Die Marktforscher vom renommierten Ponemon Institute haben auch 2023 wieder im Auftrag von IBM etliche Daten zu den Kosten von Datenpannen zusammengetragen und analysiert. Die untersuchten Datenschutzverletzungen stammen dieses Mal aus 16 Ländern und 17 Branchen.
Die durchschnittlichen Gesamtkosten einer Datenschutzverletzung sind laut Cost of a Data Breach Report 2023 auf ein Allzeithoch von 4,45 Millionen US-Dollar gestiegen, das sind noch einmal 2,3 Prozent mehr als die 4,35 Mio. USD von 2022. Im Vergleich zu 2020 (3,86 Mio. USD) stiegen die Durchschnittskosten sogar um 15,3 Prozent.
Zum 13. Mal in Folge am teuersten sind die Datenpannen im hoch regulierten Gesundheitswesen. Hier kosten sie im Schnitt 10,93 Mio. USD, das sind 53,3 Prozent mehr als noch 2020.
Nur jede dritte Datenschutzverletzung wurde von den internen Teams oder Tools eines Unternehmens entdeckt. 67 Prozent hingegen meldeten freundlich gesonnene Dritte oder die Angreifer selbst. Im letzteren Fall war ein Datenverlust dann auch knapp 1 Million US-Dollar teurer als ein intern entdeckter.
In der Cloud gespeicherte Daten wurden besonders häufig von Cyberangreifern ins Visier genommen. 82 Prozent der Datenschutzverletzungen betrafen in einer Cloud (public, private oder mehrere/hybrid) gesicherte Daten. In 39 Prozent der Fälle erlangten die Angreifer dabei Zugriff auf mehrere Umgebungen, was höhere durchschnittliche Kosten von 4,75 Mio. USD nach sich zog.
Am meisten Geld sparen in Sachen Cybersicherheit können Firmen der Studie zufolge, indem sie Sicherheits-Testing fest bereits in ihre Software-Entwicklung integrieren („DevSecOps“). Unternehmen, die dies bereits beherzigen, kamen im Vergleich zu denen mit geringer oder keiner DevSecOps-Nutzung um 1,68 Mio. USD billiger davon. Auch Planung und Testen von Incident Reponse (IR), also die Reaktion auf Datenpannen, bietet mit 1,49 Mio. USD substanzielles Einsparpotenzial.
Komplexe Sicherheitssysteme machen Datenschutzverletzungen teurer. Unternehmen mit keiner bis geringer Komplexität der Systeme kamen mit 3,84 Mio. USD spürbar günstiger davon. Firmen mit komplexen Security-Systemen hingegen zahlten im Schnitt überdurchschnittlichen 5,28 Mio. USD, was einer Steigerung von 31,6 Prozent entspricht.
Wie schon in früheren Ausgaben des Cost of a Data Breach Report gilt: Je später eine Datenpanne entdeckt wird, desto teurer wird sie. Nach weniger als 200 Tagen entdeckte und eingedämmte kosten im Schnitt 3,93 Mio. USD, Schutzverletzungen mit einem „Breach Lifecycle“ von mehr als 200 Tagen belaufen sich durchschnittlich auf 4,95 Mio. USD – eine Differenz von 23 Prozent.
Regional betrachtet sind Datenschutzverletzungen in den USA mit Abstand am teuersten, hier liegen die Kosten aktuell bei durchschnittlich 9,48 Millionen US-Dollar (2022: 9,44 Mio. USD). Dahinter landen der Nahe Osten mit 8,08 Mio. USD und mit Abstand Kanada (5,13 Mio. USD). Deutschland liegt mit durchschnittlichen Kosten von 4,67 Mio. USD auf Rang 4; Frankreich und Italien belegen mit 4,08 Mio. USD sowie 3,86 Mio. USD die Plätze 7 und 8.
Die häufigsten anfänglichen Angriffsvektoren waren mit 16 und 15 Prozent Phishing und gestohlene bzw. missbräuchlich verwendete Zugangsdaten. Phishing mit 4,76 Mio. USD war nach böswilligen Insidern (4,9 Mio. USD) außerdem der Angriffsvektor mit den zweithöchsten durchschnittlichen Kosten, gefolgt von Business Email Compromise (BEC) mit 4,67 Mio. USD.
Ein Grund mehr, den geschäftskritischen Kommunikationskanal E-Mail so gut wie möglich vor Angriffen zu schützen. Zum Beispiel mit der Secure Email Platform und Email Security von Retarus. Mehr darüber erfahren Sie bei Interesse auf unserer Website oder direkt von Ihrem Ansprechpartner vor Ort.
