IBM veröffentlichte heute ihren jährlichen Bericht "Cost of a Data Breach" (CODB), der globale und regionale Trends im Zusammenhang mit steigenden Kosten von Datenverletzungen in einem zunehmend komplexen und disruptiven Cyber-Bedrohungsszenario aufzeigt. Der Bericht von 2025 untersucht die zunehmende Rolle der Automatisierung und künstlichen Intelligenz (KI) bei der Minderung von Verstoßkosten und analysiert erstmals den Stand der Sicherheit und Governance von KI.
Der Bericht zeigte, dass die durchschnittlichen Kosten eines Datenschutzverstoßes in Brasilien 7,19 Millionen R$ betrugen, während die Kosten im Jahr 2024 bei 6,75 Millionen R$ lagen, was einem Anstieg von 6,5 % entspricht und zusätzlichen Druck auf die Cybersicherheitsteams ausübt, die mit äußerst komplexen Herausforderungen konfrontiert sind. Branchen wie Gesundheit, Finanzen und Dienstleistungen führten die Liste der am stärksten betroffenen an, mit durchschnittlichen Kosten von 11,43 Mio. R$, 8,92 Mio. R$ bzw. 8,51 Mio. R$.
Im Land berichteten Organisationen, die umfangreich sichere KI und Automatisierung einsetzen, durchschnittliche Kosten von 6,48 Millionen R$, während solche mit begrenzter Implementierung Kosten von 6,76 Millionen R$ aufwiesen. Für Unternehmen, die diese Technologien noch nicht nutzen, stieg die durchschnittliche Kosten auf 8,78 Millionen R$, was die Vorteile der KI bei der Stärkung der Cybersicherheit hervorhebt.
Neben der Bewertung der Faktoren, die die Kosten erhöhen, analysierte der Cost of a Data Breach-Bericht 2025 Elemente, die die finanziellen Auswirkungen eines Datenverstoßes verringern können. Zu den effektivsten Maßnahmen gehören die Implementierung von Bedrohungsintelligenz (die die Kosten durchschnittlich um 655.110 R$ senkte) und der Einsatz von KI-Governance-Technologie (629.850 R$). Trotz dieser erheblichen Kostensenkung stellte der Bericht fest, dass nur 29 % der im Brasilien untersuchten Organisationen KI-Governance-Technologie zur Minderung von Risiken im Zusammenhang mit Angriffen auf KI-Modelle einsetzen. Im Allgemeinen werden Governance und Sicherheit von KI weitgehend ignoriert, wobei 87 % der im Brasilien untersuchten Organisationen angeben, keine aktuellen KI-Governance-Richtlinien zu haben, und 61 % keinen Zugriffskontrollen für KI implementiert haben.
Unsere Studie zeigt, dass bereits eine besorgniserregende Lücke zwischen der schnellen Einführung von KI und dem Mangel an angemessener Governance und Sicherheit besteht, und böswillige Akteure nutzen dieses Vakuum aus. Das Fehlen von Zugriffskontrollen bei KI-Modellen hat sensible Daten offengelegt und die Verwundbarkeit der Organisationen erhöht. Unternehmen, die diese Risiken unterschätzen, setzen nicht nur kritische Informationen aufs Spiel, sondern gefährden auch das Vertrauen in den gesamten Betrieb, erklärt Fernando Carbone, Partner für Sicherheitsdienstleistungen bei IBM Consulting in Lateinamerika.
Faktoren, die zu steigenden Kosten bei Datenschutzverletzungen beitragen
Die Komplexität des Sicherheitssystems trug im Durchschnitt zu einer Erhöhung der Gesamtkosten des Verstoßes um 725.359 R$ bei.
Die Studie zeigte auch, dass die unbefugte Nutzung von KI-Tools (Shadow AI) zu einer durchschnittlichen Kostensteigerung von R$ 591.400 führte. Und die Einführung von KI-Tools (intern oder öffentlich) hat trotz ihrer Vorteile durchschnittliche Kosten von R$ 578.850 für Datenverletzungen verursacht.
Der Bericht identifizierte auch die häufigsten Ursachen für Datenverletzungen in Brasilien. Phishing hat sich als der wichtigste Bedrohungsvektor herausgestellt, der 18 % der Verstöße ausmacht und zu durchschnittlichen Kosten von 7,18 Millionen R$ führt. Andere bedeutende Ursachen sind die Beeinträchtigung Dritter und der Lieferkette (15 %, durchschnittliche Kosten von 8,98 Mio. R$) sowie die Ausnutzung von Schwachstellen (13 %, durchschnittliche Kosten von 7,61 Mio. R$).Kompromittierte Anmeldeinformationen, interne Fehler (versehentlich) und böswillige Eindringlinge wurden ebenfalls als Ursachen für Verstöße gemeldet, was die breite Palette der Herausforderungen zeigt, denen Organisationen beim Schutz von Daten gegenüberstehen.
Weitere globale Erkenntnisse aus dem Bericht "Cost of a Data Breach 2025":
- 13 % der Organisationen berichteten von Verstößen im Zusammenhang mit KI-Modellen oder -Anwendungen, während 8 % nicht wussten, ob sie auf diese Weise kompromittiert wurden. Die engagierten Organisationen, 97 % berichteten, keine Zugriffskontrollen für KI zu haben.
- 63 % der gehackten Organisationen verfügen weder über eine KI-Governance-Richtlinie noch entwickeln sie eine solche. Von denjenigen mit Richtlinien führen nur 34 % regelmäßige Audits durch, um den unbefugten Einsatz von KI zu erkennen.
- Jede fünfte Organisation berichtete über eine Verletzung aufgrund von Shadow AI, und nur 37 % haben Richtlinien zur Verwaltung oder Erkennung dieser Technologie. Organisationen, die hohe Niveaus an Shadow-KI eingesetzt haben, verzeichneten im Durchschnitt um 670.000 US-Dollar höhere Kosten bei Verstößen im Vergleich zu denen mit niedrigen Niveaus oder ohne versteckte KI. Sicherheitsvorfälle im Zusammenhang mit versteckter KI führten dazu, dass mehr personenbezogene Daten (65 %) und geistiges Eigentum (40 %) kompromittiert wurden als im globalen Durchschnitt (53 % bzw. 33 %).
- 16 % der untersuchten Verstöße betrafen Hacker, die KI-Tools verwendeten, häufig für Phishing- oder Deepfake-Angriffe.
Die finanziellen Kosten eines Verstoßes
- Kosten für Datenschutzverletzungen.Die durchschnittlichen globalen Kosten eines Datenverstoßes sind auf 4,44 Millionen US-Dollar gesunken, der erste Rückgang seit fünf Jahren, während die durchschnittlichen Kosten eines Verstoßes in den USA mit 10,22 Millionen US-Dollar einen Rekord erreichten.
- Globaler Lebenszyklus eines Verstoßes erreicht RekordzeitDer durchschnittliche globale Zeitraum zur Identifizierung und Eindämmung eines Verstoßes (einschließlich der Wiederherstellung des Dienstes) sank auf 241 Tage, eine Reduzierung um 17 Tage im Vergleich zum Vorjahr, da immer mehr Organisationen den Verstoß intern erkennen. Die Organisationen, die den Verstoß intern erkannt haben, haben auch 900.000 US-Dollar an Verstoßkosten im Vergleich zu denen eingespart, die von einem Angreifer gemeldet wurden.
- Verstöße im Gesundheitswesen bleiben die teuersten.Mit einem Durchschnitt von 7,42 Millionen US-Dollar blieben Verstöße im Gesundheitswesen der teuerste aller untersuchten Sektoren, auch wenn die Kosten im Vergleich zu 2024 um 2,35 Millionen US-Dollar gesunken sind. Verstöße in diesem Sektor benötigen länger, um erkannt und eingedämmt zu werden, mit einer durchschnittlichen Dauer von 279 Tagen, mehr als 5 Wochen über dem globalen Durchschnitt von 241 Tagen.
- Erschöpfung bei der Rückzahlung des Rettungsfonds.Im letzten Jahr widerstanden die Organisationen zunehmend den Lösegeldforderungen, wobei 63 % sich dagegen entschieden, im Vergleich zu 59 % im Vorjahr. Da随着 immer mehr Organisationen sich weigern, Lösegelder zu zahlen, bleiben die durchschnittlichen Kosten eines Erpressungs- oder Ransomware-Vorfalls hoch, insbesondere wenn sie von einem Angreifer veröffentlicht werden (5,08 Millionen US-Dollar).
- Preiserhöhungen nach Verstößen.Die Folgen eines Verstoßes erstrecken sich weiterhin über die Eindämmung hinaus. Obwohl im Vergleich zum Vorjahr rückläufig, gaben fast die Hälfte aller Organisationen an, die Preise für Waren oder Dienstleistungen aufgrund von Verstößen erhöhen zu wollen, und fast ein Drittel berichtete von Preiserhöhungen von 15 % oder mehr.
- Stagnation bei Investitionen in Sicherheit angesichts zunehmender KI-Risiken.Es gab einen signifikanten Rückgang bei der Anzahl der Organisationen, die Pläne für Investitionen in Sicherheit nach einer Verletzung meldeten: 49 % im Jahr 2025 im Vergleich zu 63 % im Jahr 2024. Weniger als die Hälfte derjenigen, die planen, in Sicherheitsmaßnahmen nach einem Verstoß zu investieren, werden sich auf KI-basierte Sicherheitslösungen oder -dienste konzentrieren.
20 Jahre die Kosten eines Datenverstoßes
Der Bericht, durchgeführt vom Ponemon Institute und gesponsert von IBM, ist die wichtigste Referenz der Branche zur Verständnis der finanziellen Auswirkungen von Datenverletzungen. Der Bericht analysierte die Erfahrungen von 600 globalen Organisationen zwischen März 2024 und Februar 2025.
In den letzten 20 Jahren hat der Cost of a Data Breach-Bericht fast 6.500 Verstöße weltweit untersucht. Im Jahr 2005 stellte der erste Bericht fest, dass fast die Hälfte aller Verstöße (45%) auf verlorene oder gestohlene Geräte zurückzuführen war. Nur 10 % waren auf gehackte Systeme zurückzuführen. Voranschreitend bis 2025 hat sich das Bedrohungsszenario drastisch verändert. Heute ist die Bedrohungslage überwiegend digital und zunehmend zielgerichtet, wobei Verstöße jetzt durch ein Spektrum bösartiger Aktivitäten vorangetrieben werden.
Vor einem Jahrzehnt wurden Probleme mit falscher Cloud-Konfiguration nicht einmal überwacht. Jetzt gehören sie zu den wichtigsten Trägern von Verstößen. Ransomware explodierte während der Lockdowns im Jahr 2020, wobei die durchschnittlichen Kosten für Verstöße von 4,62 Millionen US-Dollar im Jahr 2021 auf 5,08 Millionen US-Dollar im Jahr 2025 stiegen.
Um die vollständige Berichterstattung zu erhalten, besuchen Sie die offizielle IBM-WebsiteHier.
