durchschnittlichen auf 4,3 Millionen Euro. Das ist eines der Ergebnisse des aktuellen IBM „Cost of Data Breach“-Reports. Die von IBM Security in Auftrag gegebene und vom US-amerikanischen Ponemon Institute durchgeführte, weltweit ausgerichtete Studie basiert auf einer eingehenden Analyse realer Datenlecks, die über 550 Unternehmen zwischen März 2022 und März 2023 zu verzeichnen hatten.
Obwohl die Unternehmen bereits in Reaktion auf die Bedrohungslage einiges an Maßnahmen zur Datensicherheit treffen, benötigten die analysierten deutschen Unternehmen im Schnitt 182 Tage, um Datenlecks aufzudecken und einzudämmen. Das sind erfreuliche 95 Tage weniger als der globale Durchschnitt von 277 Tagen. Nichtsdestoweniger gilt für Chris McCurdy, General Manager, Worldwide IBM Security Services: „Zeit ist die neue Währung in der Cybersecurity, sowohl für die Verteidiger als auch für die Angreifer. Wie der Bericht zeigt, können eine frühzeitige Erkennung und eine schnelle Reaktion die Auswirkungen eines Angriffs erheblich reduzieren.“
Beunruhigend ist jedoch, dass nur ein Drittel der weltweit untersuchten Vorfälle von den eigenen Cyber-Security-Teams der Unternehmen entdeckt wurden. Datenlecks, die erst durch den Angriff selbst offenbar werden, kosteten die Unternehmen im globalen Durchschnitt fast 1 Million US-Dollar mehr als Cyber-Attacken, die von unternehmenseigenen Sicherheitsteams aufgedeckt wurden. „Sicherheitsteams müssen sich darauf konzentrieren, wo die Angreifer am ehesten effektiv sein könnten“, rät IBM-Security-Services-Head McCurdy, „und sie stoppen, bevor sie ihre Ziele erreichen. Investitionen in Erkennungs- und Reaktionsmaßnahmen gegen Bedrohungen, die die Geschwindigkeit und Effizienz von Verteidigern erhöhen – beispielsweise mit KI und Automatisierung – sind entscheidend, um dieses Gleichgewicht auszubalancieren.“ Deutsche Unternehmen, die diesen Rat bereits in die Tat umgesetzt haben, konnten Datenlecks, laut IBM, beeindruckende 81 Tage schneller schließen, als Unternehmen, die Technologien wie KI und Automatisierung nicht einsetzten.
Die nach wie vor zögerliche Haltung zur Zusammenarbeit mit den Strafverfolgungsbehörden seitens der Unternehmen, die Opfer einer Ransomware-Attacke geworden sind, macht der IBM-Bericht ebenfalls zum Thema. Unternehmen scheinen sich bei einem Ransomware-Angriff zu scheuen, die Strafverfolgungsbehörden einzuschalten, weil sie glauben, dass dies die Situation nur verkomplizieren würde. Die IBM-Analyse zeigt jedoch, dass Unternehmen, die die Behörden einschalteten, ihr Datenleck im Durchschnitt 33 Tage früher geschlossen bekommen haben, als diejenigen, die sich gegen die Zusammenarbeit entschieden hatten. Und die untersuchten Ransomware-Opfer, die keine Strafverfolgung einschalteten, zahlten im Durchschnitt 470.000 US-Dollar (ca. 418.000 Euro) mehr, als diejenigen, die auf diese Kooperation setzten. Hinzu kommt, dass rund die Hälfte aller untersuchten Ransomware-Opfer Lösegeld gezahlt hat. Die Unternehmen, so schlussfolgern die IBM-Sicherheitsexperten eindeutig, sollten sich klar machen, dass die Zahlung von Lösegeld und der Verzicht darauf, die Strafverfolgungsbehörden einzuschalten, nur die Reaktion auf die Attacke verzögere und Schadenskosten in die Höhe treibe.
Ein auffälliger Kostenfaktor seien zudem nach IBM-Analyse Phishing-Angriffe (16 % aller untersuchten kriminellen Aktivitäten), darauf macht der Cyber-Security-Schulungsanbieter KnowBe4 aufmerksam. Die Kosten, die nach einem erfolgreichen Phishing-Angriff entstehen, sind nach den Kosten durch Insider-Bedrohungen weltweit die zweithöchsten (4,76 Millionen US-Dollar). Einige Unternehmen wälzen die Kosten lediglich auf die Kunden ab, von den Firmen, die nach einem Datenleck investieren, befassen sich laut IBM-Bericht 50 % mit Incident Response Planning und 46 % mit der Schulung von
Mitarbeitern, hebt der Anbieter von Phishing Awareness Trainings hervor. Die Zahlen einer aktuellen Studie des Schulungsakteurs legen nahe, dass derzeit fast ein Drittel der Mitarbeiter mit hoher Wahrscheinlichkeit auf eine Phishing-E-Mail klicken würden. Eine Evaluation von Security Awareness-Schulungen ergab, dass 90 Tage nach der Durchführung von monatlichen oder häufigeren Trainings der Wert auf 20 Prozent sank und nach zwölf Monaten durchschnittlich sogar auf sechs Prozent. „Cyberbedrohungen werden immer raffinierter, auch durch generative KI wie WormGPT“, so Martin Krämer, Security Awareness Advocate bei KnowBe4. „Deshalb müssen Unternehmen erkennen, wie wichtig es ist, in robuste Erkennungs- und Reaktionsfähigkeiten zu investieren, um Sicherheitsverletzungen frühzeitig zu erkennen und ihre Auswirkungen zu minimieren.“
Den vollständigen IBM Security Intelligence Report für das Jahr 2023 können Sie hier herunterladen: https://www.ibm.com/security/data-breach
