STUDIEN & UMFRAGEN5. August 2020

IBMs Data-Breach-Studie: Finanzwesen verzeichnet die höchsten Schäden

<q>IBM
IBM

Treten in Unternehmen Datenlecks auf, bei denen Firmen- oder Kundendaten entwendet werden, ziehen sie in der Regel Millionenschäden nach sich. In Deutschland liegt die Finanzwirtschaft hier ganz vorne. Zugleich haben die hiesigen Unternehmen solche Datenpannen deutlich schneller wieder im Griff, verrät die aktuelle IBM-Studie „Cost of a Data Breach“.

Einen umfassenden Einblick in die Sicherheitslage unterschiedlicher Branchen und Regionen bietet die Studie „Cost of a Data Breach“, die von von IBM Security und dem Ponemon Institut veröffentlicht wird. Grundlage sind 3.200 ausführliche Interviews mit Sicherheitsexperten aus 524 Unternehmen in 17 Ländern und Regionen. Der Report, der jetzt bereits in der 15. Ausgabe erschienen ist, zeigt für 2019 erstmals einen leichten Rückgang der durchschnittlichen Kosten pro Datenpanne: mit 3,86 Mio. US-Dollar lagen sie rund 1,5 Prozent unter dem Wert des vorangegangenen Reports.

Deutschland als Musterknabe

Im Mittel – über alle Industrien – werden hierzulande Datenpannen bzw. Einbrüche in die Unternehmens-IT nach 128 Tagen erkannt, nach weiteren 32 Tagen ist das Leck vollständig abgedichtet. Die Ponemon-Forscher bezeichnen die Summe dieser beiden Phasen als „Lifecycle“.

Beim Aufspüren und Eindämmen von Datenlecks ist Deutschland mit einem Lifecycle von 160 extrem weit vorne: Canada auf Platz 2 benötigt bereits 226 Tage (168/58), dicht gefolgt von Südafrika (228) und USA (237). Schlusslichter sind der Mittlere Osten mit 369 und Brasilien mit 380 Tagen, das globale Mittel beträgt 280 Tage, wovon 207 auf das Erkennen und 73 Tage auf das Abdichten des Lecks entfallen.

Die Finanzbranche leidet unter hohem Angriffsdruck, Systemfehler sind dagegen vergleichsweise selten. <Q>IBM
Die Finanzbranche leidet unter hohem Angriffsdruck, Systemfehler sind dagegen vergleichsweise selten. IBM

Angriffsdruck und Fehlverhalten

Auf der anderen Seite stehen deutsche Unternehmen auch im Fokus von Hackern und Kriminellen. Mit 57 Prozent gehen die meisten Datenvorfälle hierzulande auf böswillige Angriffe zurück, das entspricht nach dem Mittleren Osten (59 Prozent) dem zweithöchsten Wert weltweit. 24 Prozent der Datenpannen in Deutschland beruhen auf Systemfehlern, der Rest entfällt auf menschliches Fehlverhalten.

Blickt man auf die Finanzbranche als Ganzes, ergibt sich ein etwas anderes Bild. Fehlerhafte Systeme werden hier nur von 21 Prozent als Ursache für Datenpannen genannt, der niedrigste Wert im gesamten Feld. 56 Prozent der Nennungen entfallen auf Angriffe mit Malware, dies bedeutet Platz 4 hinter Technik-Unternehmen (59 Prozent), Transport und Retailern (je 58 Prozent). Deutliches Verbesserungspotenzial bieten sich auf Seiten der Mitarbeiterschulung. Denn 23 Prozent der Zwischenfälle gehen auf menschliche Fehler zurück. Damit liegt die Finanzbranche im Mittelfeld – die Spanne reicht hier von 13 Prozent (Transport) bis 34 Prozent (Unterhaltungsbranche).

Schnelle Reaktion von Banken und Versicherungen

Unterscheidet man nach Industrien, dann geht die Finanzbranche als erste durchs Ziel. Hier beträgt der Lifecycle 233 Tage, verteilt auf durchschnittlich 177 Tage, bis ein unberechtigter Datenabfluss erkannt wird, und 56 Tage bis das Problem vollständig behoben ist. Auf den Plätzen folgen Forschung (244 Tage) und Technik-Unternehmen (246 Tage), abgeschlagen am Ende des Feldes finden sich die öffentliche Hand (324 Tage) und der Gesundheitssektor (329 Tage).

Die Dauer eines Data Breach hat direkten Einfluss auf die Kosten, die damit verbunden sind. Wie Ponemon ermittelte, liegen die mittleren Kosten bei einem Lifecycle von unter 200 Tagen bei etwa 3,2 Mio. US-Dollar. Bei mehr als 200 Tagen steigt der Durchschnittswert auf 4,33 Mio. Dollar.

Die Finanzbranche konnte die Folgekosten von Datenpannen in den vergangenen Jahren stabil halten. <q>IBM
Die Finanzbranche konnte die Folgekosten von Datenpannen in den vergangenen Jahren stabil halten. IBM

Hohe Schäden drohen

Allerdings liegen die Kosten der Datenpannen bei Finanzinstituten mit an der Spitze. Im Schnitt betragen sie 5,85 Mio. US-Dollar und liegen damit auf Platz drei im Branchenvergleich. Nach wie vor an der Spitze liegt das Gesundheitssystem mit einem Wert von 7,13 Mio. Dollar, auf Platz 2 vorgerückt ist in diesem Jahr erstmals der Energiesektor mit knapp 6,4 Mio. Dollar je Zwischenfall.

Auch die Covid-19-Pandemie wird voraussichtlich einen Einfluss auf die Sicherheitsstatistik haben. Denn bei 54 Prozent der befragten Unternehmen nahm Home Office in relevantem Maße zu. 76 Prozent der Sicherheitsverantwortlichen gehen davon aus, dass aus diesem Grund das Erkennen und Beheben von Datenlecks aufwändiger wird und deshalb länger dauert. Rund 70 Prozent erwarten, dass sich die Folgekosten durch den höheren Home-Office-Anteil im Schnitt um 137.000 Dollar erhöhen.

Der Anteil von Banken und Versicherungen, die auf vollautomatisierte Security-Maßnahmen setzen, ist vergleichsweise hoch. <Q>IBM
Der Anteil von Banken und Versicherungen, die auf vollautomatisierte Security-Maßnahmen setzen, ist vergleichsweise hoch. IBM

Kein Grund zur Entwarnung

Auch wenn Deutschland auf der einen Seite und der (globale) Finanzsektor auf der anderen Seite bei der Erkennung und Behebung von Datenlecks an der Spitze liegen: 160 bzw. 233 Tage vom Einbruch bis zum vollständigen Abdichten lassen noch viel Raum für Verbesserungen. Zudem gilt: In Deutschland verursachen Datenpannen von Banken und Versicherungen die höchsten Kosten im Branchenvergleich.

Eine Möglichkeit, die Sicherheit der eigenen IT-Infrastruktur gegenüber ungewollten Datenabflüssen und anderen Angriffen zu stärken, sieht IBM in automatisierten Security-Mechanismen. Ohne jegliche Automatismen lag der Datenleck-Lifecycle bei 308 Tagen, eine Teilautomatisierung verkürzt diesen um 33 Tage auf 275 Tage. Und die Vollautomatisierung bringt einen weiteren Zugewinn von 41 Tagen auf dann 234 Tage insgesamt.

<q>Twitter</q>
Twitter

„Wenn es um die Fähigkeit von Unternehmen geht, die Auswirkungen einer Datenpanne abzufedern, sehen wir einen klaren Vorteil für Unternehmen, die in automatisierte Technologien investiert haben.“

Wendi Whitmore, Vice President, IBM X-Force Threat Intelligence

Hier liegt Deutschland mit an der Spitze: 30 Prozent der befragten Unternehmen hierzulande haben den höchsten Automatisierungs-Level angegebenen, so viel wie in keinem anderen Land. Weitere 45 Prozent haben zumindest teilweise automatisiert, gleichauf mit Australien und lediglich übertroffen von den USA (50 Prozent).

Eine größer werdende Kluft zeigt sich bei den Folgekosten: Für nicht-automatisierte Unternehmen waren Datenpannen 2019 mit sechs Millionen US-Dollar mehr als zwei Mal so teuer wie für Unternehmen, die auf Künstliche Intelligenz, Machine Learning und Orchestrierung setzen (2,45 Millionen US-Dollar).

Weitere Security-Tipps

Eine umfassenden Security Policy muss allerdings viele verschiedene Aspekte umfassen. Neben technischen Maßnahmen wie automatisierter Tools beispielsweise auch eine Compliance, die durch Mitarbeiterschulungen flankiert wird, einem wirksamen Risikomanagement, regelmäßigen Penetrationstests und Sicherheitsübungen, die die Wirksamkeit von Krisenreaktionsplänen sicherstellen.

Zudem zeigt die Studie auf, welche Maßnahmen kostensenkend oder kostensteigernd wirken und in welchem Umfang sich diese auswirken. Weitere Details finden sich in der kostenlosen „Cost of a Data Breach“-Studie 2020 von IBM, die hier zum Download bereitsteht. hj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert