Werden die Kosten für Datenschutzverletzungen von den Kunden gezahlt?

Wie viel zahlt ein Unternehmen, wenn es Opfer einer Cyberattacke geworden ist – und geben die Firmen die Kosten an ihre Kunden weiter? Diese beiden Fragen beantwortet auch in diesem Jahr wieder die IBM-Studie „Cost of a Data Breach“ und kommt zu eindeutigen Ergebnissen: Mit 4,35 Millionen US-Dollar erreichen die durchschnittlichen Kosten einer Datenschutzverletzung einen neuen Höchststand – und die Verbraucher zahlen den Preis dafür.

Studie untersucht 550 Unternehmen

Die „Cost of a Data Breach“-Studie 2022 basiert auf einer umfassenden Analyse von realen Datenschutzverletzungen bei 550 Unternehmen weltweit.

Das US-amerikanische Ponemon Institute führte die Studie von März 2021 bis März 2022 durch, IBM-Security übernahm die Finanzierung.

Kosten für Datenschutzverletzungen werden immer höher

Die Studie belegt klar: Datenschutzverletzungen sind kostspieliger und folgenschwerer als je zuvor.

„Die durchschnittlichen Kosten einer Datenschutzverletzung für die befragten Unternehmen (haben) mit 4,35 Millionen US-Dollar einen neuen Höchststand erreicht“, heißt es in der Pressemitteilung von IBM. Das entspricht einem Plus von fast 13 Prozent in den letzten beiden Jahren.

Kunden zahlen den Preis dafür

Den Preis dafür zahlen vor allem die Kunden. „Tatsächlich hoben 60 Prozent der untersuchten Unternehmen ihre Preise für Produkte oder Services aufgrund der Datenschutzverletzung an“, so IBM in der Pressemitteilung, „und das zu einer Zeit, in der die Herstellungskosten inflations- und lieferkettenbedingt bereits weltweit in die Höhe schnellen.“

Achtung

Phishing ist für Unternehmen am Teuersten

Phishing ist laut IBM-Studie die teuerste Ursache von Datenschutzverletzungen und kostet die befragten Unternehmen im Durchschnitt 4,91 Millionen US-Dollar.

Aktuell belegt Phishing mit 16 Prozent Platz 2 der häufigsten Datenschutzverletzungen. Auf Platz 1 liegen mit 19 Prozent kompromittierte Zugangsdaten.

Viele Unternehmen sind gleich mehrmals betroffen

Bemerkenswert ist, dass laut IBM-Studie knapp 83 Prozent der untersuchten Unternehmen bereits mehrmals Opfer eines Sicherheitsvorfalls waren und mehr als eine Datenschutzverletzung erlebt haben.

Fast die Hälfte der Kosten dafür – darauf weisen die Autoren der Studie ausdrücklich hin – fällt erst mehr als ein Jahr danach an. Verbraucher müssen sich also noch auf einiges einstellen.

Unternehmen vernachlässigen Zero-Trust-Strategien

Ein wichtiger Grund für die vielen Datenschutzverletzungen ist, dass fast 80 Prozent der untersuchten Unternehmen mit kritischer Infrastruktur keinerlei Zero-Trust-Strategien einsetzen.

Dadurch steigen die durchschnittlichen Kosten einer Datenschutzverletzung auf 5,4 Millionen US-Dollar. Das sind – laut IBM-Studie – 1,17 Millionen US-Dollar mehr im Vergleich zu denen, die auf Zero Trust setzen.

Unternehmen vernachlässigen Cloud-Sicherheit

Auch um die Sicherheit in Cloudumgebungen ist es oft schlecht bestellt. Laut IBM-Studie befinden sich fast 43 Prozent der untersuchten Unternehmen noch in einem „sehr frühen Stadium der Umsetzung von Sicherheitsmaßnahmen in ihren Cloudumgebungen“ – oder haben noch gar nicht damit begonnen.

Dafür zahlen sie dann im Durchschnitt rund 660.000 US-Dollar mehr bei einer Datenschutzverletzung als Unternehmen mit ausgereifter Sicherheit in ihren Cloudumgebungen.

Unternehmen, die Lösegeld zahlen, haben nichts davon

Im Durchschnitt nur 610.000 US-Dollar niedrigere Kosten für eine Datenschutzverletzung haben Unternehmen, die ein Lösegeld an Erpresser bezahlen. Der bezahlte Lösegeldbetrag ist in dieser Rechnung aber nicht berücksichtigt.

Deshalb kommt die Studie zu dem Schluss: „Unter Berücksichtigung der hohen Kosten von Lösegeldzahlungen kann die finanzielle Last sogar noch höher werden, was nahelegt, dass die Zahlung des Lösegeldes allein möglicherweise keine effektive Strategie ist.“

Unternehmen, die KI nutzen, können sparen

Nur Unternehmen, die Künstliche Intelligenz (KI) und Automatisierung für Security-Maßnahmen nutzen, können wirklich Kosten einsparen.

Laut IBM-Studie haben sie im Durchschnitt 3,05 Millionen US-Dollar weniger Kosten bei Datenschutzverletzungen im Vergleich zu Unternehmen, die die Technologie nicht einsetzen. Das ist die größte Kosteneinsparung, die in der Studie beobachtet wurde.

Unternehmen müssen Angreifern zuvorkommen

„Unternehmen müssen in Security-Fragen Angreifern zuvorkommen. Es ist an der Zeit, Angreifer daran zu hindern, ihre Ziele zu erreichen und die Auswirkungen von Angriffen zu minimieren“, empfiehlt deshalb Charles Henderson, Global Head of IBM Security X-Force.

IBM verfügt nach eigenen Angaben über „eine der weltweit größten Organisationen für Sicherheitsforschung, -entwicklung und -bereitstellung (…) und hat weltweit mehr als 10.000 Sicherheitspatente.“

Mehr Informationen:

Pressemitteilung von IBM am 27. Juli 2022: https://de.newsroom.ibm.com/2022-07-27-Cost-of-a-Data-Breach-Studie-2022
Studie „Cost of a Data Breach“ zum Download: https://www.ibm.com/security/data-breach
Webseite von IBM-Security: https://www.ibm.com/security
Webseite des Ponemon Institute: https://www.ponemon.org

Elke Zapf

URL zum Beitrag:	https://www.datenschutz-praxis.de/pleiten-pech-pannen/werden-die-kosten-fuer-datenschutzverletzungen-von-den-kunden-gezahlt/
Beitrag gedruckt von Datenschutz PRAXIS:	https://www.datenschutz-praxis.de

Klicken zum Drucken