Datenschutz

Studie zu den weltweiten Kosten durch Datenschutzverletzungen

Je schneller Datenschutzverletzungen in einem Unternehmen erkannt werden, desto günstiger wird deren Behebung. Doch welche Branchen und Länder waren im letzten Jahr am häufigsten betroffen, und wie können die Kosten möglichst klein gehalten werden?

Für die von IBM Security in Auftrag gegebene und vom Ponemon Institute LLC durchgeführte Studie „Studie 2018 - Kosten von Datenschutzverletzungen: Globaler Überblick“ wurden Interviews mit mehr als 2.200 Experten im Bereich IT, Datenschutz und Compliance aus 477 Unternehmen und 17 Branchen geführt. Die Befragten stammen aus 15 Ländern, darunter das Vereinigte Königreich, die Vereinigten Staaten, Asien, Australien, der Mittlere Osten, Frankreich, Italien und Deutschland. Alle wurden zu Datenpannen in ihren Unternehmen in den letzten 12 Monaten befragt.

Grundsätzlich kann gesagt werden, dass die globalen Kosten für Datenschutzverletzungen gestiegen sind. Die durchschnittlichen Gesamtkosten bei einer Datenpanne stiegen um 6,4 Prozent und auch die durchschnittliche Größe eines Datenverstoßes (Anzahl der Daten, die verloren gingen oder gestohlen wurden) stieg um 2,2 Prozent. Datenschutzverletzungen sind in den Vereinigten Staaten und im Nahen Osten am kostspieligsten und in Brasilien und Indien am kostengünstigsten. Die durchschnittlichen Gesamtkosten eines Datenlecks betrugen in den Vereinigten Staaten 7,91 Mio. USD und 5,31 Mio. USD im Mittleren Osten. Die niedrigste Durchschnittssumme lag bei 1,24 Mio. USD in Brasilien und 1,77 Mio. USD in Indien.

Welche Branchen sind am häufigsten von Datenschutzverletzungen betroffen?

Laut der Studie trifft es an erster Stelle Unternehmen aus dem Bereich Finanzdienstleistungen (77 von 477 befragten Unternehmen), gefolgt von allgemeinen Dienstleistungen (71), industrieller Fertigung (66), Technologie (62) sowie – schon recht weit abgeschlagen - dem Handel (35). Am wenigsten betroffen sind die Bereiche Bildung, Unterhaltung sowie Forschung. Hier waren es jeweils nur 3 Unternehmen. 
Diese Zahlen sagen jedoch nichts über die Kosten, die durch Datenvorfälle für die einzelnen Branchen entstehen, aus. Stark regulierte Bereiche wie das Gesundheitswesen oder Finanzinstitute haben mit bedeutend höheren Kosten zu rechnen als zum Beispiel der öffentliche Sektor, Forschung, Medien oder Transportunternehmen. Als Beispiel sei das Gesundheitswesen mit Pro-Kopf-Kosten von 406 USD genannt. Im Vergleich dazu liegen die Kosten im öffentlichen Sektor bei 75 USD.

 

Welche Länder haben die meisten Datenschutzverletzungen?

Der Mittlere Osten ist mit 36.451 Datenschutzverletzungen am stärksten betroffen. Indien landet an zweiter Stelle mit 34.110 und die Vereinigten Staaten mit 31.465 Datenlecks. Zu den geringsten Vorfällen kam es in Japan mit 19.200 und Australien mit 19.442 Datenpannen. 

 

Wer oder was verursachte die meisten Datenschutzverletzungen?

48 Prozent aller Verstöße in der diesjährigen Studie wurden durch Angriffe von Hackern oder kriminellen Insidern verursacht. Die durchschnittlichen Kosten pro Datensatz, um einen solchen Angriff zu beseitigen, liegen bei 157 USD, während Systemfehler 131 USD pro Datensatz und menschliches Versagen oder Fahrlässigkeit 128 USD pro Datensatz kosten.
Unternehmen in den Vereinigten Staaten und Kanada gaben die meisten Mittel für die Behebung der Auswirkungen eines bösartigen oder kriminellen Angriffs aus (258 USD und 213 USD pro Datensatz). Brasilien und Indien investierten deutlich weniger (73 USD bzw. 76 USD pro Datensatz).
Laut der Studie liegen 27 Prozent der Datenschutzverletzungen menschliches Versagen und 25 Prozent Systemfehler zugrunde.

 

Wer gibt am meisten für die Reaktion auf Datenschutzverletzungen aus?

Zu den Reaktionsaktivitäten nach Datenschutzverletzungen gehören zum Beispiel Helpdesk-Aktivitäten, Inbound-Kommunikation, Sonderermittlungen, Abhilfemaßnahmen, Sonderrabatte, Rechtskosten oder regulatorische Maßnahmen.  
Hier geben die Vereinigten Staaten und der Mittlere Osten die meisten Mittel aus. In den Vereinigten Staaten betrugen die Kosten 1,76 Mio. USD, im Mittleren Osten 1,47 Mio. USD. 

 

Gefahr erkannt, Gefahr gebannt

Je schneller ein Datenverstoß erkannt und eingedämmt werden kann, desto geringer sind die Kosten. Bereits im vierten Jahr berichtet die Studie über den Zusammenhang zwischen der Geschwindigkeit, mit der ein Unternehmen Datenpannen identifizieren kann, und den finanziellen Folgen. 
Bei den befragten 477 Unternehmen liegt der durchschnittliche Zeitraum zur Identifizierung des Problems bei 197 Tagen. Die durchschnittliche Zeit, bis die Gefahr gebannt werden kann, beträgt 69 Tage. Beide Werte sind am höchsten bei bösartigen, kriminellen Angriffen und um einiges niedriger bei Datenverstößen, die durch menschliches Versagen verursacht werden. Unternehmen, die einen Verstoß in weniger als 100 Tagen identifizieren, sparen mehr als 1 Million Dollar ein, verglichen mit denen, die mehr als 100 Tage benötigen. 
Ebenso sparen Unternehmen, die ein Datenleck in weniger als 30 Tagen eindämmen können, über 1 Million USD im Vergleich zu denen, die es nicht in diesem Zeitraum schaffen.
 
Was kann helfen?
Ein „Incident Response Team“ sowie der umfassende Einsatz von Verschlüsselungsmethoden können die Kosten im Falle einer Datenschutzverletzung verringern. Laut der Studie reduzierte ein Incident Response Team die Kosten um bis zu 14 USD pro kompromittiertem Datensatz. Ebenso reduzierte der umfangreiche Einsatz von Verschlüsselung die Kosten um 13 USD pro Kopf. 
Werden jedoch Dritte mit an Bord geholt, erhöhen sich die Kosten um 13,4 USD pro Datensatz. 

Mehr zum Thema Datenschutz