Zum Inhalt springen Weiter zur Suche
Testversion
Blog

Die Kosten einer Datenpanne und die Notwendigkeit von SSL-Sicherheit

A10 Blog / Cybersicherheit / Die Kosten einer Datenpanne und die Notwendigkeit von SSL-Sicherheit
A10 Personal
A10 Personal
|
Dezember 8, 2022

Die Kosten für Datenschutzverletzungen steigen in nie dagewesene Höhen. Laut IBM erreichen die durchschnittlichen Kosten einer Datenschutzverletzung im Jahr 2022 weltweit ein Allzeithoch von 4,35 Millionen US-Dollar, was einem Anstieg von 12,7 Prozent gegenüber 2020 entspricht. Angesichts der Tatsache, dass ausgeklügelte Cyber-Kriminelle es auf die vertraulichen Daten von Organisationen aller Art abgesehen haben - Gesundheitswesen, Finanzdienstleistungen, Behörden, Technologie, Medien usw. - war es noch nie so wichtig wie heute, die Cybersicherheit in der gesamten Unternehmensumgebung zu gewährleisten.

In diesem Blog erörtern wir die Art der Bedrohung durch Datenschutzverletzungen, die Faktoren, die die Kosten einer Datenschutzverletzung verursachen, sowie Tipps zur Cybersicherheit, um Datendiebstahl, Ransomware, Datenexfiltration und andere Bedrohungen für die vertraulichen Daten eines Unternehmens zu verhindern.

Datendiebstahl, Datenexfiltration und andere Arten von Datenverletzungen

Eine Datenschutzverletzung kann viele Formen annehmen, von der versehentlichen Offenlegung von Daten durch einen unvorsichtigen Mitarbeiter über einen Hacker, der kompromittierte Anmeldeinformationen verwendet, um vertrauliche Informationen zu stehlen, bis hin zu einem Ransomware-Angriff, bei dem die vertraulichen Daten eines Unternehmens gewaltsam verschlüsselt werden.

Auch die Art der betroffenen Daten kann sehr unterschiedlich sein, z. B. persönliche Gesundheitsinformationen(PHI) wie Krankenakten, persönlich identifizierbare Informationen(PII) wie Geburtsdaten und Führerscheinnummern, Finanzdaten wie Kreditkarten- und Bankkontonummern, geistiges Eigentum wie Codes oder Produktdesigns oder Geschäftsgeheimnisse wie Geschäftsstrategien oder Kundenlisten. Unabhängig von den Umständen oder Motiven, die im Spiel sind, liegt immer dann eine Datenschutzverletzung vor, wenn eine unbefugte Person die Daten eines Unternehmens einsehen oder an sich nehmen kann.

Viele Datenschutzverletzungen betreffen die Exfiltration von Daten. In diesem Fall werden Daten ohne Zustimmung von einem System auf ein anderes übertragen, oft über das Unternehmensnetzwerk hinaus. Dies kann zwar ein ehrlicher Fehler sein, ist aber häufiger die Tat eines bösen Akteurs, der versucht, die gestohlenen Daten entweder auf dem Schwarzmarkt zu verkaufen oder damit zu drohen, um eine Zahlung zu erpressen. Die Datenexfiltration kann auch mit Ransomware kombiniert werden, um den Druck auf das Opfer zu erhöhen, das Lösegeld zu zahlen.

Größte Datenpannen

Die größten Datenschutzverletzungen und Hacks der Welt via Information is Beautiful

Was die Kosten einer Datenpanne verursacht - und wie hoch sie ausfallen können

Eine Datenverletzung jeglicher Art kann schnell zu weitreichenden und kostspieligen Störungen innerhalb eines Unternehmens führen. IBM berücksichtigt vier Hauptfaktoren für die Kosten einer Datenverletzung:

  • Aufdeckung, Untersuchung und Eskalation von Sicherheitsverletzungen, einschließlich Krisenmanagement
  • Benachrichtigung und Kommunikation mit Kunden, Aufsichtsbehörden und Anwälten
  • Auswirkungen auf das Geschäft wie Ausfallzeiten, sinkende Aktienkurse, Schädigung des Rufs des Unternehmens und der Kundenbeziehungen
  • Ausgaben im Zusammenhang mit der Cybersicherheit nach dem Einbruch sowie Zahlungen für Rechtsberatung, Geldbußen und Entschädigungen

Das Unternehmen weist darauf hin, dass die Herausforderungen bei der Cybersicherheit von Heimarbeitsplätzen zu vielen Sicherheitsverletzungen beitragen. Obwohl es viele verschiedene Formen von Sicherheitsverletzungen gibt, haben sie in der Regel ähnliche finanzielle Auswirkungen. Phishing-Angriffe, Ransomware und Sicherheitsverletzungen durch gestohlene oder kompromittierte Zugangsdaten führen alle zu Verlusten zwischen 4,5 und 4,91 Millionen US-Dollar.

Und die Kosten können viel höher sein als der von IBMangegebene weltweite Durchschnitt. Im August 2021 gab T-Mobile einen Vorfall bekannt, von dem mehr als 76 Millionen seiner Kunden betroffen waren. Im darauffolgenden Juli stimmte das Unternehmen vor Gericht zu, 350 Millionen Dollar zu zahlen, um eine Sammelklage seiner Kunden beizulegen, sowie weitere 150 Millionen Dollar, um seinen Datenschutz in den kommenden zwei Jahren zu verbessern - eine Investition, die, wenn sie früher getätigt worden wäre, die Notwendigkeit der Kundenbeilegung selbst hätte verhindern können. Capital One sah sich nach einem Datenschutzverstoß im Jahr 2019, von dem 100 Millionen Kunden betroffen waren, mit einer ähnlichen Klage konfrontiert, die zu einem Vergleich in Höhe von 190 Millionen Dollarführte -zusätzlich zu den 80 Millionen Dollar, die vom U.S. Office of the Comptroller of the Currency für denselben Vorfall erhoben wurden.

Wie der berüchtigte Equifax-Verstoß aus dem Jahr 2017 zeigt, können die Gesamtkosten eines Datenschutzverstoßes einen langen Schwanz haben. Im Juli 2019 stimmte das Kreditüberwachungsunternehmen zu, eine Entschädigung zwischen 575 und 700 Millionen US-Dollar zu zahlen, weil es "keine angemessenen Maßnahmen zur Sicherung seines Netzwerks" gegen die Datenexfiltration ergriffen hatte. Das Unternehmen war bereits vom Vereinigten Königreich zu einer Geldstrafe von rund 625.000 US-Dollar verurteilt worden - ein Betrag, der nach der noch nicht verabschiedeten EU-Datenschutzgrundverordnung (GDPR) noch viel höher ausgefallen wäre. Weitere Strafen folgten im Jahr 2020, darunter 7,75 Millionen Dollar für US-Finanzinstitute, 18,2 Millionen Dollar für den Staat Massachusetts und 19,5 Millionen Dollar für den Staat Indiana. Zu allem Übel drückten die Analysten der Wall Street die Bewertung des Unternehmens um 4 Milliarden Dollar nach unten. Das Unternehmen meldete schließlich 68,7 Mio. USD an nachträglichen Sicherheitskosten für 2019.

Gesetzliche Geldbußen tragen wesentlich zu den finanziellen Auswirkungen von Datendiebstahl, Datenexfiltration, laxem Datenschutz und anderen Cybersicherheitsfehlern bei. Für Verstöße gegen das US-Gesundheitsversicherungsgesetz (Health Insurance Portability and Accountability Act, HIPAA), das strenge Anforderungen an den Schutz von in elektronischer Form gespeicherten oder übertragenen Gesundheitsdaten stellt, hat das Office for Civil Rights des US-Gesundheitsministeriums seit 2003 Vergleiche oder Bußgelder in Höhe von insgesamt 133.519.272 US-Dollar erhalten. Allein im Jahr 2021 wurden 38 Unternehmen wegen Verstößen gegen die Datenschutzgrundverordnung (GDPR) mit Geldbußen in Höhe von insgesamt 9,6 Millionen Euro belegt. Auf staatlicher Ebene wurde Uber 2018 zu einer Geldstrafe in Höhe von 148 Millionen Dollar verurteilt, weil es versäumt hatte, eine Datenschutzverletzung aus dem Jahr 2016 offenzulegen, die 600.000 Fahrer- und 57 Millionen Nutzerkonten betraf.

Im Oktober 2022 erhöhte der australische Gesetzgeber die Anforderungen noch weiter, nachdem es zu einer Reihe von öffentlichkeitswirksamen Datenschutzverletzungen bei Energy Australia, Telstra, G4S, Costa Group, MyDeal und Dialog gekommen war; außerdem wurden sensible persönliche medizinische Daten aus einem Datendiebstahl bei der Krankenkasse Medibank Private im Internet veröffentlicht; und beim Telekommunikationsriesen Optus waren 10 Millionen Kunden betroffen - das sind etwa 40 Prozent der gesamten australischen Bevölkerung. Das kürzlich verabschiedete Datenschutzgesetz 2022 (Privacy Legislation Amendment (Enforcement and Other Measures) Bill) bestraft Unternehmen, die schwerwiegende oder wiederholte Datenschutzverletzungen zulassen, mit Strafen in Höhe von 50 Millionen Dollar oder mehr.

Cybersecurity-Tipps zum Schutz von Daten mit Zero Trust-Architektur und SSL-Sicherheit

Da die Bedrohung durch Datendiebstahl immer weiter zunimmt, ist eine Zero-Trust-Architektur zu einem Grundpfeiler der modernen Cybersicherheit geworden. Das Zero-Trust-Modell basiert unter anderem auf dem Prinzip der geringsten Privilegien und zielt darauf ab, die Datenzugriffsrechte auf das für die jeweilige Aufgabe des Benutzers erforderliche Minimum zu beschränken. Durch kontinuierliche Kontrollen im gesamten Netzwerk wird sichergestellt, dass nur authentifizierte und autorisierte Benutzer und Konten auf Datenbanken und andere Ressourcen zugreifen können. Mikrosegmentierung und Mikroperimeter im Netzwerk, umfassende Transparenz, Analyse und Automatisierung sowie gut integrierte Sicherheitslösungen tragen zur Vervollständigung des Modells bei.

Zero Trust-Architekturen können jedoch durch einen häufigen blinden Fleck untergraben werden: SSL-Sicherheit. Die überwiegende Mehrheit des Internetverkehrs wird heute verschlüsselt, um Daten zu schützen und Spoofing, Man-in-the-Middle-Angriffe und andere Angriffe zu verhindern. Während die Verschlüsselung die Daten vor den neugierigen Blicken von Cyberkriminellen schützt, gilt das Gleiche für Sicherheitsgeräte - sie sind nicht in der Lage, Malware, Ransomware oder Datenexfiltration im verschlüsselten Datenverkehr zu erkennen. Tatsächlich nutzten im Jahr 2021 bereits 46 Prozent der Malware-Angriffe Verschlüsselung als Teil ihrer Übertragungs- und Kommunikationsmechanismen. Aus diesem Grund muss eine Zero-Trust-Architektur SSL-Sicherheitstechnologien zur Entschlüsselung von ein- und ausgehendem TLS/SSL-Verkehr umfassen, um eine SSL-Prüfung durch Firewalls, Intrusion-Prevention-Systeme (IPS), Data Loss Prevention (DLP), Forensik, Advanced Threat Prevention (ATP) und andere Sicherheitstools zu ermöglichen und den Datenverkehr anschließend wieder zu verschlüsseln, damit er sein Ziel erreicht.

Wie kann A10 Networks helfen?

A10 Networks Thunder® SSLi hilft Unternehmen, den blinden Fleck in einer Zero-Trust-Architektur zu schließen, indem es vollständigen Einblick in den verschlüsselten Datenverkehr bietet, um eine SSL-Prüfung durch andere Sicherheitslösungen zu ermöglichen. Thunder® SSLi unterstützt die SSL-Sicherheit durch eine hocheffiziente, zentralisierte, dedizierte Entschlüsselungslösung. Thunder SSLi führt die Ent- und Verschlüsselung durch, ohne Latenzzeiten zu erhöhen, Engpässe zu schaffen oder die Betriebskosten und Komplexität des Netzwerks zu steigern.

Sichere Entschlüsselungszone

Thunder SSLi ermöglicht es Ihren vorhandenen Sicherheitsgeräten, verschlüsselten Datenverkehr mit optimaler Leistung, minimaler Latenz und fortschrittlichen Analysen zu prüfen und Ihren ROI zu maximieren.

Unternehmen wie T-Mobile und Equifax haben erst nach einem Datendiebstahl oder einer Datenexfiltration umfangreiche Investitionen in den Datenschutz getätigt. Es ist eindeutig an der Zeit, die Cybersicherheit zu verbessern, bevor es zu solchen Vorfällen kommt - wenn es noch nicht zu spät ist, um behördliche Bußgelder, Kundenklagen, fallende Aktienkurse und einen durch Nachlässigkeit im Umgang mit dem Kundendatenschutz geschädigten Ruf des Unternehmens zu vermeiden.

Verwandte Ressourcen

Teilen Sie diesen Beitrag:

Auf LinkedIn teilen
Kategorien:
Cyber-Sicherheit
Vorheriger Beitrag
Nächster Beitrag
A10 Personal
A10 Personal
|
Dezember 8, 2022

Weiterlesen

Verkehrsprüfung für mehr Cybersicherheit

Holen Sie sich den kostenlosen Bericht

Verwandte Ressourcen

  1. 2022 Ransomware-Angriffe und die Entwicklung der Datenexfiltration
  2. 10 Datenverstöße, die CISOs Albträume bereiten
  3. Twitch Hack, Datenexfiltration zeigt Twitch Creator Auszahlungen