Datenschutzverstoß? KMUs erleiden 40 Prozent geringeren Verlust durch proaktive Kommunikation

Organisationen, die schnell und transparent mit Datenpannen umgehen, erleiden sowohl wirtschaftlich als auch hinsichtlich ihrer Reputation weniger Schaden. Laut einem neuen Kaspersky-Bericht [1] nehmen kleine und mittelgroße Unternehmen (KMUs), die ihre Stakeholder und die Öffentlichkeit freiwillig über eine Datenschutzverletzung informieren, im Durchschnitt 40 Prozent weniger finanziellen Schaden als Firmen, bei denen entsprechende Informationen darüber ungeplant an die Medien durchdrangen. Die gleiche Tendenz ist auch bei größeren Unternehmen zu beobachten – mit 28 Prozent weniger Verlust.

Ein Versäumnis, die Öffentlichkeit rechtzeitig und angemessen über eine Datensicherheitsverletzung zu informieren, kann die finanziellen und rufschädigenden Folgen einer Datenpanne verschlimmern. Zu den bekanntesten Fällen gehört Yahoo! [2]. Das Unternehmen wurde mit einer Geldstrafe belegt und scharf kritisiert, weil es seine Investoren nicht über den Vorfall informiert hatte. Auch Uber musste wegen Vertuschung einer Kompromittierung eine Strafzahlung leisten [3].

Der Bericht von Kaspersky, der auf einer weltweiten Umfrage unter mehr als 5.200 IT- und Cybersicherheitsexperten basiert, zeigt: Unternehmen, die Verantwortung in solchen Situationen übernehmen und transparent agieren, mildern den Schaden für die eigene Firma. So werden die Kosten für KMUs, die eine Datenpanne offenlegen, auf 93.000 US-Dollar geschätzt, während Marktbegleiter, deren Vorfälle durch die Medien an die Öffentlichkeit gelangten, einen finanziellen Verlust von durchschnittlich 155.000 US-Dollar erlitten. Das Gleiche gilt für große Unternehmen – diejenigen, die freiwillig über einen Verstoß informierten, erlitten mit 1,134 Millionen US-Dollar einen geringeren finanziellen Schaden (28 Prozent) als Unternehmen, deren Vorfälle über andere Kanäle an die Presse durchsickerten. Bei Letzteren belief sich der finanzielle Verlust auf 1,583 Millionen Dollar [4].

46 Prozent agieren proaktiv – 24 Prozent verschleiern und finden sich in der Medienberichterstattung wieder

Generell haben laut der Kaspersky-Studie nur etwa die Hälfte (46 Prozent) der Unternehmen – egal welcher Größe – Datenschutzverletzung proaktiv aufgedeckt. Nahezu ein Drittel (30 Prozent) der Firmen zogen es vor, diese nicht offen zu legen. Fast ein Viertel (24 Prozent) versuchte einen solchen Vorfall zu verschleiern, mussten jedoch erleben, dass die entsprechenden Informationen an die Medien durchsickerten.

Die Umfrage zeigt darüber hinaus, dass die Risiken für diejenigen Unternehmen besonders hoch sind, die einen Angriff nicht sofort erkennen konnten – bei 29 Prozent der KMUs, die mehr als eine Woche benötigten, um eine Kompromittierung festzustellen, landete der Vorfall in den Medien. Bei Firmen, die eine Cyberattacke sofort registrierten, lag der Wert gerade einmal bei der Hälfte (15 Prozent). Bei größeren Unternehmen sind die Differenzen mit 32, beziehungsweise 19 Prozent ähnlich hoch.

„Eine proaktive Offenlegung von Datenschutzverletzungen kann dazu beitragen, die Dinge zu Gunsten des eignen Unternehmens zu wenden – und das geht über die finanziellen Auswirkungen hinaus. Wenn Kunden aus erster Hand wissen, was passiert ist, sind sie eher bereit, ihr Vertrauen in die Marke aufrechtzuerhalten. Außerdem kann das Unternehmen seinen Kunden Empfehlungen an die Hand geben, was sie als nächstes tun sollten, damit sie ihr Vermögenswerte und Assets schützen können. Das Unternehmen kann so seine Sicht der Dinge darlegen, indem es verlässliche und korrekte Informationen an die Medien weitergibt, anstatt dass sich Publikationen auf Drittquellen verlassen, die die Situation möglicherweise falsch darstellen.“, kommentiert Yana Shevchenko, Senior Product Marketing Manager bei Kaspersky.

Kaspersky-Tipps zur Vermeidung negativer Folgen durch Datensicherheitsverstöße

• Die Implementierung von EDR-Lösungen wie Kaspersky Endpoint Detection and Response [5] gewährleistet eine fortschrittliche Bedrohungserkennung, Untersuchung, proaktive Bedrohungsjagd und schnelle Reaktion auf Endpunktebene in Unternehmen. Kleinere Unternehmen mit begrenzten Fachkenntnissen im Bereich der Cybersicherheit profitieren von Kaspersky EDR Optimum [6], einer Lösung, die grundlegende EDR-Funktionen – einschließlich einer besseren Übersicht über die Endpunkte, einer vereinfachten Ursachenanalyse und einer automatisierten Reaktionsoption – bietet.
• Zusätzlich zum Endpoint-Schutz sollten Unternehmen eine Sicherheitslösung auf Unternehmensebene implementieren, die fortschrittliche Bedrohungen im Netzwerk erkennt und mit Bedrohungsinformationen wie der Kaspersky Anti Targeted Attack Platform [7] angereichert ist. Sie hilft beim Schutz vor professionellen Cyberkriminellen, die einen Multi-Vektor-Ansatz bevorzugen und oft verschiedene Techniken für einen zielgerichteten Angriff kombinieren.
• Um rechtzeitig auf einen Cyberangriff reagieren zu können, sollte ein internes Incident Response-Team als erste Reaktionslinie fungieren, das sich – im Falle komplexerer Vorfälle – an Experten von Drittanbietern [8] wendet.
• Einführung eines Cybersicherheits-Trainings [9] für die Belegschaft, um diese dafür zu sensibilisieren, Cybersicherheits-Vorfälle zu erkennen und ihr alle notwendigen Kenntnisse, wie mit solchen zu verfahren ist, an die Hand zu geben. Im Ernstfall soll hierbei sofort die IT-Sicherheitsabteilung des Unternehmens benachrichtigt werden.
• Durchführung spezieller Schulungen – etwa Kaspersky Incident Communications [10] – für alle Mitarbeiter, die mit den Folgen eines Datenverstoßes zu tun haben, einschließlich Kommunikationsspezialisten und dem Leiter der IT-Sicherheit.

[1] https://kas.pr/uv5c / “How Businesses can minimize the cost of a data breach“. Im Rahmen des Kaspersky Global Corporate IT Security Risks Survey (ITSRS) wurden im Juni 2020 insgesamt 5.266 IT-Entscheidungsträger in 31 Ländern befragt. Hierbei ging es insbesondere um den Stand der IT-Sicherheit in ihren Unternehmen, die Arten von Bedrohungen, denen sie ausgesetzt sind, sowie die Kosten, die im Nachgang solcher Attacken auflaufen.

[2] https://www.suedkurier.de/ueberregional/wirtschaft/Datenleck-bei-Yahoo-Warum-man-mit-Schwaechen-offen-umgehen-sollte;art416,8917616

[3] https://www.faz.net/aktuell/wirtschaft/uber-muss-wegen-verschwiegener-datenlecks-rekordstrafe-zahlen-15809871.html

[4] siehe Grafik https://box.kaspersky.com/f/6a048e4ba038419693a6/

[5] https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr

[6] https://www.kaspersky.de/enterprise-security/edr-security-software-solution

[7] https://www.kaspersky.com/enterprise-security/anti-targeted-attack-platform

[8] https://www.kaspersky.com/enterprise-security/incident-response

[9] https://www.kaspersky.de/enterprise-security/security-awareness

[10] https://www.kaspersky.com/enterprise-security/cyber-incident-response-communication

Nützliche Links:

• Kaspersky-Report „How businesses can minimize the cost of a data breach“: https://kas.pr/uv5c
• Kaspersky Endpoint Detection and Response: https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr
• Kaspersky EDR Optimum: https://www.kaspersky.de/enterprise-security/edr-security-software-solution

Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnder Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter https://www.kaspersky.de/