Wenn wir über Datenschutzverletzungen sprechen, beziehen wir uns in der Regel nur auf die "Datensätze", die offengelegt wurden. Das Problem dabei ist, dass uns der Kontext fehlt, wenn wir die Kosten von Datenschutzverletzungen nicht mit einbeziehen. Schließlich gibt es nur wenige klarere Illustrationen für die Auswirkungen auf das Geschäft, als wie sehr es den Gewinn beeinträchtigt.
In diesem Artikel werden wir uns damit befassen:
- Warum es zu Datenschutzverletzungen kommt.
- Hauptfaktoren für die Kosten von Datenschutzverletzungen.
- Durchschnittliche Kosten einer Datenschutzverletzung.
- Beispiele für Datenschutzverletzungen in den Jahren 2020 und 2021.
- Wie viel diese Datenschutzverletzungen gekostet haben könnten.
- Was Ihre Organisation tun kann, um die Auswirkungen zu mildern.
(Wenn Sie wenig Zeit haben, finden Sie am Ende des Artikels eine Kurzzusammenfassung)
Warum kommt es zu Datenschutzverletzungen?
Es gibt drei Hauptkategorien von Ursachen für Datenschutzverletzungen: menschliches Versagen, böswillige Angriffe und Systempannen.
Dank eines Berichts von IBM Security über die Kosten von Datenschutzverletzungen können wir jedoch feststellen, dass selten die technische Seite der Dinge allein schuld ist. Nein, in 75 % der Fälle ist der fleischliche Teil , der die Technologie verwendet, der Schuldige. Entweder durch menschliches Versagen oder durch eine Form von böswilligen Angriffen.
Quelle: Cost of Data Breach Report 2020, IBM Security
Betrachtet man die Kategorie der böswilligen Angriffe etwas genauer, so stellt man fest, dass fragwürdige Cloud-Konfigurationen und schwache Passwörter einen großen Teil der Schuld auf sich nehmen. Beides lässt sich durch regelmäßige Schulungen zum Sicherheitsbewusstsein und eine wirksame Sicherheitsrichtlinie eindämmen.
Quelle: Cost of Data Breach Report 2020, IBM Security
Die Komplexität moderner Sicherheitssysteme hat zweifelsohne dazu geführt, dass die Herausforderungen für die Sicherheitsteams gestiegen sind. Da verschiedene Teile des Unternehmens auf mehr externe Software zugreifen müssen, eröffnet sich ein weiterer Bedrohungsvektor, vor dem man sich schützen muss. Auch Phishing-Angriffe sind als potenzieller Bedrohungsvektor kaum zu ignorieren, da sie 14 % der böswilligen Datenverletzungen ausmachen.
Berechnung der Kosten von Datenschutzverletzungen
Es gibt viele Faktoren, die zu berücksichtigen sind, wenn wir versuchen wollen, die wahrscheinlichen Kosten einer Datenschutzverletzung zu ermitteln, aber im Grunde können wir sie in vier Hauptkostenpunkte unterteilen:
- Aufdeckung und Eskalation: Das ist alles, was ein Unternehmen tut, um eine Sicherheitsverletzung aufzudecken, wie z. B. Auditing-Dienste.
- Benachrichtigung: Sobald eine Organisation herausgefunden hat, dass es ein Problem gibt, muss sie nicht nur mit den betroffenen Personen, sondern auch mit Aufsichtsbehörden, Rechtsexperten und Beratern kommunizieren.
- Geschäftseinbußen: Je nach Art der Sicherheitsverletzung kann ein Unternehmen Ausfallzeiten erleiden, die sich auf die Einnahmen auswirken, und muss sich längerfristig mit der Schädigung der Marke auseinandersetzen.
- Ex-post-Reaktion: Nachdem die Sicherheitsverletzung stattgefunden hat und die betroffenen Nutzer benachrichtigt wurden, kommt es zu einer Flut von Anfragen, potenziellen Rechtskosten, Geldstrafen und vielleicht Angeboten und Rabatten, um den angeschlagenen guten Ruf wiederherzustellen.
Zusätzlich zu diesen Hauptkostenstellen gibt es noch einige weitere Faktoren, die wir berücksichtigen können. So variieren die Kosten pro Datensatz je nach Land und Branche, wobei die Datensätze im Gesundheitswesen in den USA am teuersten sind.
Und dann ist da noch die Art der Daten selbst. PII (personenbezogene Daten) sind die teuersten und bei weitem am häufigsten gefährdeten Datentypen. Die durchschnittlichen Kosten pro Datensatz für kleine bis große Datenschutzverletzungen belaufen sich jedoch auf beunruhigende 146 US-Dollar.
Quelle: Cost of Data Breach Report 2020, IBM Security
Wir sagen "klein bis groß", weil es noch einen weiteren, skalenabhängigen Kostenfaktor gibt:
Der gefürchtete "Mega-Bruch".
Jede Sicherheitsverletzung, die mehr als 1 Million Datensätze betrifft, wird als Mega-Verletzung definiert; sie stellt ein absolutes Worst-Case-Szenario für die betroffenen Organisationen dar. Dies sind auch die Verstöße, von denen wir am meisten hören, einfach weil sie so groß sind.
Quelle: Cost of Data Breach Report 2020, IBM Security
Da sie so umfangreich sind, müssen sie auch getrennt von den kleinen und großen Verstößen analysiert werden, da sie sonst die Zahlen verfälschen würden.
Jüngste Datenschutzverletzungen und deren Kosten
Anhand der obigen Zahlen können wir abschätzen, wie viel einige der bekannteren Datenschutzverletzungen diese Unternehmen gekostet haben.
Nachfolgend finden Sie, in beliebiger Reihenfolge, einen Überblick über einige der größeren Datenschutzverletzungen der letzten 12 Monate und die damit verbundenen Kosten.
533 Millionen - Facebook, April 03, 2021
Geschätzte Kosten: 3,7 Milliarden Dollar
Art der aufgedeckten Daten: Telefonnummern, Geburtsdatum, Standorte (einschließlich historischer Daten), vollständiger Name, einige E-Mail-Adressen.
Anfang April 2021 wurde bekannt, dass die persönlichen Daten von mehr als einer halben Milliarde Facebook-Nutzern geleakt worden waren. Facebook lehnte es ab, die betroffenen Nutzer zu benachrichtigen (vielleicht um Kosten zu sparen, da wir wissen, dass Benachrichtigung und nachträgliche Reaktion zwei der wichtigsten Kostenstellen sind), nachdem ihre Daten durch Ausnutzung einer Schwachstelle in einer inzwischen abgeschalteten Funktion abgegriffen worden waren.
250 Millionen - Microsoft, 22. Januar 2020
Geschätzte Kosten: 1,8 Milliarden Dollar
Art der aufgedeckten Daten: E-Mail-Adressen, IP-Adressen, Chat-Protokolle.
Kaum war das Jahr 2020 angebrochen, kündigte Microsoft eine große Sicherheitslücke an. Es wurden zwar keine Zahlen genannt, aber Schätzungen zufolge waren 250 Millionen Datensätze betroffen. Diese Datensätze enthielten E-Mail- und IP-Adressen sowie Chat-Protokolle zwischen Support-Mitarbeitern und Kunden. Microsoft gab zu, dass die Sicherheitsverletzung auf eine "Fehlkonfiguration einer internen Kundensupport-Datenbank" zurückzuführen ist.
9 Millionen - EasyJet, 12. Mai 2020
Geschätzte Kosten: 50 Millionen Dollar
Art der offengelegten Daten: Kredit- und Debitkarten
Im Mai 2020 gab EasyJet bekannt, dass bei einem "hochentwickelten Cyberangriff" auf 9 Millionen Kundendaten "zugegriffen" worden war. Dieser Angriff kam für EasyJet zu einem ungünstigen Zeitpunkt, da die Auswirkungen der Pandemie zu greifen begannen und Kreditkartendaten betroffen waren. Er führte auch dazu, dass sich 10.000 Personen einer Klage gegen EasyJet anschlossen. Je nach Ausgang des Verfahrens könnte die geschätzte Summe von 50 Millionen Dollar in die Milliarden gehen, da jedes der Opfer Anspruch auf 2.500 Dollar hat.
5,2 Millionen - Marriott, 31. März 2020
Geschätzte Kosten: 50 Millionen Dollar
Art der offengelegten Daten: Namen, Adresse, einige Telefon- und E-Mail-Adressen
Der Hotelriese Marriott gab bekannt, dass die Daten von 5,2 Millionen Gästen offengelegt wurden, nachdem Hacker die Anmeldedaten von zwei Mitarbeitern erlangt hatten. Dies geschah zusätzlich zu einem früheren Einbruch im Jahr 2018, als eine Tochtergesellschaft von Marriott gehackt wurde und Millionen von unverschlüsselten Passnummern und Kreditkartendaten offengelegt wurden.
Was kann Ihre Organisation tun, um die Auswirkungen zu mildern?
Es liegt auf der Hand, dass Organisationen aller Formen und Größen nicht völlig immun sind. Ob aus Unachtsamkeit oder in böser Absicht - wenn Menschen mit Maschinen interagieren, gibt es immer Schwachstellen.
Sie werden auch Leute haben, die bereit und in der Lage sind, diese Schwachstellen auszunutzen.
Es ist jedoch nicht alles schlecht, denn es gibt viele Dinge, die Ihr Unternehmen sofort tun kann, um die Wahrscheinlichkeit einer Datenverletzung zu verringern.
Quelle: Cost of Data Breach Report 2020, IBM Security
- Tests zur Reaktion auf Vorfälle: Wenn Sie wissen, was zu tun ist, wenn das Schlimmste passiert, kann Ihr Unternehmen über 230.000 Dollar sparen. Tools für das Vorfallmanagement helfen Ihnen dabei, alle beweglichen Teile zusammenzufügen, und geben Ihnen einen Überblick über den Lebenszyklus eines Vorfalls, wenn dieser eintritt. Aber es ist auch wichtig, dass Sie all dies mit simulierten Angriffen auf die Probe stellen. Nicht nur das IT-Team muss an den Tests beteiligt sein. Jeder, vom Vertriebsmitarbeiter bis zum Supportpersonal, sollte einbezogen werden. Vor allem angesichts der sich ständig weiterentwickelnden Bedrohungen wie Phishing und Ransomware. 96 % der Datenschutzverletzungen haben ihren Ursprung in E-Mails, aber die Durchführung simulierter Phishing-Angriffe zur Vorbereitung Ihres Teams muss weder kostspielig noch zeitaufwändig sein.
- Schulungen zum Sicherheitsbewusstsein: Die Zunahme der Fernarbeit hat eine weitere Ebene der Anfälligkeit hinzugefügt, da die Mitarbeiter potenziell unsichere Geräte und Verbindungen nutzen, um auf sensible Daten zuzugreifen. Daher können Schulungen zur Cybersicherheit für Mitarbeiter mehr denn je dazu beitragen, die Risiken (und potenziellen Kosten) von Datenverletzungen zu verringern.
- Umfassende Verschlüsselung: Bei vielen aufsehenerregenden Datenschutzverletzungen wurden sensible Daten in unverschlüsselten Dateien gespeichert, wobei Passwörter und Kreditkartendaten manchmal einfach unverschlüsselt im Klartext vorlagen. Die Einführung einer unternehmensweiten Verschlüsselung kann enorme Auswirkungen haben, setzt aber voraus, dass Ihre Mitarbeiter mit der Materie vertraut sind. Das führt uns direkt zur nächsten Lösung.
- Verwaltung der Richtlinien: Wenn Lösungen wie die Verschlüsselung funktionieren sollen, müssen Sie über eine wirksame Cybersicherheitsrichtlinie verfügen und, was noch wichtiger ist, sicherstellen, dass jeder weiß, was er zu tun hat. Bei herkömmlichen Ansätzen zur Verwaltung von Richtlinien muss die Personalabteilung häufig Teammitglieder ausfindig machen und ihnen zunehmend verärgerte E-Mails schicken, in denen sie fragen, ob sie die neue Cybersicherheitsrichtlinie gelesen und verstanden haben. Und wenn das Teammitglied sie gelesen hat, kann es sie bitte unterschreiben und zurückschicken? Bitte? Durch den Einsatz einer Plattform zur Verwaltung von Cybersicherheitsrichtlinien kann Ihr Unternehmen stattdessen Wissenslücken bei den Mitarbeitern und Unzulänglichkeiten in den Richtlinien aufdecken und die Kosten für Datenschutzverletzungen auf ein Minimum reduzieren.
TL;DR
- Sie können lähmend teuer sein: Weltweit kosten Datenschutzverletzungen Unternehmen im Durchschnitt 2,8 Millionen Pfund pro Verletzung.
- Die meisten Datenschutzverletzungen sind böswillig: Mehr als die Hälfte aller Datenschutzverletzungen sind das Ergebnis einer böswilligen Handlung.
- Wie Mum schon immer sagte, "vorherige Vorbereitung und Planung verhindert schlechte Leistung": Ein Notfallteam, das Testen des Notfallplans, die Verwendung von Verschlüsselung und die Schulung der Benutzer haben die größten Auswirkungen.
