht von 2023 hat aber auch noch eine gute Nachricht parat: Bei der Erkennung und Abwehr von Bedrohungen sind demnach einige Fortschritte zu verzeichnen. Laut dem IBM Threat Intelligence Index 2023 konnten die Cyber-Security-Teams im vergangenen Jahr einen größeren Anteil der Ransomware-Angriffe abwehren. Wenn die Angreifer hingegen erfolgreich waren, blieb dies durch die Unternehmen in 67 Prozent der Fälle unbemerkt. 40 Prozent erfuhren erst durch eine neutrale dritte Partei wie etwa den Strafverfolgungsbehörden durch den Vorfall – und 27 Prozent erst durch die Angreifer selbst.
