Schweigen über Ransomware-Angriff wird teurer

IBM hat seinen jährlichen Bericht zu Datenleck-Kosten veröffentlicht. Für den Bericht wurden laut Mitteilung weltweit 553 Unternehmen und Organisationen zum Umgang mit Datenlecks befragt. Die durchschnittlichen Kosten eines Datenlecks seien 2023 auf 4,45 Millionen US-Dollar angestiegen, was einem Wachstum von 15 Prozent über die letzten drei Jahre entspricht. Im gleichen Zeitraum stiegen die Erkennungs- und Eskalations-Kosten um 42 Prozent - ein Indiz für einen Trend zu immer komplexeren Datenleck-Untersuchungen. 

Laut dem IBM-Bericht seien die Unternehmen, die Opfer wurden, unschlüssig, wie mit den steigenden Kosten und der grösseren Frequenz an Datenlecks umzugehen sei. 95 Prozent der befragten Unternehmen ereilte mehr als einem Datenleck. Jedoch tendierten 57 Prozent der befragten Unternehmen dazu, die Kosten solcher Vorfälle auf Konsumenten abzuwälzen. Bloss 51 Prozent erwogen ihr Investment in zusätzliche Cybersecurity-Massnahmen zu erhöhen. 

KI, Schweigen und Lücken

IBM isolierte zudem 3 Schlüssel-Erkenntnisse aus dem Bericht. Erstens hätten KI und Automatisierung einen grossen Einfluss auf die Geschwindigkeit, mit der Datenlecks erkannt und eingedämmt werden können. Unternehmen, die stark auf KI und Automatisierung setzen, können laut IBM ein Datenleck in einem Zeitraum von 214 Tagen erkennen, eindämmen und endgültig beheben. Unternehmen, die nicht auf diese Technologien setzen, bräuchten für den gleichen Prozess rund 322 Tage. Zugleich sanken die Kosten für Datenlecks bei dem Einsatz von KI und Automatisierung durchschnittlich um 1,8 Millionen US-Dollar. Angesichts dessen, dass Cyberkriminelle ihre Attacken immer schneller abschliessen können, halte IBM die rund 40 Prozent der Unternehmen, die noch nicht auf KI und Automatisierung im Cybersecurity-Bereich setzen dazu an, in diesem Bereich zu investieren um ihre Erkennungsraten und Reaktionszeiten zu verbessern.

Zweitens unterstreicht IBM den Fakt, dass Schweigen Geld kostet. Unternehmen, die Opfer von Ransomware-Attacken wurden und Strafverfolgung einbeziehen, würden durchschnittlich 470’000 US-Dollar sparen im Vergleich zu jenen, die nicht die Behörden kontaktieren. Trotzdem wandten sich laut der Umfrage 37 Prozent der Ransomware-Opfer nicht an die Behörden. Datenlecks, in deren Untersuchung die Behörden nicht involviert waren, waren durchschnittlich erst 33 Tage später beseitigt. Zudem zahlten 47 Prozent der befragten Unternehmen die Lösegelder bei Ransomware-Angriffen. IBM zieht den Schluss, dass es sich nicht lohne, zu zahlen und zu schweigen. Die Kosten der Vorfälle und deren Länge würden dadurch bloss steigen. 

Drittens gebe es grosse Lücken bei der Detektion von Datenlecks. Nur etwa ein Drittel der Lecks würden durch die eigenen Cybersec-Teams der Unternehmen identifiziert. In 27 Prozent der Fälle gäben die Angreifer die Lecks bekannt. Solche Datenlecks kämen Unternehmen durchschnittlich rund 1 Million US-Dollar teurer als solche, die von den Unternehmen selbst entdeckt würden. Zugleich waren derartige Lecks durchschnittlich 80 Tage länger aktiv als jene, die selbst entdeckt wurden, wie IBM weiss. 40 Prozent der Datenlecks wurden demnach durch eine neutrale dritte Partei wie etwa Behörden bekanntgegeben.

DevSecOps sollen sich lohnen

IBM zog weitere Erkenntnisse aus der Befragung. 40 Prozent der Vorfälle resultierten in Datenverlust in mehreren Umgebungen (Public Cloud, Private Cloud, und vor Ort), ein Indiz dafür, dass Angreifer in der Lage waren, ihre Attacken über mehrere Umgebungen hinweg durchzuführen, ohne erkannt zu werden. Solche Angriffe führten zu höheren Kosten - 4,75 Millionen US-Dollar im Durchschnitt. Ein besonders beliebtes Ziel im letzten Jahr waren Gesundheitsdaten. Die Durchschnittskosten für ein Datenleck im Health-Bereich beliefen sich auf knapp 11 Millionen US-Dollar, was einem Anstieg um 53 Prozent seit 2020 entspreche. Beim Verlust von persönlichen Daten würden Unternehmen viel häufiger Lösegelder zahlen. Auch kritische Infrastrukturen seien mehr unter Beschuss - die Kosten eines durchschnittlichen Angriffs stiegen im Vergleich zum Vorjahr um 4,5 Prozent auf 5,04 Millionen US-Dollar. Laut IBM konnten jedoch Unternehmen, die über ein hohes Niveau an DevSecOps verfügen mit durchschnittlich 1,7 Millionen US-Dollar weniger Kosten pro Datenleck rechnen.

Den Bericht aus dem Vorjahr finden Sie übrigens hier. 

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.