Studie vergleicht Kosten einer Datenschutzverletzung versus Kosten für die Schwachstellenaufdeckung

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche
Quelle: HackerOne
Veröffentlicht von SecuPedia-Redaktion am 28. Oktober 2019.

San Francisco, 28.10.2019 - Eine aktuelle Untersuchung, initiiert HackerOne, eine Bug-Bounty-Plattform, die Unternehmen dabei unterstützt kritische Sicherheitslücken aufzufinden, legt offen, dass die Kosten für vier schwerwiegende Datenschutzverletzungen der letzten Jahre drastisch hätten gesenkt werden können. "Diese Datenschutzverletzungen haben die betroffenen Unternehmen kumuliert rund 307 Millionen Euro gekostet, und hätten mit Investitionen von insgesamt lediglich 11.122 Euro vermutlich verhindert werden können", so HackerOne. Die Schätzung basiere auf den durchschnittlich an Hacker gezahlten Vergütungen für das Aufdecken ähnlicher Schwachstellen im Rahmen eines Bug Bounty-Programms.

Gegenstand der Untersuchung von HackerOne waren die Kosten, die auf Klagen und Verfahren sowie die verhängten Strafen bei vier schwerwiegenden Datenschutz-verletzungen der letzten Jahre zurückgehen. Die betroffenen Unternehmen: British Airways (2018), TicketMaster (2018), Carphone Warehouse (2018) und TalkTalk (2015). Im Rahmen der Untersuchung wurden diese Kosten mit den Bug Bounty-Honoraren verglichen, die für diesen Datenschutzverletzungen zugrunde liegenden Schwachstellen gezahlt worden wären (s. Tabelle).

Prash Somaiya, Security Engineer bei HackerOne: „Unsere Untersuchung ist eine grobe Schätzung hinsichtlich der potenziell gezahlten Bug Bounties innerhalb unserer laufenden Programme mit Kunden in vergleichbaren Branchen. Trotzdem zeigt schon dieser Vergleich, dass Unternehmen Millionen sparen und Risiken senken können, wenn sie ihre Schwachstellen vorausschauend identifizieren und patchen.“ Der jährliche, vor kurzem veröffentlichte Hacker-Powered Security Report zeige, dass es in 77 Prozent aller Fälle lediglich 24 Stunden dauere bis Hacker im Rahmen eines neu initiierten Bug Bounty-Programms die erste valide Schwachstelle melden würden.

 

Kosten einer Datenschutzverletzung versus Kosten für die Schwachstellenaufdeckung

 

Datenschutzverletzung

Kosten / Strafe

Ausgenutzte Schwachstelle

Bug Bounty Marktwert

British Airways

€ 212 Millionen

JavaScript Schwachstelle bei externem Dritten

€ 4.634 - € 9.300

Carphone Warehouse

€ 463.400

Veraltete WordPress-Schnittstelle

€ 94 - € 9.300

TicketMaster

€ 5.8 Millionen

JavaScript Schwachstelle bei externem Dritten

€ 4.634 - € 9.300

TalkTalk

€ 89 Millionen

SQL Injection

€ 1.850 - € 9.300

 

Weitere Informationen zum Thema finden sich hier: https://www.hackerone.com/blog/hackerone-top-10-most-impactful-and-rewarded-vulnerability-types

Kategorien E-Mail Service konfigurieren

  • Kriminalität mit IT-Bezug (Malware, Phishing, Identitätsdiebstahl, Cyber-Security)
  • Datenschutz / Datensicherheit
  • Sicherheitsmanagement

Benutzergruppe

  • Alle Benutzer