GlobalSign Blog

26 Jan 2018

In Zahlen: Kosten eines Datenschutzvorfalls und Prokrastination

Im neuesten Ponemon-Bericht wurden die Kosten eines Datenschutzvorfalls in den USA 2017 besprochen. Sie haben Recht ... dieser Bericht wurde im Juni veröffentlicht und wir haben einfach auf diesen heißen Daten gesessen. Meine Entschuldigung ist schlicht und einfach Prokrastination. Ich wollte nicht darüber schreiben. Das Thema schien langweilig und beschränkt. Kosten sind Kosten, na und? Einfach nur die große Zahl herausgeben, um alle zu erschrecken, zum Bericht verlinken und fertig - ist doch nur einen oder höchstens zwei Tweets wert, oder?

Nachdem ich vor fast einem Monat (oder mehr?) einige Anmerkungen und Hervorhebungen in dem Bericht gemacht, hier und da ein paar Ideen und Erkenntnisse an die Ränder gekritzelt hatte, ließ ich ihn irgendwo auf meinem Schreibtisch liegen und kümmerte mich lieber um andere Projekte. Nachdem ich mich an einem Sonntag dazu entschlossen hatte, ausstehende Arbeitsprojekte anzugehen, die mich über die Woche retten würden, nahm ich den Bericht stetes Verantwortungsbewusstsein und das nagende Schuldgefühl, ein versprochenes Projekt nicht abgeschlossen zu haben, wieder auf.

Und hier ist nun meine Zusammenfassung über die Kosten eines Datenschutzvorfalls in den USA 2017.

Es ist SEHR teuer!

Der diesjährige Ponemon-Bericht zeigt, dass Unternehmen mit Datenpannen, die weniger als 10.000 Datensätze betrafen, durchschnittlich 4,5 Millionen US-Dollar und Unternehmen mit Verlusten oder Diebstählen von mehr als 50.000 Datensätzen 10,3 Millionen US-Dollar ausgegeben haben.

Total Cost by size of the data breach, taken from the Ponemon Institute 2017 Cost of Data Breach Study

Gesamtkosten nach Größe der Datenpanne, entnommen aus der 2017 Cost of Data Breach Study des Ponemon Institute

Das entspricht im Durchschnitt 7,35 Millionen US-Dollar Gesamtkosten für eine Datenpanne, was gegenüber dem Vorjahr eine Steigerung von 5% bedeutet. Wenn man es weiter herunterrechnet, betragen die durchschnittlichen Kosten pro verloren gegangenen oder gestohlenen Datensatz 225 $, was einer Steigerung der Kosten um 2% gegenüber letztem Jahr entspricht. Die Zahl der geknackten Datensätze pro Ereignis in diesem Jahr lag zwischen 5.563 und 99.500 Datensätzen. Die durchschnittliche Anzahl der geknackten Datensätze betrug 28.512.

Dies sind die verschiedenen Komponenten, die für die Berechnung der Kosten eingesetzt wurden:

  1. Kundenverlust oder ABWANDERUNGSquote
  2. Die Anzahl der verlorenen gegangenen oder gestohlenen Datensätze (Umfang des Datenschutzvorfalls)
  3. Erkennung und Eskalation des Vorfalls
  4. Zeit bis zur Behebung (Zeit für Identifizierung und Eindämmung des Datenschutzvorfalls)
  5. Kosten nach dem Datenschutzvorfall, wie z. B. Benachrichtigung der Opfer

Es ist auch interessant (und offensichtlich?) zu bemerken, dass ein Angriff durch einen "bösartigen Insider" oder Hackerverbrecher kostspieliger ist als Systemfehler und simple Nachlässigkeit (auch als menschlicher Faktor bezeichnet). Ein weiterer hervorzuhebender Punkt ist, dass je größer die Abwanderung von einst treuen oder potenziellen Kunden ist, desto höher die Kosten des Datenschutzvorfalls sind, da es doppelt so viel kostet, den Wert eines einzelnen verlorenen oder potenziellen Kunden zu ersetzen.

Unternehmen, die weniger als 1% Abwanderungsquote oder einen Verlust bestehender und potenzieller Kunden verzeichnen, hatten durchschnittlich organisatorische Gesamtkosten von 5,3 Millionen US-Dollar und Unternehmen mit einer Abwanderungsquote von mehr als 4% hatten durchschnittlich Gesamtkosten von 10,1 Millionen US-Dollar pro Datenschutzvorfall.

Average total cost by abnormal churn rate, taken from the Ponemon Institute 2017 Cost of Data Breach Study

Gesamtkosten nach unnormaler Abwanderungsquote, entnommen aus der 2017 Cost of Data Breach Study des Ponemon Institute

Was sollte das durchschnittliche Unternehmen also tun, um diese Art von Verlust bei einem Cyberangriff einzudämmen oder zu minimieren?  Die Leute bei Ponemon haben das auch herausgefunden. Die folgende Grafik zeigt Ihnen, welche Schritte Ihnen helfen, Geld zu sparen und welche vernachlässigten Schritte Sie mehr kosten.

Impact of 20 factors on the per capita cost of data breach, taken from the Ponemon Institute 2017 Cost of Data Breach Study

Auswirkungen von 20 Faktoren auf die Pro-Kopf-Kosten von Datenmissbräuchen, entnommen aus der 2017 Cost of Data Breach Study des Ponemon Institute

Die drei wichtigsten Vorsichtsmaßnahmen, die Sie ergreifen sollten, um die Kosten eines Angriffs zu senken:

  1. Implementierung eines Notfall-Teams - ein benanntes Team von Mitgliedern, die jeweils mit einer spezifischen Verantwortung betraut sind, wenn ein Datenschutzvorfall auftritt, einschließlich eines vorbeugenden Warnsystems;
  2. Extensive Nutzung von Verschlüsselung - Durch den Einsatz von Verschlüsselungsrichtlinien im gesamten Unternehmen (E-Mail, Server, Websites, Softwarecode, Mobilgeräte und andere Geräte) schließen Sie im Wesentlichen eine kostengünstige Versicherung gegen die meisten Arten von Angriffen ab;
  3. Mitarbeiterschulung - Es ist viel billiger, Mitarbeiter darin zu schulen, sorgsam gegenüber E-Mail-, Spear- oder anderen Phishing-Angriffen zu sein, als nachträglich eine Fremdfirma damit zu betrauen, das Gleiche zu implementieren.

Die Kosten der Prokrastination

Von allen im Bericht besprochenen Daten konzentriere ich mich weiterhin auf die Kosten der Kundenabwanderung und die extensive Nutzung von Verschlüsselung. Vermarkter von Technologielösungen sagen, dass jedes Mal ein kleines Stück unseres Herzens bricht, wenn wir einen Kunden verlieren, um den wir so hart gekämpft haben, um sein Vertrauen, seine Treue und seinen Respekt zu verdienen, wo dies so leicht hätte vermieden werden können. Und natürlich ist der schnellste, einfachste und billigste erste Schritt, um die Abwanderung von Kunden durch einen Cyberangriff zu vermeiden, die Implementierung einer kräftigen Portion PKI-Verschlüsselung.

Hier schließt sich wieder der Kreis an dem Punkt, wie dieses Blog-Thema vorgestellt wurde - Prokrastination. Viele Sicherheitsmitarbeiter legen die Nutzung von PKI auf Eis, weil sie meinen, dass die Bereitstellung und Installation von digitalen Zertifikaten in der gesamten IT-Infrastruktur eine entmutigende Aufgabe sei, ganz zu schweigen davon, dass Zertifikaterneuerungen, Widerrufrichtlinien und einfache Bestandsaufnahme aller Zertifikate gemanagt werden müssen.

Heute sollte eine vertrauenswürdige Zertifizierungsstelle mindestens eine Cloud-basierte Plattform für das Zertifikatmanagement anbieten, die Aufwand, Kosten und Zeit für das Management vieler digitaler Unternehmenszertifikate reduziert. Eine Managed PKI-Plattform sollte auch Unterstützung für mehrere Instanzen unter einem Account und delegiertem Benutzerverwalter bieten, die eine vollständige, zentrale Steuerung von Zertifikatbedürfnissen in einem gesamten Unternehmen bieten.

Die von Ihnen gewählte Plattform sollte Automatisierung, Integration und Management der unternehmensweiten PKI bieten, die Ihnen die Automatisierung von Zertifikatlebenszyklen und Workflows mit APIs, Integration in Unternehmenssysteme wie Active Directory und Mobile Device Management (MDM) Plattformen sowie Unterstützung für Protokolle wie ACME und SCEP ermöglichen. Mit dieser Funktionalität können Sie bestehende Investitionen nutzen und Zertifikate automatisch für alle Arten von Endpunkten - Windows, Macs, Linux-Server, Mobilgeräte, Router usw. - bereitstellen, ohne intern PKI verwalten oder mehrere Konten pflegen zu müssen.

Unsere Blog-Archive bieten viele Details zu Hintergrund, Verwendung und Methoden der Verschlüsselung mit öffentlichen Schlüsseln für E-Mail, Websites, Server, Code, Mobilgeräte und andere Geräte, und unser jüngster Blog zur Verschlüsselungsdebatte in Großbritannien bekräftigt die Tatsache, dass sie von entscheidender Bedeutung für jedes Unternehmen oder jede andere IT-Infrastruktur ist, unabhängig von der Branche.

Das klassische Mantra von GlobalSign war schon immer "Alles verschlüsseln" und wir arbeiten mit Kunden weltweit daran, Ökosysteme vollständig zu verschlüsseln, von Ende-zu-Ende. Unser Rat für 2018: Zaudern Sie nicht, die "Alles verschlüsseln" Mentalität im gesamten Unternehmen zu verbreiten. PKI ist heute das am einfachsten bereitzustellende und zu managende Tool für Cybersicherheit, und sie erspart Ihnen eine Menge, wenn ein Cyberangriff stattfindet.

Für weitere Informationen, wie Sie Verschlüsselung am besten angehen, wenden Sie sich bitte an einen der GlobalSign PKI-Experten.

Artikel teilen