Laut dem Cost of a Data Breach Report 2021, der von IBM und dem Ponemon Institute veröffentlicht wurde, stiegen die durchschnittlichen Kosten einer Datenpanne im Jahr 2021 um besorgniserregende 10 % und erreichten 4,24 Millionen US-Dollar, gegenüber 3,86 Millionen US-Dollar im Jahr 2020. Dies sind die höchsten durchschnittlichen Kosten für eine Datenpanne, die der Bericht in den 17 Jahren seit seiner jährlichen Veröffentlichung verzeichnet hat.
Unternehmen in den Vereinigten Staaten wiesen mit 9,05 Millionen Dollar pro Verstoß die höchsten Durchschnittskosten auf, gefolgt vom Nahen Osten mit 6,93 Millionen Dollar. Geschäftseinbußen waren mit 38 % der durchschnittlichen Gesamtkosten nach wie vor der größte Kostenfaktor und umfassten Geschäftsunterbrechungen und Umsatzeinbußen durch Systemausfälle, den Verlust bestehender und neuer Kunden sowie Reputationsschäden. Die durchschnittliche Zeit, die Unternehmen benötigten, um eine Datenschutzverletzung aufzudecken und einzudämmen, betrug 287 Tage, wobei es im Durchschnitt 212 Tage dauerte, bis ein Unternehmen feststellte, dass eine Verletzung stattgefunden hatte.
Persönlich identifizierbare Kundeninformationen (PII), die unter die Datenschutzbestimmungen fallen, wurden bei 44 % aller Datenschutzverletzungen kompromittiert und sind damit die am häufigsten verloren gegangenen oder gestohlenen Daten. Kunden-PII waren auch die teuerste Art von Daten, die bei einer Datenschutzverletzung kompromittiert wurden, mit durchschnittlich 180 Dollar pro Datensatz. Geistiges Eigentum kostete dagegen 169 Dollar pro gestohlenem oder verlorenem Datensatz.
Der Bericht untersuchte auch die Auswirkungen von Homeoffice auf Datenverletzungen, die während der Pandemie auftraten. Vorfälle, bei denen Remote-Arbeit ein Faktor bei der Verletzung war, führten zu Gesamtkosten von 4,96 Millionen Dollar, 24,2 % mehr als wenn Remote-Arbeit keine Rolle bei der Verletzung spielte.
Erste Angriffsvektoren bei Datenschutzverletzungen
In diesem Jahr kategorisierten IBM und das Ponemon Institute Datenverletzungen in zehn anfängliche Angriffsvektoren und verzichteten auf die größeren allgemeinen Ursachen, die in den Vorjahren verwendet wurden. Der häufigste anfängliche Angriffsvektor im Jahr 2021 waren kompromittierte Anmeldedaten, die für 20 % der Sicherheitsverletzungen, dicht gefolgt von Phishing mit 17 % und Cloud-Fehlkonfiguration mit 15 %.
Die Kompromittierung von Geschäfts-E-Mails war nur für 4 % der Datenschutzverletzungen verantwortlich, verursachte aber die höchsten durchschnittlichen Gesamtkosten eines Angriffsvektors: 5,01 Millionen US-Dollar pro Verletzung. Phishing war nicht nur ein beliebter, sondern auch ein teurer Angriffsvektor für Unternehmen, der mit durchschnittlich 4,65 Millionen US-Dollar pro Verstoß die zweithöchsten Kosten verursachte. Böswillige Insider, auf die 8 % aller Datenschutzverletzungen entfielen, verursachten mit 4,61 Millionen US-Dollar die dritthöchsten durchschnittlichen Gesamtkosten.
Insider, die Opfer von Phishing- und Social-Engineering-Angriffen wurden, sich als böswillig entpuppten oder durch Unfälle Datenverluste erlitten, waren für 33 % aller Datenschutzverletzungen im Jahr 2021 verantwortlich.
Kosten nach Branche
Im Jahr 2021 verzeichnete die Gesundheitsbranche weiterhin die höchsten durchschnittlichen Gesamtkosten aller Branchen und erreichte 9,23 Millionen US-Dollar pro Datenschutzverletzung, was einem Anstieg von 29,5 % gegenüber 2020 entspricht. Das Gesundheitswesen ist nun schon elf Jahre in Folge die Branche mit den höchsten durchschnittlichen Gesamtkosten. Es folgten Finanzinstitute mit 5,72 Mio. $/Datenverletzung und Pharmaunternehmen mit 5,04 Mio. $/Datenverletzung. Beide Branchen haben ihre Gesamtkosten gegenüber 2020 nur geringfügig gesenkt.
Im Jahr 2021 kam es in mehreren Branchen zu einem schockierenden Anstieg der Kosten für Datenverletzungen. In der Medienbranche verdoppelten sich die durchschnittlichen Gesamtkosten fast und erreichten 3,17 Mio. $/Verletzung, was einem Anstieg von 92,1 % gegenüber 2020 entspricht. Der öffentliche Sektor verzeichnete einen Anstieg um 78,7 % auf 1,93 Mio. $/Verletzung, und das Gastgewerbe verzeichnete einen sprunghaften Anstieg um 76,2 % gegenüber 2020 auf durchschnittlich 3,03 Mio. $/Verletzung.
Das Jahr war jedoch auch nicht ohne Erfolgsgeschichten. Die Energiebranche konnte ihre Kosten für Datenschutzverletzungen eindämmen und die durchschnittlichen Gesamtkosten gegenüber 2020 um 27,2 % auf 4,65 US-Dollar im Jahr 2021 senken.
Die Kosten der Nichteinhaltung von Vorschriften
In dem Bericht wurden zum ersten Mal die mit der Nichteinhaltung von Vorschriften verbundenen Kosten untersucht. Von einer Auswahl von 25 Kostenfaktoren, die mit den Kosten von Datenschutzverletzungen in Verbindung stehen, erwies sich die Nichteinhaltung von Vorschriften als der kostensteigernde Faktor Nummer eins, was die zunehmende Bedeutung von Datenschutzgesetzen wie DSGVO, CCPA und HIPAA für die Kosten von Datenschutzverletzungen zeigt.
Unternehmen, die in hohem Maße von Compliance-Verstößen betroffen waren, die zu Geldstrafen, Bußgeldern und Gerichtsverfahren führten, hatten mit durchschnittlichen Kosten von 5,65 Mio. USD/Verstoß zu kämpfen, während Unternehmen mit geringen Compliance-Verstößen mit Kosten von 3,35 USD/Verstoß konfrontiert waren, also 51,1 % weniger.
Der Bericht zeigt auch, dass Unternehmen in einem strengeren regulatorischen Umfeld auch in späteren Jahren nach einem Datenschutzverstoß noch Kosten anfallen. In weniger regulierten Branchen fielen 68 % der Kosten in den ersten 12 Monaten an, während es in stark regulierten Branchen nur 46 % waren. Der Großteil der Kosten in stark regulierten Branchen verteilte sich auf das zweite Jahr und später, als die Aufsichtsbehörden Bußgelder verhängten und Klagen eingereicht und beigelegt wurden.
Fazit
Da die Pandemie die Sicherheitsvorkehrungen geschwächt hat und die Aufsichtsbehörden die Durchsetzung der Datenschutzgesetze verschärft haben, waren viele Branchen im Jahr 2021 mit einem drastischen Anstieg der Kosten für Datenschutzverletzungen konfrontiert. Mit Blick auf das Jahr 2022 ist klar, dass Unternehmen der Cybersicherheit und dem Datenschutz Priorität einräumen müssen, nicht nur, um Geschäftsunterbrechungen zu vermeiden, sondern auch, um die Auswirkungen von Sicherheitsvorfällen auf ihr Geschäftsergebnis zu begrenzen.