Die durchschnittlichen Kosten einer Datenpanne sind in Deutschland um 12,6 Prozent auf 3,88 Millionen Euro und weltweit um 6,4 Prozent auf 3,86 Millionen Dollar gestiegen. Das ist das Ergebnis der Studie „Cost of a Data Breach“, die das Ponemon Institut im Auftrag von IBM durchgeführt hat. Demnach fallen besonders versteckte Kosten ins Gewicht, etwa verlorene Geschäftschancen, negative Auswirkungen auf die Reputation und für die Wiederherstellung aufgewendete Arbeitsstunden.

Im Rahmen der seit 2012 jährlich durchgeführten Studie analysieren die Marktforscher Hunderte von Kostenfaktoren rund um Datenpannen. Dieses Jahr hat das Ponemon Institut weltweit fast 500 Unternehmen befragt, die von einer Datenpanne betroffen waren, darunter 35 aus Deutschland. 2018 hat das Ponemon Institut in der Studie auch erstmals die Kosten in Verbindung mit sogenannten „Mega-Datenpannen, also Datenpannen, bei denen zwischen einer und 50 Millionen Datensätze betroffen sind, berechnet. Die Zahl der Mega-Datenpannen hat sich in den letzten Jahren von neun im Jahr 2013 auf 16 im Jahr 2017 fast verdoppelt, so IBM weiter.

Aufgrund der geringen Fallzahlen fokussiert sich die Studie jedoch eher auf Datenpannen mit etwa 2.500 bis 100.000 verlorenen Datensätzen. Rund die Hälfte der Datenpannen sind laut IBM auf böswillige oder kriminelle Angriffe zurückzuführen. Zudem müssen betroffene Unternehmen pro verlorenen Datensatz rund 156 Euro investieren – ein Kostenanstieg um 4,6 Prozent.

Basierend auf der Analyse von 11 Unternehmen, die innerhalb der letzten zwei Jahre eine Mega-Datenpanne erlitten haben, versucht die Studie unter Zunahme von statistischen Modellen die Kosten für eine solche Datenpanne zu ermitteln. Dabei kommt der Hersteller zu folgenden Ergebnissen:

  • Durchschnittlich verursacht eine Datenpanne mit einer Million betroffenen Datensätzen beinahe 40 Millionen Dollar an Kosten,
  • wenn 50 Millionen Datensätze betroffen sind, betragen die geschätzten Kosten rund 350 Millionen Dollar,
  • die überwiegende Mehrheit dieser Datenpannen (zehn von elf) beruhten auf böswilligen und kriminellen Angriffen (im Gegensatz zu technischen Störungen oder menschlichem Versagen) und
  • es dauerte durchschnittlich 365 Tage, bis eine Mega-Datenpanne erkannt und eingedämmt wurde – fast 100 Tage mehr als bei kleineren Datenpannen (266 Tage).

Als größten Kostenfaktor bei Pannen mit bis zu 50 Millionen verlorenen Datensätzen identifiziert die Studie verlorene Geschäftschancen. Diese belaufen sich laut Schätzungen auf fast 118 Millionen Dollar, was somit ein Drittel der Gesamtkosten ausmacht. Zudem hat IBM die öffentlich gemeldeten Kosten mehrere bekannter Mega-Datenpannen analysiert und festgestellt, dass diese oft unter den in der Studie ermittelten durchschnittlichen Kosten liegen. Der Hersteller begründet dies damit, dass sich die öffentlich ausgewiesenen Kosten oft auf direkte Kosten beschränken, etwa Technik und Dienstleistungen, um die Folgen der Datenpanne in den Griff zu bekommen.

Kosten einer Datenpanne reduzieren

Vor allem der Zeitraum, bis ein Datenleck identifiziert und eingedämmt werden kann, wirkt sich stark auf die Kosten aus, so die Studie. Techniken, die die Reaktionszeit verkürzen, sollen hingegen dabei helfen, die Kosten zu senken. Im Durchschnitt brauchen Unternehmen 197 Tage, um eine Datenpanne zu identifizieren (Deutschland 138 Tage), und 69 Tage (Deutschland 41 Tage), um diese einzudämmen. Gelingt es einem Unternehmen, eine Datenpanne in weniger als 30 Tage einzudämmen, sind Einsparungen von über einer Million Dollar im Vergleich zu Unternehmen möglich, die mehr als 30 Tage dafür benötigen.

Ebenso die Anzahl verlorener oder gestohlener Datensätze wirkt sich auf die Kosten einer Datenpanne aus, so IBM. In Deutschland fallen Kosten von durchschnittlich 156 Euro pro Datensatz an. Sind diese verschlüsselt, lassen sich laut Studie 14,30 Euro pro kompromittierten Datensatz einsparen. Der Einsatz eines Incident Response Teams spart 12,80 Euro pro Datensatz ein. Eine KI-Plattform für Cyber-Sicherheit helfe zudem, die Kosten pro verlorenen oder gestohlenen Datensatz um 8,70 Euro zu senken. Haben Unternehmen Probleme im Bereich Compliance müssen sie hingegen mit höheren Kosten von 13,50 Euro pro Datensatz rechnen.

Darüber hinaus kommt die Studie zu dem Ergebnis, dass der Einsatz von automatisierten Sicherheitstechniken, etwa künstliche Intelligenz, Machine Learning, Analytics und Orchestrierung, dazu beitragen können, die Kosten zu senken. Die Analyse ergab, dass Unternehmen, die im großen Umfang automatisierte Sicherheitstechniken eingesetzt hatten, über 1,5 Millionen Dollar bei den Gesamtkosten einer Datenpanne einsparen konnten. Bei ihnen lagen die durchschnittlichen Kosten bei 2,88 Millionen Dollar im Vergleich zu 4,43 Millionen Dollar bei Organisationen, die keine Sicherheitsautomatisierung eingesetzt hatten.

Weitere Informationen finden sich unter www.ibm.com. Die komplette Studie findet sich unter www.ibm.com/security/data-breach/ zum Download.

Timo Scheibe ist Redakteur bei der LANline.