Wenn Sie das lesen IBM: Kosten einer Datenschutzverletzung 2025 und wenn Sie denken, dass „4,4 Millionen $ für die durchschnittlichen Kosten einer Datenschutzverletzung ziemlich niedrig erscheinen“, irren Sie sich nicht.
Vielleicht erinnern Sie sich an die Schlagzeilen, in denen über die Kosten des Change Healthcare-Verstoßes berichtet wurde über zwei Milliarden Dollar, oder Equifax Einigung mit der FTC über 575 Millionen $.
Vielleicht haben Sie diese Fälle mit Ihrem Vorstand besprochen.
Und jetzt sind die neuen Durchschnittskosten um eine Größenordnung niedriger?
Die IBM-Nummer ist nicht falsch, aber sie gibt Ihnen nicht das vollständige Bild.
Die gefährliche Einschränkung des IBM Cost of a Data Breach Reports
Sie müssen Seite 57* des Berichts über die Kosten einer Datenschutzverletzung aufrufen, um den wichtigsten und meiner Meinung nach gefährlichsten Vorbehalt im FAQ-Bereich zu sehen:
Können die durchschnittlichen Kosten pro Datensatz verwendet werden, um die Kosten von Sicherheitsverletzungen zu berechnen, bei denen Millionen von verlorenen oder gestohlenen Datensätzen betroffen sind?
Es steht nicht im Einklang mit dieser Studie, die Gesamtkosten pro Datensatz als Grundlage für die Berechnung der Kosten einzelner oder mehrerer Sicherheitsverletzungen mit insgesamt Millionen von Datensätzen zu verwenden. Die Kosten pro Datensatz ergeben sich aus unserer Studie über Hunderte von Datenschutzverletzungen, bei denen jedes Ereignis maximal 113.000 kompromittierte Datensätze aufwies.
Die durchschnittlichen Kosten von IBM basieren auf einem Maximum von etwas mehr als einhunderttausend Datensätzen, die verletzt werden.
In den durchschnittlichen Kosten einer Datenschutzverletzung von IBM sind Megaverletzungen nicht enthalten
Alle im Jahr 2024 gemeldeten Mega-Verstöße, die zweifellos die Aufmerksamkeit der Vorstände auf sich gezogen haben, sind nicht in den IBM Cost of a Data Breach enthalten
- Change Healthcare (über 100 Millionen Datensätze) - NICHT ENTHALTEN
- Dell (49 Millionen Datensätze) — NICHT IM LIEFERUMFANG ENTHALTEN
- Ticketmaster (40 Millionen Datensätze) - NICHT ENTHALTEN
Die durchschnittlichen Kosten einer Datenschutzverletzung durch IBM bieten einen niedrigen Ankerpunkt.
Der IBM-Bericht und die durchschnittlichen Kosten einer Datenschutzverletzung sind eine der am häufigsten zitierten Zahlen im Bereich Cybersicherheit.
Die Schlagzeile wird in Artikeln häufig zusammen mit Beispielen für Mega-Verstöße zitiert, ohne klarzustellen, dass alle Mega-Verstöße in dem Artikel den Rahmen der Durchschnittskosten im IBM-Bericht sprengen.
Wenn man weiß, dass große Sicherheitslücken diese durchschnittlichen Kosten um eine Größenordnung übersteigen können, bedeutet das, dass die oft zitierten Durchschnittskosten von 4,4 Millionen $ zu einer gefährlichen Verankerung führen können, wenn es um quantifizierte Cyberrisiken geht.
Wenn Sie die durchschnittlichen Kosten einer Datenschutzverletzung von IBM verwenden, könnten Sie die Kosten einer Datenschutzverletzung massiv unterschätzen.
Nun könnte man argumentieren, dass es sich bei diesen Mega-Verstößen um Ausreißer handelt, die zu Recht von den Durchschnittskosten ausgeschlossen sind.
Ich würde argumentieren, dass es wichtig ist, die Wahrscheinlichkeit solch großer Verluste zu verstehen; obwohl es relativ unwahrscheinlich ist, ist es dennoch wichtig, dass Unternehmen diese Risiken verstehen und entscheiden, wie sie mit ihnen umgehen wollen.
Wenn Sie den Wert von 4,4 Mio. USD als Durchschnittskosten für Ihre Risikoberechnungen verwenden, unterschätzen Sie möglicherweise die Kosten eines Worst-Case-Szenarios massiv. Vor allem, wenn Sie mehr als 100.000 Datensätze haben.
Wenn diese Zahl in Ihren Diskussionen im Vorstandssaal auftaucht, sind Sie jetzt bereit, die Leute daran zu erinnern, dass bei diesen Durchschnittskosten nur Verstöße mit bis zu hunderttausend Datensätzen berücksichtigt werden.
Wie Squalify Ihnen helfen kann, die vollen Kosten einer potenziellen Datenschutzverletzung zu erkennen
Die Squalify Cyber Risk Quantification Platform bietet Ihnen die Tools, die Sie benötigen, um die potenziellen Kosten von Cybersicherheitsvorfällen schnell und einfach zu berechnen.
Zusätzlich zu den Kosten eines durchschnittlichen Verstoßes modellieren wir auch die Kosten großer Verstöße und deren Wahrscheinlichkeit. Dies ermöglicht es Entscheidungsträgern, das Gesamtbild zu sehen und datengestützte Entscheidungen für das Cyberrisikomanagement zu treffen.
Um mehr über den Ansatz zu erfahren, schauen Sie sich unsere Whitepaper zur Quantifizierung von Cyberrisiken von oben nach unten.
*Hinweis: Die maximale Größe der Verstöße in Bezug auf den Umfang ist in der Zusammenfassung enthalten, die Auswirkungen werden jedoch erst am Ende des Berichts dargelegt.
