Eine Datenschutzverletzung ist ein Sicherheitsvorfall, bei dem unbefugte Parteien Zugriff auf vertrauliche oder sensible erhalten, einschließlich personenbezogener Daten (Sozialversicherungsnummern, Bankkontonummern, Gesundheitsdaten) oder Unternehmensdaten (Kundendatensätze, geistiges Eigentum, Finanzdaten).
Die Begriffe „Data Breach“ und „Breach“ werden häufig synonym mit „Cyberangriff“ verwendet. Aber nicht alle Cyberangriffe sind ein Data Breach – und nicht alle Data Breaches sind Cyberangriffe.
Eine Datenschutzverletzung umfasst nur Sicherheitsverletzungen, bei denen die Vertraulichkeit von Daten beeinträchtigt wird. So ist zum Beispiel ein Distributed-Denial-of-Service-Angriff (DDoS), der eine Website überlastet, keine Datenschutzverletzung. Ein Ransomware-Angriff, bei dem die Kundendaten eines Unternehmens gesperrt werden und damit gedroht wird, sie nur gegen die Zahlung eines Lösegelds freizugeben, ist hingegen eine Datenschutzverletzung. Dies gilt auch für den physischen Diebstahl von Festplatten, USB-Laufwerken oder sogar Papierdateien mit vertraulichen Informationen.
Mit dem neuesten Bericht über die Kosten einer Datenschutzverletzung erhalten Sie Erkenntnisse, um das Risiko einer Datenschutzverletzung besser zu managen.
Registrieren Sie sich für den X-Force Threat Intelligence Index
Laut dem IBM Bericht Kosten einer Datenschutzverletzung 2022 belaufen sich die weltweiten durchschnittlichen Kosten von einer Datenschutzverletzung auf 4,35 Millionen US-Dollar. Die durchschnittlichen Kosten einer Datenschutzverletzung betragen in den USA mehr als das Doppelte, nämlich 9,44 Millionen US-Dollar. 83 % Prozent der im Bericht befragten Unternehmen haben mehr als eine Datenschutzverletzung erlebt.
Unternehmen jeder Größe und Art sind für Sicherheitsverstöße anfällig – Groß- und Kleinunternehmen, öffentliche und private Unternehmen, Bundes-, Landes- und Kommunalbehörden sowie gemeinnützige Organisationen. Besonders schwerwiegend sind die Folgen von einer Datenschutzverletzung jedoch für Unternehmen in Bereichen wie dem Gesundheitswesen, dem Finanzwesen und dem öffentlichen Sektor.
Diese Daten sind äußerst wertvoll (Staatsgeheimnisse, Gesundheitsinformationen von Patienten, Bankkontonummern und Anmeldeinformationen) und im Falle eines Verstoßes drohen diesen Organisationen strenge Bußgelder und Strafen. Dem IBM Bericht zufolge kostete eine Datenschutzverletzung im Gesundheitswesen durchschnittlich 10,10 Millionen US-Dollar – mehr als doppelt so viel wie die durchschnittlichen Kosten für Datenschutzverletzungen.
Die Kosten für eine Datenschutzverletzung sind auf mehrere Faktoren zurückzuführen, von denen einige überraschender sind als andere. Die daraus resultierenden Geschäfts-, Umsatz- und Kundenverluste kosten die Opfer durchschnittlich 1,42 Millionen US-Dollar. Allerdings sind die Kosten für die Erkennung und Eindämmung einer Datenschutzverletzung etwas höher und liegen bei 1,44 Millionen US-Dollar. Die Kosten für die Zeit nach einer Datenschutzverletzung – von Geldstrafen, Schadensersatz und Anwaltsgebühren bis hin zu den Kosten für die Berichterstattung und die kostenlose Kreditüberwachung der betroffenen Kunden – belaufen sich auf durchschnittlich 1,49 Millionen US-Dollar für die Opfer. Berichtsanforderungen im Bereich Datenschutzverletzungen können besonders kostspielig und zeitaufwendig sein.
Datenschutzverletzungen können durch Folgendes verursacht werden:
Finanzieller Gewinn ist die Hauptmotivation für die meisten bösartigen Angriffe. Hacker können Kreditkartennummern, Bankkonten oder andere Finanzdaten stehlen, um Privatpersonen und Unternehmen auf direktem Wege Geld zu entwenden.
Sie könnten personenbezogene Daten – Sozialversicherungsnummern und Telefonnummern – für Identitätsdiebstahl (Aufnahme von Krediten und Eröffnung von Kreditkarten im Namen ihrer Opfer) oder für den Verkauf im Dark Web stehlen, wo sie bis zu 1 USD pro Sozialversicherungsnummer und 2.000 USD für eine Passnummer (Link befindet sich außerhalb von ibm.com) erzielen können. Cyberkriminelle können auch persönliche Zusatzinformationen oder gestohlene Zugangsdaten an andere Hacker im Dark Web verkaufen, die sie für ihre eigenen böswilligen Zwecke verwenden.
Data Breaches können andere Ziele haben. Skrupellose Organisationen können Geschäftsgeheimnisse von Wettbewerbern stehlen. Nationalstaatliche Akteure können in Regierungssysteme eindringen, um Informationen über vertrauliche politische Vorgänge, militärische Operationen oder die nationale Infrastruktur zu stehlen.
Einige Verstöße sind rein destruktiv, d. h. Hacker greifen auf vertrauliche Daten zu, nur um diese zu zerstören oder zu verunstalten. Solche zerstörerischen Angriffe, auf die laut dem Bericht Kosten einer Datenschutzverletzung 2022 17 %der Verletzungen entfallen, sind häufig das Werk von nationalstaatlichen Akteuren oder Hacktivisten-Gruppen, die versuchen, einem Unternehmen Schaden zuzufügen.
Laut dem Bericht „Kosten einer Datenschutzverletzung 2022“ beträgt der durchschnittliche Lebenszyklus einer Datenschutzverletzung 277 Tage. Das bedeutet, dass Unternehmen so lange brauchen, um eine aktive Verletzung zu identifizieren und einzudämmen.
Beabsichtigte Data Breaches, die durch interne oder externe Akteure, von denen eine Sicherheitsbedrohung ausgeht, verursacht werden, folgen demselben Grundmuster:
Böswillige Akteure können verschiedene Angriffsvektoren oder Methoden nutzen, um Datenschutzverletzungen durchzuführen. Einige der häufigsten sind:
Laut dem Bericht Kosten einer Datenschutzverletzung 2022 sind gestohlene oder kompromittierte Zugangsdaten der häufigste erste Angriffsvektor und machen 19 % der Datenschutzverletzungen aus. Hacker können diese Daten stehlen oder kompromittieren, indem sie Brute-Force-Angriffe einsetzen, gestohlene Zugangsdaten im Dark Web kaufen oder Mitarbeiter durch Social-Engineering-Angriffe dazu bringen, ihre Zugangsdaten preiszugeben.
Beim Social Engineering handelt es sich um die psychologische Manipulation von Menschen, um unabsichtlich ihre eigene Informationssicherheit zu gefährden. Phishing, die häufigste Art von Social-Engineering-Angriffen, ist auch der zweithäufigste Angriffsvektor für Datenschutzverletzungen und macht 16 %der Datenschutzverletzungen aus. Phishing-Scams verwenden betrügerische E-Mails, SMS, Social-Media-Inhalte oder Websites, um Benutzer dazu zu verleiten, Zugangsdaten preiszugeben oder Malware herunterzuladen.
Laut dem Bericht Kosten einer Datenschutzverletzung 2022 benötigt ein Unternehmen durchschnittlich 326 Tage, um eine Ransomware-Verletzung zu erkennen und einzudämmen. Dies ist besonders erschreckend, da laut dem X-Force Threat Intelligence Index 2023 die durchschnittliche Zeit bis zur Ausführung von Ransomware von über 60 Tagen im Jahr 2019 auf nur 3,85 Tage im Jahr 2021 gesunken ist. Die durchschnittlichen Kosten einer Ransomware-Verletzung belaufen sich auf 4,54 Millionen US-Dollar – ohne die Lösegeldzahlungen, die sich auf mehrere zehn Millionen Dollar belaufen können.
Cyberkriminelle können sich Zugang zu einem Zielnetzwerk verschaffen, indem sie Schwachstellen in IT-Assets wie Websites, Betriebssystemen, Endpunkten und häufig verwendeter Software wie Microsoft Office oder Webbrowsern ausnutzen. Sobald Hacker eine Sicherheitslücke finden, nutzen sie diese häufig, um Malware in das Netzwerk einzuschleusen. Spyware, die die Tastenanschläge eines Opfers und andere vertrauliche Daten aufzeichnet und an einen von den Hackern betriebenen Befehls- und Steuerungsserver sendet, ist eine häufige Art von Malware, die bei Datenschutzverletzungen eingesetzt wird.
Eine weitere Methode, um direkt in Zielsysteme einzudringen, ist SQL-Injection. Dabei werden Schwachstellen in den SQL-Datenbanken (Structured Query Language) von ungesicherten Websites ausgenutzt. Hacker geben schädlichen Programmcode in das Suchfeld der Website ein und fordern die Datenbank auf, private Daten wie Kreditkartennummern oder persönliche Zusatzinformationen von Kunden zurückzugeben.
Hacker können Fehler von Mitarbeitern ausnutzen, um Zugang zu vertraulichen Informationen zu erhalten. Laut dem Bericht Kosten einer Datenschutzverletzung 2022 von IBM waren fehlerhafte Konfigurationen der Cloud bei 15 % der Datenschutzverletzungen der erste Angriffsvektor. Mitarbeiter können Daten auch Angreifern preisgeben, wenn sie diese an ungesicherten Orten aufbewahren, Geräte mit vertraulichen Informationen auf ihren Festplatten verlegen oder Netzwerkbenutzern versehentlich übermäßige Zugriffsrechte auf Daten gewähren. Cyberkriminelle nutzen möglicherweise auch IT-Ausfälle, etwa vorübergehende Systemausfälle, um sich in vertrauliche Datenbanken einzuschleichen.
Angreifer können das geschäftliche oder private Gerät eines Mitarbeiters stehlen, um Zugriff auf die darin enthaltenen vertraulichen Daten zu erhalten, in Firmenbüros einbrechen, um Papierdokumente und physische Festplatten zu stehlen, oder Skimming-Geräte auf physischen Kredit- und Debitkartenlesern platzieren, um die Zahlungskarteninformationen von Einzelpersonen zu sammeln.
Die folgenden Beispiele verdeutlichen die Bandbreite der Data Breach Ursachen und Kosten.
Standardsicherheitsmaßnahmen – regelmäßige Anfälligkeitsbewertungen, geplante Sicherungen, Verschlüsselung von Daten im Ruhezustand oder in Bewegung, ordnungsgemäße Datenbankkonfigurationen, rechtzeitige Anwendung von Systemen und Software – können dazu beitragen, Datenschutzverletzungen zu verhindern und den Schaden abzumildern, wenn sie auftreten. Heutzutage können Unternehmen jedoch spezifischere Datensicherheitskontrollen, Technologien und Best Practices implementieren, um Datenschutzverletzungen besser zu verhindern und den von ihnen verursachten Schaden zu mindern.
Notfallpläne. Der Notfallplan (IRP) eines Unternehmens – ein Plan zur Erkennung, Eindämmung und Beseitigung von Cyberbedrohungen – ist eine der effektivsten Möglichkeiten, den Schaden einer Datenschutzverletzung zu mindern. Laut dem Bericht Kosten einer Datenschutzverletzung 2022 belaufen sich die durchschnittlichen Kosten einer Datenschutzverletzung für Unternehmen mit regelmäßig getesteten Notfallplänen und dedizierten Notfallteams auf 3,26 Millionen US-Dollar – das sind 2,66 Millionen US-Dollar weniger als die durchschnittlichen Kosten einer Datenschutzverletzung für Unternehmen ohne diese Vorkehrungen.
KI und Automatisierung. Der Bericht Kosten einer Datenschutzverletzung 2022 ergab außerdem, dass Unternehmen, die ein hohes Maß an künstlicher Intelligenz (KI) und Automatisierung für die Bedrohungserkennung und -reaktion einsetzen, durchschnittlich 55,3 % geringere Kosten für Datenschutzverletzungen haben als Unternehmen, die diese Technologien in geringerem Umfang einsetzen. Technologien wie Security Orchestration, Automation and Response (SOAR), User and Entity Behaviour Analytics(UEBA), Endpoint Detection and Response(EDR) und Extended Detection and Response (XDR) nutzen KI und fortschrittliche Analysen, um Bedrohungen frühzeitig zu erkennen (noch bevor sie zu Datenschutzverletzungen führen) und bieten Automatisierungsfunktionen, die eine schnellere, kostensparende Reaktion ermöglichen.
Schulung der Mitarbeiter. Da Social-Engineering- und Phishing-Angriffe die Hauptursachen für Datenschutzverletzungen sind, kann die Schulung von Mitarbeitern zur Erkennung und Vermeidung dieser Angriffe das Risiko einer Datenschutzverletzung für ein Unternehmen verringern. Darüber hinaus kann die Schulung von Mitarbeitern im richtigen Umgang mit Daten dazu beitragen, versehentliche Datenschutzverletzungen und Datenlecks zu verhindern.
Identity und Access Management (IAM). Starke Kennwortrichtlinien, Kennwortmanager, Zwei-Faktor-Authentifizierung (2FA) oder Multi-Faktor-Authentifizierung (MFA), Single Sign On (SSO) und andere Technologien von Identity und Access Management (IAM) können Unternehmen dabei unterstützen, sich besser gegen Hacker zu schützen, die gestohlene oder gefährdete Zugangsdaten verwenden, den häufigsten Angriffsvektor für Datenschutzverletzungen.
Ein Zero-Trust-Sicherheitskonzept. Ein Zero-Trust-Sicherheitskonzept ist ein Ansatz, bei dem allen Benutzern oder Entitäten niemals vertraut wird und sie ständig überprüft werden, unabhängig davon, ob sie sich außerhalb oder bereits innerhalb des Netzwerks befinden. Konkret erfordert Zero-Trust:
Diese Steuerelemente können dazu beitragen, Datenschutzverletzungen und andere Cyberangriffe zu verhindern, indem sie diese von vornherein erkennen und stoppen und die Bewegungen und das Fortschreiten von Hackern und Angriffen, die Zugang zum Netz erhalten, einschränken.
Eine moderne, verbundene Sicherheitssuite hilft Ihnen dabei, Angreifer zu überlisten. Das QRadar-Portfolio ist mit auf Unternehmen abgestimmter KI ausgestattet und bietet integrierte Produkte für Endpunktsicherheit, Protokollmanagement, SIEM und SOAR – mit einer gemeinsamen Benutzeroberfläche, gemeinsamen Erkenntnissen und vernetzten Workflows.
IBM Datensicherheitslösungen, die lokal oder in einer Hybrid Cloud implementiert werden, bieten Ihnen mehr Transparenz und Erkenntnisse, um Cyberbedrohungen zu untersuchen und zu beheben, Echtzeitkontrollen durchzusetzen und Compliance-Anforderungen zu handhaben.
Proaktive Bedrohungssuche, kontinuierliche Überwachung und eine gründliche Bedrohungsuntersuchung sind nur einige der Prioritäten, mit denen eine ohnehin schon ausgelastete IT-Abteilung konfrontiert ist. Ein vertrauenswürdiges Notfallteam in Bereitschaft kann Ihre Reaktionszeit verkürzen, die Auswirkungen eines Cyberangriffs minimieren und Ihnen dabei helfen, sich schneller zu erholen.
Schützen Sie die primären und sekundären Speichersysteme Ihres Unternehmens proaktiv vor Ransomware, menschlichem Versagen, Naturkatastrophen, Sabotage, Hardwareausfällen und anderen Risiken des Datenverlusts.
Hier erhalten Sie die neuesten Erkenntnisse über die immer größer werdende Bedrohungslandschaft und Empfehlungen, wie Zeit gespart und Verluste begrenzt werden können.
CISOs, Sicherheitsteams und Führungskräfte: Hier erhalten Sie verwertbare Erkenntnisse, die Ihnen zeigen, wie Angreifer vorgehen und wie Sie Ihr Unternehmen proaktiv schützen können.
Erfahren Sie, wie Ransomware funktioniert, warum sie sich in den letzten Jahren stark verbreitet hat und wie Unternehmen sich dagegen wehren können.