Im zwanzigsten Jahr in Folge haben die Marktforscher des Ponemon Institute die Kosten einer Datenschutzverletzung in Unternehmen ermittelt. Die Ergebnisse hat Sponsor IBM im „Cost of a Data Breach Report 2025“ veröffentlicht. Dieser untersucht erstmals auch die mit KI verbundenen Risiken.
Zuerst die gute Nachricht: Zum ersten Mal überhaupt sind die durchschnittlichen Kosten einer Datenpanne global gesunken, und zwar auf 4,44 Millionen US-Dollar. Das entspricht einem Minus von neun Prozent gegenüber den 4,88 Mio. USD im Jahr 2024 und ist vor allem der Tatsache geschuldet, dass Sicherheitsverletzung dank KI und Automatisierung schneller erkannt und eingedämmt wurden. Der weltweite Wert wäre noch stärker gesunken, gäbe es nicht einen gegenläufigen Trend in den USA. Dort stiegen die durchschnittlichen Kosten um neun Prozent auf 10,22 Mio. USD. Als Ursachen führt der Report unter anderem höhere behördliche Bußgelder sowie höhere Kosten für Erkennung und Eskalation an.
KI: ein zweischneidiges Schwert
Und nun zur KI: Phishing-Kampagnen und andere Social-Engineering-Angriffe lassen sich damit perfektionieren. IBM schätzt, dass sich mit generativer KI die Zeit für die Erstellung einer überzeugenden Phishing-E-Mail von früher 16 Stunden auf nur mehr fünf Minuten verringert hat. Im aktuellen Bericht setzen Angreifer dann auch bereits bei 16 Prozent der Datenschutzverletzungen KI ein, am häufigsten für KI-generierte Phishing-Angriffe (37 Prozent) sowie Deepfake-Impersonation-Angriffe (35 Prozent).
Ponemon hat für den Cost of a Data Breach Report 2025 übrigens knapp 3500 Führungskräfte aus dem Sicherheitsbereich und der Geschäftsleitung von 600 Unternehmen aus 17 Branchen und 16 Ländern befragt, die zwischen März 2024 und Februar 2025 von Datenschutzverletzungen betroffen waren und bei denen zwischen 2960 und 113.620 Datensätze kompromittiert wurden.
„Schatten-KI“ kann teuer werden
Doch zurück zu KI: 13 Prozent der erfassten Angriffe betrafen aktuell KI-Modelle und – Anwendungen. Und in fast allen Fällen (97 Prozent) fehlten dabei angemessene Zugriffskontrollen. Die meisten Attacken erfolgten hier über die Supply Chain (kompromittierte Apps, APIs, Plug-ins etc.) und führten zu weiterreichendem Datenabfluss (60) Prozent und Betriebsunterbrechungen (31 Prozent). Ponemon und IBM deuten dies dahingehend, dass KI sich voraussichtlich zu einem lukrativen Ziel entwickelt.
63 Prozent der befragten Firmen haben bislang keine KI-Richtlinie oder sind noch dabei eine zu entwickeln. In weniger als der Hälfte der Unternehmen gibt es einen Genehmigungsprozess für den Einsatz von KI, 62 Prozent haben keine angemessene Zugangskontrolle, und nur 34 Prozent führen regelmäßige Prüfungen auf nicht genehmigte KI durch. „Schatten-KI“ verteuerte Sicherheitsverletzungen übrigens im Schnitt um gut 200.000 USD und führte außerdem zu mehr Pannen mit persönlichen Daten (65 Prozent) sowie geistigem Eigentum (40 Prozent).
E-Mail Security bleibt unverzichtbar
Die höchsten durchschnittlichen Kosten unter den „traditionellen“ Angriffsvektoren verursachten im zweiten Jahr in Folge böswillige Insider mit 4,92 Mio. USD, dicht gefolgt von Kompromittierung von Drittanbieter und Lieferkette (4,91 Mio. USD). Teuer wurden überdies Angriffe über ausgenutzte Schwachstellen und Phishing. Phishing mit durchschnittlichen Breach-Kosten von 4,8 Mio. USD war im Übrigen der mit 16 Prozent häufigste Angriffsvektor. Dieser Trend unterstreicht einmal mehr die Notwendigkeit, den geschäftskritischen Kommunikationskanal E-Mail möglichst wirkungsvoll zu schützen.
Den vollständigen Cost of a Data Breach Report 2025 können Interessierte gegen Registrierung herunterladen.
