Das kostet ein Data Breach 2025

Laut dem aktuellen „Cost of a Data Breach“- Report von IBM sind die Kosten einer Datenpanne in Deutschland auf 3,87 Millionen Euro (ca. 4,03 Millionen Dollar) pro Vorfall gesunken – im Vorjahr lagen sie noch bei 4,9 Millionen Euro (ca. 5,31 Millionen Dollar). Auch weltweit sank der Durchschnittswert auf 4,44 Millionen Dollar pro Vorfall – und damit um neun Prozent. Die Breach-Kosten sind damit erstmals seit fünf Jahren rückläufig. Die Ergebnisse der Studie von IBM und dem Ponemon Institute basieren auf einer Analyse von 600 Breaches bei Organisationen auf der ganzen Welt.

Dem Report zufolge geht dieser Kostentrückgang darauf zurück, dass Datenschutzverletzungen mittlerweile schneller identifiziert und eingedämmt werden.

Die wesentlichen Ergebnisse im Überblick:

Die durchschnittliche Zeit, bis eine Verletzung entdeckt und eingedämmt wird (einschließlich der Wiederherstellung der Dienste) sank auf 241 Tage, was einer Verringerung um 17 Tage gegenüber dem Bericht von 2024 entspricht.

Phishing-Angriffe waren mit 16 Prozent die am häufigsten gemeldete Ursache für Datenverletzungen. Kompromittierungen in der Lieferkette stiegen zum zweit häufigsten Angriffsvektor (15 Prozent) auf und überholten damit kompromittierte Anmeldedaten.

Eric O’Neill, ehemaliger FBI-Mitarbeiter und jetzt nationaler Sicherheitsstratege bei NeXasure.ai, erklärt gegenüber CSO, dass es schwierig sei, mehr als eine fundierte Schätzung der Kosten von Datenschutzverletzungen abzugeben.

„Die Variablen – Umfang der Datenschutzverletzung, Rechtsstreitigkeiten, Abhilfemaßnahmen, Betriebsunterbrechungen, Reputationsschäden und regulatorische Strafen – sind zu zahlreich und unvorhersehbar, um genaue Berechnungen anzustellen“, erklärt O’Neill. „Die Zahlen von IBM sind zwar wertvoll, um Trends zu erkennen. Aber es sind immer noch eher Schätzungen als exakte Messungen.“

Regionale Kosten

Trotz des globalen Rückgangs zeigt sich in den USA ein anderer Trend: Die geschätzten Kosten stiegen bis 2025 auf 10,22 Millionen Dollar, was einem Anstieg von 9 Prozent gegenüber den Schätzungen für 2024 entspricht. Dieser Anstieg ist laut der IBM- Studie zum Teil auf strengere regulatorische Strafen und steigende Kosten für die Erkennung zurückzuführen.

Der Nahe Osten, der für den Bericht Saudi-Arabien und die Vereinigten Arabischen Emirate berücksichtigt hat, lag mit 7,29 Millionen US-Dollar auf Platz 2 der 16 untersuchten Länder und Regionen.

Kanada (4,84 Millionen US-Dollar) und Großbritannien (4,14 Millionen Dollar) bleiben unter den Top 10 der am stärksten betroffenen Länder, während die ASEAN-Staaten (3,67 Millionen US-Dollar), Australien (2,55 Millionen US-Dollar) und Indien (2,51 Millionen US-Dollar) unter den Top 15 zu finden sind. 

Breaches nach Branchen

Das Gesundheitswesen ist mit 7,42 Millionen Dollar nach wie vor die Branche mit den mit Abstand höchsten Kosten pro Verstoß, trotz eines Rückgangs gegenüber dem Vorjahreswert von 9,77 Millionen Dollar.

Angreifer schätzen weiterhin die personenbezogenen Daten (PII) von Patienten und nehmen diese ins Visier, da sie für Identitätsdiebstahl, Versicherungsbetrug und andere Finanzdelikte verwendet werden können. Verstöße im Gesundheitswesen dauerten mit 279 Tagen am längsten, bis sie entdeckt und eingedämmt wurden – mehr als fünf Wochen länger als im globalen Durchschnitt.

Die weltweit durchschnittlichen Kosten pro Verstoß, geordnet nach Branche:

Kostenintensive Reputationsschäden

Reputationsschäden sind in vielerlei Hinsicht nicht messbar und gehören nach wie vor zu den größten Kostenfaktoren nach einer Datenschutzverletzung, erklärt Allie Mellen, Senior Analyst bei Forrester: „Letztendlich ist das Vertrauen der Kunden sehr leicht zu zerstören und sehr schwer wieder aufzubauen.“

Bob Dutile, Chief Commercial Officer bei UST, stimmt zu: „Die Kosten einer Datenschutzverletzung machen sich in der Regel in relativen Wettbewerbsveränderungen am Markt bemerkbar. Unternehmen stellen fest, dass ihre Marke nicht mehr denselben Preisaufschlag erzielen kann, die Kosten für die Kundengewinnung steigen und Marktanteile gehen verloren. Bei börsennotierten Unternehmen spiegelt sich die kurzfristige Einschätzung der Kostenauswirkungen in der Aktienkursentwicklung wider.“

Wie ein Unternehmen auf eine Datenschutzverletzung reagiert und darüber kommuniziert, kann großen Einfluss auf die Reputation nehmen, wie Forrester-Analystin Mellen feststellt: „Es gibt Möglichkeiten, das Vertrauen von Verbrauchern und Kunden zu erhalten, insbesondere durch Transparenz und Empathie. Wenn Sie versuchen, die Sache unter den Teppich zu kehren oder zu verheimlichen, wird das das Vertrauen weitaus stärker beeinträchtigen als die Datenschutzverletzung selbst.“

Ausfallkosten können in die Millionen gehen

Betriebsausfälle nach einem IT-Sicherheitsvorfall können je nach Ausmaß und Dauer der Ausfallzeit und der Technologieabhängigkeit des Unternehmens erhebliche Kosten verursachen. Fast alle in der Studie untersuchten Unternehmen litten unter Betriebsunterbrechungen, die durchschnittlich 100 Tage dauereten.

 „Oftmals führt eine Sicherheitsverletzung nicht dazu, dass ein Unternehmen komplett offline geht, aber auch das kann passieren. Je mehr kritische Systeme ausfallen, desto höher sind die Kosten“, erklärt Jason Hicks, Field CISO bei Coalfire.

Die Fertigungsindustrie verfüge in dieser Hinsicht tendenziell über die besten Messgrößen, da die Kosten pro Minute bei einem Ausfall einer Fertigungsstraße relativ einfach zu berechnen seien, so der Sicherheitsexperte. Er fügt hinzu: „Win großes Fertigungsunternehmen kann das täglich Millionen kosten. In anderen Branchen ist dies schwieriger zu beziffern. Aber es gibt Modelle, mit denen sich ein realistischer Wert für jede Branche ermitteln lässt.“

Regulierung und Rechtsstreitigkeiten erhöhen die Kosten

Aufgrund immer strengerer Datenschutzgesetze drohen Unternehmen bei Verstößen hohe Geldstrafen, Vergleichszahlungen und sonstige, juristische Kosten.

Laut dem IBM-Bericht musste ein Drittel der Unternehmen aufgrund von Verstößen gegen Vorschriften Geldstrafen bezahlen. US-Unternehmen zahlten hierbei die höchsten Strafen, was die Gesamtkosten für Verstöße in die Höhe trieb.

„Regulierte Branchen leiden nicht nur unter den unmittelbaren Kosten für die Reaktion auf Schwachstellen, , sondern auch unter den langfristigen Auswirkungen zusätzlicher Strafen durch ihre Aufsichtsbehörden und gerichtlicher Vergleiche“, führt Nick Stark von Guidehouse aus. „Was die Kosten pro Datenschutzverletzung angeht, liegen regulierte Branchen wie Gesundheitswesen und Finanzdienstleistung in der Regel an erster und zweiter Stelle. Sie müssen höhere Strafen für Verstöße zahlen.“

„Die Untersuchung und Entscheidung dauern oft Jahre, bis das betroffene Unternehmen eine finanzielle Einigung mit den betroffenen Parteien erzielen kann.“ Rechtskosten seien laut Stark einer der größten Ausgabenposten für Unternehmen bei Datenschutzverletzungen. „Unternehmen verfügen selten über die erforderlichen Rechts- und Datenschutzkenntnisse im eigenen Haus. Um die Vorschriften einzuhalten, müssen sie externe Berater beauftragen, die die Meldung leiten.“

Die Rolle der Cyberversicherung

Cyberversicherungen sind eine Möglichkeit für Unternehmen, die finanziellen Risiken von Datenschutzverletzungen zu mindern. Der starke Anstieg der Prämien für Cyberversicherungen hat sich in letzter Zeit stabilisiert, aber selbst Unternehmen, die versichert sind, müssen nach einer Datenschutzverletzung mit zusätzlichen Kosten rechnen. Ein deutlicher Kostenfaktor wird laut dem Guidehouse-Experten die Erhöhung der Prämien sein.

„Einige Unternehmen berichten von Prämienerhöhungen von etwa 200 Prozent nach einer Sicherheitsverletzung“, so Stark.

Versicherer führen außerdem mehr Deckungsbeschränkungen ein, was bedeutet, dass Unternehmen selbst mit einer Police für bestimmte Kosten im Zusammenhang mit Sicherheitsverletzungen finanziell haftbar sein können.

Tatsächlich hält Mellen die Vorstellung, dass Policen Unternehmen eine vollständige, finanzielle Erholung nach einem Cyberangriff ermöglichen, für töricht. „In der Realität werden damit nicht alle Kosten im Zusammenhang mit Cyberangriffen jeglicher Art gedeckt. In unserer Erfahrung decken einige Versicherer derzeit nicht einmal Ransomware im Rahmen ihrer Leistungen ab“,

„Ein weiterer zu berücksichtigender Faktor ist, dass Cyberversicherungsanbieter in der Regel über eine Liste zugelassener Dienstleister wie Anwälte und Forensikunternehmen verfügen“, ergänzt Hicks.

Wenn der bevorzugter Anbieter nicht auf dieser Liste steht, müssten Unternehmen wechseln. . „Dies kann kostspielig[FM5]  sein, da Unternehmen häufig ihre bestehenden Dienstleister nutzen, um Rabatte zu erzielen“, sagt Hicks.

Im vergangenen Jahr weigerten sich mehr Unternehmen (63 Prozent) als im Vorjahr (59 Prozent) Lösegeld zu zahlen. Die durchschnittlichen Kosten eines Ransomware-Vorfalls wurden in der Studie jedoch weiterhin auf 5,08 Millionen Dollar geschätzt.

Zudem meldeten weniger Ransomware-Opfer ihre Angriffe den Strafverfolgungsbehörden – 40 Prozent der Unternehmen in diesem Jahr taten dies gegenüber 53 Prozent im Vorjahr.[FM6] 

Fachkräftemangel treibt Breach-Kosten

Der Mangel an Fachkräften im Bereich Cybersicherheit stellt die Branche seit Jahren vor Herausforderungen. Der diesjährige Bericht ergab, dass 48Prozent der Unternehmen einen hohen Mangel an Sicherheitskenntnissen hatten, gegenüber 53 Prozentim Vorjahr.

Laut dem aktuellen Bericht von IBM ist der Mangel an Sicherheitskenntnissen einer der größten Kostenverstärker bei Datenverletzungen. Die durchschnittlichen zusätzlichen Kosten für Datenverletzungen liegen deshalb bei 1,57 Millionen Dollar.

Wenn unzureichendes Sicherheitspersonal mit höheren Kosten für Datenverletzungen einhergeht, sollten Unternehmen Mellens Warnung vor den Auswirkungen einer schlecht gehandhabten Datenverletzung auf die Mitarbeiter beachten.

Laut dem Bericht war die Einführung eines DevSecOps-Ansatzes für die Softwareentwicklung der wichtigste Faktor zur Senkung der Kosten für Datenschutzverletzungen, noch vor dem Einsatz von KI und Machine Learning. Die Nutzung einer SIEM-Plattform (Security Information and Event Management) zur Erkennung und Reaktion auf Bedrohungen rundete die Top 3 der wichtigsten Faktoren ab.

Jedes fünfte Unternehmen (20 Prozent) gab an, dass es aufgrund von Sicherheitsvorfällen im Zusammenhang mit der v nicht genehmigten Nutzung von KI-Tools[FM7]  eine Sicherheitsverletzung erlitten hat. Laut dem Bericht entwickelt sich versteckte KI zu einem Faktor, der neben Sicherheitsverletzungen in der Lieferkette und der Komplexität von Sicherheitssystemen zu den Hauptursachen für steigende Kosten durch Sicherheitsverletzungen zählt.

KI und Automatisierung

Angesichts des Personal- und Fachkräftemangels setzen CISOs zunehmend auf KI und Automatisierung, um diese Lücke zu schließen.

Laut dem aktuellen Bericht von IBM beliefen sich die durchschnittlichen Kosteneinsparungen pro Sicherheitsverletzung für Unternehmen, die KI- und Automatisierungstools für die Sicherheit einsetzen, auf 2,22 Millionen Dollar, gegenüber 1,76 Millionen Dollar im Jahr 2023.

KI kann riesige Datenmengen in Echtzeit durchsuchen, verdächtiges Verhalten melden und sogar sofort Maßnahmen zur Eindämmung ergreifen – oft bevor ein menschlicher Analyst reagieren kann.

„Das ist der Unterschied zwischen einer Reaktion innerhalb von Stunden und einer Reaktion innerhalb von Tagen, was zu geringeren Kosten führt“, sagt Craig Watt, Threat Intelligence Analyst bei Quorum Cyber. „Aber KI kann Sicherheitsverletzungen immer noch nicht vollständig verhindern.“

Watt fügt hinzu: „Automatisierung kann zwar Zeit gewinnen, aber sie verhindert noch nicht die weitreichenden finanziellen Folgen.“

Ensar Seker, CISO beim Anbieter von Bedrohungsinformationsplattformen SOCRadar, stimmt zu, dass Sicherheits-KI und Automatisierung die Reaktionszeiten bei Sicherheitsverletzungen effektiv verkürzen können.

KI-bezogene Sicherheitsverletzungen

Sicherheitsvorfälle, die die KI-Infrastruktur eines Unternehmens betreffen, sind bislang noch begrenzt. Im Durchschnitt meldeten 13 Prozent der Unternehmen Sicherheitsverletzungen, die ihre KI-Modelle oder -Anwendungen betrafen. Aber unter den Unternehmen, die einen KI-bezogenen Sicherheitsvorfall erlebt haben, fehlten fast allen (97 Prozent) angemessene KI-Zugriffskontrollen.

Die häufigsten dieser Sicherheitsvorfälle ereigneten sich in der KI-Lieferkette durch kompromittierte Apps, APIs oder Plug-ins. Diese Vorfälle hatten manchmal einen Dominoeffekt: Sie führten zu einer umfassenderen Kompromittierung von Daten (in 60 Prozent der Fälle) und zu Betriebsunterbrechungen (31 Prozent).

Vorbereitung ist der Schlüssel zum Management der Kosten von Datenverletzungen

Die Zahl Unternehmen, die nach einer Verletzung in Sicherheit investieren wollen, ist weltweit deutlich zurückgegangen (49 Prozent im Jahr 2025 gegenüber 63 Prozent im Jahr 2024). Weniger als die Hälfte davon werden sich auf KI-gesteuerte Sicherheitslösungen oder -dienste konzentrieren.

Unabhängig von den konkreten Kosten sind sich die Experten einig, dass Vorbereitung der Schlüssel zur Minderung der finanziellen Auswirkungen einer Verletzung ist.

„Eine schnellere Reaktion auf Vorfälle ist nach wie vor ein klarer Faktor für die Senkung der Kosten einer Verletzung“, sagt Dutile von UST. „Die schlimmsten Verluste sind diejenigen, die lange Zeit unentdeckt bleiben oder nur langsam oder ineffektiv bekämpft werden.“

Moderne Cybersicherheit erfordert eine Denkweise, die davon ausgeht, dass es irgendwann zu einer erfolgreichen Datenverletzung kommen wird, fügt Mellen von Forrester hinzu.

„Unter diesen Bedingungen müssen Unternehmen herausfinden, wie sie damit umgehen wollen, und ihre Widerstandsfähigkeit aufbauen, um besser und schneller reagieren zu können“ Dabei gehe es nicht nur um die Sicherheitsfunktion, sondern um die gesamte Organisation, einschließlich der Marketing- und Vertriebsabteilungen. „Ein Unternehmen muss seinen Kunden zeigen, dass Probleme so schnell und effektiv wie möglich beheben will“, fordert die Forrester-Expertin. (jm)