A Look at Data Breach Statistics in 2020

2020 hat sich aus allen Blickwinkeln als ein schwieriges Jahr erwiesen. Angesichts der Gesundheitskrise, die durch die COVID-19-Pandemie ausgelöst wurde, die die Weltwirtschaft in Mitleidenschaft zog und viele Sektoren lahmlegte, war Cybersicherheit vielleicht das Letzte, woran man dachte. Doch viele böswillige Akteure nutzten das Chaos, um Schaden anzurichten und von der Lockerung der Cybersicherheitsbemühungen zu profitieren. Infolgedessen war 2020 ein herausragendes Jahr für Datenschutzverletzungen und Geldbußen.

Die überstürzte Einführung weit verbreiteter Fernarbeitsrichtlinien in allen Wirtschaftszweigen hat große Lücken in der Cybersicherheit geschaffen, was zu einem Anstieg der Sicherheitsvorfälle führte. Laut der Studie des Cybersecurity-Unternehmens Malwarebytes‘ Enduring from Home: COVID-19’s Impact on Business Security“ wurde festgestellt, dass im Jahr 2020 fast 20 % der Cybersecurity-Vorfälle auf Remote-Mitarbeiter zurückzuführen sind. Von den Unternehmen, die auf die Umfrage geantwortet haben, mussten 24 % unerwartete Kosten in Kauf nehmen, die direkt mit Cyberangriffen und Sicherheitsverletzungen in Verbindung stehen, die durch die Arbeit von zu Hause aus entstanden sind.

Der Bericht zeigt auch einen besorgniserregenden Trend unter den Remote-Mitarbeitern, ihre persönlichen Geräte anstelle der vom Unternehmen zur Verfügung gestellten Geräte zu verwenden. 27,7 % der Befragten gaben an, dass sie ihre persönlichen Geräte häufiger nutzen als die von ihrem Arbeitsplatz zur Verfügung gestellten Geräte, und weitere 31,2 % gaben zu, dass sie manchmal persönliche Geräte für die Arbeit verwenden. Nur 39,1 % der Befragten gaben an, dass sie für ihre Arbeit ausschließlich die vom Arbeitsplatz zur Verfügung gestellten Geräte verwenden.

Die größten Bedenken der Unternehmen in Bezug auf die Fernarbeit betrafen die Tatsache, dass die Geräte zu Hause stärker gefährdet sind und Unbefugte darauf zugreifen können, die Schwierigkeiten bei der Verwaltung von Geräten, die für die Fernarbeit verwendet werden, die Schatten-IT und die geringere Effizienz des IT-Supports, der aus der Ferne geleistet wird. All dies in einer Situation, in der nur 61 % der Unternehmen ihren Mitarbeitern Arbeitsgeräte zur Verfügung stellen und 45 % keine Sicherheits- und Online-Datenschutzanalysen der Software-Tools durchführen, die sie für die Umstellung auf die Arbeit von zu Hause aus einsetzen.

Hauptursachen von Datenschutzverletzungen

Nach dem Bericht „Cost of a Data Breach 2020“ von IBM und dem Ponemon Institute, in dem 3200 Personen befragt wurden, die für 524 Unternehmen in 17 Ländern und Regionen arbeiten, wurden 52 % aller Datenschutzverletzungen durch böswillige Außenstehende, weitere 25 % durch Systemfehler und 23 % durch menschliches Versagen verursacht. Persönlich identifizierbare Kundeninformationen (PII), die 80 % aller Datenschutzverletzungen ausmachten, waren die am häufigsten verloren gegangenen oder gestohlenen Daten. Dies ist kaum überraschend, da personenbezogene Daten aufgrund ihrer Sensibilität die wertvollste Art von Daten sind. Infolgedessen sind sie auch die Datenart, die am häufigsten durch Datenschutzbestimmungen geschützt wird.

Für 19 % der böswilligen Datenverletzungen waren kompromittierte Anmeldeinformationen und eine falsche Cloud-Konfiguration verantwortlich, weitere 16 % entfielen auf Schwachstellen in der Software Dritter. Menschliches Versagen war auch nicht die einzige Art und Weise, wie Mitarbeiter zu Datenschutzverletzungen beitrugen. Böswillige Insider waren die Ursache für 7 % der Datenschutzverletzungen, weitere 17 % entfielen auf Social-Engineering- und Phishing-Angriffe, die direkt auf Mitarbeiter abzielten.

Auch die Nachlässigkeit der Mitarbeiter war in einigen Branchen größer als in anderen. An der Spitze der Liste steht die Unterhaltungsbranche, in der 34 % aller Datenschutzverletzungen durch unvorsichtige Mitarbeiter verursacht wurden, gefolgt von der öffentlichen Verwaltung und dem Konsumgütersektor, wo menschliches Versagen für 28 % der Datenschutzverletzungen verantwortlich war. Im Gesundheitswesen war die Nachlässigkeit von Mitarbeitern trotz strenger Vorschriften für 27 % aller Datenschutzverletzungen verantwortlich. Am anderen Ende des Spektrums, im Transportwesen, wurden nur 13 % der Datenschutzverletzungen durch menschliches Versagen verursacht, während im Einzelhandel und in der Technik 17 % auf menschliches Versagen zurückzuführen waren.

GDPR-Bußgelder steigen weiter

Während die Durchsetzung einiger Datenschutzvorschriften, wie z. B. HIPAA in den USA, aufgrund der Pandemie gelockert wurde, haben die europäischen Datenschutzbehörden ihre Arbeit ungehindert fortgesetzt. Dieses Jahr brachte eine Reihe von Rekordbußgeldern wegen Nichteinhaltung der Allgemeinen Datenschutzverordnung der EU. Bislang wurden in diesem Jahr 281 Bußgelder in Höhe von über 162 Mio. EUR verhängt.

Google war am stärksten betroffen, da sein Einspruch gegen die von der französischen Datenschutzbehörde CNIL verhängte Geldbuße in Höhe von 50 Mio. EUR vom höchsten Gericht des Landes abgewiesen wurde und die schwedische Datenschutzbehörde dem Tech-Giganten eine weitere Geldbuße in Höhe von 7 Mio. EUR auferlegte, weil er das Recht des Einzelnen auf Vergessenwerden nicht beachtet hatte.

Im Oktober 2020 verhängte die Hamburger Datenschutzbehörde gegen den Bekleidungshändler H&M die zweithöchste jemals verhängte Geldbuße in Höhe von rund 35 Mio. EUR, weil er Besprechungen mit Mitarbeitern aufgezeichnet hatte, bei denen sensible Informationen offengelegt wurden, und diese dann intern an Führungskräfte weitergegeben hatte.

British Airways wurde mit einer Geldbuße in Höhe von 22 Mio. EUR belegt, weil es aufgrund unzureichender Cybersicherheitsmaßnahmen versäumt hatte, eine Datenschutzverletzung zu verhindern, von der 400.000 Kunden betroffen waren. Marriott wurde zu einer Geldstrafe in Höhe von 20,4 Mio. Euro verurteilt, weil das Unternehmen nach der Übernahme der Starwood-Gruppe, die die Ursache für den Vorfall war, nicht mit der gebotenen Sorgfalt vorgegangen war.

Fazit

Da die Unternehmen mit den Schwierigkeiten konfrontiert sind, die die COVID-19-Pandemie mit sich bringt, dürfen sie die Cybersicherheit nicht vernachlässigen. Böswillige Akteure sind immer auf der Suche nach Gelegenheiten, davon zu profitieren, und das war auch in diesem Jahr nicht anders. Gleichzeitig haben sich die Datenschutzbehörden aufgrund der aktuellen Umstände zwar nachsichtiger gezeigt, aber auch nicht davor zurückgeschreckt, empfindliche Strafen zu verhängen, wenn eine grobe Vernachlässigung der Datenschutzanforderungen festgestellt wurde.

All dies zeigt, dass die Cybersicherheit, die noch vor einigen Jahren von vielen Unternehmen als nachrangig betrachtet wurde, heute ein entscheidender Bestandteil des Geschäftsbetriebs ist und es nicht mehr akzeptabel sein wird, sie zu vernachlässigen.