Anzeige

Hacker

Untersuchung vergleicht Höhe der anfallenden Kosten bei einer Datenschutzverletzung mit dem Preis für eine identifizierte Schwachstelle auf dem Bug Bounty-Markt; Investitionen von umgerechnet rund 11.122 Euro hätten potenziell Folgekosten und Strafen in Höhe von umgerechnet rund 307 Millionen Euro verhindern können.

Eine neue Untersuchung, initiiert von der Bug-Bounty- und Pentesting-Plattform HackerOne, legt offen, dass die Kosten für vier schwerwiegende Datenschutzverletzungen der letzten Jahre drastisch hätten gesenkt werden können.

Diese Datenschutzverletzungen haben die betroffenen Unternehmen kumuliert rund 307 Millionen Euro gekostet, und hätten mit Investitionen von insgesamt lediglich 11.122 Euro vermutlich verhindert werden können. Die Schätzung basiert auf den durchschnittlich an Hacker gezahlten Vergütungen für das Aufdecken ähnlicher Schwachstellen im Rahmen eines Bug Bounty-Programms. Als Teil solcher Initiativen werden Hacker für das Aufdecken von sich möglicherweise verheerend auswirkenden Schwachstellen honoriert. Die Unternehmen bekommen einen detaillierten Bericht zur jeweiligen Schwachstelle und dazu wie man sie beseitigen kann. Und das, bevor Angreifer sich die Lücken zunutze machen.

Datenschutzverletzungen verursachen jährlich Schäden in Millionenhöhe, und sie ziehen empfindliche Strafen nach sich. Zudem erschüttern Verstöße das Vertrauen der Kunden, haben Reputationsverluste zur Folge und belasten die finanzielle Bilanz eines Unter-nehmens. So hat das Information Commissioner's Office (ICO), die unabhängige Datenschutz-Aufsichtsbehörde in Großbritannien, erst kürzlich verlauten lassen, dass British Airways mit einer Strafe in Höhe von umgerechnet 212 Millionen Euro für den Verlust einer halben Million Kundendaten im letzten Jahr belegt werden soll. Vermutlich haben sich die Angreifer über eine JavaScript-Schwachstelle bei einem Drittanbieter Zugang zu den Systemen bei British Airways verschafft. Auf einer Bug Bounty-Plattform liegt der Wert einer derartigen Schwachstelle zwischen etwa 4.600 und 9.300 Euro.

Gegenstand der Untersuchung von HackerOne waren die Kosten, die auf Klagen und Verfahren sowie die verhängten Strafen bei vier schwerwiegenden Datenschutz-verletzungen der letzten Jahre zurückgehen. Die betroffenen Unternehmen: British Airways (2018), TicketMaster (2018), Carphone Warehouse (2018) und TalkTalk (2015).

Im Rahmen der Untersuchung wurden diese Kosten mit den Bug Bounty-Honoraren verglichen, die für diesen Datenschutzverletzungen zugrunde liegenden Schwachstellen gezahlt worden wären. Insgesamt betrugen die Kosten für alle vier Unternehmen zusammen umgerechnet rund 307 Millionen Euro. Wenn die betreffenden Schwachstellen im Rahmen eines Bug Bounty-Programms aufgedeckt und verantwortlich offengelegt worden wären, hätte das die Unternehmen zusammen zwischen 11.122 und rund 37.000 Euro gekostet. Die Schätzungen basieren auf den durchschnittlich für diese Art von Schwachstellen gezahlten Bug Bounties.

Die Angriffsflächen vergrößern sich weiter. Es bleibt eine andauernde Herausforderung Cyberkriminellen einen Schritt voraus zu sein. 

Kosten einer Datenschutzverletzung versus Kosten für die Schwachstellenaufdeckung

Bug Bount

Der jährliche, vor kurzem veröffentlichte Hacker-Powered Security Report bestätigt, dass es in 77 Prozent aller Fälle lediglich 24 Stunden dauert bis Hacker im Rahmen eines neu initiierten Bug Bounty-Programms die erste valide Schwachstelle melden. 25 Prozent der gefundenen validen Schwachstellen fallen in die Kategorie „hohes“ bis „kritisches“ Sicherheitsrisiko.

www.hackerone.com/blog


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

DDoS

DDoS-Attacken in Q4 2019 gegenüber Vorjahr fast verdoppelt

Die Anzahl der durch Kaspersky DDoS Protection blockierten Angriffe im vierten Quartal 2018 macht nur 56 Prozent der im selben Quartal 2019 entdeckten und blockierten Angriffe aus. Mehr als ein Viertel (27,65 Prozent) der Attacken fand dabei am Wochenende…
Offenes Schloss

IT-Schwachstellen nehmen weiter zu und es ist keine Lösung in Sicht

Um kontinuierlich neue Sicherheitslücken ausfindig zu machen, verwenden Sicherheitsunternehmen häufig interne Softwarelösungen, die Informationen aus verschiedenen Datenquellen wie Schwachstellendatenbanken, Newslettern, Foren, sozialen Medien und mehr…
Apps Digital

Apps treiben digitalen Wandel in Europa voran

Gemäß der sechsten Ausgabe des „State of Application Services“ (SOAS) Reports haben 91 Prozent der befragten Unternehmen der EMEA-Region explizite Pläne für die digitale Transformation in Arbeit. Im Vergleich dazu sind es 84 Prozent in den USA und 82 Prozent…
DDoS

DDoS-Report: Steigende Komplexität und Volumen der Attacken

Der Anteil komplexer Multivektor-Attacken ist auf 65 % gestiegen, der größte abgewehrte Angriff erreichte ein Maximum von 724 Gbps, so der Bericht der IT-Sicherheitsexperten.
Businessman Kämpfer

Was ist der beste Schutz vor Sabotage, Diebstahl oder Spionage?

Die deutsche Wirtschaft ist sich einig: Wenn es künftig um den Schutz vor Sabotage, Datendiebstahl oder Spionage geht, braucht es vor allem qualifizierte IT-Sicherheitsspezialisten. Praktisch alle Unternehmen (99 Prozent) sehen dies als geeignete…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!