Anmerkung der Redaktion: Von Zeit zu Zeit hebt ComplexDiscovery öffentlich zugängliche oder privat käufliche Ankündigungen, Inhaltsaktualisierungen und Recherchen von Cyber-, Daten- und Legal Discovery-Anbietern, Forschungsorganisationen und Mitgliedern der ComplexDiscovery-Community hervor. ComplexDiscovery hebt diese Informationen zwar regelmäßig hervor, übernimmt jedoch keine Verantwortung für Inhaltsbehauptungen.
Kontaktieren Sie uns noch heute, um Empfehlungen zur Prüfung und Aufnahme in die Cyber-, Daten- und Legal Discovery-zentrierten Service-, Produkt- oder Forschungsankündigungen von ComplexDiscovery einzureichen.
Ankündigung des Branchenberichts
Verbraucher zahlen den Preis, da die Kosten für Datenschutzverletzungen ein Allzeithoch
60% der verletzten Unternehmen erhöhten die Produktpreise nach dem Verstoß; die überwiegende Mehrheit der kritischen Infrastrukturen blieb bei der Zero-Trust-Einführung zurück; 550.000$ zusätzliche Kosten für unzureichend besetzte Unternehmen.
IBM (NYSE: IBM) Security hat heute den jährlichen Cost of a Data Breach Report1 veröffentlicht, der kostspieligere und wirkungsvollere Datenschutzverletzungen als je zuvor aufzeigt, wobei die globalen Durchschnittskosten einer Datenschutzverletzung für untersuchte Unternehmen ein Allzeithoch von 4,35 Millionen $ erreichten. Da die Kosten für Verstöße in den letzten zwei Jahren des Berichts um fast 13% gestiegen sind, deuten die Ergebnisse darauf hin, dass diese Vorfälle auch zu steigenden Kosten für Waren und Dienstleistungen beitragen könnten. Tatsächlich haben 60% der untersuchten Organisationen ihre Produkt- oder Dienstleistungspreise aufgrund des Verstoßes erhöht, als die Warenkosten aufgrund von Inflations- und Lieferkettenproblemen bereits weltweit in die Höhe schnellen.
Die fortwährende Dauer von Cyberangriffen wirft auch Aufschluss über die „eindringlichen Auswirkungen“ von Datenschutzverletzungen auf Unternehmen. Laut IBM-Bericht haben 83% der untersuchten Unternehmen in ihrem Leben mehr als eine Datenschutzverletzung erlebt. Ein weiterer Faktor, der im Laufe der Zeit zunimmt, sind die Nachwirkungen von Verstößen auf diese Organisationen, die noch lange nach ihrem Auftreten anhalten, da fast 50% der Kosten für Verstöße mehr als ein Jahr nach dem Verstoß anfallen.
Der Bericht über die Kosten eines Datenschutzverstoßes 2022 basiert auf einer eingehenden Analyse realer Datenschutzverletzungen, die 550 Unternehmen weltweit zwischen März 2021 und März 2022 erlebt haben. Die von IBM Security gesponserte und analysierte Studie wurde vom Ponemon Institute durchgeführt.
Zu den wichtigsten Ergebnissen des IBM-Berichts 2022 gehören:
Kritische Infrastrukturverzögerungen bei Zero Trust — Fast 80% der untersuchten Unternehmen mit kritischer Infrastruktur wenden keine Zero-Trust-Strategien an, da die durchschnittlichen Kosten für Sicherheitsverletzungen auf 5,4 Millionen $ steigen — eine Steigerung von 1,17 Millionen $ im Vergleich zu denen, die dies tun. Insgesamt waren 28% der Verstöße in diesen Organisationen Ransomware oder destruktive Angriffe.
Es lohnt sich nicht zu zahlen - Ransomware-Opfer in der Studie, die sich dafür entschieden haben, die Lösegeldforderungen von Bedrohungsakteuren zu bezahlen, verzeichneten nur 610.000 US-Dollar weniger durchschnittliche Verstoßkosten als diejenigen, die sich entschieden haben, nicht zu zahlen - ohne die Kosten des Lösegelds. Angesichts der hohen Kosten für Lösegeldzahlungen könnte die finanzielle Belastung noch weiter steigen, was darauf hindeutet, dass die einfache Zahlung des Lösegelds möglicherweise keine wirksame Strategie ist.
Unreife Sicherheit in Clouds — Dreiundvierzig Prozent der untersuchten Unternehmen befinden sich in einem frühen Stadium oder haben noch nicht damit begonnen, Sicherheitspraktiken in ihren Cloud-Umgebungen anzuwenden. Sie beobachten durchschnittlich über 660.000 USD höhere Verstoßkosten als untersuchte Unternehmen mit ausgereifter Sicherheit in ihrer gesamten Cloud Umgebungen.
Sicherheit, KI und Automatisierung sind führend als Multi-Millionen-Dollar-Kostensparer - Teilnehmende Unternehmen, die Sicherheits-KI und -Automatisierung vollständig bereitstellen, verursachten im Durchschnitt 3,05 Millionen US-Dollar weniger an Verstoßkosten als untersuchte Unternehmen, die die Technologie nicht bereitgestellt haben - die größte Kostenersparnis, die in der Studie beobachtet wurde. .
„Unternehmen müssen ihre Sicherheitsverteidigung in die Offensive setzen und Angreifer auf den Punkt bringen. Es ist an der Zeit, den Gegner daran zu hindern, seine Ziele zu erreichen, und die Auswirkungen von Angriffen zu minimieren. Je mehr Unternehmen versuchen, ihren Perimeter zu perfektionieren, anstatt in Erkennung und Reaktion zu investieren, desto mehr Verstöße können die Lebenshaltungskosten erhöhen „, sagte Charles Henderson, Global Head von IBM Security X-Force. „Dieser Bericht zeigt, dass die richtigen Strategien in Verbindung mit den richtigen Technologien dazu beitragen können, den Unterschied zu machen, wenn Unternehmen angegriffen werden.“
Übermäßiges Vertrauen in Unternehmen mit kritischer Infrastruktur
Die Besorgnis über das Targeting kritischer Infrastrukturen scheint im vergangenen Jahr weltweit zugenommen zu haben, und die Cybersicherheitsbehörden vieler Regierungen drängen auf Wachsamkeit gegen disruptive Angriffe. Tatsächlich zeigt der Bericht von IBM, dass Ransomware und zerstörerische Angriffe 28% der Verstöße in untersuchten Unternehmen mit kritischer Infrastruktur ausmachten, was zeigt, wie Bedrohungsakteure versuchen, die globalen Lieferketten, die von diesen Organisationen abhängig sind, zu durchbrechen. Dazu gehören unter anderem Finanzdienstleistungs-, Industrie-, Transport- und Gesundheitsunternehmen.
Trotz des Aufrufs zur Vorsicht und ein Jahr nachdem die Biden-Administration eine Durchführungsverordnung für Cybersicherheit erlassen hat, in der es um die Bedeutung eines Zero-Trust-Ansatzes zur Stärkung der nationalen Cybersicherheit geht, wenden nur 21% der untersuchten Organisationen für kritische Infrastrukturen ein Zero-Trust-Sicherheitsmodell an. laut dem Bericht. Hinzu kommt, dass 17% der Sicherheitsverletzungen in Unternehmen mit kritischer Infrastruktur darauf zurückzuführen sind, dass ein Geschäftspartner ursprünglich kompromittiert wurde, was die Sicherheitsrisiken hervorhebt, die ein übermäßiges Vertrauen in Umgebungen mit sich bringt.
Unternehmen, die das Lösegeld zahlen, machen kein „Schnäppchen“
Laut dem IBM-Bericht von 2022 verzeichneten Unternehmen, die die Lösegeldforderungen von BedrohungsakteurInnen bezahlten, 610.000 US-Dollar weniger durchschnittliche Verstoßkosten als Unternehmen, die sich entschieden hatten, nicht zu zahlen - ohne den gezahlten Lösegeldbetrag. Bei der Bilanzierung der durchschnittlichen Lösegeldzahlung, die laut Sophos im Jahr 2021 812.000 USD erreichte, könnten Unternehmen, die sich für die Zahlung des Lösegelds entscheiden, jedoch höhere Gesamtkosten erzielen - und gleichzeitig zukünftige Ransomware-Angriffe versehentlich mit Kapital finanzieren, das für Sanierungs- und Wiederherstellungsmaßnahmen bereitgestellt werden könnte Untersuchung möglicher Bundesdelikte.
Das Fortbestehen von Ransomware wird trotz erheblicher globaler Bemühungen, sie zu verhindern, durch die Industrialisierung der Cyberkriminalität angetrieben. IBM Security X-Force stellte fest, dass die Dauer der untersuchten Ransomware-Angriffe auf Unternehmen in den letzten drei Jahren um 94% gesunken ist - von über zwei Monaten auf knapp vier Tage. Diese exponentiell kürzeren Angriffslebenszyklen können zu Angriffen mit höheren Auswirkungen führen, da Cybersicherheits-Incident-Respondern sehr kurze Zeitfenster zur Erkennung und Eindämmung von Angriffen bleiben. Da die „Zeit bis zum Lösegeld“ auf wenige Stunden sinkt, ist es wichtig, dass Unternehmen strenge Tests von Incident Response (IR) -Playbooks im Voraus priorisieren. Dem Bericht zufolge testen bis zu 37% der untersuchten Unternehmen, die Pläne zur Reaktion auf Vorfälle haben, diese nicht regelmäßig.
Vorteil der Hybrid Cloud
In dem Bericht wurden auch Hybrid-Cloud-Umgebungen als die am weitesten verbreitete (45%) Infrastruktur unter den untersuchten Unternehmen aufgezeigt. Unternehmen, die ein Hybrid-Cloud-Modell einführten, verzeichneten im Durchschnitt 3,8 Millionen $ an Verstoßkosten im Vergleich zu Unternehmen mit einem reinen Public- oder Private-Cloud-Modell, das durchschnittlich 5,02 Millionen $ bzw. 4,24 Millionen $ verzeichnete, niedrigere Verstoßkosten. Tatsächlich konnten die untersuchten Hybrid-Cloud-Anwender Datenschutzverletzungen durchschnittlich 15 Tage schneller erkennen und eindämmen als der globale Durchschnitt von 277 Tagen für die Teilnehmer.
Der Bericht hebt hervor, dass 45% der untersuchten Verstöße in der Cloud aufgetreten sind, was die Bedeutung der Cloud-Sicherheit unterstreicht. Deutliche 43% der berichtenden Unternehmen gaben jedoch an, dass sie sich gerade in einem frühen Stadium befinden oder noch nicht mit der Implementierung von Sicherheitspraktiken zum Schutz ihrer Cloud-Umgebungen begonnen haben, da sie höhere Kosten für Sicherheitsverletzungen beobachten2. Unternehmen, die keine Sicherheitspraktiken in ihren Cloud-Umgebungen implementierten, benötigten durchschnittlich 108 Tage mehr, um eine Datenschutzverletzung zu identifizieren und einzudämmen, als Unternehmen, die konsistent Sicherheitspraktiken in allen ihren Domänen anwendeten.
Zu den weiteren Ergebnissen des IBM-Berichts 2022 gehören:
Phishing wird zur teuersten Ursache für Sicherheitsverletzungen — Während kompromittierte Anmeldeinformationen weiterhin die häufigste Ursache für einen Verstoß waren (19%), war Phishing die zweite (16%) und teuerste Ursache, was zu durchschnittlichen Kosten für Sicherheitsverletzungen in Höhe von 4,91 Millionen $ für antwortende Unternehmen führte.
Die Kosten für Verstöße im Gesundheitswesen waren zum ersten Mal zweistellig - Im 12. Jahr in Folge verzeichneten die Teilnehmer des Gesundheitswesens die teuersten Verstöße unter den Branchen, wobei die durchschnittlichen Kosten für Verstöße im Gesundheitswesen um fast 1 Million US-Dollar stiegen und ein Rekordhoch von 10,1 Millionen US-Dollar erreichten.
Unzureichendes Sicherheitspersonal — Zweiundsechzig Prozent der untersuchten Unternehmen gaben an, dass sie nicht ausreichend besetzt sind, um ihre Sicherheitsanforderungen zu erfüllen. Im Durchschnitt sind die Kosten für Sicherheitsverletzungen um 550.000 USD höher als diejenigen, die angeben, dass sie ausreichend besetzt sind.
Zusätzliche Quellen
Um eine Kopie des Berichts über die Kosten einer Datenschutzverletzung 2022 herunterzuladen, besuchen Sie bitte:
Weitere Informationen zu den wichtigsten Ergebnissen des Berichts finden Sie in diesem IBM Security Intelligence-Blog.
Melden Sie sich hier für das Webinar zu IBM Security Cost of a Data Breach 2022 am Mittwoch, den 3. August 2022, um 11:00 Uhr ET an.
Wenden Sie sich an das IBM Security X-Force-Team, um eine personalisierte Überprüfung der Ergebnisse zu erhalten:
Über IBM Security
IBM Security bietet eines der fortschrittlichsten und integriertesten Portfolios an Produkten und Services für die Unternehmenssicherheit. Das Portfolio, das von der weltbekannten IBM Security X-Force® -Forschung unterstützt wird, ermöglicht es Unternehmen, Risiken effektiv zu managen und sich gegen neue Bedrohungen zu schützen. IBM betreibt eine der weltweit umfassendsten Sicherheitsforschungs-, Entwicklungs- und Bereitstellungsorganisationen, überwacht mehr als 150 Milliarden Sicherheitsereignisse pro Tag in mehr als 130 Ländern und hat weltweit mehr als 10.000 Sicherheitspatente erhalten. Weitere Informationen finden Sie unter www.ibm.com/security, folgen Sie @IBMSecurity auf Twitter oder besuchen Sie den IBM Security Intelligence-Blog.
Kontakt für die Presse:
IBM Sicherheitskommunikation
Georgiens Prassinos
gprassinos@ibm.com
1 Cost of a Data Breach Report 2022, durchgeführt vom Ponemon Institute, gesponsert und analysiert von IBM
2 Durchschnittliche Kosten von 4,53 Mio. $ im Vergleich zu durchschnittlichen Kosten von 3,87 Millionen $ bei teilnehmenden Organisationen mit ausgereiften Cloud-Sicherheitspraktiken
Lesen Sie die Originalversion.
Zusätzliche Lektüre
Eine wirtschaftliche Wirkung? Wie Cyber-Versicherungen die Reaktion auf Vorfälle gestalten
Cyber Discovery definieren? Eine Definition und ein Rahmen
Quelle: ComplexDiscovery
