Teure Datenschutzverletzungen: Nach einem Bericht der Firma IBM muss man davon ausgehen, dass die Kosten pro geleakten Datensatz bei durchschnittlich 165 Dollar (ca. 150 Euro) liegen. Wenn ich mir den MOVEit-Vorfall anschaue, belaufen sich die Kosten auf rund 16 Milliarden US-Dollar – könnten aber auf über 37 Milliarden steigen (noch ist nicht alles offen gelegt). Das sollte Motivation sein, alles zu tun, damit es nicht zu Datenschutzverletzungen im Unternehmen kommt.
Anzeige
Ich bin über den nachfolgenden Tweet von Brett Callow, Thread-Analyst beim Emsisoft, auf das Thema gestoßen. Callow nennt auch die Kosten für den MOVEit-Vorfall in Höhe von rund 16 Milliarden US-Dollar im Hinblick auf die Anzahl der bekannten Leaks, schätzt aber, dass die Summe auf über 37 Milliarden steigen könnte.
Die Zahlen gehen auf dem neuesten Cost of a Data Breach Report 2023 von IBM Security zurück, die den Trend über die Jahre analysiert haben. Bereits 2017 lagen die Kosten bei 141 US-Dollar pro Datensatz, sind aber inzwischen kräftig gestiegen. Die Untersuchung wurde zwar von IBM Security bezahlt, aber vom unabhängigen Ponemon Institute durchgeführt. Es wurden 553 Unternehmen, die von Datenschutzverletzungen betroffen waren, in die Befragung einbezogen. IBM Security hat dann die Daten aus der Erhebung analysiert und in Form des obigen Reports veröffentlicht.
- Die durchschnittlichen Kosten einer Datenschutzverletzung erreichten im Jahr 2023 ein Allzeithoch von 4,45 Millionen USD. Dies entspricht einem Anstieg von 2,3 % gegenüber den Kosten von 4,35 Mio. USD in 2022. Langfristig betrachtet sind die durchschnittlichen Kosten
von 3,86 Mio. USD im Bericht von 2020 um 15,3 % gestiegen. - 51 % der Unternehmen planen die Investitionen in Sicherheit aufgrund einer Datenschutzverletzung zu erhöhen. Die am häufigsten genannten Bereiche für zusätzliche Investitionen waren die Planung und das Testen von Incident Response (IR) Maßnahmen, die Mitarbeiterschulung und Technologien zur Erkennung von Bedrohungen und die Reaktion darauf.
- Laut Report habe sich gezeigt, dass dass KI und Automatisierung im Sicherheitsbereich wichtige Investitionen sind, um die Kosten zu senken und die Zeit zur Identifizierung und Eindämmung von Verstößen zu reduzieren. Unternehmen, die diese Funktionen umfassend nutzen, konnten die Zeit zur Identifizierung und Eindämmung eines Datenschutzverstoßes im Durchschnitt auf 108 Tage verkürzen und meldeten geringere Kosten (1,76 Millionen USD) für Datenschutzverletzungen im Vergleich zu Unternehmen, die keine
Sicherheits-KI und Automatisierungsfunktionen nutzten.
Der Bericht schlüsselt detailliert die Erkenntnisse der Erhebung auf und zeigen, dass Datenschutzverletzungen für die Unternehmen recht teuer werden. Kommt dann noch ein Ausfall der IT durch einen Ransomware-Angriff mit Verschlüsselung von Daten hinzu, kann dies das Aus des Unternehmens bedeuten.
Anzeige
Anzeige
Sicherheitslücken bzw. Schwachstellen in einer Programmierung wird es immer geben. Ein Unternehmen kann hierfür unmöglich Schadenersatz leisten. Auch Versicherer werden hiervon Abstand nehmen. Wie soll ein Unternehmen verhindern das so ein Fall eintritt? Das ist unmöglich.
Üblicherweise geht es ja auch nicht in erster Linie darum, solche Fälle mit hundertprozentiger Sicherheit zu verhindern — da stimme ich Dir zu, das geht nicht; 100% gibt es in der Technik nicht — sondern die gesetzlich vorgegebenen bzw. dem „Stand der Technik" entsprechenden Maßnahmen implementiert zu haben.
Abgesehen davon ist es natürlich eine grobe Vergewaltigung der Mathematik, ein mögliches Schadensausmass nach der Formel „Anzahl der geleakten Datensätze mal in der Vergangenheit beobachteten durchschnittliche Kosten pro geleaktem Datensatz" berechnen zu wollen.
Und trotzdem wurden und werden Atomkraftwerke gebaut..m
Und trotzdem sind wir zum Mond geflogen.
Wie berechnet sich dieser Zahlenwert?
Ist das die aufgrund gesetzlicher Vorgaben zu zahlende Strafe?
Ist das der tatsächliche Schaden durch z.B. Identitätsdiebstahl?
Ist das die Höhe der (nicht abgewehrten) Schadensersatzforderungen?
Das ist egal. Du sollst noch mehr Geld für Schlangenöl in die Hand nehmen. Jetzt mit der neuen Dorfsau KI.
Angst ist nun Mal ein schlechter Berater, und darum verbreitet IBM Angst.
FUD
Wikipedia schreibt:
"Geprägt hat diesen Begriff Gene Amdahl, nachdem er IBM verlassen hatte, um seine eigene Firma Amdahl Corporation zu gründen. Er soll damals über IBM-Verriebsmitarbeiter gesagt haben, es seien Furcht, Ungewissheit und Zweifel, die sie potenziellen Amdahl-Kunden vermittelten.[1]"
Es hat sich seit Jahrzehnten nichts geändert…
Hi…
pau1 sagt:
"[…] Du sollst noch mehr Geld für Schlangenöl in die Hand nehmen. Jetzt mit der neuen Dorfsau KI.
Angst ist nun Mal ein schlechter Berater, und darum verbreitet IBM Angst."
So'n Quatsch – wer ist denn Schuld, dass es so "Angsthasen" gibt?
Eher nicht die, die Angstheischung als Mittel zum Zweck nutzen, sondern die, die sich aus Unwissenheit ängstlich verhalten! 🤷♂️
Dann gehen demnächst alle die, die keine Fahrerlaubnis besitzen aus Angst vor der Autowerbung nicht mehr aus dem Haus, oder wohin soll das führen?