Kosten eines Datendiebstahls
Im vergangenen Jahr beherrschten immer wieder Meldungen von gross angelegten Datendiebstählen die Schlagzeilen. Der wohl grösste Datendiebstahl 2015 betraf das Seitensprungportal Ashley Madison. Bereits kurz nach dem Angriff wurden Millionen der gestohlenen Daten - Namen und Adressen der Nutzer - im Netz veröffentlicht.
Obwohl der Angriff für die 37 Millionen Nutzer der Seite ein grosser Schock gewesen sein dürfte, scheint die Mehrheit der breiten Öffentlichkeit derartige Angriffe zunehmend als normal zu erachten. Doch welche Auswirkungen hat ein Datenleck wirklich? Ein bekanntes Beispiel ist das Unternehmen Sony Pictures: Nachdem es im Jahr 2014 einem Cyberangriff zum Opfer gefallen war, schätzte es die im Zuge des Datenlecks entstandenen Kosten auf umgerechnet rund 31 Millionen Euro für das gesamte Geschäftsjahr. Die Reparatur des verursachten Schadens kann also teuer zu stehen kommen, denn in der Regel bringt die Wiederherstellung von Finanz- und IT-Systemen zusätzliche Arbeitsstunden und Ausgaben für Hardware, Software und Systemhäuser mit sich. Dies dürfte jedoch nur die technische Seite des Schadens beziffern.
Welche Kosten verursacht ein Datendiebstahl?
Das Ponemon Institute versuchte, in einer Studie die tatsächlichen Kosten eines Datenlecks zu ermitteln. In dem Bericht werden die Kosten folgendermassen beziffert:
- Die unmittelbaren Kosten eines Datendiebstahls belaufen sich für Unternehmen im Durchschnitt auf umgerechnet rund 65 Euro pro Nutzer, dessen Daten kompromittiert wurden. Zählt man die indirekten Kosten durch den Verlust von Nutzern hinzu, kommen noch durchschnittlich 125 Euro pro Nutzer hinzu. Dies ist neuer Rekordwert von 190 Euro pro registriertem Angriff.
- Ein Datendiebstahl kostet Unternehmen durchschnittlich 5,7 Millionen Euro. 2013 lag der Wert noch bei 4,6 Millionen.
- Die Höhe der Kosten für Fehlerüberprüfung und zusätzlich anfallende Ausgaben ist von 366‘000 auf 542‘000 Euro gestiegen. Dies lässt darauf schliessen, dass die Kosten für Ermittlungen und Untersuchungen, Dienste zur Überprüfung und Beurteilung, das Management eines Krisenteams sowie die Kommunikation mit Interessengruppen und Management erhöht haben.
- Auch nach einem Datendiebstahl werden erhöhte Ausgaben fällig, zum Beispiel für zusätzliche Arbeitsschichten der Helpdesk-Mitarbeiter, die Bearbeitung eingehender Anfragen, Untersuchungs- und Wiederherstellungsarbeiten sowie juristische Ausgaben. Diese Kosten sind von 1,39 Millionen auf 1,42 Millionen Euro in der diesjährigen Studie gestiegen.
Zweifelsohne ist ein Datendiebstahl in finanzieller Hinsicht kostenintensiv. Unternehmen kann er jedoch durch das verlorene Kundenvertrauen doppelt teuer zu stehen kommen. Um zu vermeiden, das nächste Opfer eines Datendiebstahls zu werden, sollten Organisationen daher der Sicherheit kritischer und personenbezogener Daten oberste Priorität einräumen.
Aufpassen, Aufpassen, Aufpassen
Neben der Implementierung wirksamer Sicherheitsstrukturen sind Arbeitgeber gut beraten, in ihrer Belegschaft Bewusstsein für Datensicherheit zu schaffen. Für Hacker, die Unternehmensdaten in ihren Besitz bringen wollen, ist es nämlich oft erfolgversprechender, ihre Angriffe statt über die gut geschützte Firewall über Mitarbeiter laufen zu lassen. Arbeitgeber sollten daher bei ihren Mitarbeitern ein Bewusstsein für „Social Engineering“ schaffen. Das sind manipulative Angriffe, die ganz verschiedene Form annehmen können, quasi der Trickbetrug in der IT-Sicherheit. So fragen Kriminelle unter Vorschützen einer falschen Identität Passwörter ab oder sammeln Informationen, mit denen sie Passwörter zurücksetzen können. Am stärksten verbreitet sind individualisierte Phishing-Mails. So eine E-Mail hat zuletzt das Netzwerk des Deutschen Bundestags so beschädigt, dass es unter millionenschwerem Aufwand neu aufgesetzt und mehrere Tage abgeschaltet werden musste. Der Hacker sendet eine glaubwürdig wirkende E-Mail, möglicherweise an eine grosse Zahl an E-Mail-Konten. Wenn auch nur ein Mitarbeiter auf den heimtückischen Link darin klickt, erhält der Angreifer Zugriff auf das Netzwerk.
Es gibt eine Reihe von Vorsichtsmassnahmen, mit denen sich Unternehmen und Mitarbeiter vor diesen Angriffen schützen können. Die oberste Regel für die Mitarbeiter ist, aufmerksam zu bleiben. Sie müssen jede unerwartete eingehende E-Mail mit Anhang oder Links in Frage stellen. Falls der Inhalt zu gut aussieht, um wahr zu sein, ist er es wahrscheinlich auch.
Zero Trust
Unternehmen, die sich gegen den Ernstfall schützen wollen, müssen begreifen, dass prinzipiell jeder und alles eine Bedrohung darstellen kann. Das ist keine Paranoia, sondern trägt dem Umstand Rechnung, dass Kriminelle handfeste, finanzielle Interessen an Daten haben und jede sich bietende Lücke oder Schwachstelle nutzen werden.
Jede genutzte Hard- oder Software stellt vor diesem Hintergrund ein potenzielles Einfallstor für Hacker dar. Unternehmen können eine Zero-Trust-Umgebung technisch durch die Implementierung einer Firewall umsetzen. Die vorherrschende Einstellung, dass Handlungen in der Regel vertrauenswürdig wären, wird abgeschafft. Jede Aktion wird mit demselben Mass an Misstrauen geprüft, ungeachtet dessen, wer diese ausführt. Unternehmen müssen sicherstellen, dass kein von Mitarbeitern verwendetes Gerät unentdeckt auf kritische Stellen des Netzwerks oder sensible Daten zugreifen kann. Falls ein derartiger Vorgang entdeckt wird, muss er eingehend untersucht werden, mit dem Ziel, ihn zu beheben.
Einfache Vorkehrungen zur Absicherung
Die breite Öffentlichkeit bringt mit dem Thema Datendiebstahl hauptsächlich Angriffe auf grosse Organisationen und Regierungen in Verbindung. Dies bedeutet aber nicht, dass ausschliesslich diese Ziel eines Hackerangriffs sein können. Viele kleine und mittelständische Unternehmen haben Pläne und Unterlagen, die für Konkurrenten oder Verhandlungspartner im In- und Ausland hochinteressant und wertvoll sind. Viele kleinere Unternehmen speichern zur Abwicklung ihrer Aufträge Informationen von Grosskonzernen. Und selbst kleinste digitale Startups mit wenigen Mitarbeitern haben häufig bereits tausende von Kreditkartendaten gespeichert. Unternehmen jeder Grössenordnung haben daher ein paar einfache Vorkehrungen zu treffen, um ihr Netzwerk zu schützen:
- argwöhnisch sein und über potenzielle Sicherheitsbedrohungen unterrichten: Sicherheitssoftware ist die wichtigste Verteidigungsebene gegen Angriffe. Doch die Belegschaft kann zusätzlich einen wertvollen Beitrag leisten, indem sie sämtliche verdächtigen Vorkommnisse im Web oder im E-Mail-Posteingang hinterfragt und gegebenenfalls meldet.
- Zero-Trust-Umgebung einrichten: Für Hacker wird es erheblich schwieriger, ins System einzudringen und sich zu verstecken, wenn relevante Vorgänge wie unter dem Mikroskop minutiös geprüft werden, egal welcher User sie veranlasst hat.
- Budget für die IT-Sicherheit einplanen: Anstatt nach einem Datendiebstahl Reparaturen, Strafen, Anwaltsgebühren und Kommunikationsmassnahmen zu bezahlen, sollten Unternehmen mit einem Bruchteil dieses Betrags vorbeugen, dass es so weit kommt. Sie müssen sicherstellen, dass Sie die nötige Hard- und Software im Einsatz haben, die Datendiebstahl erschwert und verhindert. Die oben genannten Zahlen des Ponemon Instituts können helfen, das Risiko zu beziffern und den Betrag festzulegen.
Autor: Wieland Alge, Vice President und General Manager EMEA bei Barracuda Networks