Die versteckten Kosten einer Datenpanne, die Jahre dauern können
Softwarefehler und Schwachstellen führen oft zu massiven Sicherheitsverletzungen, die ausgenutzt werden. Diese Verstöße verursachen hohe Kosten für das Unternehmen in Form von Geldstrafen und Bußgeldern, aber es gibt auch mehrere unvorhergesehene Kosten, die das Unternehmen intern und in der Öffentlichkeit betreffen.
Während die Kosten für die Eindämmung und Beseitigung der Sicherheitsverletzung offensichtlich eine Notwendigkeit darstellen, sind unvorhergesehene und implizite Umsatzeinbußen ebenfalls eine Nebenwirkung einer Datenkompromittierung. Die Auswirkungen einer Datenschutzverletzung betreffen alle Abteilungen des Unternehmens und können auch Partnerschaften mit externen Anbietern und Auftragnehmern beeinträchtigen. Der Verlust des Kundenvertrauens kann sich auch über Jahre hinziehen, so dass die Kosten einer Datenpanne mehr als nur eine unmittelbare finanzielle Belastung darstellen. Sie hat lang anhaltende Auswirkungen auf Mitarbeiter, Lieferanten, Auftragnehmer, Kunden und die Öffentlichkeitsarbeit.
Inhalte:
- Was ist eine Datenpanne?
- Öffentliche Kosten einer Datenpanne
- Private Kosten
- Interne Kosten
- Schlussfolgerung
Was ist eine Datenpanne?
Auch wenn die Definition einer Datenschutzverletzung offensichtlich erscheint, wird sie oft mit einer Sicherheitsverletzung verwechselt. Eine Sicherheitsverletzung kann zu einer Datenverletzung führen, aber nicht immer. Beispielsweise kann ein Server kompromittiert werden, so dass ein Angreifer in der Lage ist, eine Anwendung zum Absturz zu bringen, was zu einer Dienstverweigerung führt, aber ohne Zugriff auf Daten kann ein Angreifer nur einen finanziellen Verlust aufgrund von Anwendungsausfällen und Ausfallzeiten verursachen.
Einige staatlich gesponserte Angriffe zielen darauf ab, einen Denial-of-Service (DoS)-Zustand zu verursachen, der zu Ausfallzeiten bei Konkurrenten oder Regierungsbehörden führt, aber Sicherheitsverletzungen sind für Angreifer, die auf Darknet-Märkten Geld verdienen wollen, nicht so lukrativ wie eine Datenverletzung. Ein Angreifer, der Zugang zu privaten Daten hat, kann diese auf Darknet-Märkten verkaufen, sie für Identitätsdiebstahl nutzen, um Kredit- und Finanzkonten zu eröffnen, oder sie für Phishing-Angriffe verwenden. Private Unternehmensdaten sind weitaus wertvoller, insbesondere wenn es sich um vertrauliche Informationen oder geistiges Eigentum handelt.
Eine Sicherheitsverletzung kann mehr sein als ein DoS und auch zu einer Datenkompromittierung führen. Gelingt es einem Angreifer beispielsweise, Schadsoftware auf kritischen Infrastrukturen zu installieren, könnte die bösartige Software für weitere Angriffe genutzt werden, die den Zugriff auf Daten ermöglichen. Bei der Verletzung von Passwörtern könnten die Angreifer durch Brute-Force-Methoden die Klartextversion der Benutzerdaten erlangen. Erfolgreiche Phishing-Kampagnen können auch zu einer Kompromittierung des Netzwerks führen, einschließlich Ransomware, die Daten als Geiseln nimmt und dafür eine Zahlung in Kryptowährung verlangt. In vielen dieser Fälle beginnt der Einbruch mit ungepatchter Serversoftware.
Öffentliche Kosten einer Datenpanne
Eine der größten unvorhergesehenen Folgen einer Datenschutzverletzung ist die Schädigung des Rufs eines Unternehmens in der Öffentlichkeit. Equifax wurde Opfer einer großen Datenpanne, bei der Angreifer Millionen personenbezogener Daten erbeuten konnten. Noch Jahre später assoziieren die Menschen Equifax als ein Unternehmen, das die meisten ihrer Finanzdaten und Sozialversicherungsnummern an Angreifer weitergegeben hat, so dass sie gezwungen waren, ihre Konten einzufrieren und ihre Finanzdaten genau zu überwachen. Ein Großteil der Öffentlichkeit hat das Vertrauen in Equifax verloren und vertraut dem Unternehmen seine Daten nicht mehr an. Dieser Nebeneffekt einer Datenpanne kann für Unternehmen, die auf Vertrauen angewiesen sind, um Benutzerinformationen für Konten und Produktverkäufe zu sammeln, verheerend sein.
Nach der Datenpanne bei Equifax führte Ponemon eine Studie über die Auswirkungen des öffentlichen Ansehens auf ein Unternehmen, wenn es Kundeninformationen an Cyberkriminelle weitergibt. Es wurde festgestellt, dass Unternehmen mindestens 10 Monate brauchten, um sich von dem negativen Ruf in der Öffentlichkeit zu erholen. Die Studie ergab außerdem, dass 50 % der befragten Unternehmen unter Produktivitätseinbußen litten und 41 % angaben, dass sie die Kundentreue verloren haben.
Unternehmen, die private Daten speichern, müssen das Vertrauen auf jede erdenkliche Art und Weise bewahren, sonst könnte es zu einer Massenabwanderung treuer Kunden kommen. Die Art und Weise, wie ein Unternehmen mit einer Datenschutzverletzung umgeht, wirkt sich nicht nur auf die Vermeidung einer solchen Verletzung aus, sondern auch auf das Vertrauen der Kunden. Je früher die Kunden von der Sicherheitsverletzung erfahren, desto besser sieht es für den Ruf des Unternehmens aus. Unternehmen, die eine Datenschutzverletzung monatelang verheimlichen, verlieren wertvolles Vertrauen und könnten einen Verlust der Kundentreue erleiden, wenn die Verletzung zu lange verborgen bleibt. Die Meldung einer Sicherheitsverletzung innerhalb einer angemessenen Zeitspanne ist auch eine Pflicht zur Einhaltung der Vorschriften für viele der üblichen Regulierungsbehörden.
In vielen Szenarien von Datenverstößen sind Exfiltration und Datenbeschädigung auf Malware angewiesen. Die Ausnutzung von Software erfolgt in der Regel durch nicht gepatchte und veraltete Versionen, sei es das Betriebssystem, Tools von Drittanbietern oder benutzerdefinierte Software, die unbekannte Schwachstellen aufweist. Wenn die Kunden die Details einer Datenpanne erfahren, kann jedes schlecht verwaltete Software-Patching das Vertrauen beschädigen. Wenn keine standardmäßige Patch-Verwaltung implementiert ist, werden die Kunden wahrscheinlich nicht darauf vertrauen, dass dies in Zukunft geschehen wird. Dieser Faktor betrifft häufig große technische Unternehmen, Finanzinstitute und alle anderen Organisationen, die große Mengen an Benutzerdaten speichern.
Innerhalb eines Tages nach Bekanntgabe einer Datenschutzverletzung fallen durchschnittlich 7,5 % der Aktienbewertung Rückgang bei börsennotierten Unternehmen beobachtet. Die Forscher beobachteten außerdem einen Verlust von 5,4 Milliarden Dollar an Marktkapitalisierung pro Unternehmen und eine Erholungszeit von 46 Tagen, bis sich die Aktienkurse wieder normalisiert hatten. Der Rückgang der Aktienkurse und die negative PR wirken sich auch auf Lieferantenbeziehungen und Partnerschaften aus. Wenn dem Unternehmen im Hinblick auf Daten nicht vertraut werden kann, könnten viele wichtige Partnerschaften zerstört werden.
Private Kosten
Viele der öffentlichen Kosten, die Unternehmen nach einer Datenschutzverletzung zu tragen haben, wirken sich auch auf private Einnahmen und Bewertungen aus. Wenn die Aktienkurse fallen, ist das Unternehmen selbst betroffen, aber es gibt auch mehrere private Kosten, die mit einer Datenschutzverletzung verbunden sind. Ponemon's Bericht über die Kosten einer Datenpanne 2020 schätzt, dass sich die durchschnittlichen Kosten weltweit auf 3,86 Millionen Dollar belaufen. Nach einer Datenschutzverletzung muss als nächster Schritt ein guter Plan zur Reaktion auf den Vorfall erstellt werden. Viele Unternehmen verfügen jedoch nicht über einen guten Plan zur Eindämmung und Ausmerzung der Bedrohung.
Unternehmen, die nicht über ein spezielles Reaktionsteam verfügen, müssen den Dienst auslagern, der ihnen bei einer Kompromittierung hilft. Dies führt dazu, dass ein Angreifer mehr Zeit hat, um weitere Daten zu exfiltrieren. Um sofort reagieren zu können, müssen viele Unternehmen kritische Dienste abschalten, um die Datenextraktion aus dem kompromittierten System zu stoppen. Die sofortige Abschaltung kritischer Dienste führt zu Produktivitätseinbußen bei internen Mitarbeitern und Umsatzeinbußen bei Kundenportalen. Es kann auch zu Datenbeschädigung und langfristigen Kundendienstanfragen von Kunden führen, die keine Bestellungen aufgeben können.
Teams für die Reaktion auf Vorfälle kosten Hunderte von Dollar pro Stunde plus Reisekosten. Unternehmen könnten Tausende von Dollar für ein Team ausgeben, um einen Vorfall zu beseitigen und zu untersuchen, wenn sie nicht über ein spezielles Team verfügen, das sich der Situation annimmt. Die meisten IT-Mitarbeiter sind nicht in der Lage, eine Bedrohung der Infrastruktur vollständig zu beseitigen, insbesondere wenn es sich um fortgeschrittene anhaltende Bedrohungen (APTs) handelt.
Nachdem die Bedrohung beseitigt ist, müssen die meisten Unternehmen ihre Infrastruktur aufrüsten, entweder mit Hardware, Software oder beidem. "Lessons Learned" ist der letzte Standardschritt bei der Reaktion auf Vorfälle und der Wiederherstellung im Katastrophenfall, und er geht mit der Erkenntnis einher, dass eine Komponente der Cybersicherheitsstrategie des Unternehmens nicht ausreicht, um Bedrohungen zu stoppen. Bessere Strategien könnten darin bestehen, die Benutzer zu schulen, um Phishing-Angriffe zu stoppen, eine bessere Anti-Malware-Software zu entwickeln, Fehlkonfigurationen zu beheben oder die Patch-Verwaltung für veraltete Software zu verbessern, die zu der Sicherheitslücke geführt hat.
Die Auswirkungen betreffen jeden Aspekt des Unternehmens. Die Reaktion auf einen Vorfall hilft bei der Archivierung von Dateien und Prüfprotokollen, die den Behörden zur Untersuchung übergeben werden, aber in der Zwischenzeit werden alle Systeme, die zum Schutz vor weiteren Schäden heruntergefahren werden, die Produktivität der Mitarbeiter und möglicherweise den Kundenumsatz beeinträchtigen.
Ein Beispiel dafür, wie sich ein gehacktes System auf das gesamte Unternehmen auswirken kann, ist die Infizierung eines Datenbankservers mit Malware oder der erfolgreiche Angriff eines Angreifers mit einem persistenten Cross-Site-Scripting-Angriff (XSS). Bei persistentem XSS werden Daten beschädigt und könnten dazu verwendet werden, sich Zugang zu internen Systemen zu verschaffen. Bei Malware könnte die Datenbank Daten an einen von einem Angreifer kontrollierten Server senden, einem Angreifer Fernzugriff auf das System gewähren oder möglicherweise Dateien mit Ransomware verschlüsseln. Selbst die Wiederherstellung von einem Backup benötigt Zeit und verursacht Ausfallzeiten, während das System wiederhergestellt wird. In großen Unternehmen kann selbst ein eintägiger Ausfall das Unternehmen Tausende von Dollar an entgangenen Umsätzen und Mitarbeiterproduktivität kosten. Der anfängliche Umsatzverlust kann sich noch Monate später bemerkbar machen.
Interne Kosten
Die meisten Forscher befassen sich mit den Auswirkungen einer Datenschutzverletzung auf den Unternehmensumsatz, den Aktienkurs, den Verlust von Kunden und die Kosten für die Reaktion auf einen Vorfall, nicht aber mit den Auswirkungen auf die zwischenmenschlichen Beziehungen zwischen Mitarbeitern und IT-Mitarbeitern. Da eine Datenschutzverletzung ein öffentlich bekannt gegebenes Ereignis ist, werden die Mitarbeiter für das Problem sensibilisiert und müssen in Änderungen der Unternehmensprozesse und Schulungen einbezogen werden.
Wenn die Grundlage des Angriffs eine Phishing-Kampagne war, müssen die Mitarbeiter, die dem Angriff zum Opfer fielen, darin geschult werden, bösartige Nachrichten zu erkennen und sie zu melden. Es ist nicht ungewöhnlich, dass Mitarbeiter darauf vertrauen, dass die IT-Abteilung sie vor Malware und bösartiger Software schützt. Selbst im Falle einer Phishing-Kampagne, die zu einer erfolgreichen Datenverletzung geführt hat, könnten die Mitarbeiter das Vertrauen in das Unternehmen und insbesondere in die IT-Abteilung verlieren. Ein Vertrauensverlust kann noch schlimmer sein, wenn der Schutz der Infrastruktur aufgrund von Fehlkonfigurationen, einer ineffizienten Anti-Malware-Infrastruktur oder eines IT-Fehlers versagt hat.
IT- und Sicherheitsexperten wissen, dass keine Cybersicherheitsstrategie das Risiko zu 100 % reduziert, aber die internen Mitarbeiter sind sich der Funktionsweise von Cyber-Bedrohungen nicht bewusst. Jede Datenschutzverletzung führt zu einer Änderung der Verfahren, die in der Regel einen zusätzlichen Aufwand für den Benutzer bedeuten. Bei diesen Verfahren kann es sich um eine Änderung der Sicherheitssysteme handeln, die sich auf die Art und Weise auswirkt, wie sich Mitarbeiter am System authentifizieren, um eine Änderung der manuellen Prozesse oder um zusätzliche vorgeschriebene Schulungen. Jeder erhebliche Mehraufwand für die tägliche Produktivität eines Mitarbeiters wird auf Widerstand stoßen, auch bei der Unternehmensleitung. Der Vertrauensverlust könnte dazu führen, dass es schwierig wird, die Genehmigung für eine Änderung der derzeitigen Verfahren zu erhalten.
Die Einführung neuer Cybersicherheitssysteme und -verfahren ist bereits schwierig, da die meisten Mitarbeiter keine zusätzlichen Schritte unternehmen wollen, um die Sicherheit zu gewährleisten, aber eine Datenschutzverletzung kann dazu führen, dass die Mitarbeiter kein Vertrauen in neue und bestehende Systeme haben, was letztlich zu übersprungenen Verfahren und zusätzlichen Risiken führen kann. Schulungen und Weiterbildungen zur Cybersicherheit tragen zur Risikominderung bei, aber die Zusammenarbeit und die Planung der Sitzungen erfordern Zeit. Mitarbeiter, auch Führungskräfte, müssen sich Zeit nehmen, um an Schulungen teilzunehmen.
Schlussfolgerung
Unternehmen sind sich zwar bewusst, dass ihre Daten wertvoll sind, aber die Art und Weise, wie sie mit Cyberrisiken umgehen, wirkt sich direkt auf die Wahrscheinlichkeit einer Kompromittierung aus. Datenschutzverletzungen führen zu jahrelanger Wiederherstellungszeit, sowohl in finanzieller Hinsicht als auch bei der Gewinnung des Vertrauens der Nutzer. Die meisten Unternehmen konzentrieren sich auf den unmittelbaren monetären Schaden, aber der langfristige Schaden wird sich über Jahre hinweg auf die Einnahmen und andere Kosten auswirken.
Die beste Möglichkeit, das Risiko einer Sicherheitsverletzung zu verringern, besteht darin, Schwachstellen zu beseitigen, bevor sie ausgenutzt werden. Dies setzt gute Praktiken im Umgang mit Patching und Wartung voraus. Mit Live-Patching kann Ihr Unternehmen anfällige, veraltete Server bequemer und schneller ohne Neustart patchen. Anstatt wochenlang zu warten, um anfällige Server zu patchen und sie damit für die neuesten Angriffe anfällig zu machen, aktualisiert Live-Patching die Serversoftware und das Betriebssystem, sobald die Hersteller Updates bereitstellen. KernelCare bietet Live-Patching für die wichtigsten Linux-Distributionen und kann das Zeitfenster für nicht gepatchte Server verringern. Implementieren Sie KernelCare einfach mit dem Orchestrierungs-Tool Ihrer Wahl und nutzen Sie die Vorteile von Live-Patching, um Risiken zu reduzieren und Ihre Server vor den neuesten Cyber-Bedrohungen und Exploits zu schützen.