Bereits im 17. Jahr hat IBM Security seinen „Cost of a Data Breach Report” veröffentlicht, für den die Daten in bewährter Manier das Ponemon Institute erhoben hat. Für die Ausgabe 2021 wurden 537 reale Datenschutzverletzungen aus 17 verschiedenen Ländern und Regionen sowie aus 17 unterschiedlichen Branchen untersucht.
Im Vergleich zum Vorjahr stiegen die durchschnittlichen Kosten einer Datenpanne von 3,86 Millionen US-Dollar um fast zehn Prozent auf 4,24 Mio. USD. Dies war der größte jährliche Zuwachs der vergangenen sieben Jahre. Wenig überraschend: Je besser die Unternehmen in Sachen IT Security aufgestellt waren, desto glimpflicher kamen sie davon.
Kostenfaktor COVID-19
Remote-Arbeiten und digitale Transformation aufgrund der COVID-19-Pandemie verteuerten ein Datenleck um durchschnittlich 1,07 Mio. USD, wenn sie als ursächlicher Faktor im Spiel waren (das war bei 17,5 Prozent der betroffenen Unternehmen der Fall). Firmen, bei denen mehr als die Hälfte der Belegschaft nicht im früher angestammten Büro arbeitete, brauchten beispielsweise im Schnitt 58 Tage länger, um Datenschutzverletzungen festzustellen und einzudämmen.
Apropos: 287 Tage waren es im Schnitt, bis ein Data Breach gefunden und behoben war, sieben Tage mehr als im Bericht des Vorjahres. Und je später eine Datenschutzverletzung entdeckt wurde, desto teurer wurde es, sie zu beseitigen.
Verletzungen mit mehr als 50 Millionen betroffenen Datensätzen klassifizieren IBM und Ponemon als „Mega Breach“. Ein derartiges Datenschutzdebakel kostet aktuell durchschnittlich 401 Mio. USD, vor einem Jahr zuvor waren es noch 392 Mio. USD. Datenlecks mit 50 bis 65 Millionen Sätzen waren damit fast um den Faktor 100 teurer als kleinere mit 1000 bis 100.000 Datensätzen.
Unwiederbringlich verlorenes Geschäft
Größter Kostenfaktor bei Datenschutzverletzungen war verlorenes Geschäft mit durchschnittlich 1,59 Mio. USD oder 38 Prozent Anteil an den gesamten Kosten. Eingerechnet wurden hier unter anderem erhöhter Kundenschwund, Umsatzverlust durch System-Ausfallzeiten sowie durch die verringerte Reputation verteuerte Neukundenakquise.
Am häufigsten abhanden kamen personenbezogene Daten, mit 180 USD auch am teuersten pro verlorenem oder gestohlenem Datensatz. Im Schnitt kostete ein Datensatz in diesem Jahr 161 USD im Vergleich zu 146 USD pro verlorenem oder gestohlenen Eintrag im Jahr 2020. Am teuersten waren übrigens die Datenpannen im Gesundheitswesen mit 9,23 Mio. USD, ein Anstieg um 2 Mio. gegenüber dem Vorjahr.
Mit im Schnitt 4,62 Mio. USD überdurchschnittlich teuer waren Ransomware-Angriffe, von denen knapp acht Prozent der Unternehmen betroffen waren. Zu deren Kosten wurden übrigens unter anderem die für Eskalation, Benachrichtigung, verlorenes Geschäft sowie Reaktion gerechnet, nicht aber das ggf. gezahlte digitale Lösegeld (dieses beläuft sich laut einer aktuellen Studie von Palo Alto Networks im ersten Halbjahr 2021 auf durchschnittlich 570.000 USD, satte 82 Prozent mehr als im vergleichbaren Vorjahreszeitraum). Noch teurer als Ransomware waren mit 4,69 Mio. USD Angriffe, bei denen gleich gezielt Daten gelöscht wurden.
BEC und Phishing werden am teuersten
Was die anfänglichen Angriffsvektoren betrifft, so war der sogenannte Business Email Compromise mit durchschnittlichen Folgekosten von 5,01 Mio. USD am teuersten, mit einem Anteil von vier Prozent an den gesamten Verletzungen der Datensicherheit allerdings relativ selten. Deutlich häufiger war Phishing mit 17 Prozent und den mit 4,65 Mio. USD zweithöchsten Kosten.
Dass gerade Angriffe per E-Mail so teuer werden, unterstreicht die Bedeutung einer möglichst kompletten E-Mail Security für Unternehmen. Ein leistungsfähiger Schutz der geschäftskritischen E-Mail-Infrastruktur, egal ob on-premises oder in der Cloud, ist längst unverzichtbar, genauso wie eine regelmäßige Sensibilisierung der Nutzer für einen vorsichtigen Umgang mit insbesondere E-Mails aus unbekannter Quelle. Die Retarus Secure Email Platform mit ihren modularen Email Security Services hat im aktuellen Market Compass von KuppingerCole Bestnoten erhalten. Neben der Einstufung als komplette Kommunikations-Lösung heben die die Analysten insbesondere die vollständige DSGVO-Konformität der Retarus-Plattform hervor.