Mobile-Menu

IBM-Studie „Cost of a Data Breach“ 2022 Die Kosten für Datenverlust zahlen die Kunden

Von Peter Schmitz

Anbieter zum Thema

Was kostet es, wenn Hacker die Daten eines Unternehmens stehlen oder Ransomware Systeme unbrauchbar macht? Diese Frage versucht die jährliche Studie „Cost of a Data Breach“ von IBM zu beantworten. Der aktuelle Report zeigt, dass die Kosten immer weiter steigen und die Kunden die Zeche zahlen. Denn 60 Prozent der Unternehmen, bei denen es einen Sicherheitsvorfall gab, hoben danach die Preise an.

Während kompromittierte Zugangsdaten weiterhin die häufigste Ursache eines Sicherheitsvorfalls sind (19 Prozent), reiht sich nun Phishing auf Platz zwei (16 Prozent) und als teuerste Ursache ein, mit durchschnittlichen Kosten von 4,91 Millionen US-Dollar einer Verletzung der Datensicherheit für die befragten Unternehmen.
Während kompromittierte Zugangsdaten weiterhin die häufigste Ursache eines Sicherheitsvorfalls sind (19 Prozent), reiht sich nun Phishing auf Platz zwei (16 Prozent) und als teuerste Ursache ein, mit durchschnittlichen Kosten von 4,91 Millionen US-Dollar einer Verletzung der Datensicherheit für die befragten Unternehmen.
(Bild: IBM)

IBM Security hat vor kurzem die alljährliche „Cost of a Data Breach“-Studie 2022 veröffentlicht. Daraus geht hervor, dass die Kosten für einen Datendiebstahl höher und folgenschwerer sind als je zuvor, wobei die durchschnittlichen Kosten eines Data Breaches für die befragten Unternehmen mit 4,35 Millionen US-Dollar einen neuen Höchststand erreicht haben.

Da die Kosten für Sicherheitsvorfälle in der IT in den vergangenen beiden Jahren laut Bericht um fast 13 Prozent anstiegen, könnten diese Vorfälle auch zu steigenden Kosten für Waren und Dienstleistungen beitragen. Tatsächlich hoben 60 Prozent der untersuchten Unternehmen ihre Preise für Produkte oder Services aufgrund eines Sicherheitsvorfalls an, und das zu einer Zeit, in der die Herstellungskosten inflations- und lieferkettenbedingt bereits weltweit in die Höhe schnellen.

Die stetige Zunahme von Cyberattacken zeigt auch, welche „tiefgreifenden Auswirkungen“ Verletzungen der Datensicherheit auf Unternehmen haben. Aus der IBM-Studie geht hervor, dass 83 Prozent der untersuchten Unternehmen während ihres Bestehens bereits mehr als einen Sicherheitsvorfall erlebt haben. Ein weiterer Faktor, der sich erst im Laufe der Zeit zeigt, sind die Nachwirkungen von Verletzungen der Datensicherheit auf diese Unternehmen, noch lange nach ihrem Auftreten. So fallen fast 50 Prozent der Kosten für einen Datenklau mehr als ein Jahr danach an.

Die „Cost of a Data Breach“-Studie 2022 basiert auf einer umfassenden Analyse zwischen März 2021 und März 2022 von realen Sicherheitsvorfällen bei 550 Unternehmen weltweit. Die von IBM Security finanzierte und analysierte Untersuchung wurde vom Ponemon Institute durchgeführt. Dabei ergaben sich mehrere wichtige Erkenntnisse:

Rückstände bei Zero Trust in kritischer Infrastruktur: Fast 80 Prozent der untersuchten Unternehmen mit kritischer Infrastruktur setzen keine Zero-Trust-Strategien ein, wodurch die durchschnittlichen Kosten eines Datendiebstahls auf 5,4 Millionen US-Dollar steigen – 1,17 Millionen US-Dollar mehr im Vergleich zu denen, die auf Zero Trust setzen. Wobei es sich bei 28 Prozent der Verletzungen der Datensicherheit bei diesen Unternehmen um Ransomware- oder zerstörerische Angriffe handelte.

Bezahlen zahlt sich nicht aus: Ransomware-Opfer aus der Studie, die den Lösegeldforderungen von Erpressern nachkamen, hatten durchschnittlich nur 610.000 US-Dollar niedrigere Kosten für einen Sicherheitsvorfall im Vergleich zu denen, die nicht zahlten – ohne dass der bezahlte Lösegeldbetrag berücksichtigt wird. Unter Berücksichtigung der hohen Kosten von Lösegeldzahlungen kann die finanzielle Last sogar noch höher werden, was nahelegt, dass die Zahlung des Lösegeldes allein möglicherweise keine effektive Strategie ist.

Sicherheitslücken in Clouds: 43 Prozent der untersuchten Unternehmen befinden sich in einem frühen Stadium der Umsetzung von Sicherheitsmaßnahmen in ihren Cloud-Umgebungen oder haben noch gar nicht damit begonnen. Dies resultiert in durchschnittlich mehr als 660.000 US-Dollar höheren Kosten eines Sicherheitsvorfalls als bei untersuchten Unternehmen mit ausgereifter Sicherheit in ihren Cloud-Umgebungen.

KI und Automatisierung bei Security bringen Kosteneinsparungen von mehreren Millionen US-Dollar: Untersuchte Unternehmen, die KI und Automatisierung für Security nutzen, verzeichneten durchschnittlich 3,05 Millionen US-Dollar weniger Kosten bei Verletzungen der Datensicherheit im Vergleich zu Unternehmen, die die Technologie nicht einsetzen – dies ist die größte Kosteneinsparung, die in der Studie beobachtet wurde.

„Unternehmen müssen in Security-Fragen Angreifern zuvorkommen. Es ist an der Zeit, Angreifer daran zu hindern, ihre Ziele zu erreichen, und die Auswirkungen von Angriffen zu minimieren. Je mehr Unternehmen versuchen, ihren IT-Perimeter zu perfektionieren, anstatt in Früherkennung und Reaktionsfähigkeit zu investieren, desto einfacher können Sicherheitsvorfälle die Lebenshaltungskosten in die Höhe treiben“, so Charles Henderson, Global Head of IBM Security X-Force. „Dieser Bericht zeigt, dass die richtigen Strategien in Verbindung mit den richtigen Technologien den Unterschied machen, wenn Unternehmen angegriffen werden.“

Übermäßiges Vertrauen in Unternehmen der Kritischen Infrastrukturen

Im vergangenen Jahr scheinen Bedenken bezüglich kritischer Infrastruktur als Angriffsziel weltweit zugenommen zu haben, während viele staatliche Cybersicherheitsbehörden zu Wachsamkeit bei störenden Angriffen mahnen. Tatsächlich zeigt der Bericht von IBM, dass Ransomware- und zerstörerische Angriffe 28 Prozent der Verletzungen der Datensicherheit bei den untersuchten Unternehmen der kritischer Infrastruktur ausmachten, und hebt hervor, wie Bedrohungsakteure versuchen, die globalen Lieferketten, die von diesen Unternehmen abhängig sind, zu unterbrechen. Dazu gehören unter anderem Unternehmen aus dem Finanzdienstleistungs-, Industrie-, Transport- und Gesundheitssektor.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Data-Storage und -Management

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Trotz der Forderung nach Vorsicht und ein Jahr, nachdem die Biden-Administration eine Durchführungsverordnung für Cybersicherheit mit Schwerpunkt auf Nutzung einer Zero-Trust-Strategie zur Stärkung der nationalen Cybersicherheit veranlasste, nutzen laut Bericht nur 21 Prozent der untersuchten Unternehmen mit kritischer Infrastruktur ein Zero-Trust-Sicherheitsmodell. Hinzu kommt, dass 17 Prozent der Sicherheitsvorfälle bei Unternehmen der kritischer Infrastruktur darauf zurückzuführen sind, dass zunächst ein Geschäftspartner angegriffen wurde, was die Sicherheitsrisiken verdeutlicht, die eine zu vertrauensvolle Umgebung mit sich bringt.

Unternehmen, die Lösegeld zahlen, haben nichts davon

Laut IBM-Studie von 2022 hatten Unternehmen, die den Lösegeldforderungen von Erpressern nachkamen, nur 610.000 US-Dollar niedrigere durchschnittliche Kosten, bedingt durch eine Verletzung der Datensicherheit, im Vergleich zu denen, die nicht zahlten – ohne Berücksichtigung des gezahlten Lösegelds. Bei der Abrechnung der durchschnittlichen Lösegeldzahlung, die laut Sophos im Jahr 2021 812.000 US-Dollar erreichte, konnten Unternehmen, die sich für die Zahlung des Lösegeldes entschieden haben, höhere Gesamtkosten auffangen. Sie finanzieren damit ungewollt künftige Ransomware-Attacken mit Kapital, das für Korrektur- und Wiederherstellungsmaßnahmen verwendet werden könnte. Gleichzeitig riskierten sie regulatorische Strafen.

Die Dauerhaftigkeit von Ransomware wird trotz erheblicher globaler Bemühungen, diese aufzuhalten, durch die Industrialisierung der Cyberkriminalität verstärkt. Die IBM Security X-Force fand heraus, dass die Dauer von Ransomware-Attacken bei den untersuchten Unternehmen in den vergangenen drei Jahren um 94 Prozent zurückging – und zwar von über zwei Monate auf knapp vier Tage. Diese exponentiell kürzeren Angriffslebenszyklen können zu Angriffen mit größeren Auswirkungen führen, da Verantwortliche für Cybersicherheitsvorfälle nur sehr kurze Zeitfenster zur Erkennung und Eindämmung von Angriffen bleiben. Da die „Zeit bis zur Lösegeldzahlung“ auf wenige Stunden reduziert wird, ist es wichtig, dass Unternehmen strikte Tests von Incident-Response-Playbooks (IR) im Voraus priorisieren. Im Bericht heißt es jedoch, dass bis zu 37 Prozent der untersuchten Unternehmen, die über Incident-Response-Pläne verfügen, diese nicht regelmäßig testen.

Hybrid-Cloud-Vorteil

Die Studie zeigte zudem, dass Hybrid-Cloud-Umgebungen die am weitesten verbreitete (45 Prozent) Infrastruktur bei den untersuchten Unternehmen sind. Mit durchschnittlich 3,8 Millionen US-Dollar Kosten eines Sicherheitsvorfalls verzeichneten Unternehmen mit einem Hybrid-Cloud-Modell niedrigere Kosten verglichen mit Unternehmen mit einem reinen Public- oder Private-Cloud-Modell, die durchschnittlich 5,02 Millionen US-Dollar beziehungsweise 4,24 Millionen US-Dollar verzeichneten. Tatsächlich waren die untersuchten Hybrid-Cloud-Anwender in der Lage, Sicherheitsvorfälle durchschnittlich 15 Tage früher zu erkennen und einzudämmen als der globale Durchschnitt von 277 Tagen pro Teilnehmer.

Der Bericht hebt hervor, dass 45 Prozent der untersuchten Verletzungen der Datensicherheit in der Cloud auftraten, und unterstreicht damit die Bedeutung der Cloud-Sicherheit. Allerdings gaben 43 Prozent der berichtenden Unternehmen an, dass sie sich erst in einem frühen Stadium der Sicherheitsmaßnahmen zum Schutz ihrer Cloud-Umgebungen befinden oder noch gar nicht damit begonnen haben. Dies resultiert in höheren Kosten eines Sicherheitsvorfalls. Untersuchte Unternehmen, die keine Sicherheitsverfahren in ihren Cloud-Umgebungen implementiert haben, benötigten durchschnittlich 108 Tage mehr, um eine Verletzung der Datensicherheit zu erkennen und einzudämmen, als Unternehmen, die Sicherheitsmaßnahmen in allen Bereichen konsistent anwenden.

(ID:48503614)