Die Kosten für Schäden durch Hackerangriffe und Datenlecks sind etwas zurückgegangen, weil Unternehmen zunehmend ihre Abwehr automatisieren. Besonders Deutschland greift dabei Lob für den schnellen Umgang mit IT-Sicherheitspannen ab. Die Angreifer nehmen in Deutschland vor allem den Finanzsektor ins Visier.

Es ist ein betrübliches, aber leicht verbessertes Bild, das die jährliche Studie „2020 Cost of a Data Breach Report“ von IBM und dem Ponemon Institute zeichnet mit dem Berichtszeitraum August 2019 bis April 2020.

2019 gab es erstmals einen leichten Rückgang der durchschnittlichen Kosten pro Datenpanne: mit 3,86 Mio. US-Dollar lagen sie rund 1,5 Prozent unter dem Wert des vorangegangenen Reports. Trotz des nominalen Rückgangs von 3,92 Millionen Dollar in der Studie von 2019 auf 3,86 Millionen Dollar in der 2020-Studie waren die Kosten für einige der Unternehmen und Branchen  viel höher, wenn sie in Bereichen wie Sicherheitsautomatisierung und Incident Response im Rückstand waren. In ähnlicher Weise zeigte eine tiefere Analyse der durchschnittlichen Kosten für einzelne verlorener oder gestohlener Datensätze (Kosten pro Datensatz) große Unterschiede, je nach Art der Daten, die bei einem Datenleck verloren gehen oder gestohlen werden.

Deutschland als Musterknabe

Während es in anderen Ländern dennoch höhere Schadenssummen gab, hat sich die Situation in Deutschland erfreulich entwickelt. Im Mittel über alle Branchen hinweg, werden hierzulande Datenpannen bzw. Einbrüche in die Unternehmens-IT nach 128 Tagen erkannt, nach weiteren 32 Tagen ist das Leck vollständig abgedichtet. Die Ponemon-Forscher bezeichnen die Summe dieser beiden Phasen als Lebenszyklus.

Beim Aufspüren und Eindämmen von Datenlecks ist Deutschland mit einem Lebenszyklus von 160 Tagen weit vorne: Canada auf Platz 2 benötigt bereits 226 Tage (168/58), dicht gefolgt von Südafrika (228) und USA (237). Das globale Mittel beträgt 280 Tage, wovon 207 auf das Erkennen und 73 Tage auf das Abdichten des Lecks entfallen.

Finanzbranche im Visier

Deutsche Unternehmen stehen dennoch im Fokus von Hackern und Kriminellen. Mit 57 Prozent gehen die meisten Datenvorfälle hierzulande auf böswillige Angriffe zurück, das entspricht nach dem Mittleren Osten (59 Prozent) dem zweithöchsten Wert weltweit. 24 Prozent der Datenpannen in Deutschland beruhen auf Systemfehlern, der Rest entfällt auf menschliches Fehlverhalten.

Blickt man auf die Finanzbranche als Ganzes, ergibt sich ein etwas anderes Bild. Fehlerhafte Systeme werden hier nur von 21 Prozent als Ursache für Datenpannen genannt, der niedrigste Wert im gesamten Feld. 56 Prozent der Nennungen entfallen auf Angriffe mit Malware, dies bedeutet Platz 4 hinter Technik-Unternehmen (59 Prozent), Transport und Handel (je 58 Prozent). Deutliches Verbesserungspotenzial gibt es bei der Mitarbeiterschulung. Denn 23 Prozent der Zwischenfälle gehen auf menschliche Fehler zurück. Damit liegt die Finanzbranche im Mittelfeld – die Spanne reicht hier von 13 Prozent (Transport) bis 34 Prozent (Unterhaltungsbranche).

Andererseits liegt die Finanzbranche weltweit vorn, wenn es um die Behebung geht. Der Lebenszyklus beträgt 233 Tage, verteilt auf durchschnittlich 177 Tage, bis ein unberechtigter Datenabfluss erkannt wird, und 56 Tage bis das Problem vollständig behoben ist. Auf den Plätzen folgen Forschung (244 Tage) und Technik-Unternehmen (246 Tage), abgeschlagen am Ende des Feldes finden sich die öffentliche Hand (324 Tage) und der Gesundheitssektor (329 Tage).

Die Dauer eines Data Breach hat direkten Einfluss auf die Kosten, die damit verbunden sind. Wie Ponemon ermittelte, liegen die mittleren Kosten bei einem Lifecycle von unter 200 Tagen bei etwa 3,2 Mio. US-Dollar. Bei mehr als 200 Tagen steigt der Durchschnittswert auf 4,33 Mio. Dollar.

Auch die Covid-19-Pandemie wird voraussichtlich einen Einfluss auf die Sicherheitsstatistik haben. Denn bei 54 Prozent der befragten Unternehmen nahm Homeoffice in relevantem Maße zu. 76 Prozent der Sicherheitsverantwortlichen gehen davon aus, dass aus diesem Grund das Erkennen und Beheben von Datenlecks aufwändiger wird und deshalb länger dauert. Rund 70 Prozent erwarten, dass sich die Folgekosten pro Datenpanne durch den höheren Homeoffice-Anteil im Schnitt um 137.000 Dollar erhöhen.

Automatisierung kann helfen

Eine Möglichkeit, die Sicherheit der eigenen IT-Infrastruktur gegenüber ungewollten Datenabflüssen und anderen Angriffen zu stärken, sieht IBM in automatisierten Security-Mechanismen. Ohne jegliche Automatismen lag der Datenleck-Lifecycle bei 308 Tagen, eine Teilautomatisierung verkürzt diesen um 33 Tage auf 275 Tage. Und die Vollautomatisierung bringt einen weiteren Zugewinn von 41 Tagen auf dann 234 Tage insgesamt.

„Wenn es um die Fähigkeit von Unternehmen geht, die Auswirkungen einer Datenpanne abzufedern, sehen wir einen klaren Vorteil für Unternehmen, die in automatisierte Technologien investiert haben,“ erklärt Wendi Whitmore, Vice President, IBM X-Force Threat Intelligence.

Bei der Automatisierung liegt Deutschland mit an der Spitze: 30 Prozent der befragten Unternehmen hierzulande haben den höchsten Automatisierungs-Level angegebenen, so viel wie in keinem anderen Land. Weitere 45 Prozent haben zumindest teilweise automatisiert, gleichauf mit Australien und lediglich übertroffen von den USA (50 Prozent).

Eine größer werdende Kluft zeigt sich bei den Folgekosten: Für nicht-automatisierte Unternehmen waren Datenpannen 2019 mit sechs Millionen US-Dollar mehr als zwei Mal so teuer wie für Unternehmen, die auf Künstliche Intelligenz (KI), Maschinenlernen und Orchestrierung setzen (2,45 Millionen US-Dollar).

Fazit:

Der Anteil der durch böswillige Angriffe verursachten Datenschutzverstöße hat stetig zugenommen. Kompromittierte Anmeldedaten waren in der Studie die teuerste Ursache für böswillige Angriffe. Auch der Typ des Bedrohungsakteurs hatte einen großen Einfluss auf die Kosten. Lösungen zur Sicherheitsautomatisierung – einschließlich KI, Analyse und Incident Response (IR) Orchestrierung – und zur Vorbereitung von Notfallreaktionen (IR), einschließlich der Bildung von IR-Teams und der Prüfung von IR-Plänen, waren die größten Kostensenker für Datenschutzverstöße.

Quelle Titelbild: Adobe Stock / James Thew