Die Fakten
Die Studie bezieht weltweit 524 Organisationen verschiedener Größe aus 17 Ländern und 17 Branchen ein. Die Forscher befragten mehr als 3.200 Personen, die zwischen August 2019 und August 2020 eine Datenschutzverletzung in ihrem Unternehmen erlebt hatten. Untersucht wurden Vorfälle, die sich in der Größenordnung von 3.400 bis 99.730 kompromittierten Datensätzen bewegen.
Jedes Jahr verursachen Cyberangriffe allein in Deutschland einen wirtschaftlichen Schaden von mehreren Milliarden Euro. Da die Zahl der Angriffe mit jedem Jahr zunimmt, wurde die diesjährige Data-Breach-Studie um eine neue Kostenanalyse ergänzt, die aufzeigt, dass die Kosten, die durch bösartige Angriffe verursacht werden, noch einmal deutlich höher liegen, als die durchschnittlichen Gesamtkosten einer Datenschutzverletzung.
Das Ergebnis
- $3,86 Millionen kostet ein Datenschutzverstoß im weltweiten Durchschnitt
- in den USA sind die Kosten am höchsten
- am teuersten kommen Datenpannen das Gesundheitswesen zu stehen
- durchschnittlich 280 Tage dauert es, bis ein Vorfall erkannt und eingedämmt wird
Die Tatsache, dass der diesjährige Bericht einen leichten Rückgang der durchschnittlichen Gesamtkosten für eine Datenschutzverletzung feststellt, lässt zunächst hoffen. Aber: Wir sprechen immer noch von $3,86 Mio. (2019 waren es $3,92 Mio.), die im Durchschnitt fällig werden!
Die Studie offenbart zudem hinsichtlich der Kosten eine wachsende Kluft zwischen Unternehmen, in denen moderne Sicherheitsprozesse implementiert sind, und solchen, die über weniger fortschrittliche Vorkehrungen verfügen.
Die 4 Kostenstellen
Kommt es in einem Unternehmen zu einem Datenschutzvorfall, werden Handlungen angestoßen und Prozesse in Gang gesetzt, die den Verlust – sowohl wirtschaftlich als auch reputabel – möglichst geringhalten sollen.
Zunächst muss der Vorfall korrekt erkannt werden. Anschließend gilt es, Schadensbegrenzung zu betreiben und Betriebsunterbrechungen, Gewinneinbußen sowie den Verlust von Kunden zu minimieren. Außerdem muss die zuständige Datenschutzbehörde sowie evtl. betroffene Personen informiert werden. Das kostet Zeit und damit auch wieder Geld. Ist dies alles geschehen, geht es schließlich an die Wiedergutmachung.
Die einzelnen Schritte im Überblick:
1. Erkennung und Eskalation
- Forensische und Ermittlungsaktivitäten
- Bewertungs- und Prüfungsdienste
- Krisenmanagement
- Mitteilungen an Geschäftsleitung
2. Entgangenes Geschäft
- Betriebsunterbrechung und Ertragseinbußen durch Systemausfall
- Kosten für verlorene Kunden und Neukundengewinnung
- Reputationsverluste und verminderter Goodwill
3. Benachrichtigung
- E-Mails, Briefe, Telefonate oder allgemeine Mitteilung
- Ermittlung der regulatorischen Anforderungen
- Kommunikation mit den Aufsichtsbehörden
- Hinzuziehen externer Berater
4. Nachbearbeitung
- Helpdesk und eingehende Kommunikation
- Überwachung von Kreditauskünften und Identitätsschutzdienste
- Ausgabe neuer Konten oder Kreditkarten
- Rechtskosten
- Produktrabatte
- Regulatorische Geldbußen
Übrigens: Den größten Anteil an den durchschnittlichen Kosten einer Datenschutzverletzung haben mit 39% die verlorenen Geschäfte.
Ursachen
In den vergangenen Jahren untersuchten die Forscher für die Studie auch die Ursachen hinter den Datenschutzverletzungen, die sie in 3 Kategorien unterteilen: Systemstörungen (23%), menschliches Versagen (23%) und böswillige Angriffe (52%). Im Mittel kosteten Datenschutzverletzungen durch böswillige Angriffe 2020 $4,27 Mio. und damit beinahe 1 Million Dollar mehr als solche, die durch Systemfehler oder menschliches Versagen verursacht wurden.
Neu bei der Befragung für die diesjährigen Studie war die Differenzierung der böswilligen Angriffe, wodurch eine detailliertere Auswertung möglich wurde. Hier zeigt sich, dass jedes fünfte Unternehmen (19%) aufgrund gestohlener oder kompromittierter Anmeldedaten Opfer einer böswillige Datenschutzverletzung wurde. Die durchschnittlichen Gesamtkosten hierfür lagen mit $4,77 Mio. noch einmal deutlich über dem Durchschnittswert. Daneben stellten falsch konfigurierte Cloud-Server mit 19% eine weitere Hauptursache für Verletzungen durch böswillige Angriffe dar.
Kostenfaktor Zeit
Die Studien der letzten Jahre haben aufgezeigt, dass die Kosten umso geringer sind, je schneller eine Datenschutzverletzung erkannt und behoben wird und das Unternehmen schließlich den Betrieb wieder aufnehmen kann. Die Zeitspanne von der Entdeckung des Sicherheitsvorfalls bis zu seiner Eindämmung wird als „Lebenszyklus“ der Datenverletzung bezeichnet.
Im Durchschnitt benötigten die Unternehmen, die an der Studie teilnahmen, 207 Tage zur Erkennung und 73 Tage zur Eindämmung eines Verstoßes, woraus sich ein durchschnittlicher Lebenszyklus von 280 Tagen ergibt.
Während der Lebenszyklus eines Verstoßes im Gesundheitssektor durchschnittlich 329 Tage betrug, war er im Finanzsektor 96 Tage kürzer (233 Tage). Vollständig implementierte Sicherheitsautomatisierungen halfen Unternehmen, den Lebenszyklus eines Datenschutzverstoßes im Vergleich zu Unternehmen, die über keine Sicherheitsautomatisierung verfügten, um 74 Tage von 308 auf 234 Tage zu verkürzen.
Handelte es sich um gezielte Angriffe von außen, dauerte es mit 315 Tagen von der Erkennung bis zur Eindämmung noch einmal deutlich länger.
Time is money: Wie der Bericht angibt, beträgt die durchschnittliche Kosteneinsparung für die Eindämmung eines Verstoßes in weniger als 200 Tagen gegenüber mehr als 200 Tagen satte $1,12 Mio.
Zum Schluss die gute Nachricht: Die befragten deutschen Unternehmen benötigten im Durchschnitt gerade einmal 160 Tage bis zur Eindämmung. Damit steht Deutschland weitaus besser da als etwa Brasilien, Skandinavien oder Südkorea und liegt deutlich unter dem weltweiten Durchschnitt.
Mit zunehmender Telearbeit vor dem Hintergrund der Corona-Pandemie gehen 76% der Befragten jedoch davon aus, dass sich der durchschnittliche Lebenszyklus von Datenverstößen verlängern wird. Inwiefern sich das dann in den Kosten niederschlägt, wird der Bericht für 2021 sicher zeigen.
Zusammenfassung
Bei den durchschnittlichen Gesamtkosten für eine Datenschutzverletzung führen die USA mit $8,64 Mio. die Rangliste mit einem deutlichen Vorsprung vor allen anderen an. Deutschland steht mit $4,45 Mio. knapp hinter Kanada an vierter Stelle und liegt damit deutlich über dem globalen Durchschnitt von $3,86 Mio. Doch es gibt Grund zur Hoffnung: Betrachtet man nämlich die prozentuale Veränderung der Gesamtkosten seit 2019, zeigt sich, dass Deutschland diese um 4,8% reduzieren konnte.
Was die Branchen betrifft, gibt es mit Hinblick auf die Studien der letzten Jahre keine Überraschungen: Unternehmen und Organisationen, für die besonders strenge behördliche Auflagen gelten, verzeichnen im Durchschnitt höhere Kosten für Datenschutzverstöße als andere Branchen. Das zehnte Jahr in Folge führt das Gesundheitswesen die Liste mit $7,13 Mio. an und liegt damit 10% über den Werten der Vorjahresstudie. Auch der Energiesektor verzeichnet gegenüber 2019 einen Anstieg um 13% auf durchschnittlich $6,39 Mio. Organisationen des öffentlichen Sektors weisen in dieser Untersuchung traditionell die geringsten Kosten auf, da ihnen bei Datenschutzverstößen kaum ein Kundenverlust droht.
Was lernen wir daraus?
Datenschutzverstöße und Cybersicherheitsvorfälle stellen für Unternehmen jeder Größe weltweit eine ständige Bedrohung dar. Wie der Bericht zeigt, lagen die Kosten für Datenpannen in Unternehmen mit einer Sicherheitsautomatisierung $3,58 Mio. unter den durchschnittlichen Kosten für Unternehmen ohne Sicherheitsautomatisierung. Darunter sind Sicherheitstechnologien zu verstehen, die das Eingreifen des Menschen bei der Identifizierung und Eindämmung von Cyber-Exploits oder Datenschutzverletzungen ergänzen oder ersetzen. Mit einem Anteil von 30% führt Deutschland im Ländervergleich mit den meisten Unternehmen, die über eine vollständig implementierte Sicherheitsautomatisierung verfügen. Wie die Zahlen zeigen, sollten die übrigen 70% darüber nachdenken, ebenfalls solche Sicherheitsprozesse zu implementieren. Im Fall der Fälle können sie einen Unterschied in Millionenhöhe ausmachen.
Die Studie zeigt auf, dass neben den Kosten für entgangenes Geschäft die Kosten für Erkennung und Eskalation einer Datenschutzverletzung am stärksten zu Buche schlagen. Hier sind Investitionen in Governance-, Risikomanagement-und Compliance-Programme sinnvoll. Regelmäßige Risikobewertungen, die strikte Einhaltung von Governance.Anforderungen sowie ein interner Rahmen für Prüfungen tragen dazu bei, dass Unternehmen einen Datenschutzverstoß besser erkennen und früher Maßnahmen zur Eindämmung ergreifen können.
Sie haben Fragen hierzu? Gerne unterstützen Sie die Experten der ORGATEAM Unternehmensberatung GmbH kompetent und auf Augenhöhe in sämtlichen Belangen rund um Datenschutz, Governance, Risk und Compliance.