IBM hat zusammen mit dem Ponemon Institute dessen neuesten „Bericht über die Kosten einer Datenschutzverletzung“ veröffentlicht, der 2020 bereits zum 15. Mal erscheint. Für den Report wurden 3200 Menschen aus 524 Firmen, 17 Ländern und ebenso vielen Branchen befragt.
Die durchschnittlichen Gesamtkosten einer Datenschutzverletzung belaufen sich demnach auf 3,86 Millionen US-Dollar – überraschenderweise ein leichter Rückgang gegenüber dem Vorjahreswert von 3,92 Millionen Dollar. Geografisch wird ein Data Breach in den USA am teuersten und vertikal betrachtet im Gesundheitswesen. 280 Tage vergehen im Schnitt, bis eine Datenschutzverletzung erkannt und eingedämmt ist; gut die Hälfte der Verletzungen wird durch bösartige Angriffe verursacht.
Am weitaus häufigsten werden der Studie zufolge Datensätze mit persönlich identifizierbaren Informationen (PII) kompromittiert. Ein verlorener oder gestohlener Datensatz mit PII kostet Unternehmen im Schnitt 150 US-Dollar, bei Verstößen durcheinen böswilligen Angriff sogar 175 Dollar. Jedes fünfte Unternehmen (19 Prozent), das eine böswillige Datenschutzverletzung erlitt, wurde aufgrund gestohlener oder kompromittierter Anmeldedaten infiltriert. Daneben stellten falsch konfigurierte Cloud-Server mit ebenfalls 19 Prozent den häufigsten anfänglichen Bedrohungsvektor bei Verletzungen durch böswillige Angriffe dar.
Mega-Datenschutzverletzungen werden auch megateuer
Unternehmen, bei denen mehr als eine Million Datensätzen betroffen waren, mussten deutlich überdurchschnittliche Kosten hinnehmen. Datenschutzverletzungen mit einer bis zehn Millionen kompromittierten Datensätze kosteten durchschnittlich 50 Millionen US-Dollar. Bei Datenschutzverletzungen mit mehr als 50 Millionen kompromittierten Datensätzen beliefen sich die durchschnittlichen Kosten gar auf 392 Millionen Dollar und damit mehr als das Hundertfache der durchschnittlichen Kosten einer Datenschutzverletzung.
Die meisten böswilligen Angriffe kamen von finanziell motivierten Cyberganoven, am kostspieligsten waren laut Ponemon und IBM jedoch die von nationalstaatlichen Akteuren verursachen Verstöße. 53 Prozent der böswilligen Angriffe in der Studie von 2020 gehen vermutlich auf das Konto von finanziell motivierten Cyberkriminellen, verglichen mit 13 Prozent durch nationalstaatliche Bedrohungsakteure, 13 Prozent durch Hacker und 21 Prozent durch Unbekannte.
Phishing, kompromittierte Geschäfts-E-Mail und Social Engineering gehören auch weiterhin zu den häufigsten Angriffsmethoden auf die Daten von Unternehmen. Ein leistungsfähiger Schutz der E-Mail-Infrastruktur, egal ob on-premises oder in der Cloud, ist deswegen ebenso unverzichtbar wie eine regelmäßige Sensibilisierung der Nutzer für einen vorsichtigen Umgang mit insbesondere E-Mails aus unbekannter Quelle. Die Secure Email Platform von Retarus ist im neuen „Now Tech: Enterprise Email Security Providers, Q3 2020“ von Forrester Research das einzige eigen- und vollständige Secure Email Gateway aus Europa – nicht ganz unwichtig angesichts der aktuellen Rechtsprechung des EuGH, die den „Privacy Shield“ mit den USA unmittelbar für ungültig erklärt hat.