Der Preis einer Datenpanne im Jahr 2022 und die Kommunikation sensibler Inhalte
In ihrem jüngsten jährlichen “Cost of a Data Breach Report” haben IBM und das Ponemon Institute festgestellt, dass die durchschnittlichen Kosten einer Datenschutzverletzung im Jahr 2022 gestiegen sind – auf durchschnittlich 4,35 Mio. US$ (2,6 % mehr als im Jahr 2021 mit 4,24 Mio. US$). Mehr als 8 von 10 der befragten Unternehmen geben zu, dass sie bereits mehr als einmal von einer Datenschutzverletzung betroffen waren.
Das sind jedoch lediglich die durchschnittlichen Kosten. Tatsächlich gibt es viele Horrorberichte über schwerwiegende Datenschutzverstöße, bei denen Unternehmen Verluste in Höhe von mehreren Millionen Dollar, Markenschäden und sogar Rechtsstreitigkeiten wegen Verstößen gegen , einschließlich hoher Geldstrafen von Aufsichtsbehörden, hinnehmen mussten. Zudem sind die Angriffe auf Lieferketten in den letzten zwei Jahren immer zahlreicher geworden, was die potenziellen Kosten einer Datenpanne noch weiter in die Höhe treibt.
Was ist eine Datenschutzverletzung?
Eine Datenschutzverletzung ist ein unbefugter Zugriff auf oder die Offenlegung von vertraulichen Informationen. Datenschutzverletzungen können auftreten, wenn die Kommunikation mit sensiblen Inhalten abgefangen wird, wenn die Daten-Compliance nicht eingehalten wird oder wenn die Daten nicht angemessen geschützt sind. Einige der häufigsten Arten von Datenschutzverletzungen erfolgen über die E-Mail-Kommunikation, die von Angreifern durch Man-in-the-Middle, Phishing, Identitätsdiebstahl, Kompromittierung geschäftlicher E-Mails oder Malware leicht abgefangen werden kann.
Datenschutzverletzungen können auch durch Insider-Bedrohungen entstehen – sowohl vorsätzlich als auch versehentlich. Unsachgemäße Entsorgung von Daten und Verlust oder Diebstahl von Geräten sind weitere Ursachen. Die Arten von Datenschutzverletzungen variieren je nach den kompromittierten Daten und der Art, wie sie erlangt wurden. Die Kommunikation mit sensiblen Inhalten kann Daten wie Kreditkartennummern, Sozialversicherungsnummern, Bankkontodaten und andere Arten von persönlich identifizierbaren Informationen enthalten. Als Reaktion auf die Häufigkeit von Angriffen und erfolgreichen Sicherheitsverletzungen haben verschiedene Regierungsstellen und Branchenorganisationen Datenschutzgesetze und ‑bestimmungen erlassen. Beispiele dafür sind der Health Insurance Portability and Accountability Act (HIPAA), die General Data Protection Regulation (GDPR/DSGVO), der Data Protection Act 2018 und der California Consumer Privacy Act (CCPA).
Für den Einzelnen bedeutet Datenschutz das Recht zu bestimmen, wem er Zugang zu seinen persönlichen Daten gewährt und was derjenige damit tun kann. Unternehmen müssen sicherstellen, dass sie über die entsprechenden Kontrollen und Nachverfolgungsmöglichkeiten verfügen, um einen unveränderlichen Audit-Trail zu erstellen, der zeigt, dass die privaten Daten von Kunden, Mitarbeitern und Partnern geschützt sind. Der Datenschutz erstreckt sich auch auf Informationen, die Unternehmen für ihre Geschäftstätigkeit verwenden – klinische Forschungsdaten von Pharmaunternehmen, Termin- und Produktionspläne von Herstellern, Software-Code und strategische Markteinführungspläne von Technologieunternehmen sowie Details zur Lieferkette und logistische Details von Handelsbetrieben, um nur einige zu nennen.
Unternehmen müssen ihre Kommunikation mit sensiblen Inhalten schützen, indem sie diese verschlüsseln und nur autorisierten Parteien den Zugriff darauf, das Versenden und Weitergeben sowie die Änderung dieser Inhalte ermöglichen. Sensible Inhalte, die per E-Mail, File-Sharing, Web-Formular, Managed File Transfer und Application Programming Interfaces (APIs) versendet werden, müssen sowohl bei der Übertragung als auch im ruhenden Zustand geschützt werden. So müssen beispielsweise E-Mails mit privaten Informationen bei der Übertragung verschlüsselt werden und dies auch bei der Speicherung bleiben. Wenn verloren gegangene oder gestohlene Geräte sensible Kommunikationsinhalte enthalten, müssen Unternehmen außerdem sicherstellen, dass diese Geräte aus der Ferne gelöscht werden, bevor sie an anderer Stelle wiederverwendet werden, um ein Durchsickern vertraulicher Informationen aus weiteren Quellen zu verhindern.
Wie hoch sind die Kosten einer Datenpanne?
Angesichts der steigenden Kosten und der Häufigkeit von Datenschutzverletzungen ist es wichtiger denn je, einen Plan zum Schutz Ihrer Kommunikation mit sensiblen Inhalten zu haben. Der Bericht von IBM und dem Ponemon Institute ergab, dass vertrauliche Informationen wie Kunden- oder Mitarbeiterdaten am stärksten von Verlust oder Diebstahl bedroht sind. 89 % aller Sicherheitsvorfälle betrafen diese Daten. Darüber hinaus führten 60 % aller gemeldeten Vorfälle zumindest zu einem gewissen Verlust oder Diebstahl geheimer Informationen. Gleichzeitig ergab der Bericht, dass 60 % der Unternehmen, die von Datenschutzverletzungen betroffen waren, ihre Preise aufgrund der Verletzung erhöht haben. Dies ist unter normalen Umständen ein beunruhigendes Ergebnis doch angesichts der bereits stark gestiegenen Inflation und der Probleme in der Lieferkette noch gravierender.
Diese Statistiken sind schon alarmierend genug, doch sie beinhalten noch nicht einmal die Kosten, die mit Ausfallzeiten, Betriebsunterbrechungen und Compliance-Problemen verbunden sind. Von entscheidender Bedeutung für die Kommunikation sensibler Inhalte ist daher eine konsolidierte Plattform mit einem Defense-in-Depth-Ansatz, der neben anderen Sicherheitselementen eine Ende-zu-Ende-Verschlüsselung, eine gehärtete Appliance und eine Multi-Faktor-Authentifizierung umfasst. Durch die Verwaltung von E-Mail, File-Sharing, SFTP, SMTP, MFT, Web-Formularen und APIs über eine einzige Plattform kann Ihr Unternehmen Standardrichtlinien für alle Kommunikationskanäle einführen und durchsetzen, ohne dass für jedes Silo ein eigenes visuelles Element erforderlich ist. Dies kann für Unternehmen schwierig sein, die bereits knappe Ressourcen für die Einstellung und den Erhalt von IT-, Sicherheits- und Compliance-Personal haben.
Wie häufig sind Datenschutzverletzungen?
Datenschutzverletzungen werden immer häufiger. Allein im letzten Jahr wurden 6 Milliarden Datensätze missbraucht, und da Unternehmen immer mehr Daten über ihre Kunden sammeln, wird diese Zahl im Laufe der Zeit voraussichtlich stetig steigen. Unternehmen sollten diese Statistiken berücksichtigen, wenn sie ihre Cybersicherheitsmaßnahmen überdenken, da sie Gefahr laufen, dass ein möglicher Datenschutzverstoß sie heute viel mehr Geld kostet als in der Vergangenheit, wenn sie nicht von Anfang an richtig vorgehen. Datenschutzverletzungen können viele Probleme verursachen, wie z. B. Umsatzeinbußen oder Rechtsstreitigkeiten. Da es nach wie vor zu zahlreichen Datenschutzverletzungen kommt und es keine Anzeichen für eine nachlassende Tendenz gibt, ist es für Unternehmen das Beste, sich selbst zu schützen, indem sie zunächst einen Schritt zurücktreten und analysieren, wo in ihren Systemen Schwachstellen bestehen.
Wer steckt hinter den Datenschutzverletzungen?
Die ständigen Versuche von Cyberkriminellen, sensible Daten zu stehlen, und die Bemühungen böswilliger Schurkenstaaten, an geheime Informationen zu gelangen, machen es für Unternehmen immer schwieriger, ihre Daten in der sich ständig verändernden digitalen Landschaft zu schützen. Es gibt zahlreiche Präventivmaßnahmen, die Unternehmen ergreifen können, um eine Datenpanne zu vermeiden. Cyberkriminelle – oder böswillige Akteure – agieren in unterschiedlichen Risikobereichen. Einige erstellen Ransomware und verlangen von ihren Opfern Geld, während andere die gesammelten personenbezogenen Daten auf dem Schwarzmarkt verkaufen oder die gesammelten Informationen gegen Lösegeld an die Opfer zurückgeben. Auch Schurkenstaaten werden für den Diebstahl vertraulicher Daten sowohl von Privatunternehmen als auch von Regierungsstellen verantwortlich gemacht.
Wie Datenschutzverletzungen zur Herausforderung für Datenschutz und Compliance werden
In den letzten Jahren ist die Compliance-Problematik für Unternehmen noch komplexer geworden, da staatliche und industrielle Aufsichtsbehörden neue Bestimmungen erlassen haben, um private Daten vor böswilligen Cyberkriminellen und Schurkenstaaten zu schützen. Infolgedessen ist es für Unternehmen wichtiger denn je, Maßnahmen zum Schutz ihrer Daten zu ergreifen und sicherzustellen, dass sie alle relevanten Vorschriften einhalten. Ein Konzept für das Cybersecurity-Risikomanagement ist ein wichtiger Ausgangspunkt. Für die Kommunikation mit sensiblen Inhalten müssen Unternehmen über die richtigen Verfahren verfügen, um Bedrohungen zu erkennen, zu kontrollieren, einzudämmen und abzuwehren. Ein umfassendes Modell für das Management von Cybersecurity-Risiken muss die Kontrolle darüber beinhalten, wer auf private Informationen zugreift, wer sie ändern kann, wer bei Änderungen benachrichtigt wird und an wen die Daten gesendet oder weitergegeben werden können. Diese Datenschutzrichtlinien müssen zentral implementiert und verwaltet werden, damit Unternehmen die Einhaltung von Vorschriften wie GDPR (DSGVO), HIPAA, CCPA und dem Data Protection Act 2018 nachweisen können.
Wie sich die Kosten für Datenschutzverletzungen in den verschiedenen Branchen und Regionen unterscheiden
Datenschutzverletzungen können Unternehmen in verschiedenen Branchen Millionen von US-Dollar kosten. Nach Angaben von IBM und dem Ponemon Institute liegen die durchschnittlichen Kosten pro verlorenem oder gestohlenem Datensatz je nach Branche zwischen 148 US$ (im Gesundheitswesen) und 258 US$ (in der Fertigungsindustrie).
Die Kosten für Datenschutzverletzungen im Gesundheitswesen übertreffen alle anderen Branchen seit 12 Jahren in Folge und werden im Jahr 2022 auf 10 Mio. US$ pro Datenschutzverletzung steigen – 41,6 % mehr als 2020. Finanzdienstleister folgen auf der Liste mit 5,97 Mio. US$ pro Datenschutzverletzung, gefolgt von der Pharmabranche mit 5,01 Mio. US$, der Technologiebranche mit 4,97 Mio. US$ und dem Energiesektor mit 4,72 Mio. US$.
Die Tatsache, dass das Gesundheitswesen und der Finanzdienstleistungssektor vielleicht die beiden am stärksten regulierten Branchen sind, könnte mit den höheren Kosten zusammenhängen, da eine größere Sichtbarkeit und immer höhere Geldbußen und Strafen mit höheren Kosten für Datenschutzverletzungen gleichzusetzen sind. Was die Kommunikation von sensiblen Inhalten mit externen Parteien angeht, sind Gesundheits- und schlecht vorbereitet. Nur die Hälfte der Finanzunternehmen und 45,5 % der Organisationen im Gesundheitswesen sind der Meinung, dass sie gut gegen die Risiken bei der Kommunikation sensibler Inhalte mit Drittparteien geschützt sind.
Bei den Kosten für Datenschutzverletzungen führen die USA mit 9,44 Mio. US$ die Liste der Länder an, gefolgt vom Nahen Osten mit 7,46 Mio. US$, Kanada mit 5,64 Mio. US$, dem Vereinigten Königreich mit 5,05 Mio. US$ und Deutschland mit 4,85 Mio. US$. Brasilien verzeichnete im Jahr 2022 einen alarmierenden Anstieg um 27,8 % von 1,08 Mio. US$ auf 1,38 Mio. US$ im vergangenen Jahr.
Trotz der oben genannten Tatsachen gibt es für Unternehmen Möglichkeiten, sich auf potenzielle Cyberangriffe vorzubereiten und ihr Risiko deutlich zu verringern – sowohl proaktiv durch verbesserte Cybersicherheitsmaßnahmen als auch reaktiv durch schnellere Erkennungs- und Reaktionszeiten bei Vorfällen. Für den Schutz der Kommunikation sensibler Inhalte erfordert dies die Integration von Tools – vorzugsweise einer Plattform – in proaktive Lösungen zur Erkennung von und Reaktion auf Vorfälle, wie z.B. SIEM- (Security Information and Event Management) und SOAR-Systeme (Security Orchestration, Automation, and Response). Die Auswirkungen von Datenschutzverletzungen auf die Marke können in bestimmten Branchen größere Probleme nach sich ziehen. Handelsunternehmen müssen beispielsweise abschätzen, wie sich eine Datenschutzverletzung auf die Loyalität und das Vertrauen ihrer Kunden sowie auf andere Faktoren wie den Ruf des Unternehmens, die langfristige finanzielle Leistung und den Aktienkurs auswirken wird. Unabhängig von der Branche kann die Fähigkeit eines Unternehmens, schnell auf eine Datenschutzverletzung zu reagieren, darüber entscheiden, ob es sich schnell erholt oder irreparablen Schaden erleidet.
Warum ein Private Content Network der Schlüssel zum Schutz sensibler Daten ist
Da die Kosten für Datenschutzverletzungen immer weiter steigen, ist es wichtiger denn je, ein Private Content Network zum Schutz der Kommunikation mit sensiblen Inhalten einzurichten. Ein Private Content Network verringert die Wahrscheinlichkeit von Datenpannen, indem es zentralisierte Verwaltung, Compliance und Sicherheit bietet. Auf diese Weise können Sie sicher sein, dass Ihre Daten geschützt sind und dass Sie nicht gegen die gesetzlichen Vorgaben verstoßen. Die Kosten für die Beseitigung von Datenlücken steigen weiter an. Daher wird es immer wichtiger, Datenschutzverletzungen im Zusammenhang mit der Kommunikation sensibler Inhalte einzudämmen.
Die Kiteworks-Plattform ermöglicht es Unternehmen, Private Content Networks zu erstellen, die sensible Informationen wie personenbezogene Daten, Finanzdaten, geistiges Eigentum, vertrauliche rechtliche Informationen und vieles mehr vereinheitlichen, kontrollieren, nachverfolgen und schützen. Kiteworks bietet ihnen die Möglichkeit, Sicherheits- und Compliance-Richtlinien zu erstellen, die ihre gesamte Kommunikation mit digitalen Inhalten regeln. Dies erleichtert auch die Erstellung von Audit-Trails in Bezug auf die Kommunikation vertraulicher Inhalte für die Erfüllung gesetzlicher Vorgaben und den Nachweis der Compliance gegenüber Kunden, die sich ihrerseits um Lösungen bemühen, die Industriestandards wie FedRAMP Authorized und Infosec Registered Assessors Program (IRAP) erfüllen.