Anzeige

Anzeige

VERANSTALTUNGEN

Bitkom | Digital Health Conference
26.11.19 - 26.11.19
In dbb Forum Berlin

IT & Information Security
26.11.19 - 27.11.19
In Titanic Chaussee Hotel, Berlin

Integriertes IT Demand und Portfolio Management
02.12.19 - 04.12.19
In Sofitel Berlin Kurfürstendamm, Germany

IT-Tage 2019
09.12.19 - 12.12.19
In Frankfurt

eoSearchSummit
06.02.20 - 06.02.20
In Würzburg, Congress Centrum

Anzeige

Anzeige

Hacker

Untersuchung vergleicht Höhe der anfallenden Kosten bei einer Datenschutzverletzung mit dem Preis für eine identifizierte Schwachstelle auf dem Bug Bounty-Markt; Investitionen von umgerechnet rund 11.122 Euro hätten potenziell Folgekosten und Strafen in Höhe von umgerechnet rund 307 Millionen Euro verhindern können.

Eine neue Untersuchung, initiiert von der Bug-Bounty- und Pentesting-Plattform HackerOne, legt offen, dass die Kosten für vier schwerwiegende Datenschutzverletzungen der letzten Jahre drastisch hätten gesenkt werden können.

Diese Datenschutzverletzungen haben die betroffenen Unternehmen kumuliert rund 307 Millionen Euro gekostet, und hätten mit Investitionen von insgesamt lediglich 11.122 Euro vermutlich verhindert werden können. Die Schätzung basiert auf den durchschnittlich an Hacker gezahlten Vergütungen für das Aufdecken ähnlicher Schwachstellen im Rahmen eines Bug Bounty-Programms. Als Teil solcher Initiativen werden Hacker für das Aufdecken von sich möglicherweise verheerend auswirkenden Schwachstellen honoriert. Die Unternehmen bekommen einen detaillierten Bericht zur jeweiligen Schwachstelle und dazu wie man sie beseitigen kann. Und das, bevor Angreifer sich die Lücken zunutze machen.

Datenschutzverletzungen verursachen jährlich Schäden in Millionenhöhe, und sie ziehen empfindliche Strafen nach sich. Zudem erschüttern Verstöße das Vertrauen der Kunden, haben Reputationsverluste zur Folge und belasten die finanzielle Bilanz eines Unter-nehmens. So hat das Information Commissioner's Office (ICO), die unabhängige Datenschutz-Aufsichtsbehörde in Großbritannien, erst kürzlich verlauten lassen, dass British Airways mit einer Strafe in Höhe von umgerechnet 212 Millionen Euro für den Verlust einer halben Million Kundendaten im letzten Jahr belegt werden soll. Vermutlich haben sich die Angreifer über eine JavaScript-Schwachstelle bei einem Drittanbieter Zugang zu den Systemen bei British Airways verschafft. Auf einer Bug Bounty-Plattform liegt der Wert einer derartigen Schwachstelle zwischen etwa 4.600 und 9.300 Euro.

Gegenstand der Untersuchung von HackerOne waren die Kosten, die auf Klagen und Verfahren sowie die verhängten Strafen bei vier schwerwiegenden Datenschutz-verletzungen der letzten Jahre zurückgehen. Die betroffenen Unternehmen: British Airways (2018), TicketMaster (2018), Carphone Warehouse (2018) und TalkTalk (2015).

Im Rahmen der Untersuchung wurden diese Kosten mit den Bug Bounty-Honoraren verglichen, die für diesen Datenschutzverletzungen zugrunde liegenden Schwachstellen gezahlt worden wären. Insgesamt betrugen die Kosten für alle vier Unternehmen zusammen umgerechnet rund 307 Millionen Euro. Wenn die betreffenden Schwachstellen im Rahmen eines Bug Bounty-Programms aufgedeckt und verantwortlich offengelegt worden wären, hätte das die Unternehmen zusammen zwischen 11.122 und rund 37.000 Euro gekostet. Die Schätzungen basieren auf den durchschnittlich für diese Art von Schwachstellen gezahlten Bug Bounties.

Die Angriffsflächen vergrößern sich weiter. Es bleibt eine andauernde Herausforderung Cyberkriminellen einen Schritt voraus zu sein. 

Kosten einer Datenschutzverletzung versus Kosten für die Schwachstellenaufdeckung

Bug Bount

Der jährliche, vor kurzem veröffentlichte Hacker-Powered Security Report bestätigt, dass es in 77 Prozent aller Fälle lediglich 24 Stunden dauert bis Hacker im Rahmen eines neu initiierten Bug Bounty-Programms die erste valide Schwachstelle melden. 25 Prozent der gefundenen validen Schwachstellen fallen in die Kategorie „hohes“ bis „kritisches“ Sicherheitsrisiko.

www.hackerone.com/blog

GRID LIST
Freelancer

Digital-Experten: Freelancer sind zufrieden und verdienen gut

Wie zufrieden sind freiberufliche Digital- und Medienexperten in Deutschland mit ihrer…
Computer Mac

Mac sorgt bei IBM für mehr Produktivität und höhere Zufriedenheit

Die Gerätemanagementlösungen von Jamf ermöglichen es IBM, seinen Mitarbeitern…
Don't Panic!

Bei der Digitalisierung kommt es auf die Menschen an

Bei der Digitalisierung rückt in deutschen Unternehmen immer öfter neben dem Einsatz…
Cybersecurity Businessman

Wie viel Cybersecurity ist wirklich nötig?

Kaum ein Unternehmen glaubt, dass es über genügend Mittel zum effektiven Schutz seiner…
Digitalisierung

Digitalisierung von Workflows verbessert Geschäftsergebnisse

CIOs in Deutschland und der gesamten EMEA-Region berichten, dass die Digitalisierung die…
Best Practice

Wer beachtet die Cybersecurity Best Practices?

Die über 30-jährigen Mitarbeiter sind eher bereit, Best Practices der Cybersicherheit…