Beim Thema Cybersicherheit im Jahr 2020 denkt natürlich sofort jeder an die COVID-19-Pandemie. Diese nie dagewesene Krise und die digitale Transformation, die sie beschleunigt hat, haben sowohl die Angriffsflächen der Unternehmen vergrößert als auch Ressourcen und Aufmerksamkeit von wichtigen Sicherheitsprojekten abgelenkt. Wenn wir uns also die IBM-Studie „Cost of a Data Breach Report 2021“, ansehen, die ein Allzeithoch bei den Kosten von Datenschutzverletzungen feststellt, dann ist es verlockend, COVID-19 dafür verantwortlich zu machen. Aber es ist nicht das vollständige Bild.
Abgesehen von 2020 steigen die Kosten für Datenlecks schon seit mehreren Jahren. Obwohl der Anstieg im letzten Jahr außergewöhnlich groß war, ist klar, dass viele Unternehmen trotz der hohen Ausgaben für Sicherheit immer noch nicht die gewünschten Ziele erreichen.
Datenschutzverletzungen im Jahr 2020
In ihrer 17. Ausgabe bietet die IBM-Studie nützliche Einblicke in die Leistungsfähigkeit von Unternehmen beim Auffinden, Eindämmen und Beheben von Sicherheitsvorfällen – denn je länger ein Vorfall unentdeckt bleibt, desto teurer wird er in der Regel. Diese Kosten werden vier Schlüsselbereichen zugeordnet:
Erkennung und Eskalation – einschließlich Forensik, Auditing, Krisenmanagement und Kommunikation.
Entgangenes Geschäft – dies schließt Systemausfallzeiten, Betriebsunterbrechungen, verlorene Kunden und Rufschädigung ein. Im Zeitraum Mai 2020 bis März 2021 entstanden in diesem Bereich die meisten Kosten für Sicherheitsverletzungen (38%).
Benachrichtigung – von betroffenen Personen, Aufsichtsbehörden und externe Experten.
Reaktion nach Sicherheitsverletzungen – einschließlich Helpdesk-Problemen, Kreditüberwachung für Kunden, Ausstellung neuer Konten/Kreditkarten, Rechtskosten, Produktrabatte und behördliche Geldbußen.
Insgesamt stiegen die durchschnittlichen Kosten für Datenschutzverletzungen von 3,86 Millionen US-Dollar im letztjährigen Bericht auf 4,24 Millionen US-Dollar – das ist ein Anstieg um 10%. Bei „Mega-Verstößen“ mit 50-65 Millionen Datensätzen beliefen sich die durchschnittlichen Kosten auf 401 Millionen US-Dollar, ein Anstieg von 2% gegenüber den 392 Millionen US-Dollar im Vorjahr.
Laut der Studie waren gestohlene Anmeldeinformationen die häufigste Ursache für Sicherheitsverletzungen. In 44% der Sicherheitsverletzungen wurden personenbezogene Daten von Kunden (einschließlich Passwörtern und Namen) offengelegt oder gestohlen. Es ist nicht schwer, den Zusammenhang zu erkennen: Je mehr Benutzer ihre Passwörter über mehrere Konten hinweg teilen und wiederverwenden, desto mehr entsteht ein Teufelskreis, in dem offengelegte Daten dazu verwendet werden, um mehr Einbrüche und Datendiebstähle zu begehen.
Der Anteil der Pandemie
Es besteht absolut kein Zweifel daran, dass die Pandemie eine wichtige Rolle beim starken Anstieg Kostenanstieg für Sicherheitsverletzungen von 2020-21 gespielt hat. Unsichere Arbeitsplätze im Homeoffice, abgelenkte Heimarbeiter, stark geforderte IT-Mitarbeiter und nicht gepatchte oder falsch konfigurierte Remote-Arbeitsinfrastrukturen führten zu einer Zunahme von Sicherheitsverletzungen und haben möglicherweise die Kosten dieser Vorfälle in die Höhe getrieben. Fast 20 % der in dem Bericht untersuchten Unternehmen gaben an, dass Remote-Arbeit ein Faktor für Sicherheitsverletzungen sei. Jeder dieser Vorfälle kostete im Durchschnitt 4,96 Millionen US-Dollar, fast 15 % mehr als der Durchschnitt.
Die Studie zeigte auch, dass im Gesundheitswesen die mit Abstand höchsten Kosten für Sicherheitsverletzungen entstanden. Diese stiegen im vergangenen Jahr noch stärker als im Durchschnitt. Die Kosten stiegen von durchschnittlich 7,13 Millionen US-Dollar im Jahr 2020 auf 9,23 Millionen US-Dollar im Jahr 2021, ein Plus von 29,5%. Es ist kein Zufall, dass Gesundheitsorganisationen während der Pandemie zu den am stärksten von Cyberangriffen betroffenen Organisationen zählten.
Das größere Bild
Seit 2017 sind die Kosten für Sicherheitsverletzungen stetig gestiegen, bevor sie im Jahr 2020 leicht gesunken sind. Auch die Kosten für große Datenschutzverletzungen sind in den letzten drei Jahren stetig gestiegen und zeigten zwischen 2020 und 21 keinen größeren Anstieg. Wieso? Ein wichtiger Faktor ist, dass Unternehmen bei der Erkennung von Sicherheitsproblemen und der Reaktion darauf nicht besser werden. Im Jahr 2021 dauerte es durchschnittlich 287 Tage, um eine Datenschutzverletzung zu erkennen und einzudämmen, eine ganze Woche länger als im vorherigen Bericht. Auch diese Zahl ist seit 2017 kontinuierlich gestiegen, kann also nicht einfach durch die Pandemie erklärt werden, obwohl der explosionsartige Anstieg von Remote-Arbeitsplätzen die Aufdeckung von Bedrohungen möglicherweise erschwert hat.
Einfach ausgedrückt, je länger Bedrohungsakteure ungehindert in den angegriffenen Netzwerken agieren, desto mehr Schaden können sie anrichten und desto mehr Zeit und Geld kostet es, sie rauszuschmeißen und die Schäden zu beheben.
Auch Ransomware ist ein Faktor, der zu den steigenden Kosten beiträgt. Schon seit Jahren steigen hier die Angriffszahlen. Neue verdeckte seitliche Ausbreitungstechniken mit legitimen Tools steigern die Erfolgsraten der Cyberkriminellen und führten im Beobachtungszeitraum zu durchschnittlichen Kosten von 4,62 Millionen US-Dollar. Das sind höhere Kosten als bei einer durchschnittlichen Datenschutzverletzung entstehen.
Der Business Email Compromise (BEC) verursachte, laut dem US-amerikanischen FBI im Jahr 2020 mehr finanzielle Verluste als jede andere Bedrohung. Die durchschnittlichen Kosten eines BEC-Angriffs betragen laut der Studie des Ponemon Institute 5,01 Millionen US-Dollar. Falls Organisationen keine besseren Methoden zur Verhinderung von Phishing und Betrug finden, werden die Kosten für Sicherheitsverletzungen im Zusammenhang mit BEC weiter steigen.
So senken Sie die Kosten von Sicherheitsverletzungen
Der Bericht enthält viele Informationen, die Unternehmen und ihre CISOs proaktiv nutzen können, um Verstöße und die damit verbundenen Kosten zu reduzieren. Es überrascht nicht, dass die Kosten für diejenigen mit einer gründlicheren Aufstellung beim Thema Sicherheit viel niedriger waren. Aber wie kommt man dorthin? Die sind einige Empfehlungen:
- Verfolgen Sie einen Zero-Trust-Ansatz an, der auf dem Prinzip „Niemals vertrauen, immer überprüfen“ basiert. Die durchschnittlichen Kosten für Sicherheitsverletzungen für diejenigen ohne Zero Trust betrugen 5,04 Millionen US-Dollar gegenüber 3,28 Millionen US-Dollar für diejenigen, die sich in einem ausgereiften Stadium des Zero Trust-Deployments befanden.
- Implementieren Sie eine Verschlüsselung für Ihre sensibelsten Daten. Die durchschnittlichen Kosten einer Sicherheitsverletzung ohne Verschlüsselung betrugen 4,87 Millionen US-Dollar gegenüber 3,62 Millionen US-Dollar mit Verschlüsselung.
- Nutzen Sie Tools, um alle Endpoints aus der Ferne zu überwachen und zu sichern, einschließlich der Heimarbeiter.
- Verbesserung der Schulung und Sensibilisierung aller Mitarbeiter, um Phishing-Angriffe besser erkennen zu können.
- Optimieren Sie Erkennung und Reaktion auf Sicherheitsvorfälle mit Tools wie EDR.
- Entwickeln und testen Sie regelmäßig umfassende Incident-Response-Pläne, damit Sie schnell auf akute Vorfälle reagieren können.
Die Pandemie hat die Arbeitsweise von Unternehmen für immer verändert und die Bedrohungslandschaft neu geformt. Unternehmen müssen sich an die neuen Realitäten anpassen und ihre Sicherheitsvorkehrungen einer Prüfung unterziehen, um sicherzustellen, dass die Zahl und die Kosten von Sicherheitsvorfällen in den kommenden Jahren nicht weiter steigen.