Im Jahr 2019 meldete das medizinische Testunternehmen Quest Diagnostics eine Datenpanne, die zum Diebstahl von 11,9 Millionen Patientendaten führte. Kurz darauf verlor ein anderes medizinisches Unternehmen, LabCorp, 7,7 Millionen Patientendatensätze durch eine Datenpanne.
Beide Unternehmen machten die American Medical Collections Agency (AMCA), die Zugang zu den Daten hatte, für den Verstoß verantwortlich. In der Folgezeit gab AMCA über 3,8 Millionen US-Dollar aus, um Benachrichtigungen an mehr als 7 Millionen Menschen zu senden, deren Daten gehackt worden waren. Außerdem wurden mehr als 400.000 USD für Berater und IT-Experten ausgegeben.
Unter der Last dieser Ausgaben sah sich AMCA gezwungen, die meisten seiner Mitarbeiter zu entlassen und die Zahl der Beschäftigten von 113 auf 25 zu reduzieren. Schließlich meldete das Unternehmen Konkurs an.
Diese traurige Geschichte ist kein Einzelfall – insbesondere angesichts der wachsenden Bedrohung durch Ransomware kommt es immer häufiger zu verheerenden Datenschutzverletzungen. Viele Menschen fragen sich daher, was Datenschutzverletzungen kosten und warum.
Die Kenntnis der Antworten auf diese Fragen ist hilfreich, um das Bewusstsein für die Bedeutung der Cybersicherheit zu schärfen und Maßnahmen zu ergreifen, um den Schaden im Falle einer Datenschutzverletzung zu minimieren
Was kosten Datenschutzverletzungen?
Die Kosten einer Datenschutzverletzung können stark variieren und hängen von verschiedenen Faktoren ab, z. B. von der Art der gefährdeten Daten, der Menge der durchgesickerten Daten und den einschlägigen Gesetzen und Vorschriften.
Regionale Unterschiede
Im Jahr 2023 betrugen die durchschnittlichen Kosten für eine Datenschutzverletzung weltweit etwa 4,35 Millionen US-Dollar. Dies variiert von Land zu Land – in den Vereinigten Staaten sind die Kosten mit durchschnittlich über 9 Millionen Dollar mit am höchsten, während sie in Brasilien bei knapp über 1 Million Dollar liegen
Branche
Die Kosten variieren auch je nach Branche. Datenschutzverletzungen im Gesundheitswesen sind beispielsweise mit erheblichen Zusatzkosten verbunden, ebenso wie Verletzungen von Finanzdaten
Auch in der Technologie- und Pharmaindustrie können die Kosten hoch sein, da die durchgesickerten Daten geschützte Informationen enthalten können. Jedes Unternehmen, das die Rechnungsdaten einer großen Anzahl von Kunden speichert, ist ebenfalls dem Risiko überdurchschnittlich hoher Kosten für Datenverletzungen ausgesetzt
Art der Daten
Die Art der betroffenen Daten kann einen großen Einfluss auf die Kosten haben.
Datenexfiltration
Datenexfiltration oder doppelte Erpressung ist ein immer häufigeres Merkmal von Ransomware-Angriffen. Dies kann schlimmer sein als andere Datenlecks, da es speziell darauf abzielt, das Opfer einzuschüchtern.
In einigen Fällen rufen Ransomware-Banden sogar die Kunden des Opfers an und beginnen, sie zu belästigen, um den Druck auf das Opfer zu erhöhen, das Lösegeld zu zahlen. Sie können auch damit drohen, sensible Informationen an Konkurrenten weiterzugeben
Die Kosten für die Einhaltung von Vorschriften und Geldstrafen sind bei den meisten Datenlecks die größte Belastung, aber in Fällen von Ransomware können die Lösegeldforderungen den finanziellen Schaden noch vergrößern
Reputationsschaden
Der durch eine Datenpanne verursachte Imageschaden ist zwar schwer zu berechnen, aber dennoch verheerend. Die Notwendigkeit, Kunden zu kontaktieren und ihnen zu erklären, dass ihre privaten Daten kompromittiert wurden, kann das Vertrauen zerstören und viele dazu veranlassen, ihr Geschäft zu verlagern.Wenn man in den Medien auftaucht, wird die Sache noch schlimmer
Produktivitätsverlust
Insbesondere Ransomware-Angriffe können zu erheblichen Produktivitätsverlusten führen. Ransomware verschlüsselt die kompromittierten Daten und macht es den Mitarbeitern schwer oder unmöglich, zu arbeiten, aber die Gemeinkosten wie Gehälter und Miete bleiben gleich
Vor allem im Einzelhandel und in der Industrie können Ausfallzeiten zu erheblichen Umsatz- oder Produktionsverlusten führen
Geldstrafen und Bußgelder
Wird eine Datenschutzverletzung nicht ordnungsgemäß behandelt und insbesondere nicht rechtzeitig gemeldet, kann dies zu hohen Geldstrafen führen. Auch die vorsätzliche Vernachlässigung von Cybersicherheitslücken, die zu einer Sicherheitsverletzung führen, kann mit Geldstrafen geahndet werden.
Die Geldstrafen können recht hoch ausfallen. Die Kreditauskunftei Equifax hat sich bereit erklärt, 575 Millionen Dollar Strafe zu zahlen, weil sie eine Sicherheitslücke nicht geschlossen und die Öffentlichkeit erst Wochen nach dem Bekanntwerden von Millionen von Datensätzen informiert hat.
Wie man den Schaden einer Datenschutzverletzung minimiert
Mit ein paar relativ einfachen Maßnahmen lässt sich der durch Datenschutzverletzungen verursachte Schaden erheblich verringern.
Vorbeugen ist besser als heilen, daher ist eine solide Einstellung zur Cybersicherheit Ihre erste Verteidigungslinie. Es ist auch wichtig, sich auf das Schlimmste vorzubereiten – ein Plan zur Reaktion auf einen Vorfall ist entscheidend.
Ein guter Plan zur Reaktion auf einen Vorfall sollte Rollen und Aufgaben für den Fall einer Datenschutzverletzung zuweisen, einschließlich der Feststellung, welche Daten gefährdet sind und ob gesetzliche Vorschriften zu befolgen sind oder nicht
Eine gute Verschlüsselungsrichtlinie kann ebenfalls eine große Hilfe sein. Wenn die Daten verschlüsselt sind und Hacker keinen Zugriff auf die Verschlüsselungsschlüssel haben, sind die Daten, auf die sie zugreifen, nutzlos und können nicht zum Schaden Ihrer Kunden verwendet werden.
Mit diesen Schritten lassen sich die mit einer Datenschutzverletzung verbundenen Kosten zwar nicht vermeiden, aber sie können viel Zeit und Geld sparen.