IBM hat heute seinen jährlichen Bericht „Cost of a Data Breach“ (CODB) veröffentlicht. Dieser beleuchtet globale und regionale Trends im Zusammenhang mit den steigenden Kosten von Datenschutzverletzungen angesichts zunehmend komplexerer und disruptiver Cyberbedrohungen. Der Bericht für 2025 untersucht die wachsende Bedeutung von Automatisierung und künstlicher Intelligenz (KI) bei der Kostenreduzierung durch Datenschutzverletzungen und analysiert erstmals den Stand der KI-Sicherheit und -Governance.
Der Bericht zeigte, dass die durchschnittlichen Kosten eines Datenlecks in Brasilien 7,19 Millionen R$ erreichten, während sie im Jahr 2024 bei 6,75 Millionen R$ lagen – ein Anstieg um 6,5 %. Dies bedeutet zusätzlichen Druck auf die Cybersicherheitsteams, die mit hochkomplexen Herausforderungen konfrontiert sind. Branchen wie das Gesundheitswesen, der Finanzsektor und der Dienstleistungssektor führten die Liste der am stärksten betroffenen Branchen an, mit durchschnittlichen Kosten von 11,43 Millionen R$, 8,92 Millionen R$ bzw. 8,51 Millionen R$.
In Brasilien gaben Organisationen, die KI und Automatisierung umfassend einsetzen, durchschnittliche Kosten von 6,48 Millionen R$ an, während diejenigen mit begrenzter Implementierung Kosten von 6,76 Millionen R$ verzeichneten. Für Unternehmen, die diese Technologien noch nicht nutzen, stiegen die durchschnittlichen Kosten auf 8,78 Millionen R$, was die Vorteile von KI zur Stärkung der Cybersicherheit unterstreicht.
Der Bericht „Kosten eines Datenlecks 2025“ untersuchte nicht nur die kostentreibenden Faktoren, sondern auch Maßnahmen zur Reduzierung der finanziellen Auswirkungen eines Datenlecks. Zu den effektivsten Initiativen zählen die Implementierung von Threat Intelligence (die die Kosten um durchschnittlich 655.110 R$ senkte) und der Einsatz von KI-Governance-Technologien (629.850 R$). Trotz dieser signifikanten Kostenreduzierung stellte der Bericht fest, dass nur 29 % der in Brasilien untersuchten Organisationen KI-Governance-Technologien zur Risikominderung im Zusammenhang mit Angriffen auf KI-Modelle einsetzen. Insgesamt werden KI-Governance und -Sicherheit weitgehend vernachlässigt: 87 % der in Brasilien untersuchten Organisationen gaben an, keine KI-Governance-Richtlinien implementiert zu haben, und 61 % verfügen über keine KI-Zugriffskontrollen.
„Unsere Studie zeigt, dass zwischen der rasanten Verbreitung von KI und dem Mangel an angemessener Governance und Sicherheit bereits eine besorgniserregende Lücke besteht, die von Cyberkriminellen ausgenutzt wird. Fehlende Zugriffskontrollen in KI-Modellen haben sensible Daten offengelegt und die Verwundbarkeit von Unternehmen erhöht. Firmen, die diese Risiken unterschätzen, gefährden nicht nur kritische Informationen, sondern untergraben auch das Vertrauen in ihren gesamten Betrieb“, erklärt Fernando Carbone, Partner für Sicherheitsdienstleistungen bei IBM Consulting in Lateinamerika.
Faktoren, die zu erhöhten Kosten durch Datenschutzverletzungen beitragen
Die Komplexität des Sicherheitssystems trug im Durchschnitt zu einem Anstieg der Gesamtkosten des Sicherheitsvorfalls um R$ 725.359 bei.
Die Studie zeigte außerdem, dass die unautorisierte Nutzung von KI-Tools (Schatten-KI) durchschnittliche Mehrkosten von 591.400 R$ verursachte. Und die Einführung von KI-Tools (intern oder öffentlich) führte trotz ihrer Vorteile zu durchschnittlichen Mehrkosten von 578.850 R$ durch Datenschutzverletzungen.
Der Bericht identifizierte auch die häufigsten Ursachen für Datenschutzverletzungen in Brasilien. Phishing erwies sich als Hauptbedrohungsvektor und war für 18 % der Vorfälle verantwortlich, was durchschnittliche Kosten von 7,18 Millionen R$ verursachte. Weitere bedeutende Ursachen waren die Kompromittierung von Drittanbietern und Lieferketten (15 %, mit durchschnittlichen Kosten von 8,98 Millionen R$) sowie die Ausnutzung von Sicherheitslücken (13 %, mit durchschnittlichen Kosten von 7,61 Millionen R$). Auch kompromittierte Zugangsdaten, interne (versehentliche) Fehler und böswillige Eindringlinge wurden als Ursachen für Datenschutzverletzungen genannt. Dies verdeutlicht die vielfältigen Herausforderungen, denen sich Unternehmen im Bereich Datenschutz gegenübersehen.
Weitere globale Ergebnisse aus dem Bericht „Kosten eines Datenlecks 2025“:
- 13 % der Organisationen meldeten Sicherheitsvorfälle im Zusammenhang mit KI-Modellen oder -Anwendungen, während 8 % sich nicht sicher waren, ob sie auf diese Weise kompromittiert worden waren. Von den betroffenen Organisationen gaben 97 % an, keine Zugriffskontrollen für KI implementiert zu haben.
- 63 % der Organisationen, bei denen Verstöße festgestellt wurden, verfügen entweder über keine KI-Governance-Richtlinie oder arbeiten noch an einer solchen. Von denjenigen, die über Richtlinien verfügen, führen lediglich 34 % regelmäßige Audits durch, um die unbefugte Nutzung von KI aufzudecken.
- Jedes fünfte Unternehmen meldete einen Sicherheitsvorfall aufgrund von Schatten-KI, und nur 37 % verfügen über Richtlinien zur Verwaltung oder Erkennung dieser Technologie. Unternehmen mit einem hohen Anteil an Schatten-KI verzeichneten durchschnittlich 670.000 US-Dollar höhere Kosten durch Sicherheitsvorfälle als Unternehmen mit einem geringen Anteil oder ohne Schatten-KI. Sicherheitsvorfälle im Zusammenhang mit Schatten-KI führten zur Kompromittierung von mehr personenbezogenen Daten (65 %) und geistigem Eigentum (40 %) als im globalen Durchschnitt (53 % bzw. 33 %).
- Bei 16 % der untersuchten Sicherheitsverletzungen nutzten Hacker KI-Tools, häufig für Phishing- oder Deepfake-Angriffe.
Die finanziellen Kosten eines Verstoßes.
- Kosten von Datenpannen. Die weltweiten Durchschnittskosten einer Datenpannen sanken auf 4,44 Millionen US-Dollar – der erste Rückgang seit fünf Jahren –, während die durchschnittlichen Kosten einer Datenpannen in den USA einen Rekordwert von 10,22 Millionen US-Dollar erreichten.
- Der globale Lebenszyklus von Sicherheitsvorfällen hat Rekordzeit erreicht . Die durchschnittliche Zeit zur Erkennung und Eindämmung eines Sicherheitsvorfalls (einschließlich der Wiederherstellung des Betriebs) ist weltweit auf 241 Tage gesunken – eine Reduzierung um 17 Tage gegenüber dem Vorjahr. Grund dafür ist, dass immer mehr Unternehmen den Vorfall intern entdecken. Unternehmen, die den Vorfall intern erkannten, sparten zudem 900.000 US-Dollar an Kosten im Vergleich zu jenen, die von einem Angreifer benachrichtigt wurden.
- Verstöße im Gesundheitswesen bleiben die kostspieligsten. Mit durchschnittlich 7,42 Millionen US-Dollar sind sie unter allen untersuchten Sektoren weiterhin am teuersten, selbst nach einer Kostenreduzierung von 2,35 Millionen US-Dollar gegenüber 2024. Die Aufdeckung und Eindämmung von Verstößen in diesem Sektor dauert mit durchschnittlich 279 Tagen länger und liegt damit mehr als fünf Wochen über dem globalen Durchschnitt von 241 Tagen.
- Zahlungsmüdigkeit bei Lösegeldforderungen. Im vergangenen Jahr wehrten sich immer mehr Unternehmen gegen Lösegeldforderungen: 63 % entschieden sich gegen die Zahlung, verglichen mit 59 % im Vorjahr. Da immer mehr Unternehmen die Zahlung von Lösegeld verweigern, bleiben die durchschnittlichen Kosten einer Erpressung oder eines Ransomware-Angriffs hoch, insbesondere wenn der Angreifer dies offenlegt (5,08 Millionen US-Dollar).
- Preiserhöhungen nach Sicherheitsvorfällen. Die Folgen eines Sicherheitsvorfalls reichen weit über die Eindämmungsphase hinaus. Obwohl die Zahlen im Vergleich zum Vorjahr gesunken sind, gaben fast die Hälfte aller Unternehmen an, aufgrund des Vorfalls Preiserhöhungen für Waren oder Dienstleistungen zu planen, und fast ein Drittel berichtete von Preiserhöhungen von 15 % oder mehr.
- Stagnation bei Sicherheitsinvestitionen angesichts steigender KI-Risiken. Die Zahl der Unternehmen, die nach einem Sicherheitsvorfall Investitionen in die Sicherheit planen, ist deutlich gesunken: von 63 % im Jahr 2024 auf 49 % im Jahr 2025. Weniger als die Hälfte derjenigen, die nach einem Sicherheitsvorfall in die Sicherheit investieren wollen, werden sich auf KI-basierte Sicherheitslösungen oder -dienste konzentrieren.
Die Kosten eines Datenlecks über 20 Jahre.
Der vom Ponemon Institute erstellte und von IBM geförderte Bericht gilt als branchenführende Referenz zum Verständnis der finanziellen Auswirkungen von Datenschutzverletzungen. Er analysierte die Erfahrungen von 600 globalen Unternehmen im Zeitraum von März 2024 bis Februar 2025.
In den vergangenen 20 Jahren untersuchte der Bericht „Cost of a Data Breach“ weltweit fast 6.500 Datenschutzverletzungen. Der erste Bericht aus dem Jahr 2005 stellte fest, dass fast die Hälfte aller Datenschutzverletzungen (45 %) auf verlorene oder gestohlene Geräte zurückzuführen waren. Nur 10 % gingen auf gehackte Systeme zurück. Bis 2025 hat sich die Bedrohungslandschaft dramatisch verändert. Heute ist sie überwiegend digital und zunehmend gezielt, wobei Datenschutzverletzungen durch ein breites Spektrum an böswilligen Aktivitäten verursacht werden.
Vor zehn Jahren wurden Fehlkonfigurationen in der Cloud noch gar nicht überwacht. Heute zählen sie zu den häufigsten Einfallstore für Sicherheitslücken. Ransomware-Angriffe nahmen während der Lockdowns 2020 explosionsartig zu, und die durchschnittlichen Kosten pro Angriff werden voraussichtlich von 4,62 Millionen US-Dollar im Jahr 2021 auf 5,08 Millionen US-Dollar im Jahr 2025 steigen.
Den vollständigen Bericht finden Sie hier .
