Wie viel kostet eine Datenschutzverletzung ein kleines Unternehmen?

Sie sind sich vielleicht der spezifischen Schwierigkeiten bewusst, die ein Unternehmen nach einer Datenschutzverletzung erleiden könnte, aber wie viel würde ein Angriff wirklich kosten? Dem jüngsten Bericht von IBM zufolge entstehen größeren Unternehmen zwar höhere Kosten durch Datenschutzverletzungen, doch auch bei kleinen Unternehmen steigen die Kosten. „Kleine Unternehmen verzeichneten einen Anstieg von 2,35 Millionen Dollar im Jahr 2020 auf 2,98 Millionen Dollar im Jahr 2021, was einem Anstieg von 26,8 % entspricht.“

Es gibt jedoch noch weitere Kosten zu berücksichtigen, wie z. B. entgangene Einnahmen oder Schädigung der Reputation. Nach Angaben von IBM gibt es vier prozessbezogene Aktivitäten, die eine Reihe von Ausgaben im Zusammenhang mit einer Datenschutzverletzung in einem Unternehmen verursachen:

• Aufdeckung und Eskalation – Kosten im Zusammenhang mit der angemessenen Aufdeckung eines Verstoßes

  • Forensische und investigative Aktivitäten
  • Bewertungs- und Auditdienste
• Benachrichtigung – Kosten im Zusammenhang mit der Benachrichtigung von betroffenen Personen, Aufsichtsbehörden und anderen Dritten

  • E-Mails, Briefe, ausgehende Anrufe oder allgemeine Benachrichtigung der betroffenen Personen
  • Ermittlung der gesetzlichen Anforderungen und Kommunikation mit den Aufsichtsbehörden
• Geschäftseinbußen – Kosten im Zusammenhang mit dem Verlust von Kunden, Geschäftsunterbrechungen und entgangenen Einnahmen

  • Geschäftsunterbrechungen und Umsatzeinbußen durch Systemausfallzeiten
  • Kosten für verlorene Kunden und die Gewinnung neuer Kunden
  • Verlust des guten Rufs
• Reaktion nach einer Sicherheitsverletzung – Kosten in Verbindung mit der Unterstützung der Opfer einer Sicherheitsverletzung

  • Rechtliche Ausgaben
  • Gesetzliche Geldbußen

Von diesen vier Kategorien machten „entgangene Geschäfte das siebte Jahr in Folge den größten Anteil an den Kosten für Datenschutzverletzungen aus“, nämlich 38 % der durchschnittlichen Gesamtkosten (1,59 Millionen Dollar). „An zweiter Stelle stehen die Aufdeckungs- und Eskalationskosten mit durchschnittlichen Gesamtkosten von 1,24 Millionen US-Dollar oder 29 % der Gesamtkosten.“ Um alle von IBM genannten Kosten zu überprüfen, können Sie den vollständigen Bericht hier herunterladen.

Welche Branchen sind am anfälligsten für kostspielige Datenschutzverletzungen?

Obwohl jedes Unternehmen, das Daten besitzt, dem Risiko einer Datenschutzverletzung ausgesetzt sein kann, sind bestimmte Branchen besonders anfällig für Angriffe. Nach Angaben von IBM war das Gesundheitswesen das elfte Jahr in Folge die Branche mit den höchsten durchschnittlichen Gesamtkosten. Die fünf Branchen mit den höchsten durchschnittlichen Gesamtkosten sind im Folgenden aufgeführt:

• Gesundheitsfürsorge
• Finanzwesen
• Pharmazeutische Industrie
• Technologie
• Energie

Es ist erwähnenswert, dass die oben genannten Branchen zwar die höchsten Durchschnittskosten aufwiesen, dass aber auch in mehreren anderen Sektoren ein starker Anstieg der durchschnittlichen Gesamtkosten im Zusammenhang mit einer Datenschutzverletzung zu verzeichnen war. IBM identifiziert diese als:

• Dienstleistungen (Anstieg um 7,8 %)
• Kommunikation (Anstieg um 20,3 %)
• Verbraucher (Anstieg um 42,9 %)
• Einzelhandel (Anstieg um 62,7 %)
• Medien (92,1% Anstieg)
• Gastgewerbe (Anstieg um 76,2%)
• Öffentlicher Sektor (Anstieg um 78,7%)

Welches sind die 4 größten Bedrohungen für Unternehmen?

Da Hacker ihre Techniken weiterentwickeln, gibt es heute viel mehr Bedrohungen für Unternehmen. Je nach Art des Angriffsvektors oder des spezifischen Pfads bzw. der Methode, der/die ausgenutzt wird, können die Kosten für die Behebung des Verstoßes unterschiedlich hoch sein.

Nach Angaben von IBM sind die häufigsten Angriffsvektoren im Jahr 2021 folgende:

1. Kompromittierte Anmeldedaten (20 % der Sicherheitsverletzungen)
2. Phishing (17 % der Sicherheitsverletzungen)
3. Fehlkonfiguration der Cloud (15 % der Sicherheitsverletzungen)
4. Kompromittierung geschäftlicher E-Mails (5 % der Sicherheitsverletzungen)

Interessanterweise war die Kompromittierung von Geschäfts-E-Mails zwar nur für 4 % der Sicherheitsverletzungen verantwortlich, aber dieser Angriff verursachte mit 5,01 Millionen US-Dollar die höchsten durchschnittlichen Gesamtkosten.

Dem Bericht zufolge werden die höchsten durchschnittlichen Gesamtkosten für Datenschutzverletzungen nach anfänglichen Angriffsvektoren im Jahr 2021 entstehen:

• Kompromittierung geschäftlicher E-Mails (5,01 Millionen US-Dollar)
• Phishing (4,61 Mio. US-Dollar)
• Böswillige Insider (4,61 Millionen US-Dollar)
• Social Engineering (4,47 Millionen Dollar)
• Kompromittierte Zugangsdaten (4,37 Mio. USD)

„Die vier häufigsten ursprünglichen Angriffsvektoren waren 2021 die gleichen wie in der Studie von 2020, aber in leicht veränderter Reihenfolge. Phishing rückte vom vierten auf den zweiten Platz vor, und die Fehlkonfiguration der Cloud fiel vom zweiten auf den dritten Platz zurück.“

Wie können kleine Unternehmen Cyberangriffe verhindern?

Es liegt in Ihrer Verantwortung als Unternehmen, Ihre Daten zu schützen und Ihre Mitarbeiter zu schulen, damit sie wissen, welche Rolle sie beim Schutz von Daten und Informationen spielen. Der beste Weg, Ihr Unternehmen zu schützen, besteht darin, Ihre derzeitigen Sicherheitssysteme zu verbessern und die bestehenden Verfahren zu überprüfen. Eine der einfachsten Möglichkeiten, dies zu tun, ist die Durchführung einer GAP-Analyse.

Unternehmen, die sich ernsthaft für ein sicheres Cyber-Umfeld einsetzen wollen, sollten ein Informationssicherheitsmanagementsystem (ISMS) einführen. Diese Entscheidung hilft Ihrem Unternehmen bei der Bewältigung von Sicherheitsbedrohungen, indem es Ihnen die notwendigen Prozesse und Kontrollen zum Schutz Ihrer Daten und Informationen an die Hand gibt. Managementsysteme sind nicht neu und wurden bereits zur Lösung einer Vielzahl von Unternehmensproblemen eingesetzt. ISO/IEC 27001 gilt als Goldstandard für Sicherheitsrahmenwerke und dient als ultimativer Maßstab für Unternehmen, die ihr ISMS einrichten, umsetzen, betreiben, überwachen, überprüfen, pflegen und kontinuierlich verbessern wollen.

Wenn Sie Ihre geschäftlichen Anforderungen besprechen und herausfinden möchten, ob ISO/IEC 27001 für Ihr Unternehmen geeignet ist, stehen Ihnen unsere Experten zur Verfügung, um alle Ihre Fragen zu beantworten.