Alarmierender Anstieg der Kosten für Datenschutzverletzungen

Eines der auffälligsten Ergebnisse des kürzlich veröffentlichte Security Cost of a Data Breach Report 2023 von IBM ist der deutliche Anstieg der Kosten für die Erkennung und Eskalation von Datenschutzverletzungen um 42 Prozent. Dies deutet auf eine Verlagerung hin zu komplexeren Untersuchungen von Sicherheitsverletzungen und zeigt die zunehmende Raffinesse von Cyber-Angreifern. Cyberbedrohungen werden immer raffinierter und durch generative KI wie WormGPT einfacher zu erlernen. Deshalb müssen Unternehmen erkennen, wie wichtig es ist, in robuste Erkennungs- und Reaktionsfähigkeiten zu investieren, um Sicherheitsverletzungen frühzeitig zu erkennen und ihre Auswirkungen zu minimieren.

Finanzielle Last wird auf Verbraucher übertragen

Überraschenderweise waren 95 Prozent der untersuchten Unternehmen von mehreren Datenschutzverletzungen betroffen. Anstatt jedoch vorrangig in Sicherheitsmaßnahmen zu investieren, entschieden sich 57 Prozent der Unternehmen dafür, die Kosten des Vorfalls auf die Verbraucher abzuwälzen. Dieses Ergebnis ähnelt dem Bericht von 2022, in dem 60 Prozent der Befragten angaben, dass sie Preise erhöht haben. Dieser Ansatz bleibt besorgniserregend, da er nicht nur die finanzielle Last auf die Verbraucher überträgt, sondern auch die Ursache der Sicherheitsverletzung nicht behebt und das Unternehmen anfällig für zukünftige Angriffe macht.

16 Prozent der Angriffe sind Phishing-Aktivitäten. Die Kosten, die nach einem erfolgreichen Phishing entstehen, sind mit 4,76 Millionen nach den Kosten durch Insider-Bedrohungen die zweithöchsten. Organisationen, die nach einem Datenleck investieren und nicht nur die Kosten auf Kunden abwälzen, befassen sich mit Incident-Response-Planning (50%) und der Schulung von Mitarbeitern (46%).

Mitarbeiterschulung zur Kostensenkung

Die Mitarbeiterschulung wird zudem als zweitwichtigster Faktor zur Reduzierung der Kosten eines Datenlecks erkannt. Danach folgen die Integration von Sicherheitsprozessen und -Maßnahmen bereits während der Produktentwicklung. Darüber hinaus zeigt der Bericht auf, dass höhere Investitionen in Trainingsmaßnahmen auch bessere Ergebnisse bei der Reduzierung der Kosten eines Sicherheitsvorfalls zu Tage fördern.

Gleichzeitig stellt die Remote-Arbeit einen durchaus großen negativen Faktor dar, der die Kosten eines Vorfalls im Schnitt erhöht. Auch hier müssen passende Schulungsmaßnahmen gefunden werden, um Mitarbeiter im Home-Office oder unterwegs besser zu schützen.

Eine Kostenreduzierung wird vor allem auch durch eine schnelle Erkennung und Behebung erreicht, hier fällt allerdings auf, dass Unternehmen besonders lange brauchen um Angriffe wie Insider-Bedrohungen, Social Engineering oder Phishing festzustellen und letztlich zu beheben. Investitionen in das Security Awareness-Training und simuliertes Phishing sind also unbedingt zu empfehlen.

Schulungen senken Klickingrate

Die Zahlen des diesjährigen Benchmarking Reports legen den Verdacht nahe, dass fast ein Drittel der Mitarbeiter in den untersuchten Organisationen wahrscheinlich auf eine Phishing-E-Mail klicken würden. Der sogenannte Phish-Prone Percentage (PPP) bemisst die Wahrscheinlichkeit, dass ein Nutzer einen infizierten Link in einer Phishing-E-Mail anklickt. Die Ergebnisse zeigen, dass 90 Tage nach der Durchführung von monatlichen oder häufigeren Security Awareness-Schulungen der durchschnittliche PPP-Wert auf 20 Prozent sank. Nach zwölf Monaten Training und simulierten Phishing-Sicherheitstests sank der durchschnittliche PPP-Wert auf sechs Prozent. Der Erfolg der Maßnahmen lässt sich also bemessen, wenn entsprechende Daten gesammelt und ausgewertet werden.

Dr. Martin J. Krämer

ist Security Awareness Advocate bei KnowBe4.