Immer mehr Unternehmen sind von verheerenden Sicherheitsverletzungen betroffen, und die Flut gefährdeter Daten scheint weiter anzusteigen. Statistiken über Datenschutzverletzungen zeigen, dass Hacker bei der Beschaffung von Daten in hohem Maße durch Geld motiviert sind, und dass personenbezogene Daten eine hoch geschätzte Art von Daten sind, die sie kompromittieren. Es ist auch klar zu erkennen, dass Unternehmen immer noch nicht ausreichend auf Datenschutzverletzungen vorbereitet sind, obwohl diese immer häufiger auftreten.
Wir haben 98 Statistiken zu Datenschutzverletzungen für das Jahr 2021 zusammengestellt, bei denen jeweils auf die Art der Datenschutzverletzungen, auf branchenspezifische Statistiken, Risiken, Kosten sowie Ressourcen zur Abwehr und Prävention eingegangen wird. Wir hoffen, dass Unternehmen mithilfe dieser Statistiken die Wichtigkeit von Datensicherheit besser verstehen und ihre Sicherheitsbudgets optimal verteilen.
Laden Sie die Cybersecurity-Statistiken herunter!
Weitere detaillierte Einblicke zur Cybersicherheit finden Sie in unseren Whitepapers zu Datenschutzverletzungen.
Aktuelle Datenschutzverletzungen und Statistiken
Im Jahr 2021 gab es 3.950 bestätigte Datenschutzverletzungen. Nachfolgend haben wir die wichtigsten Sicherheitsverletzungen des Jahres zusammengefasst. Diese Daten weisen darauf hin, wie aktuell und weitverbreitet der Schaden ist, den Datenschutzverletzungen in globalen Unternehmen anrichten.
- Am 11. Januar 2021 warnte der führende Technologiehersteller Ubiquiti Inc. seine Kunden vor einer Datenschutzverletzung. Zu den offengelegten Daten gehörten E-Mail-Adressen, gehashte und gesaltete Passwörter sowie Kundennamen, Adressen und Telefonnummern (IdentityForce).
- Am 18. Februar 2021 warnte das California Department of Motor Vehicles die Fahrer vor einer Datenschutzverletzung durch einen Ransomware-Angriff auf ihren für die Abrechnung zuständigen Subunternehmer Automatic Funds Transfer Services (IdentityForce).
- Am 23. März 2021 wurde die Datenbank von Hobby Lobby, die mehr als 300.000 Datensätze enthielt, offengelegt, nachdem eine Cloud-Bucket-Fehlkonfiguration bei dem Unternehmen aufgetreten war (IdentityForce).
- Am 3. April 2021 wurden die persönlichen Daten von 533 Millionen Facebook-Nutzern aus 106 Ländern in einem Low-Level-Hacking-Forum kostenlos online veröffentlicht. Diese Daten umfassten Telefonnummern, vollständige Namen, Standorte, E-Mail-Adressen und biographische Daten der Benutzer (IdentityForce).
- Am 6. April 2021 wurden mehr als 500 Millionen LinkedIn-Benutzerprofile im Darknet entdeckt. Die Daten von LinkedIn-Kontobenutzern wurden von der Website gescrappt oder importiert und in einer Datenbank gespeichert. Sie umfassten die Namen, LinkedIn-Konto-IDs, E-Mail-Adressen, Telefonnummern und mehr (IdentityForce).
- Am 25. Mai 2021 gab die Bose Corporation eine Datenschutzverletzung nach einem Ransomware-Angriff bekannt. Zu den personenbezogenen Daten, die dem Angriff offengelegt wurden, gehörten Namen, Sozialversicherungsnummern, Vergütungsinformationen und andere Informationen aus dem Personalwesen (IdentityForce).
- Am 21. Juni 2021 veröffentlichte ein Drittanbieter versehentlich eine ungesicherte Datenbank mit mehr als einer Milliarde Suchdatensätzen von CVS-Health-Kunden. Die Datenbank umfasste 204 GB an offengelegten Daten, war nicht passwortgeschützt und umfasste mehrere Medikamentendatensätze, einschließlich COVID-Impfungen und CVS-Produkte (IdentityForce).
- Am 14. September 2021 wurden aus einer ungesicherten Datenbank, die Teil von GetHealth (einer Gesundheits- und Wellness-Daten-App) war, über 61 Millionen Datensätze von Apple- und Fitbit-Benutzerdaten für Fitness-Tracker und Wearables offengelegt (IdentityForce).
- Am 22. November 2021 gab California Pizza Kitchen eine Datenschutzverletzung bekannt, bei der die persönlichen Daten von mehr als 100.000 derzeitigen und ehemaligen Mitarbeitenden offengelegt wurden. Das Unternehmen stellte fest, dass Cyberkriminelle seine Systeme infiltriert und Zugriff auf bestimmte Dateien erhalten hatten, einschließlich der Namen und der Sozialversicherungsnummern der Mitarbeitenden (IdentityForce).
Kosten einer Datenschutzverletzung
Es ist kein Geheimnis, dass Datenschutzverletzungen sehr hohe Kosten für Unternehmen nach sich ziehen. Um die durchschnittlichen Kosten eines Vorfalls zu berechnen, erheben Sicherheitsinstitute sowohl die direkten als auch die indirekten Kosten, die das betroffene Unternehmen erleidet.
Zu den direkten Kosten zählen forensische Experten, Hotline-Unterstützung, Kreditkartenüberwachungsdienste sowie die Kosten potenzieller gerichtlicher Vergleiche. Zu den indirekten Kosten gehören interne Untersuchungen und Kommunikation sowie Kundenfluktuation oder geringere Kundenbindungsraten aufgrund des angeschlagenen Rufs eines Unternehmens nach einer Datenschutzverletzung. Im Folgenden erfahren Sie, wie teuer eine Sicherheitsverletzung ist und welche Faktoren dazu führen, dass die Kosten noch weiter steigen.
- Die durchschnittlichen Gesamtkosten eines Ransomware-Vorfalls belaufen sich auf 4,62 Millionen US-Dollar und liegen damit etwas höher als die durchschnittlichen Kosten für Datenschutzverletzungen in Höhe von 4,24 Millionen US-Dollar (IBM).
- Die durchschnittlichen Kosten pro Datensatz (pro Person) einer Datenschutzverletzung stiegen 2020 um 10,3 Prozent im Vergleich zum Vorjahr (IBM).
- Die durchschnittlichen Gesamtkosten im Gesundheitswesen stiegen von 7,13 Millionen US-Dollar im Jahr 2020 auf 9,23 Millionen US-Dollar im Jahr 2021 – ein Anstieg von 29,5 Prozent (IBM).
- Im Jahr 2021 machten verlorene Geschäftsmöglichkeiten den größten Teil der Kosten von Sicherheitsvorfällen aus, mit durchschnittlichen Gesamtkosten von 1,59 Millionen US-Dollar (IBM).
- Die durchschnittlichen Kosten für einen Vorfall mit einem Lebenszyklus von über 200 Tagen betragen 4,87 Millionen US-Dollar (IBM).
- 39 Prozent der Kosten fallen mehr als ein Jahr nach einer Datenschutzverletzung an (IBM).
- 2021 waren die USA mit 9,05 Millionen US-Dollar das Land mit den höchsten durchschnittlichen Gesamtkosten von Datenschutzverletzungen (IBM).
- Die durchschnittlichen Kosten eines sogenannten „Mega-Vorfalls“ im Jahr 2021 betrugen 401 Mio. US-Dollar für die größten Vorfälle (50 – 65 Mio. Datensätze). Im Jahr 2020 betrug diese Zahl noch 392 Mio. US-Dollar (IBM).
- Jährlich geben Krankenhäuser in den zwei Jahren nach einem Vorfall 64 Prozent mehr für Werbung aus (American Journal of Managed Care).
- Bei Systemen, bei denen ein ausgereiftes Zero-Trust-Modell verwendet wurde, waren die Vorfallskosten im Schnitt um 1,76 Mio. US-Dollar geringer (IBM).
- Der größte Unterschied bei Vorfällen mit einem hohen Maß an Compliance-Verstößen im Vergleich zu einem niedrigen Maß betrug 2,30 Millionen US-Dollar (IBM).
Datenschutzverletzungen in Zahlen
Es gibt viele Faktoren, die bei der Vorbereitung auf und dem Umgang mit Datenschutzverletzungen zu berücksichtigen sind, wie z. B. die Zeit, die für die Reaktion auf eine Datenschutzverletzung benötigt wird, und die Auswirkungen eines Vorfalls auf den Ruf des Unternehmens. Lesen Sie unten, wie es zu Datenschutzverletzungen kommt, wie lang die durchschnittlichen Reaktionszeiten sind und andere wichtige Informationen.
Wie es zu Datenschutzverletzungen kommt
- Durchschnittlich werden 4.800 Websites pro Monat mit Formjacking-Code kompromittiert (Symantec).
- An 34 Prozent der Datenschutzverletzungen im Jahr 2018 waren interne Akteure beteiligt (Verizon).
- 71 Prozent der Verstöße erfolgen aus finanziellen Motiven (Verizon).
- Fast 24 Prozent der Vorfälle, bei denen Malware zum Einsatz kommt, sind auf Ransomware zurückzuführen (Verizon).
- 95 Prozent der offengelegten Datensätze kamen 2016 aus den Bereichen Verwaltung, Einzelhandel und Technologie (TechRepublic).
- 36 Prozent der externen Akteure bei Datenschutzverletzungen im Jahr 2019 waren in die organisierte Kriminalität verwickelt (Verizon).
Durchschnittliche Reaktionszeit und Lebenszyklus
- Die Identifikation von Datenschutzverletzungen dauerte durchschnittlich 287 Tage (IBM).
- Die durchschnittliche Zeit zur Eindämmung eines Vorfalls betrug 80 Tage (IBM).
- In den Gesundheits- und Finanzbranchen war der Lebenszyklus von Datenschutzverletzungen am längsten – 329 Tage bzw. 233 Tage (IBM).
- Der Lebenszyklus eines bösartigen oder kriminellen Angriffs war im Jahr 2020 durchschnittlich 315 Tage lang (IBM).
- Microsoft-Office-Dateien machten 48 Prozent der schädlichen E-Mail-Anhänge aus (Symantec).
- Von 2016 bis 2018 griffen die aktivsten Gruppen durchschnittlich jeweils 55 Unternehmen an (Symantec).
Wichtige Informationen
- Die Anzahl der weltweit täglich abgewehrten Web-Angriffe ist zwischen 2017 und 2018 um 56,1 Prozent gestiegen (Statista).
- Die Zahl der Datenschutzverletzungen in den USA hat in den letzten zehn Jahren erheblich zugenommen, von lediglich 662 im Jahr 2010 auf über 1.000 im Jahr 2021 (Statista).
- Im 3. Quartal 2018 waren Büroanwendungen die am häufigsten ausgenutzten Anwendungen weltweit (Statista).
- Die Anzahl der Personen, die von Vorfällen im Gesundheitswesen betroffen waren, ist von 2017 bis 2019 um 80 Prozent gestiegen (Statista).
- Mit dem Diebstahl von nur 10 Kreditkarten pro Website verdienen Cyberkriminelle durch Formjacking-Angriffe bis zu 2,2 Millionen Dollar (Symantec).
Spezifische Datenschutzverletzungen in der Remote-Arbeit
Während die Corona-Pandemie weltweit weiter wütet, kämpfen Unternehmen und ganze Branchen in allen Teilen der Welt ums Überleben. Die Pandemie ebnete den Weg für Cyberkriminelle, die dadurch in der Lage waren, schlecht geschützte Opfer im Gesundheitswesen ins Visier zu nehmen, sowie arbeitslose und aus der Ferne arbeitende Personen. Hier sind einige wichtige Statistiken zu Datenschutzverletzungen im Zusammenhang mit der Pandemie.
- Die durchschnittlichen Gesamtkosten einer Datenschutzverletzung waren um mehr als 1 Million US-Dollar höher, wenn Remote-Arbeit an der Ursache der Verletzung beteiligt war, im Vergleich zu Verletzungen, bei denen Remote-Arbeit keine Rolle spielte (IBM).
- Unternehmen, bei denen mehr als 60 Prozent der Mitarbeitenden aus der Ferne arbeiteten, hatten höhere durchschnittliche Kosten für Datenschutzverletzungen als Unternehmen ohne Remote-Mitarbeitende (IBM).
- Wenn Unternehmen ihre IT nicht an die Pandemie angepasst oder ähnliche Änderungen vorgenommen hatten, beliefen sich die durchschnittlichen Kosten eines Verstoßes auf 5,01 Millionen US-Dollar, verglichen mit dem globalen Gesamtdurchschnitt von 4,24 Millionen US-Dollar (IBM).
- Schätzungen zufolge gab es allein im Mai 2020 wöchentlich bis zu 192.000 Cyberangriffe im Zusammenhang mit der Pandemie – ein Anstieg von 30 Prozent im Vergleich zum April 2020 (Unisys).
- Im Jahr 2021 waren 98 Prozent der Verletzungen bei Point-of-Sale-Daten im Gastgewerbe finanziell motiviert (Verizon).
- Bestätigte Datenschutzverletzungen im Gesundheitswesen sind in diesem Jahr um 58 Prozent gestiegen (Verizon).
- In Web-Anwendungen fallen 43 Prozent aller Datenschutzverletzungen vor, doppelt so viele wie noch 2019 (Verizon).
- 33.000 Antragsteller auf Arbeitslosenhilfe waren im Mai von einer Datenschutzverletzung beim Pandemic Unemployment Assistance Program betroffen (NBC).
- Eine Datenschutzverletzung bei Anträgen auf staatliche Katastrophendarlehen betraf 8.000 Kleinunternehmer, nachdem ihre Anträge offengelegt wurden (U.S. PIRG).
- Der Cyberbetrug nahm im März 2020 um 400 Prozent, womit COVID-19 zur größten Sicherheitsbedrohung aller Zeiten wurde (Reed Smith).
Datenschutzverletzungsrisiken
Der Bericht „Cost of a Data Breach“ (Kosten von Datenpannen) von IBM ergab, dass die durchschnittlichen Kosten einer Datenpanne 3.86 Millionen US-Dollar betragen und immer weiter zunehmen. Diese Daten untermauern insbesondere, wie wichtig es ist, in präventive Datensicherheit zu investieren. Im Folgenden finden Sie Statistiken zum Risiko von Datenpannen, mit denen sich die Auswirkungen, Motivationen und Ursachen dieser schädlichen Angriffe quantifizieren lassen.
- Stand 2021 hat ein Mitarbeitender bei einem Finanzdienstleister Zugriff auf durchschnittlich 11 Millionen Dateien (Varonis).
- Ein durchschnittlicher Distributed-Denial-of-Service-Angriff (DDoS) nimmt nunmehr 26 Gbit/s in Anspruch, ein Anstieg von 500 Prozent (Nexusguard).
- Im ersten Quartal 2020 haben die DDoS-Angriffe um mehr als 278 Prozent im Vergleich zum 1. Quartal 2019 und um mehr als 542 Prozent im Vergleich zum vorherigen Quartal zugenommen (Nexusguard).
- 9.637 Angriffe lagen zwischen 10 Mbit/s und 30 Mbit/s (Nexusguard).
- Stand 2021 haben mehr als 64 Prozent der Finanzdienstleister über 1.000 sensible Dateien, auf die jeder Mitarbeitende zugreifen kann (Varonis).
- Im Durchschnitt gelten 2021 70 Prozent aller sensiblen Daten als veraltet (Varonis).
- 58 Prozent aller Unternehmen haben mehr als 1.000 Ordner mit inkonsistenten Berechtigungen gefunden (Varonis).
- Nur fünf Prozent der Unternehmensordner sind geschützt (Varonis).
- 59 Prozent der Finanzdienstleister haben mehr als 500 Passwörter, die niemals ablaufen, und fast 40 Prozent haben mehr als 10.000 Geisterkonten (Varonis).
- Kleine Unternehmen machen 28 Prozent der Opfer von Datenschutzverletzungen aus (Verizon).
- Bei mehr als 80 Prozent der Hacking-Vorfälle werden Brute-Force eingesetzt verlorene bzw. gestohlene Anmeldedaten verwendet (Verizon).
- Alle 39 Sekunden findet ein Cyberangriff statt (University of Maryland).
- Je größer der Vorfall ist, desto unwahrscheinlicher ist es, dass das Unternehmen in den folgenden zwei Jahren einen weiteren Vorfall erleidet (IBM).
- Menschliche Fehler verursachen 23 Prozent der Datenschutzverletzungen (IBM).
- 62 Prozent der Vorfälle, die nicht auf einen Fehler, Missbrauch oder eine physische Aktion zurückzuführen waren, wurden mithilfe von gestohlenen Anmeldedaten, Brute-Force oder Phishing durchgeführt (Varonis).
Projektionen zu Datenschutzverletzungen
Die Datensicherheit ist ein sich schnell entwickelnder Bereich, und es ist äußerst wichtig, dass Geschäftsinhaber über alle potenziellen Probleme informiert bleiben. Im Folgenden sind einige Projektionen für Cybersicherheitsvorfälle aufgeführt, die in den kommenden Jahren auftreten könnten.
- Bis 2025 wird Cyberkriminalität weltweit schätzungsweise 10,5 Billionen US-Dollar an Kosten verursachen – ein jährlicher Anstieg von 15 Prozent (Cybersecurity Ventures).
- Angreifer werden sich auf biometrisches Hacking konzentrieren und Schwachstellen in Touch-ID-Sensoren, Gesichtserkennungsystemen und Passwörtern aufdecken (Experian).
- Skimming ist zwar keine neue Technik, aber der nächste Schritt besteht möglicherweise in einem unternehmensweiten Angriff auf ein nationales Netzwerk eines großen Finanzinstituts. Dieser kann womöglich zu Verlusten von Millionen von Dollar führen (Experian).
- Voraussichtlich wird irgendwann auch ein großer Mobilfunkanbieter angegriffen, wovon gleichzeitig sowohl iPhone- als auch Android-Geräte betroffen sein werden. Cyberkriminelle könnten persönliche Daten von Millionen von Verbrauchern stehlen und möglicherweise die gesamte drahtlose Kommunikation in den Vereinigten Staaten deaktivieren (Experian).
- Ein Cloud-Anbieter wird womöglich Opfer einer Datenschutzverletzung werden, wobei die vertraulichen Daten von hunderten Fortune-1000-Unternehmen offengelegt werden (Experian).
- Die Online-Gaming-Community wird zu einer neuen Angriffsfläche werden. Cyberkriminelle werden sich als Gamer ausgeben, um sich das Vertrauen von Spielern zu erschleichen und Zugang zu ihren Computern und persönlichen Daten zu erhalten (Experian).
Historische Statistiken zu Datenschutzverletzungen
Einige der größten Datenschutzverletzungen der Geschichte stammen aus dem Jahr 2005 oder später. Nachdem Regierungen und Unternehmen von Papier auf digitale Medien umgestiegen waren, kamen Datenschutzverletzungen immer häufiger vor.
Allein im Jahr 2005 gab es 136 Datenschutzverletzungen, die vom Privacy Rights Clearinghouse gemeldet wurden, und mehr als 4.500 Datenschutzverletzungen sind seither an die Öffentlichkeit gelangt. Es ist jedoch anzunehmen, dass die tatsächliche Anzahl der Datenschutzverletzungen wahrscheinlich viel höher ist, da einige der vom Privacy Rights Clearinghouse gemeldeten Datenschutzverletzungen eine unbekannte Anzahl kompromittierter Datensätze aufweisen. Allein die Untersuchung des Datenschutzvorfalls bei Verizon 2014 brachte mehr als 2.100 Datenschutzverletzungen mit 700 Millionen offengelegten Datensätzen ans Licht.
Nachfolgend haben wir eine Liste mit Statistiken zu Vorfällen zusammengestellt, die das Zeitalter der Dateninfiltration einläuteten.
- Der erste als Computervirus, bekannt als „The Creeper“, wurde zu Beginn der 1970er Jahre entdeckt (History of Information).
- 2005 begann das Privacy Rights Clearinghouse mit der Chronologisierung von Datenschutzverletzungen (Symantec).
- Bei der ersten Datenschutzverletzung im Jahr 2005 (DSW Shoe Warehouse) wurden mehr als eine Million Datensätze offengelegt (Symantec).
- Der größte Insider-Angriff fand zwischen 1976 und 2006 statt, als Greg Chung von Boeing Luft- und Raumfahrtdokumente im Wert von 2 Milliarden Dollar stahl und sie an China verkaufte (NBC).
- AOL war das erste bekannte Opfer von Phishing-Angriffen im Jahr 1996 (Phishing).
- Im Jahr 2015 gehörten 25 Prozent der globalen Daten zu Kategorien mit Schutzauflagen, waren aber nicht geschützt (Statista).
- Im Jahr 2017 wurden bei einer der drei großen US-Kreditauskunfteien, Equifax, versehentlich 145,5 Millionen Konten offengelegt, jeweils mit Namen, Sozialversicherungsnummern, Geburtsdaten, Adressen und in einigen Fällen auch Führerscheinnummern von US-Verbrauchern (Symantec).
- Datenschutzverletzungen in sozialen Medien machten im ersten Halbjahr 2018 56 Prozent aller Vorfälle aus (ITWeb).
- In den letzten 10 Jahren gab es 300 Datenschutzverletzungen, bei denen jeweils 100.000 oder mehr Datensätze gestohlen wurden (Forbes).
- In den Vereinigten Staaten gab es im Jahr 2018 1.244 Datenschutzverletzungen, wobei 446,5 Millionen Datensätze offengelegt wurden (Statista).
- In den ersten sechs Monaten des Jahres 2019 wurden bei Datenschutzverletzungen 4,1 Milliarden Datensätze offengelegt (Forbes).
- Seit 2019 zählen Cyberangriffe zu den fünf größten Risiken für die globale Stabilität (World Economic Forum).
Die größten bekannten Datenschutzverletzungen
Datenschutzverletzungen werden immer häufiger und manche Vorfälle in jüngster Vergangenheit zählen auch zu den größten aller Zeiten. Nachfolgend finden Sie die größten Datenschutzverletzungen der Geschichte.
- Yahoo hält den Rekord für die größte Datenschutzverletzung aller Zeiten, mit 3 Milliarden kompromittierten Konten (Statista).
- Im Jahr 2019 wurden bei der First American Financial Corp. 885 Millionen Datensätze online offengelegt, darunter Banktransaktionen, Sozialversicherungsnummern und mehr (Gizmodo).
- Im Jahr 2019 wurden bei Facebook 540 Millionen Benutzerdatensätze auf dem Amazon-Cloud-Server offengelegt (CBS).
- Im Jahr 2018 waren von einem Datenleck bei Marriott International rund 500 Millionen Gäste betroffen (New York Times).
- Im Jahr 2016 wurde das Netzwerk AdultFriendFinder gehackt, wobei private Daten von 412 Millionen Nutzern offengelegt wurden (ID Strong).
- Court Ventures (eine Tochtergesellschaft von Experian) verkaufte Informationen direkt an einen betrügerischen vietnamesischen Dienst, mit bis zu 200 Millionen betroffenen Datensätzen (Forbes).
- Im Jahr 2017 wurden Daten von fast 200 Millionen Wählern von Deep Root Analytics online geleakt (CNN).
- 2014 wurde eBay gehackt, wobei die Angreifer Zugriff auf 145 Millionen Datensätze erhielten (Yahoo).
- In den Jahren 2008 und 2009 kam es bei Heartland Payment Systems zu einer Datenschutzverletzung, die zur Kompromittierung von 130 Millionen Datensätzen führte (Tom’s Guide).
- Im Jahr 2007 wurden durch eine Sicherheitsverletzung bei TJX Companies Inc. 94 Millionen Datensätze kompromittiert (Information Week).
- Im Jahr 2015 kam es bei Anthem zu einer Sicherheitsverletzung, bei der 80 Millionen Datensätze kompromittiert wurden (Anthem).
- 2013 bestätigte Target einen Vorfall, bei dem 70 Millionen Datensätze kompromittiert wurden (KrebsOnSecurity).
Prävention von Datenschutzverletzungen
Es gibt verschiedene proaktive Ansätze, mit denen Sie die Wahrscheinlichkeit eines Sicherheitsvorfalls verringern können. Die Identifizierung von Cybersecurity-Risiken für Ihre Daten ist ein guter Anfangspunkt. Erfahren Sie, wie Unternehmen ihre Budgets und Prioritäten anpassen, um ihre Vermögenswerte und Kunden vor Cyberangriffen zu schützen.
- 63 Prozent der Unternehmen haben ein biometrisches System eingeführt oder planen die Implementierung eines solchen (Veridium).
- 17 Prozent der IT-Sicherheitsexperten gaben an, dass die Informationssicherheit 2018 der Budgetpunkt mit dem größten Zuwachs war (ZDNet).
- 80 Prozent der Unternehmen hatten vor, die Sicherheitsausgaben für 2018 zu erhöhen (ZDNet).
- Es wird prognostiziert, dass die weltweiten Ausgaben für Cybersecurity von 2017 bis 2021 kumuliert 1 Billion Dollar übersteigen werden (Cybersecurity Ventures).
- Weltweit wurde im Jahr 2019 ein Anstieg der Ausgaben für IT-Sicherheit um 8,7 Prozent im Vergleich zu 2018 prognostiziert (Gartner).
- Zum ersten Mal seit 2013 sank die Zahl der Ransomware-Vorfälle insgesamt um 20 Prozent, stieg jedoch für Unternehmen um 12 Prozent (Symantec).
- Die Budgetzuweisung für hardwarebasierte Sicherheitsdienste, die im Allgemeinen sowohl weniger mobil sind als auch in einer virtuellen Infrastruktur weniger effektiv funktionieren, ist von 20 Prozent im Jahr 2015 auf 17 Prozent gesunken. (451 Research).
- MSSPs, die bestimmte operative Sicherheitsfunktionen replizieren können, verzeichneten Ende 2017 einen bescheidenen Anstieg der Budgetzuweisung auf 14,7 Prozent, aber Sicherheitsexperten gehen davon aus, dass dieser Anteil bis 2021 auf 17,3 Prozent steigen wird (451 Research).
Definition einer Datenschutzverletzung
Eine Datenschutzverletzung bzw. ein Datenleck ist jeder Vorfall, bei dem unbefugt auf vertrauliche oder sensible Informationen zugegriffen wird. Hinweis: Die Daten müssen nicht aus dem Netzwerk exfiltriert werden, damit der Vorfall als Datenschutzverletzung gilt. Verletzungen sind das Ergebnis von Cyberangriffen durch Kriminelle, die sich unbefugten Zugriff auf ein Computersystem oder Netzwerk verschaffen. Sie stehlen dann die privaten, sensiblen oder vertraulichen persönlichen und finanziellen Daten der Kunden oder Benutzer in diesem System.
Häufige Cyberangriffe, die bei Datenschutzverletzungen verwendet werden, sind:
Der Ursprung von Datenschutzverletzungen
Obwohl Datenschutzverletzungen aufgrund von Cloud-Technologien und zunehmender digitaler Speicherung heutzutage immer häufiger auftreten, gibt es sie schon, seit Unternehmen vertrauliche Informationen und private Daten speichern. In den 1980er Jahren nahmen öffentlich bekannt gewordene Datenschutzverletzungen jedoch an Häufigkeit zu, und in den frühen 2000er Jahren wuchs das Bewusstsein für das Problem.
Laut dem Office of Inadequate Security wurde 1984 das globale Kreditinformationsunternehmen TRW (heute Experian) gehackt und 90 Millionen Datensätze wurden gestohlen. 1986 wurden 16 Millionen Datensätze von der Canada Revenue Agency gestohlen.
Die meisten öffentlich zugänglichen Informationen über Datenschutzverletzungen reichen nur bis ins Jahr 2005 zurück. 2020 zeigten mehrere Umfragen, dass sich mehr als die Hälfte der Amerikaner Sorgen um Datenschutzverletzungen durch Naturkatastrophen machten, sowie um die persönliche Sicherheit aufgrund der Pandemie. Datenschutzverletzungen betreffen heute in der Regel Millionen von Verbrauchern mit nur einem unternehmensweiten Angriff.
Wie kommt es zu Datenschutzverletzungen?
Eine Datenschutzverletzung liegt vor, wenn ein Cyberkrimineller eine Datenquelle infiltriert und vertrauliche Informationen extrahiert. Dazu kann auf einen Computer oder ein Netzwerk zugegriffen werden, um lokale Dateien zu stehlen, oder es wird die Netzwerksicherheit aus der Ferne umgangen. Während die meisten Datenschutzverletzungen auf Hacker- oder Malware-Angriffe zurückgeführt werden können, gibt es auch andere Methoden. Dazu gehören beispielsweise Insider-Leaks, Kreditkartenbetrug, Verlust oder Diebstahl von physischen Festplatten mit Dateien sowie menschliches Versagen. Werfen wir nun einen näheren Blick auf die häufigsten Cyberangriffe bei Datenschutzverletzungen.
Ransomware
Ransomware ist Software, die sich Zugang zu wichtigen Daten verschafft und den Zugriff auf diese unmöglich macht. Die Daten werden in Dateien und Systemen verschlüsselt, und es wird eine Gebühr – üblicherweise in Form von Kryptowährung – verlangt, um wieder Zugriff auf sie zu erhalten.
Häufige Ziele: Unternehmen und Betriebe
Malware
Malware, gemeinhin als „bösartige Software“ bezeichnet, ist ein Begriff, unter den Programme und Code fallen, die auf schädliche Weise in Systeme eindringen. Malware ist darauf ausgelegt, Ihren Computer oder Ihre Software zu schädigen, und tarnt sich häufig als Warnung vor Schadsoftware. Durch die „Warnung“ wird versucht, Benutzer davon zu überzeugen, unterschiedliche Software herunterzuladen. Obwohl Malware die physische Hardware des Systems nicht beschädigt, kann sie Daten stehlen, verschlüsseln oder die Kontrolle über Computerfunktionen übernehmen.
Malware kann in Ihren Computer eindringen, wenn Sie gehackte Websites besuchen, infizierte Dateien herunterladen oder E-Mails von einem Gerät öffnen, auf dem kein Malware-Schutz vorhanden ist.
Häufige Ziele: Privatpersonen und Unternehmen
Phishing
Phishing ist eine der gängigsten Methoden, mit denen sich Hacker Zugang zu sensiblen oder vertraulichen Informationen verschaffen. Beim Phishing werden betrügerische E-Mails versendet, die den Anschein erwecken, von einem bekannten Unternehmen zu stammen. Ziel ist es, die Empfänger dazu zu verleiten, entweder auf einen bösartigen Link zu klicken oder einen infizierten Anhang herunterzuladen, um dann meistens finanzielle oder vertrauliche Daten zu stehlen.
Häufige Ziele: Privatpersonen und Unternehmen
Denial-of-Service (DoS)
Denial of Service ist ein Cyberangriff, bei dem der Täter versucht, einen Rechner oder eine Netzwerkressource für die vorgesehenen Benutzer nicht verfügbar zu machen, indem er die Funktion eines mit dem Internet verbundenen Hosts vorübergehend oder auf unbestimmte Zeit unterbricht. In der Regel wird dies erreicht, indem der angegriffene Rechner oder die angegriffene Ressource mit unnötigen Anfragen überflutet wird. Dadurch werden die Systeme überlastet und es wird verhindert, dass einige oder alle normalen Anfragen beantwortet werden.
Häufige Ziele: Websites oder Dienste, die auf wichtigen Webservern gehostet werden, wie z. B. Banken
Ressourcen zur Abwehr und Prävention von Datenschutzverletzungen
Unternehmen müssen Lehren aus der DSGVO ziehen und ihre Data-Governance-Praktiken aktualisieren, da in den kommenden Jahren weitere Iterationen zu erwarten sind. Es ist wichtig, die Berechtigungen für Dateien korrekt einzustellen und veraltete Daten zu entfernen.
Die Aufrechterhaltung von Datenklassifizierung und Governance ist entscheidend für die Einhaltung von Datenschutzgesetzen wie HIPAA, SOX, ISO 27001 und anderen. Moderne Lösungen bieten heute hervorragenden Schutz und einen proaktiveren Sicherheitsansatz, um die Sicherheit sensibler Informationen zu gewährleisten.
Überprüfen Sie Ihren Reaktionsplan auf Datenschutzverletzungen und lassen Sie eine kostenlose Risikobewertung durchführen, um zu sehen, wo Ihre Schwachstellen liegen.
Die folgenden Ressourcen bieten zusätzliche Informationen zur Verbesserung des Datenschutzes und Tipps zur Vermeidung von Datenschutzverletzungen.
- Varonis Red-Alert-Bericht zu Datenschutzverletzungen
- Varonis Datenrisikobericht für das Finanzwesen 2021
- Verizon Data Breach Investigations Report (DBIR, Bericht zur Untersuchung von Datenschutzverletzungen)
- IBMs Bericht zu den Kosten von Datenschutzverletzungen 2020
- DataLossDB, betrieben von der Open Security Foundation
- Ponemon Institute
- Risikorechner für Datenschutzverletzungen
- Ressourcenzentrum zu Identitätsdiebstahl
- RiskBased-Halbjahresbericht zu Datenschutzverletzungen
Versicherungsarten für Datenschutzverletzungen
Um das mit Datenverlusten einhergehende Risiko zu mindern, schließen viele Unternehmen jetzt eine Versicherung gegen Datenschutzverletzungen ab. Dies dient der Unterstützung ihrer Pläne zur Prävention und Schadensminderung von Datenschutzverletzungen. Eine Versicherung gegen Datenschutzverletzungen hilft, die mit einer Verletzung der Datensicherheit verbundenen Kosten zu decken. Sie kann Unterstützung und Schutz bei einer Vielzahl von Aspekten bieten, etwa PR-Krisen, Schutzlösungen und Haftbarkeitsfragen. Ebenso können dadurch alle juristischen Kosten abgedeckt werden, die durch den Vorfall entstehen.
Gängige Arten von Versicherungen gegen Datenschutzverletzungen sind:
Sachversicherung
Aufgrund der vielen verschiedenen Konsequenzen, die durch Datenschutzverletzungen auftreten, ist viel Zeit und Geld für die Wiederherstellung nötig. Von der Wiederherstellung von Daten bis hin zur Benachrichtigung von Interessenvertretern deckt die Sachversicherung Folgendes ab:
- Untersuchungskosten
- Benachrichtigung aller betroffenen Parteien
- Abwicklung von Anfragen
- Werkzeuge zur Unterstützung betroffener Parteien
Haftpflichtversicherung
Die Haftpflichtversicherung wird vor allem von Auftragnehmern und IT-Fachkräften genutzt, um ihre Haftung zu mindern. Zu den abgedeckten Kosten kann u. a. Folgendes gehören:
- Anwaltskosten
- Vergleiche
- Gerichtsurteile und Haftung
- Sonstige Gerichtskosten wie z. B. Zeugenhonorare, Aktengebühren etc.
FAQs zu den Statistiken über Datenschutzverletzungen
Im Folgenden finden Sie einige der am häufigsten gestellten Fragen zu Datenschutzverletzungen mit Antworten, die durch Statistiken und Fakten zu Datenschutzverletzungen unterstützt werden.
Wie viele Datenschutzverletzungen treten auf?
A: Das Privacy Rights Clearinghouse führt eine Chronologie von Daten- und öffentlichen Sicherheitsverletzungen, die bis ins Jahr 2005 zurückreicht. Die tatsächliche Anzahl der Datenschutzverletzungen ist nicht bekannt. Das Privacy Rights Clearinghouse schätzt, dass seit 2005 9.044 öffentliche Vorfälle vorkamen. Allerdings kann man davon ausgehen, dass es noch mehr gab, da die Organisation keine Verstöße meldet, wenn die Anzahl der kompromittierten Datensätze unbekannt ist.
Was war die größte Datenschutzverletzung der Geschichte?
A: Yahoo hält den Rekord für die größte Datenschutzverletzung aller Zeiten, mit 3 Milliarden kompromittierten Konten (Statista).
Wie viele Datenschutzverletzungen gab es im Jahr 2020?
A: Im Jahr 2020 gab es 3.950 bestätigte Datenschutzverletzungen (Verizon).
Wie viel kostet eine Datenschutzverletzung?
A: Mit Stand 2020 liegen die durchschnittlichen Gesamtkosten einer Datenschutzverletzung bei 3,86 Millionen Dollar (IBM).
Wie groß ist der durchschnittliche Umfang einer Datenschutzverletzung?
A: 25.575 Datensätze (IBM).
Unabhängig von der Branche besteht kein Zweifel daran, dass Datensicherheit und -schutz für Unternehmen in der modernen digitalen Wirtschaft von hohem Wert sind. Bewerten Sie das Cybersicherheitsrisiko Ihres Betriebs, um unternehmensweite Änderungen vorzunehmen und das allgemeine Sicherheitsverhalten zu verbessern.
Vermeiden Sie Datenschutzverletzungen, indem Sie alles tun, was möglich ist, um Ihr Unternehmen vor Angriffen zu schützen. Für weitere Informationen über Datensicherheitsplattformen können Sie hier erfahren, wie Datenschutzlösungen Ihr Unternehmen positiv beeinflussen.
Wie soll ich vorgehen?
Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:
Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.
Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.
Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.