Das Neueste IBM-Bericht zu den Kosten einer Datenschutzverletzung ist da: Es zeichnet ein klares Bild davon, wo die Risiken liegen, was die Kosten in die Höhe treibt und welche Investitionen sich tatsächlich auszahlen. Für Sicherheitsverantwortliche ist es Maßstab, Warnung und Handlungshilfe zugleich – mit Hinweisen darauf, worauf man sich konzentrieren, was behoben werden muss und wie man es vermeidet, die nächste Schlagzeile zu machen.
PII ist immer noch das Kronjuwel für Angreifer
Persönliche Kundendaten sind nach wie vor das am häufigsten betroffene und teuerste Gut bei einem Datendiebstahl. Mehr als die Hälfte aller Datendiebstahls Kunden-PIIund bei Vorfällen mit Schatten-KI Die Zahl stieg auf 65 Prozent. Die Kosten pro kompromittiertem Kundendatensatz belaufen sich weltweit auf 14 Milliarden 160 und bei Shadow-AI-Vorfällen auf 14 Milliarden 166. Das bedeutet, dass die Offenlegung von 50.000 Datensätzen leicht 14 Milliarden 8 Millionen direkte Verluste übersteigen kann, ohne Bußgelder, Kundenabwanderung und Reputationsschäden einzubeziehen. Für jedes Unternehmen kann ein einziger offengelegter Datensatz Millionenverluste, Bußgelder und Reputationsschäden bedeuten.
Die Lektion ist einfach. Wenn Sie nicht sehen können, wo sich Ihre sensiblen Daten befinden, können Sie sie nicht schützen. Das ist, wo identitätsbewusste Erkennung, Klassifizierungund Zugangskontrollen nicht verhandelbar geworden.
Schatten-KI ist nicht nur ein Sicherheitsproblem, sondern auch ein Kostenproblem
Jedes fünfte Unternehmen war in diesem Jahr von einem Datenleck betroffen, das auf Schatten-KI zurückzuführen ist. Diese Vorfälle verursachen durchschnittlich zusätzliche Kosten in Höhe von 420.000 TP4 Billionen US-Dollar, in Umgebungen mit hoher Auslastung sogar bis zu 670.000 TP4 Billionen US-Dollar. Die Erkennung dauert länger, es sind mehr personenbezogene Daten und geistiges Eigentum betroffen, und es kommt zu späteren Betriebsunterbrechungen.
In vielen Fällen verwendeten Mitarbeiter nicht genehmigte KI-Tools, die ohne das Wissen oder die Genehmigung der Sicherheitsteams mit sensiblen Daten umgingen.
Vorfälle mit Schatten-KI hatten zudem ein längeres Erkennungsfenster und betrafen häufiger sowohl persönliche als auch geistige Eigentumsdaten. Schatten-KI lediglich als Richtlinienverstoß zu behandeln, reicht nicht aus. Schatten-KI ist nicht nur ein Compliance-Problem. Sie ist eine unüberwachte Angriffsfläche mit Kosten. Erkennung, Governance und automatisierte Kontrollen sind unerlässlich.
- 20% der Organisationen hatten einen Verstoß im Zusammenhang mit Schatten-KI
- + $200K zu den globalen durchschnittlichen Kosten für Sicherheitsverletzungen durch Schatten-KI-Vorfälle hinzugefügt
- + $670K für Organisationen mit hoher Shadow-AI-Nutzung
- 65% der Verstöße gegen Schatten-KI betrafen personenbezogene Daten von Kunden
- 40% befasste sich mit geistigem Eigentum
- Die Erkennungs- und Eindämmungszeiten sind eine Woche länger als der globale Durchschnitt
Die Einführung von KI übertrifft die KI-Governance
63 Prozent der betroffenen Organisationen hatten keine KI-Governance-Richtlinie vorhanden. Unter den Unternehmen, die dies taten, verfügte weniger als die Hälfte über einen formellen Genehmigungsprozess für KI-Einsätze, und nur ein Drittel führte regelmäßige Audits für nicht genehmigte KI durch. 97 Prozent der KI-bezogene Verstöße beteiligte Systeme ohne ordnungsgemäße Zugriffskontrollen.
Diese Governance-Lücke ist laut Bericht eines der am leichtesten zu behebenden Risiken. Sicherheits- und Compliance-Teams müssen zusammenarbeiten, um ein einheitliches Inventar der KI-Systeme zu erstellen, Zugriffsrichtlinien durchzusetzen und kontinuierlich auf betrügerische Bereitstellungen zu achten.
KI-Zugriffskontrollen sind das schwache Glied
-
97% der KI-bezogenen Sicherheitsverletzungen betrafen Systeme ohne angemessene KI-Zugriffskontrollen
-
31% der autorisierten KI-Sicherheitsvorfälle führten zu unbefugtem Zugriff auf sensible Daten
-
29% führte zu einem Verlust der Datenintegrität
-
23% verursachte direkte finanzielle Verluste
KI-Modelle greifen unkontrolliert auf kritische und regulierte Daten zu. Jeder dieser Fälle ist mit Kosten verbunden, die nur darauf warten, zu entstehen.
KI in der Sicherheit ist ein bewährter Kostensenker
Unternehmen, die KI und Automatisierung über den gesamten Sicherheitslebenszyklus hinweg umfassend nutzen, konnten ihre Kosten für Sicherheitsverletzungen durchschnittlich um 1,9 Millionen Dollar senken und die Reaktionszeit bei Vorfällen um 80 Tage verkürzen. Dennoch berichten nur 32 Prozent von einer umfassenden Nutzung, und die Akzeptanzraten haben sich im Vergleich zum Vorjahr kaum verändert.
KI in der Sicherheit ist nicht nur ein Kraftmultiplikator für überlastete Teams, sondern auch eine direkte Kostenersparnis. Von der automatisierten Klassifizierung bis hin zur schnelleren Untersuchung und Sanierung, die Kapitalrendite ist nachgewiesen.
Sicherheitsverletzungen in mehreren Umgebungen verursachen höhere Kosten
Dreißig Prozent der Sicherheitsverletzungen betrafen über mehrere Umgebungen verteilte Daten. Die Kosten beliefen sich durchschnittlich auf 145,05 Milliarden TP4 und die Eindämmung dauerte 276 Tage – die längste Zeit aller Sicherheitsverletzungen. Ohne einheitliche Transparenz und Kontrollen werden hybride Umgebungen zu einer Belastung.
Sicherheitstransparenz, die sich auf eine einzelne Umgebung beschränkt, reicht nicht mehr aus. Moderne Daten befinden sich in öffentlichen und privaten Clouds sowie in lokalen Systemen, und Sicherheitsverletzungen überwinden diese Grenzen problemlos. Sicherheitskontrollen und Erkennungstools müssen dies ebenfalls leisten können.
Branchentrends: Wo am meisten auf dem Spiel steht
Gesundheitswesen Mit durchschnittlich 7,42 Millionen Dollar bleibt der Sektor mit den höchsten Datenschutzverletzungen der teuerste. Finanziell Auch Industrieunternehmen liegen deutlich über dem weltweiten Durchschnitt. Für diese Branchen bedeutet die Kombination aus regulatorischen Auflagen, sensiblen Kundendaten und komplexer Infrastruktur höhere Risiken und höhere Kosten.
Was Sicherheitsverantwortliche mitnehmen können
Die Daten zeigen deutlich, worauf wir uns konzentrieren sollten:
- Finden und schützen Sie personenbezogene Daten überall dort, wo sie sich befinden. Die personenbezogenen Daten des Kunden sind mit den höchsten Kosten und Risiken verbunden.
- Schatten-KI unter Kontrolle bringen. Erkennen Sie es, kontrollieren Sie es und schließen Sie es, bevor es zu einer kostspieligen Schlagzeile wird.
- Integrieren Sie KI-Governance in Ihr Sicherheitsprogramm. Behandeln Sie KI-Assets wie jedes andere hochwertige System.
- Setzen Sie KI und Automatisierung in der Sicherheit umfassend und nicht sparsam einDie Kosten- und Geschwindigkeitsvorteile sind erwiesen.
- Sicherheit in allen Umgebungen, nicht in Silos. Verstöße werden Grenzen überschreiten, wenn Ihre Tools dies nicht können.
Die Gewinner werden diejenigen sein, die Transparenz, Governance und Automatisierung in ihrer gesamten Datenlandschaft kombinieren – und die KI sowohl als Geschäftschance als auch als Geschäftsrisiko betrachten, das Kontrolle erfordert.
Autor
