Der kürzlich veröffentlichte Security Cost of a Data Breach Report 2023 von IBM wirft ein Schlaglicht auf einen beunruhigenden Trend in der Cybersicherheitslandschaft. Aus dem Bericht geht hervor, dass die durchschnittlichen Kosten einer Datenpanne weltweit ein Allzeithoch von 4,45 Millionen US-Dollar erreicht haben, was einem deutlichen Anstieg von 15 Prozent in den letzten drei Jahren entspricht. Dieser alarmierende Anstieg der Kosten für Datenschutzverletzungen unterstreicht die Dringlichkeit für Unternehmen, proaktive Maßnahmen zum Schutz ihrer Daten zu ergreifen und potenziellen Datenschutzverletzungen vorzubeugen.
Eines der auffälligsten Ergebnisse des Berichts ist der deutliche Anstieg der Kosten für die Erkennung und Eskalation von Datenschutzverletzungen um 42 Prozent. Dies deutet auf eine Verlagerung hin zu komplexeren Untersuchungen von Sicherheitsverletzungen und zeigt die zunehmende Raffinesse von Cyber-Angreifern. Cyberbedrohungen werden immer raffinierter und durch generative KI wie WormGPT einfacher zu erlernen. Deshalb müssen Unternehmen erkennen, wie wichtig es ist, in robuste Erkennungs- und Reaktionsfähigkeiten zu investieren, um Sicherheitsverletzungen frühzeitig zu erkennen und ihre Auswirkungen zu minimieren.
Überraschenderweise waren 95 Prozent der untersuchten Unternehmen von mehreren Datenschutzverletzungen betroffen. Anstatt jedoch vorrangig in Sicherheitsmaßnahmen zu investieren, entschied sich ein beträchtlicher Teil dieser Unternehmen (57 %) dafür, die Kosten des Vorfalls auf die Verbraucher abzuwälzen. Dieses Ergebnis ähnelt dem Bericht von 2022, in dem 60 Prozent der Befragten angaben, dass sie Preise erhöht haben. Dieser Ansatz bleibt besorgniserregend, da er nicht nur die finanzielle Last auf die Verbraucher überträgt, sondern auch die Ursache der Sicherheitsverletzung nicht behebt und das Unternehmen anfällig für zukünftige Angriffe macht.
Phishing als kostenintensivste Bedrohung
Auffällig sind die Kosten und die Frequenz der Phishing-Aktivitäten (16 % aller Angriffe). Die Kosten, die nach einem erfolgreichen Phishing entstehen, sind nach den Kosten durch Insider-Bedrohungen die zweithöchsten (4,76 Millionen US-Dollar). Organisationen, die nach einem Datenleck investieren und nicht nur die Kosten auf Kunden abwälzen, befassen sich mit Incident-Response-Planning (50%) und vor allem auch der Schulung von Mitarbeitern (46%).
Besonders die Mitarbeiterschulung wird zudem als zweitwichtigster Faktor zur Reduzierung der Kosten eines Datenlecks erkannt. Danach folgen die Integration von Sicherheitsprozessen und -Maßnahmen bereits während der Produktentwicklung. Darüber hinaus zeigt der Bericht auf, dass höhere Investitionen in Trainingsmaßnahmen auch bessere Ergebnisse bei der Reduzierung der Kosten eines Sicherheitsvorfalls zu Tage fördern.
Gleichzeitig stellt die Remote-Arbeit einen durchaus großen negativen Faktor dar, der die Kosten eines Vorfalls im Schnitt erhöht. Auch hier müssen passende Schulungsmaßnahmen gefunden werden, um Mitarbeiter im Home-Office oder unterwegs besser zu schützen.
Eine Kostenreduzierung wird vor allem auch durch eine schnelle Erkennung und Behebung erreicht, hier fällt allerdings auf, dass Unternehmen besonders lange brauchen um Angriffe wie Insider-Bedrohungen, Social Engineering oder Phishing festzustellen und letztlich zu beheben. Investitionen in das Security Awareness-Training und simuliertes Phishing sind also unbedingt zu empfehlen.
Phishing wird zu oft geklickt
Die Zahlen des diesjährigen Benchmarking Reports legen den Verdacht nahe, dass fast ein Drittel der Mitarbeiter in den untersuchten Organisationen wahrscheinlich auf eine Phishing-E-Mail klicken würden. Der sogenannte Phish-ProneTM Percentage (PPP) bemisst die Wahrscheinlichkeit, dass ein Nutzer einen infizierten Link in einer Phishing-E-Mail anklickt. Die Ergebnisse zeigen, dass 90 Tage nach der Durchführung von monatlichen oder häufigeren Security Awareness-Schulungen der durchschnittliche PPP-Wert auf 20 Prozent sank. Nach zwölf Monaten Training und simulierten Phishing-Sicherheitstests sank der durchschnittliche PPP-Wert auf sechs Prozent. Der Erfolg der Maßnahmen lässt sich also bemessen, wenn entsprechende Daten gesammelt und ausgewertet werden.
Fazit
Zusammenfassend sind die Ergebnisse des Berichts wieder einmal ein Weckruf für Unternehmen weltweit. Organisationen sollten endlich eine proaktive Haltung zur Cybersicherheit einnehmen, um die Risiken von Sicherheitsvorfällen zu verringern. Investitionen in robuste Cybersicherheitsmaßnahmen sind entscheidend für den Aufbau einer starken Verteidigung gegen Cyberbedrohungen. Dazu sollten fortschrittliche Bedrohungserkennungssysteme, kontinuierliche Security Awareness-Schulungen mit simulierten Phishing-Tests sowie regelmäßige Sicherheitsbewertungen zählen, um den Erfolg der durchgeführten Aktivitäten gegenüber der Geschäftsführung nachweisen zu können.