IBM hat bereits zum 17. Mal seinen jährlichen „Cost of a Data Breach Report” veröffentlicht. Die Daten dafür haben erneut die Marktforscher vom Ponemon Institute unabhängig erhoben. Befragt wurden in mehr als 3600 Interviews Mitarbeiter von 550 Unternehmen zu Datenpannen, die zwischen März 2021 und März 2022 passiert waren – in 17 Ländern und über 17 Branchen hinweg.
Die durchschnittlichen Kosten einer Datenpanne im Jahr 2022 erreichten demnach ein Allzeithoch von 4,35 Millionen Dollar, knapp drei Prozent mehr als im Vorjahr (2021: 4,24 Mio. USD). Gegenüber dem Bericht aus dem Jahr 2020 (3,86 Mio. USD) sind die Kosten bereits um 12,7 Prozent angestiegen. Übrigens: In 60 Prozent der befragten Unternehmen wurden die aufgrund der Datenpanne(n) – bei 83 Prozent gab es mehr als eine – höheren Kosten als Preiserhöhung an die Kunden weitergegeben.
Für Firmen im Bereich kritische Infrastruktur liegen die durchschnittlichen Kosten einer Datenpanne noch darüber, nämlich bei 4,82 Millionen US-Dollar. Das sind 1 Million Dollar mehr als die durchschnittlichen Kosten in anderen Branchen. Unter kritische Infrastruktur fallen unter anderem Finanzdienstleister, Industrie, Technologie, Energie, Transport, Kommunikation, Gesundheits- und Bildungswesen sowie die öffentlichen Hände. Hier verzeichneten 28 Prozent einen destruktiven oder Ransomware-Angriff; bei 17 Prozent gab es einen Datenabfluss, weil ein Geschäftspartner kompromittiert wurde.
Phishing wird am teuersten
Die am meisten verbreitete Ursache für eine Datenpanne sind nach wie vor gestohlene oder kompromittierte Zugangsdaten. In der aktuellen Umfrage waren sie mit 19 Prozent der häufigste Angriffsvektor (2021: 20 %). Die so verursachten Kosten beliefen sich im Schnitt auf 4,5 Millionen US-Dollar. Gleichzeitig hatten diese Pannen den längsten Lebenszyklus: im Schnitt vergingen 243 Tage, bis der Breach entdeckt wurde, danach weitere 84 Tage, um ihn einzudämmen. Die zweithäufigste Ursache für Datenpannen war Phishing mit 16 Prozent. Gleichzeitig sind Phishing-Breaches mit im Schnitt 4,91 Millionen US-Dollar die teuersten. Dies unterstreicht einmal mehr die Notwendigkeit, die geschäftskritische E-Mail-Kommunikation so gut wie möglich technisch – zum Beispiel durch die Secure Email Platform von Retarus – sowie durch Aufklärung der Belegschaft abzusichern.
Einer der neueren Trends im Bereich IT-Sicherheit ist die sogenannte Zero-Trust-Architektur. Eine solche haben aktuell nach eigener Einschätzung erst 41 Prozent der Unternehmen eingerichtet. Doch sie rechnet sich: Im Schnitt zahlen Zero-Trust-Nutzer bei eine Datenpanne 1 Million US-Dollar weniger als die 59 Prozent, die keine solche Architektur verwenden. Im Bereich kritische Infrastruktur haben sogar noch 79 Prozent der Anwender kein Zero Trust – sie kostet ein Breach im Schnitt 5,4 Millionen US-Dollar und damit über 1 Million Dollar mehr als der weltweite Durchschnitt.
Remote Working als Kostenrisiko
Dort, wo Remote Working ein Faktor beim Verursachen der Datenpanne war, betrugen deren Kosten im Schnitt knapp 1 Million US-Dollar mehr als bei Breaches, wo das entfernte Arbeiten keine Rolle spielte – 4,99 Millionen vs. 4,02 Millionen US-Dollar. Datenpannen im Zusammenhang mit Remote Work kosten im Schnitt etwa 600.000 US-Dollar mehr als der globale Durchschnitt.
45 Prozent der in der Studie erfassten Datenpannen ereigneten sich in der Cloud. Vergleichsweise am günstigsten waren dabei Breaches in hybriden Cloud-Umgebungen mit durchschnittlich 3,8 Millionen US-Dollar; für Private und Public Clouds werden die durchschnittlichen Kosten mit 4,24 Millionen US-Dollar respektive 5,02 Millionen US-Dollar beziffert. Bei Hybrid-Cloud-Nutzern lagen nicht nur die Kosten niedriger (27,6 Prozent im Vergleich zu Public Cloud), auch die Breach Lifecycles waren hier kürzer als bei Unternehmen, die ausschließlich auf Private oder Public Cloud setzen.
Im Gesundheitswesen sind Datenpannen am teuersten
Angesichts der in diesem Sektor besonders sensiblen Daten verwundert es wenig, dass Healthcare bereits im zwölften Jahr in Folge die Branche mit den im Schnitt teuersten Breaches war: 10,1 Millionen US-Dollar betrugen hier heuer die Kosten, eine Steigerung um fast 1 Million US-Dollar gegenüber dem Vorjahr und um 41,6 Prozent gegenüber dem Bericht von 2020. Die zweithöchsten Kosten verzeichnete die Finanzbranche mit 5,97 Millionen US-Dollar, gefolgt von Pharma (5,01 Mio. USD), Technologie (4,97 Mio. USD) sowie Energie (4,72 Mio. USD).
Geografisch betrachtet waren Datenpannen in den USA mit im Schnitt 9,44 Millionen US-Dollar am teuersten. Dahinter rangieren der Nahe Osten (7,46 Mio. USD), Kanada (5,64 Mio. USD), Großbritannien (5,05 Mio. USD) sowie Deutschland mit 4,85 Mio. USD. Genau wie das Gesundheitswesen liegen die Vereinigten Staaten bereits seit zwölf Jahren an der „Spitze“. Den stärksten Zuwachs gegenüber dem Vorjahr gab es in Brasilien, wo die durchschnittlichen Kosten einer Datenpanne von 1,08 Millionen US-Dollar um 27,8 Prozent auf aktuell 1,38 Millionen US-Dollar stiegen.
Den kompletten neuen „Cost of Data Breach Report” mit vielen weiteren Details und Erläuterungen zur Methodik können Interessierte gegen Registrierung von der IBM-Website herunterladen.