:quality(80)/p7i.vogel.de/wcms/80/1d/801d675bfd330d8d27c2394097007fc8/0112145878.jpeg "Die Nachfrage nach SD-WAN und Unified SASE steigt. Versa Networks hat daher das DACH-Team um einen Senior Regional Account Executive erweitert. (Bild: laddawan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ba/96/ba9620a2619d24abcf6a037b8fff3946/0112152929.jpeg "Mit der Vison Pro hat Apple die lang erwartete Datenbrille auf der Entwicklerkonferenz WWDC 2023 präsentiert. (Bild: Apple)")
:quality(80)/p7i.vogel.de/wcms/cc/a9/cca9618b6b15a597c2fdfec5628db5d0/0111983861.jpeg "Ein Mikroprozessor von AMD der 386er-Serie. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/d0/07/d00740ea1a05dd44c1ca861e15e754fa/0112145069.jpeg "Ein Whistleblower ist eine Person, die interne Informationen öffentlich macht, um illegale, unethische oder korrupte Praktiken innerhalb einer Organisation aufzudecken. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c5/d0/c5d0eacef5093e957b93c2ea9cf77241/0111962048.jpeg "Die Befragung von SAP-Experten in der DACH-Region seitens Valantic ergab: Die Umstellung auf S/4HANA ist in vollem Gang. 21 Prozent der befragten Unternehmen haben die Transformation bereits abgeschlossen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7a/ee/7aeea637dc237edbf273afd68cacb595/0111274207.jpeg "Smartphones sind im beruflichen Alltag ein beliebtes Tool, um Arbeitsprozesse zu verbessern. (Bild: © – metamorworks – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5d/0e/5d0ef1c66af7fb2a28824b6a948cca9e/0111321611.jpeg "Cloud-Analysen gewinnen angesichts stetig steigender Datenmengen an Bedeutung; sie liefern das Material, mit dem moderne Knowledge Worker in Unternehmen heute arbeiten. (Bild: Andrey Popov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/a7/eba7fda9b8b3585d1bb04f8bc73cc81f/0111651548.jpeg "Die Unigrid Foundation will 10.000 europäische Rechenzentren mittels der Blockchain vernetzen. (Bild: frei lizenziert Gerd Altmann - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/e5/bd/e5bd1b6532d0e25591b37a11cee8a8ce/0111184647.jpeg "Das mit AIOps weiterentwickelte HPE Aruba Networking Central sowie Agile NaaS sollen eine effektivere Verwaltung komplexer Betriebsprozesse ermöglichen. (Bild: Hewlett Packard Enterprise)")
:quality(80)/p7i.vogel.de/wcms/ba/3f/ba3f87b04b02b0ec193c24ad9e9c2334/0111256737.jpeg "Bakisto besteht aus drei miteinander vernetzten Systemen: Einem kollaborierenden Roboter (Cobot) von Fanuc, Wanzls smartem Backwarenpräsenter Bake Off i mit Künstlicher Intelligenz (KI) und dem netzwerkfähigen Backofen Dibas blue2 mit automatischem Be- und Entladesystem Tray Motion von Wiesheu. (Bild: Wanzl)")
:quality(80)/p7i.vogel.de/wcms/21/37/21374f9d2e2dceb7623b763d0983502d/0112102231.jpeg "OT-Netzwerke gelten als Stiefkinder der IT-Sicherheit und werden dabei von Angrifern häufig bedroht. Herkömmliche Erkennungsmethoden greifen zu kurz. Palo Alto Networks empfiehllt den Einsatz von Zero-Trust-Lösungen. (Bild: stnazkul - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/75/10/751084ece225159fce582751b678860e/0111649534.jpeg "(Bild: ARROW)")
:quality(80)/p7i.vogel.de/wcms/22/1c/221c5c6fbbb8447e2ad11981a645b6d0/0111649999.jpeg "(Bild: ALSO)")
:quality(80)/p7i.vogel.de/wcms/58/60/58608be66bae2377bdebaff647a6fbc3/0111649973.jpeg "(Bild: Adin - stock.adobe.com)")
Studie des Ponemon Institutes Was kosten Datenschutzverletzungen wirklich?
Untersuchungen zu Datenschutzverletzungen gibt es viele. Kein Wunder, denn die Folgen dieser Attacken sind in der Regel schwerwiegend. Allein die dadurch verursachten Kosten sind immens und machen schmerzlich klar, wie verwundbar die digitale Welt ist.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/91900/91921/65.jpg "logo_axis_color_rgb.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/28200/28280/65.jpg "ArrowWorm_200x80.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
Dabei sind Cyberattacken und Datenverstöße nichts Neues. Bereits 2014 untersuchte das Ponemon Institute in einer globalen Studie, wie Unternehmen mit dem Diebstahl geschützter Daten umgehen und welche Kosten ihnen dadurch entstehen. Fazit: Der Mensch ist der größte Risikofaktor, und die unmittelbaren wie auch indirekten Kosten lassen sich nur schwer beziffern.
Aktuell hat das Ponemon Institute wieder eine Studie vorgelegt. Diese im Sommer 2018 durchgeführte Untersuchung hat festgestellt, dass ein Datenverstoß durchschnittlich 3,86 Millionen US-Dollar kostet und selbst ein einziger verlorener Datensatz bis zu 148 US-Dollar kosten kann. Diese Zahlen klingen im ersten Moment sehr bedrohlich. Doch es ist anzunehmen, dass die tatsächlichen Kosten einer Datenschutzverletzung deutlich geringer sind.
Der Grund: Die durch eine Datenschutzverletzung verursachten Kosten hängen letztlich von vielen unterschiedlichen Faktoren ab, wie etwa der Anzahl und Art der verlorenen Datensätze, der Reaktionszeit sowie dem gesamten Krisenmanagement, so dass sich die Kosten nur schwer prognostizieren lassen.
Unabhängig von der Dimension eines solchen Vorfalls und den tatsächlichen Folgekosten derartiger Attacken ist es wichtig, dass Unternehmen bestmöglich auf eine solche Situation vorbereitet sind. Das gilt nicht nur hinsichtlich der Schutzmaßnahmen, sondern auch für die im schlimmsten Fall zu ergreifenden Maßnahmen und die damit verbundenen Kosten.
Entwicklung eines Szenarios
Im ersten Schritt sollten die Unternehmen daher ein Worst-Case-Szenario entwickeln und dann die einzelnen Phasen detailliert analysieren. Ein solches Szenario kann wie folgt aussehen: Angenommen, ein Cyber-Krimineller hat sich vollen Zugriff auf das Netzwerk verschafft und kritische Daten abgegriffen, was würde dies für das betroffene Unternehmen bedeuten? Inwiefern sind Externe betroffen? Welche Daten wurden gehackt, und wie ist es den Datendieben gelungen, Zugriff auf diese Daten zu bekommen?
Es ist wichtig, von Anfang an zu verstehen, wie die Attacke ablief, welche Unternehmensbereiche betroffen sind und welcher Gesamtschaden entstanden ist. Nur wenn diese Informationen vorhanden sind, kann daraus abgeleitet werden, welche Kosten schlimmstenfalls entstehen würden.
Um eine bessere Differenzierung der verschiedenen Aspekte eines Datenverstoßes überhaupt vornehmen und deren Relevanz für die anzunehmenden Kosten einschätzen zu können, hilft die Cost of Data Breach Study 2018 des Ponemon-Instituts. Darin legt das Marktforschungsunternehmen, das sich bei seinen Forschungen auf den Datenschutz sowie die Daten- und Informationssicherheit konzentriert, unterschiedliche Kategorien fest:
Identifikation und Eskalation
In dieser Phase beschäftigen sich die Unternehmen mit folgenden Fragen:
- Welche Kosten sind mit der Datenschutzverletzung verbunden?
- Was sind die Ursachen und muss der Verstoß gemeldet werden?
- Müssen externe Experten hinzugezogen werden, um die Ursache und das Ausmaß der Verletzung festzustellen?
- Welche Kosten entstehen dem betroffenen Unternehmen für den Einsatz eines Krisenmanagement-Teams?
- Welche Aufwände sind mit potenziellen Anpassungen in der Kommunikation und Befehlshierarchie verbunden?
Reaktion auf Datenschutzverletzungen
Hier gilt es zu definieren, wie im Falle einer Datenschutzverletzung vorzugehen ist, um Schlimmeres zu vermeiden. Es muss abgewogen werden, wie sicherheitsrelevant die Daten sind – sprich, ob es sich beispielweise „nur“ um E-Mail-Adressen handelt oder ob etwa persönliche Daten (zum Beispiel Gesundheitsdaten) betroffen sind. Je nachdem, wie die Antwort ausfällt, sind entsprechende Präventionsmaßnahmen zu empfehlen und sogar finanzielle Rückstellungen sinnvoll.
Verlorene E-Mail-Adressen können zudem die DSGVO betreffen und entsprechende Kontrollen auf den Plan rufen. Sollten von der Datenschutzverletzung Kreditkarten oder Krankenakten betroffen sein, sind eine Kreditkartenüberwachung oder die Einführung eines Identitätsschutzdienstes denkbar. Je nach Schwere des Vorfalls kann es sogar sein, dass Kunden das Unternehmen verklagen. Diese Aspekte sollten deshalb unbedingt bedacht und entsprechende Notfallpläne entwickelt werden.
Kommunikationskosten
Im Zuge der dramatischen Ereignisse rund um eine Datenattacke werden die Kommunikation und die damit verbundenen Kosten oft vergessen. Diese angesichts der Folgen einer Datenschutzverletzung auf den ersten Blick scheinbar unbedeutenden Ausgaben können sich schnell summieren. Deshalb sollte man sich rechtzeitig mit der Frage beschäftigen, wie hoch die Kosten für Briefe, E-Mails, Telefonate und so weiter schlimmstenfalls sein können.
Auch zusätzliches Personal für die Kommunikation mit Kunden oder die Koordination eingehender Anrufe sowie einer deeskalierenden Korrespondenz sollten kalkuliert werden. Nicht zu vergessen ist zudem der administrative Aufwand, der allein durch die Zusammenarbeit mit Aufsichtsbehörden oder Beratungsexperten entsteht.
Entgangene Geschäfte und verlorene Reputation
Grundsätzlich gilt: Niemand ist glücklich, wenn seine Daten verloren gehen oder gestohlen werden. Dennoch sollte von vorne herein analysiert werden, welche Auswirkungen eine Datenschutzverletzung auf das Geschäft haben kann. Es müssen Hypothesen aufgestellt werden, wie schwer es werden kann, bestehende Kunden zu halten oder neue für das Unternehmen zu finden.
In einem Worst-Case-Szenario sollte durchaus erörtert werden, was zu tun ist, wenn eine Datenschutzverletzung einen schlechten Ruf mit sich bringt, denn das kann sogar dazu führen, dass ein Unternehmen sein Business aufgeben muss; auch diese Kosten gilt es zu kalkulieren.
Bußgelder
Auch Bußgelder hängen wie ein Damoklesschwert über den Unternehmen, die von einer Datenpanne betroffen sind. Je nachdem, was passiert ist, kann auch das Volumen der zu befürchtenden Bußgelder ein Unternehmen ruinieren. Die Höhe der Geldstrafen hängt dabei zum einen vom Unternehmensstandort und zum anderen von der Schwere der Verletzung sowie den Ursachen ab.
Im US-amerikanischen Gesundheitswesen kann beispielsweise die Verletzung des Health Insurance Portability and Accountability Act (HIPAA) zwischen 100 und 50.000 Dollar kosten. Verletzungen der in Europäischen Union geltenden DSGVO können sogar mit bis zu 20 Millionen Euro oder im Fall eines Unternehmens bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr bestraft werden – je nachdem, welcher Wert der höhere ist.
Fazit
Eine Datenschutzverletzung wird ein Unternehmen nicht unbedingt Millionen kosten, aber sie ist in jedem Fall sehr teuer. Im Spannungsfeld zwischen der Identifikation der Ursache, dem richtigen Handeln und den potenziellen Kosten sollten die Unternehmen sich rechtzeitig über passende Tools und Dienstleistungen informieren, um sich bestmöglich vor Datenverstößen zu schützen. Darüber hinaus empfiehlt sich die Erstellung eines Notfallplans, um im schlimmsten Fall zumindest richtig reagieren und die Kosten einschätzen zu können.
*Der Autor: Florian Malecki, International Product Marketing Director bei StorageCraft
(ID:45857893)
:quality(80)/images.vogel.de/vogelonline/bdb/1928300/1928372/original.jpg "Beispiele für Datenpannen gab es in 2021 leider mehr als genug. Nicht nur die Datenschutzverletzungen, die zu hohen Bußgeldern geführt haben, sollten als schwerwiegend angesehen werden. (Ar_TH - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1921900/1921934/original.jpg "Da Produktionsanlagen zunehmend ans Internet angeschlossen werden, benötigen Unternehmen entsprechende Sicherheitsmaßnahmen. (Quality Stock Arts_AdobeStock_327987636)")