3 Kostenverstärker und das Risiko von Datenpannen im IBM-Bericht 2023 über die Kosten einer Datenpanne
Der 2023 Bericht über die Kosten eines Datenverstoßes von IBM liefert kritische Einblicke in die sich verändernde Landschaft der Cybersecurity-Bedrohungen und die damit verbundenen Kosten für Unternehmen weltweit. Genau wie Cybersecurity- und Risikomanagement-Profis den Verizon Datenverstoß Untersuchungsbericht nutzen, um Bedrohungstrends zu identifizieren, ist der Bericht von IBM, durchgeführt vom Ponemon-Institut, ein Indikator für die finanziellen, Marken- und Compliance-Auswirkungen der resultierenden Datenverstöße. Die beiden Berichte liefern uns allen einen One-Two-Punch sowie zuverlässige Telemetrie zur Messung der Risikopostition.
Sie vertrauen darauf, dass Ihre Organisation sicher ist. Aber können Sie es verifizieren?
Kosten von Datenverstößen und Messung der Datenschutz- und Compliance-Kommunikation sensibler Inhalte
Der diesjährige Bericht von IBM, der nunmehr seit 18 aufeinanderfolgenden Jahren veröffentlicht wird, stellt einige bedeutende Entwicklungen in Bezug auf Angriffsvektoren und Kostenimplikationen vor, die eine Untersuchung erfordern. Dieser Blogbeitrag soll die wichtigsten Erkenntnisse aus dem Bericht überprüfen und zusammenfassen. Dabei wird auf die durchschnittlichen Kosten von Datenpannen, den Einfluss unterschiedlicher Sicherheitspraktiken auf diese Kosten, die verschiedenen Arten von Daten, auf die Cyberkriminelle und abtrünnige Nationalstaaten abzielen, und den Anstieg von Angriffen auf die Software-Lieferkette eingegangen. Einige der übergreifend bemerkenswertesten Erkenntnisse sind:
- Die Kosten für Datenpannen erreichten mit 4,45 Millionen US-Dollar einen neuen Höchststand
- Das Gesundheitswesen führte das Feld zum 13. Mal in Folge an und litt im Durchschnitt unter Kosten von 10,93 Millionen US-Dollar pro Datenpanne
- 82% der Verstöße betrafen Daten in der Cloud – öffentlich, privat oder mehrere Umgebungen
- Je länger die Verweildauer, desto höher die Kosten einer Datenpanne: Durchschnittliche Kostenunterschiede zwischen Verstößen, die über 200 Tage zur Entdeckung und Lösung brauchten, und solchen, die weniger als 200 Tage dauerten: 1,02 Millionen US-Dollar
- Nur die Hälfte der Organisationen ist bereit, mehr für Sicherheit auszugeben
Gleichzeitig haben wir gerade unseren jährlichen Bericht zur Privatsphäre und Compliance bei sensiblen Inhaltskommunikationen veröffentlicht. Die Leser werden es wahrscheinlich interessant finden, einige unserer Erkenntnisse mit denen im IBM-Bericht zu vergleichen. Die detaillierte Analyse zielt darauf ab, die wichtigsten Erkenntnisse im IBM-Bericht zu vertiefen und Parallelen und Unterschiede in ihren Schlussfolgerungen festzustellen, um so ein umfassendes Verständnis des aktuellen Cybersecurity-Szenarios zu ermöglichen.
Angriffe auf die Software-Lieferkette
Eine der auffälligsten Beobachtungen aus dem IBM-Bericht war das Auftreten von Angriffen auf die Software-Lieferkette als Quelle von Datenverstößen. Diese Angriffe beinhalten, dass böswillige Akteure in das Netzwerk eines Softwareanbieters eindringen und die Software manipulieren, um die Daten oder Systeme seiner Kunden zu gefährden. Früher wurden Bedrohungen oft als externe Verletzungen angesehen, die direkt auf die Infrastruktur eines Unternehmens abzielten, die neue Welle von Angriffen ist jedoch hinterhältiger.
Der IBM-Bericht zeigt, dass die Software-Lieferkette in diesem Jahr die Quelle von 12% der Datenverstöße war. Dies stellt einen deutlichen Wechsel in den Methoden der Cyberangriffe dar und unterstreicht die Notwendigkeit für Organisationen, ihre Sicherheitsmaßnahmen entlang ihrer Software-Lieferketten neu zu bewerten. Angriffe auf die Software-Lieferkette demonstrieren, wie Verwundbarkeiten im digitalen Ökosystem weitreichenden Schaden verursachen können.
Bemerkenswert sind Angriffe auf Managed File Transfer, wie beispielsweise die auf GoAnywhere und MOVEit, die diese neue Art von Bedrohung verdeutlichen. Diese Angriffe können sensible Daten in einer Vielzahl von Branchen offenlegen und gleichzeitig Hunderte oder sogar Tausende von Unternehmen betreffen. Es ist entscheidend, dass Organisationen die Sicherheitspraktiken ihrer Softwareanbieter überprüfen und in Erwägung ziehen, verbesserte Cybersicherheitsmaßnahmen zu implementieren, um sich vor diesen neu auftretenden Bedrohungen zu schützen.
Angriffe von Geschäftspartnern/Dritten
Aufbauend auf den Erkenntnissen zur Software-Lieferkette fand der IBM-Bericht heraus, dass auch Geschäftspartner ein erhebliches Risiko für Datenverletzungen darstellen: 15% der Organisationen identifizierten sie als Quelle einer Datenverletzung. Kompromisse in der Lieferkette von Geschäftspartnern hatten durchschnittlich Kosten von 4,76 Millionen US-Dollar pro Datenverletzung, 11,8% höher als die durchschnittlichen Kosten einer Datenverletzung. Einer der Gründe, so IBM, ist die lange Verweildauer: Im Durchschnitt dauerte es 233 Tage, um Kompromisse in der Lieferkette von Geschäftspartnern zu identifizieren und 74 Tage, um sie einzudämmen. Dies ist 37 Tage oder 12,8% länger als bei einer durchschnittlichen Datenverletzung.
Dies stimmt sicherlich mit dem überein, was wir in der Kiteworks-Studie berichteten. Erstaunliche 84% gaben an, dass in ihrer Organisation zumindest eine gewisse Verbesserung im Risikomanagement der Kommunikation mit Dritten erforderlich ist. Mehr als 4 von 10 sagten, dass eine erhebliche Verbesserung erforderlich ist, einige sagten sogar, sie benötigten eine komplette “Neugestaltung”.
Drei Kostenverstärker und Datenverletzungsrisiko
Der IBM-Bericht zeigt, dass die weltweiten durchschnittlichen Kosten einer Datenverletzung 4,45 Millionen US-Dollar erreichten, das entspricht einer Steigerung von 15% in den letzten drei Jahren. Das Ponemon-Institut hat auch die Auswirkungen verschiedener Kostenverstärker auf diese Durchschnittskosten untersucht. Vergleiche wurden zwischen Organisationen mit den höchsten und niedrigsten Ebenen der am höchsten bewerteten Kostenverstärker gemacht und bieten Einblicke in die finanziellen Auswirkungen verschiedener Vorbereitungs- und Reaktionsgrade. Die größten Kostenverstärker laut dem IBM-Bericht waren die Komplexität des Sicherheitssystems, der Mangel an Sicherheitskompetenzen und die Nichteinhaltung von Vorschriften. Diese Erkenntnis stimmt mit dem Schluss der Kiteworks-Studie überein, welche zeigte, dass Cyber-Exploits bei 62% der Organisationen finanzielle Schäden verursacht haben.
1. Komplexität des Sicherheitssystems und Datenverletzungsrisiko
Organisationen mit höheren Ebenen der Sicherheitssystemkomplexität haben ein höheres Risiko, so der IBM-Bericht. Organisationen mit geringer oder keiner Sicherheitssystemkomplexität verzeichneten eine durchschnittliche Datenverletzungskosten von 3,84 Millionen US-Dollar. Im Gegensatz dazu betrugen die durchschnittlichen Kosten für diejenigen, die eine hohe Komplexität des Sicherheitssystems zugeben, 5,28 Millionen US-Dollar – ein Unterschied von 31,6 %.
Erkenntnisse im Bericht von Kiteworks deckten ähnliche Ergebnisse auf, wenn es um Kommunikationswerkzeuge geht, die zum Versenden und Teilen von sensiblen Inhalten verwendet werden. Die Hälfte der Befragten in der Umfrage gaben an, Inhalte über sechs oder mehr Kanäle zu teilen. Die Verwaltung dieser unterschiedlichen Kommunikationswerkzeuge ist sehr komplex, was durch die große Anzahl von Drittparteien, mit denen sensible Inhalte ausgetauscht werden, noch verschlimmert wird; 90 % teilen sensible Inhalte mit über 1.000 Drittparteien, während 44 % dies mit über 2.500 Drittparteien tun. Darüber hinaus verwenden 85 % der Organisationen vier oder mehr Systeme, um den Umgang mit sensiblen Inhalten zu verfolgen, zu kontrollieren und zu sichern. Die Erkenntnis: Genau wie der IBM-Bericht feststellt, erhöht die Komplexität in der Kommunikation sensibler Inhalte das Risiko.
2. Cybersecurity-Fähigkeiten und Risiko von Datenverstößen
Der IBM-Bericht zeigt einen Unterschied von 1,58 Millionen US-Dollar (34,6%) zwischen hohen und geringen Ebenen eines Sicherheitsfertigkeitenmangels. Ein hoher Mangel an Sicherheitsfertigkeiten führte zu durchschnittlichen Kosten von 5,36 Millionen US-Dollar, 910.000 US-Dollar höher als die durchschnittlichen Kosten für einen Datenverstoß. Der Bericht legt nahe, dass Investitionen in die Entwicklung von Fähigkeiten und die Gewährleistung eines gut besetzten Sicherheitsteams die Kosten von Datenverstößen erheblich reduzieren können.
Diese Erkenntnisse deuten auf ein klares Bedürfnis für Investitionen in die Entwicklung von Fähigkeiten und die Gewährleistung eines gut besetzten Sicherheitsteams hin, eine Perspektive, die auch durch den Bericht von Kiteworks gestützt wird. Der Kiteworks-Bericht erläutert, wie Organisationen Schwierigkeiten haben, Sicherheits- und Compliance-Risiken zu messen und zu verwalten, hauptsächlich aufgrund unzureichender Governance und Sicherheit, was wahrscheinlich auf einen Mangel an qualifiziertem Personal zurückzuführen ist.
3. Regulierungskonformität und Risiko von Datenverletzungen
Die digitale Welt ist fest in einem Zeitalter der Compliance verankert. Dies erfordert ein Umdenken in Bezug auf Cybersicherheit, digitales Rechtemanagement und Regulierungskonformität. Laut dem IBM-Bericht weisen Organisationen mit einem hohen Grad an Nichteinhaltung von Vorschriften durchschnittliche Kosten für eine Datenverletzung von 5,05 Millionen US-Dollar auf, verglichen mit 4,01 Millionen US-Dollar für diejenigen mit einem geringen Grad an Konformität mit den Vorschriften – ein Unterschied von 23% oder 1,04 Millionen US-Dollar.
Bei der Übergabe zum Kiteworks-Bericht ist es wichtig zu beachten, dass das Risiko im Zusammenhang mit sensiblen Inhaltsgesprächen nicht nur auf Datenverletzungen beschränkt ist, sondern sich auch stark um die Compliance dreht. Viele verbinden Compliance mit staatlicher Regulierung, und in der Tat sind globale Unternehmen, die in mehreren Rechtsordnungen tätig sind, einer breiten Palette solcher Vorschriften ausgesetzt. Aber es sind nicht nur Gesetze und Vorschriften, die die Compliance-Anforderungen definieren. Branchenspezifische Mandate, wie PCI DSS für Einheiten, die Zahlungskartentransaktionen verarbeiten, spielen ebenfalls eine Rolle.
Angesichts all dieser Compliance-Anforderungen wird die Vorbereitung auf Audits zu einem routinemäßigen Teil des Kalenders des Risikomanagement- oder IT-Sicherheitsteams. Diese Audits können auch nach einem Cyber-Vorfall folgen und unterstreichen so die potenziellen Geschäftsrisiken, die ein fehlgeschlagenes Audit darstellen kann. Umfragedaten geben einen Einblick in den Stand des Risk-Compliance-Managements für sensible Inhaltsgespräche, wobei etwa ein Viertel der Befragten anerkennt, dass keine Verbesserung in der Messung oder im Management von Compliance-Risiken erforderlich ist.
Identifikation von Datenverletzungen
Bei der Identifizierung von Verstößen wurden 40% der Verstöße von einem harmlosen Dritten oder Außenstehenden erkannt, während 33% von internen Teams und Tools entdeckt wurden. Interessanterweise wurden 27% der Verstöße vom Angreifer selbst offenbart, oft im Rahmen eines Ransomware-Angriffs.
Verstöße, die von Angreifern offengelegt wurden, verursachten durchschnittlich Kosten in Höhe von 5,23 Millionen US-Dollar, was einen Unterschied von 19,5% oder 930.000 US-Dollar gegenüber den durchschnittlichen Kosten der durch interne Sicherheitsteams oder Tools identifizierten Verstöße in Höhe von 4,30 Millionen US-Dollar darstellt. Verstöße, die durch die eigenen Sicherheitsteams und -tools einer Organisation identifiziert wurden, waren erheblich weniger kostspielig und kosteten fast 1 Million US-Dollar weniger als Vorfälle, die vom Angreifer offengelegt wurden. Diese Informationen unterstreichen die Bedeutung robuster interner Sicherheitsmaßnahmen für die frühzeitige Erkennung und Eindämmung von Verstößen.
Datentyp und Kosten eines Verstoßes
Bezogen auf den Typ der kompromittierten Daten waren Kundendaten und die personenbezogenen Informationen (PII) der Mitarbeiter am kostspieligsten, mit durchschnittlichen Kosten von jeweils 183 US-Dollar und 181 US-Dollar pro Datensatz. Im Gegensatz dazu war der am wenigsten kostspielige Datensatz anonymisierte Kundendaten, die Organisationen 138 US-Dollar pro Datensatz kosteten.
Es wurde ein Anstieg des Prozentsatzes der Verstöße bemerkt, die Kundendaten betreffen, von 47% im Jahr 2022 auf 52% im Jahr 2023, während die kompromittierten Mitarbeiterdaten ebenfalls von 26% im Jahr 2021 auf 40% im Jahr 2023 stiegen. Dies deutet auf eine stärkere Zielsetzung wertvollerer Daten hin und unterstreicht noch einmal die Notwendigkeit für Unternehmen, ihre Cybersicherheitsmaßnahmen zu verstärken.
Das Risiko, das der IBM-Bericht hervorhebt, wird durch die Ergebnisse im Kiteworks-Bericht bestätigt. Über die Hälfte der Teilnehmer ordneten personenbezogene Daten (PII), geschützte Gesundheitsinformationen (PHI) und Rechtsdokumente unter den Top-Drei ein. Regionale Variationen spiegelten unterschiedliche regulatorische Bedenken wider. Zum Beispiel in Europa und im Asien-Pazifik-Raum, wo die DSGVO und ähnliche Gesetze vorherrschen, wird personenbezogenen Daten (PII) Priorität eingeräumt. Nordamerikaner, bei denen HIPAA eine bedeutende Compliance-Anforderung ist, zeigten mehr Besorgnis über PHI. Interessanterweise wurde im Mittleren Osten geistiges Eigentum (IP) als viel größeres Risiko wahrgenommen, mit 60% ordneten es unter den Top-Drei ein.
Branchenspezifische Variationen wurden ebenfalls festgestellt, obwohl die meisten erwartet oder verständlich waren. Es gab größere Besorgnis über Rechtsdokumente in den Bereichen Finanzdienstleistungen, Hochschulbildung und Gesundheitswesen. Fusionen und Übernahmen (M&A) hatten Vorrang in Anwaltskanzleien, professionellen Dienstleistungen und Unternehmen aus den Pharma-/Life-Sciences-Bereichen. Finanzdokumente waren ein bedeutenderer Fokus in der lokalen Regierung, während PHI für Energie- und Versorgungsunternehmen und Bundesbehörden kritischer waren. Im Gegensatz dazu zeigten Gesundheitssektoren weniger Besorgnis über PHI, wahrscheinlich aufgrund bereits vorhandener robuster Schutzmaßnahmen.
Ausrichtung der Schlüsselerkenntnisse aus den beiden Berichten
Die Ergebnisse des IBM Cost of a Data Breach Report 2023 unterstreichen die anhaltenden Herausforderungen, denen Unternehmen bei der Sicherung ihrer Daten und Netzwerke gegenüberstehen. Angriffe auf die Software-Lieferkette, Mangel an Sicherheitskompetenzen und Systemkomplexitäten, unter anderem, beeinflussen erheblich die Kosten eines Datenverstoßes. Da Cyber-Bedrohungen weiterhin fortschreiten, ist es für Unternehmen unerlässlich, sich durch Investitionen in ihre Cybersicherheitsinfrastruktur und -praktiken einen Vorsprung zu sichern, um sicherzustellen, dass sie effektiv auf jedes Verstoßszenario reagieren können.
Wenn die Ergebnisse des IBM-Berichts zusammen mit denen aus dem Kiteworks’ 2023 Empfindliche Inhaltskommunikation Datenschutz und Compliance-Bericht gelesen werden, ergeben sich einige interessante Erkenntnisse und Schlussfolgerungen. Persönliche Daten und PHI-Daten (Protected Health Information) sind ein Ziel, und mit der zunehmenden Komplexität der Kommunikationssysteme, die zur Versendung und zum Austausch dieser Daten genutzt werden, steigt auch das Risiko. Die Einhaltung gesetzlicher Compliance hat laut IBM-Bericht eine positive Wirkung auf das Risiko. Da die Anzahl der Datenschutz- und Cybersecurity-Vorschriften und ihre Komplexität zunehmen, müssen Unternehmen sicherstellen, dass sie die richtigen technologischen Tools zur Hand haben, um ihr Risiko zu managen.
Organisationen, die Unterstützung bei der Verwaltung ihrer Sicherheits- und Compliance-Risiken im Bereich der sensiblen Inhaltskommunikation suchen, können eine individuell abgestimmte Demo des Private Content Network von Kiteworks anfordern.