Detlef Eppig, Geschäftsführer Verizon Deutschland, gibt in seinem aktuellen silicon.de-Blog eine unverbindliche Preisempfehlung für gestohlene Daten. Dafür nutzt er ein neues Modell für die Berechnung der Kosten. Wie auch immer man das aber sieht, fest steht: Es kann teuer werden.
Die Motive von Cyber-Attacken sind nach wie vor sehr unterschiedlich. Ziele sind Zahlungskartendaten oder sensible geschäftliche Informationen, oder es geht einfach darum, Abläufe zu unterbrechen. Wie auch immer, alles hat Auswirkungen auf das Geschäft. Ein Unternehmen, das sich vor Datenverletzungen schützt, spart womöglich zig Millionen und hat keine Einbußen bei Kundenloyalität und Anlegervertrauen. Doch lassen sich die tatsächlichen Kosten einer Datenverletzung quantifizieren?
Wir bei Verizon sind jedenfalls davon überzeugt. Im Rahmen unseres “2015 Data Breach Investigation Report” haben wir über eine alternative – und exaktere – Herangehensweise an die Schätzung von Verlusten durch einen Sicherheitszwischenfall nachgedacht. Unser Ansatz baut auf realen Daten auf und zieht mehrere zusätzliche Faktoren in Betracht – nicht nur die Anzahl Datensätze.
Wir erkannten, dass die Kosten einer Datenverletzung keinem linearen Modell folgen und demzufolge auch nicht als solche im Bericht aufgeführt sein sollten. Tatsächlich sinken die Kosten pro Datensatz mit der steigenden Zahl gestohlener Datensätze. Anstatt also einen einfachen Mittelwert zu nehmen, haben wir ein Modell aufgestellt, bei dem die tatsächlichen Kosten mit der Zahl der Datensätze variieren. Nach unserer Ansicht erhalten wir so einen wesentlich zuverlässigeren Indikator. Zudem kann unser Kostenmodell auf alle Arten von Organisationen angewendet werden.
Analyse der tatsächlichen Kosten einer Datenverletzung
Zur Messung der finanziellen Auswirkungen einer Sicherheitsverletzung bedienten sich die Sicherheitsanalysten von Verizon eines neuen Bewertungsmodells, das auf der Analyse von knapp 200 Leistungsansprüchen aus Cyberkriminalitäts-Versicherungen basiert. Das Modell geht von einem direkten Zusammenhang zwischen den Kosten für jeden gestohlenen Datensatz sowie Datenart und Anzahl der kompromittierten Datensätze aus. Ausgewiesen wird ein oberer und ein unterer Wert für die Kosten gestohlener Datensätze (zum Beispiel Kreditkartennummer gegenüber medizinischer Datensatz).
Beispielsweise schätzt das Modell die Kosten für 10 Millionen gestohlene Datensätze auf 2,1 Millionen bis 5,2 Millionen US-Dollar (95 Prozent der Fälle); abhängig von den Umständen kann diese Zahl bis auf 73,9 Millionen US-Dollar steigen. Für 100 Millionen kompromittierte Datensätze liegen die Kosten zwischen 5 Millionen und 15,6 Millionen US-Dollar (95 Prozent der Fälle), könnten jedoch im Spitzenwert 199 Millionen US-Dollar erreichen.
Daraus geht interessanterweise hervor, dass die Größe eines Unternehmens keinen Einfluss auf die Kosten einer Datenverletzung hat. Schlagzeilenverdächtige Verluste, wie sie von größeren Organisationen gemeldet werden, lassen sich mit der simplen Tatsache erklären, dass mehr Datensätze verloren gegangen sind. Bei Verletzungen mit einer vergleichbaren Anzahl Datensätze entstehen unabhängig von der Größe der Organisation vergleichbare Kosten.
Wir halten das Modell zur Schätzung der Kosten einer Datenverletzung für bahnbrechend, auch wenn es sicher noch optimiert werden kann. Dabei sollte man nicht vergessen, dass es nur selten, falls überhaupt, billiger ist, eine Datenverletzung in Kauf zu nehmen, als einen ordentlichen Schutzmechanismus zu installieren.
Umfassende Sicherheit ist kein unternehmerischer Luxus, sondern eine tägliche Notwendigkeit.