Informationssicherheit und Kosten von Datenschutzverletzungen
Datenschutzverletzungen können viele Facetten haben, beispielsweise von Diebstahl über unberechtigte Offenlegung oder Verarbeitung bis zur Löschung
oder Ransomware-Attacke ist vieles möglich. Im Rahmen einer interessanten Studie der IBM (Cost of a Data Breach Report 2021 | IBM) mit großen Unternehmen gibt es interessante Fakten zu berichten:
Die Kosten bei Vorfällen, bei denen Remote Work ein Rolle spielte, sind um ca. 1 Mio. $ höher als ohne Remote Work
Zudem haben sich innerhalb der letzten 7 Jahre die Kosten eines Vorfalls im Schnitt pro Jahr um 10 % erhöht
Bei Organisationen mit „Zero Trust Approach“ waren die Kosten signifikant niedriger (1,76 Mio. $ Differenz)
Der häufigste initiale Vektor für eine Attacke waren kompromittierte User Credentials
Der durchschnittliche Vorfall einer Ransomware-Attacke kostet 4,62 Mio. Dollar
Um die durchschnittlichen Kosten einer Datenschutzverletzung zu berechnen, werden folgende Themenblöcke betrachtet:
Erkennung und Eskalation: Aktivitäten, die es einem Unternehmen ermöglichen, die Verletzung zu erkennen, die wichtigen Teile der Organisation zu involvieren und das Krisenmanagement zu betreiben
Benachrichtigung: Aktivitäten, die es dem Unternehmen ermöglichen, den Vorfall bei den Betroffenen und den Datenschutzaufsichtsbehörden oder Dritten zu melden
Business-Impact: Aktivitäten, die versuchen, den Verlust von Kunden, Betriebsunterbrechungen und Umsatzeinbußen zu minimieren
Reaktion nach der Verletzung: Aktivitäten, um Opfern einer Sicherheitsverletzung zu helfen, Wiedergutmachungsmaßnahmen für die Opfer und Zahlungen an Regulierungsbehörden
Die Kosten für die nötigen Änderungen der Systeme und in der Organisation sind hier nicht einbezogen. Sicher sind in kleineren Unternehmen andere Größenordnungen anzutreffen, aber die Kosten und Aufwände für alle Unternehmen sind proportional ähnlich und gleichermaßen bitter. Denn sie stiften keinen Nutzen, sie sind “verloren” und leider keine Investition, um Vorfälle solcher Art in der Zukunft zu verhindern. Im schlimmsten Falle steht die Existenz eines Unternehmens auf dem Spiel, wenn Business verloren geht oder harte regulatorische Eingriffe drohen.
Nimmt man diese Zahlen aus den USA und betrachtet im Vergleich Zahlen aus dem deutschen Markt, so finden sich hier im Durchschnitt immerhin 4,11 Millionen Euro an Kosten, es besteht klarer Handlungsbedarf.
Am Ansatz des „Security by Design“, sprich vorbeugenden Maßnahmen zur Verbesserung der Informationssicherheit zur Vermeidung von Datenschutzverletzungen, führt kein Weg vorbei.
Sprechen Sie mit uns, um diese Risiken mittels eines effektiven und effizienten Informationssicherheitsmanagementsystems zu reduzieren!
Comentários