Der Sicherheitsvorfall, den jedes Unternehmen fürchtet, ereignete sich an einem Februarmorgen im Jahr 2024 bei Change Healthcare. Angreifer, die gestohlene Citrix-Anmeldedaten nutzten – Anmeldedaten, die nicht durch Multi-Faktor-Authentifizierung geschützt waren –, lösten den größten Datenverstoß in der Geschichte des Gesundheitswesens aus. Innerhalb weniger Wochen wurden 192,7 Millionen Patientenakten kompromittiert, Apotheken im ganzen Land kamen zum Stillstand, und die sich ausbreitenden Schäden zeigten, wie anfällig moderne Unternehmen nach wie vor für Angriffe auf Anmeldedaten sind.
Dieses Szenario ist keine Ausnahme. Laut dem IBM Data Breach „2025 Cost of a Data Breach sind Unternehmen weltweit weiterhin in alarmierendem Ausmaß von Datenschutzverletzungen betroffen, wobei 61 % der Vorfälle mit kompromittierten Anmeldedaten zusammenhängen. Die weltweiten Durchschnittskosten liegen derzeit bei 4,44 Millionen US-Dollar pro Datenschutzverletzung, während US-Unternehmen mit einem Allzeithoch von 10,22 Millionen US-Dollar konfrontiert sind. Für Sicherheitsexperten, die mit dem Schutz ihrer Unternehmen betraut sind, ist es wichtiger denn je, zu verstehen, wie Datenschutzverletzungen zustande kommen – und wie man sie verhindern kann.
Dieser umfassende Leitfaden untersucht, was eine Datenverletzung ausmacht, untersucht die Angriffsvektoren und -techniken, die von Angreifern eingesetzt werden, analysiert die Mega-Verletzungen der Jahre 2024-2025, die die Sicherheitsstrategien neu gestalten, und bietet umsetzbare Ansätze zur Prävention und Erkennung. Ganz gleich, ob Sie ein Incident-Response-Programm von Grund auf neu aufbauen oder bestehende Abwehrmaßnahmen verstärken möchten, diese Ressource liefert die evidenzbasierten Erkenntnisse, die Sicherheitsteams heute benötigen.
Eine Datenverletzung ist jeder Sicherheitsvorfall, bei dem Unbefugte Zugriff auf vertrauliche, geschützte oder sensible Informationen erhalten. Dazu gehören personenbezogene Daten wie Namen und Sozialversicherungsnummern, Finanzdaten wie Kreditkarten- und Bankkontodaten sowie geschäftskritische Informationen wie Geschäftsgeheimnisse und geistiges Eigentum. Im Gegensatz zu einer versehentlichen Offenlegung handelt es sich bei einer Verletzung um einen bestätigten unbefugten Zugriff – in der Regel durch Angreifer, die die kompromittierten Daten stehlen, verkaufen oder für finanzielle Gewinne, Spionage oder Erpressung nutzen wollen.
Der Umfang von Datenverstößen nimmt weiter zu. Bei dem Datenverstoß bei National Public Data im Jahr 2024 wurden 2,9 Milliarden Datensätze einschließlich Sozialversicherungsnummern offengelegt, während die beiden Vorfälle bei AT&T im Jahr 2024 über 73 Millionen Kunden betrafen. Diese Mega-Verstöße zeigen, dass keine Organisation – unabhängig von ihrer Größe oder Branche – vor dieser Bedrohung gefeit ist.
Sicherheitsexperten müssen zwischen verwandten, aber unterschiedlichen Konzepten unterscheiden, um eine angemessene Reaktion und die Einhaltung gesetzlicher Vorschriften zu gewährleisten.
Eine Datenverletzung beinhaltet den bestätigten unbefugten Zugriff auf sensible Daten durch böswillige Akteure. Dies erfordert den Nachweis, dass die Angreifer tatsächlich auf geschützte Informationen zugegriffen, diese eingesehen oder exfiltriert haben. Der Vorfall bei Change Healthcare ist ein Beispiel für eine solche Verletzung: Angreifer drangen mit gestohlenen Zugangsdaten gezielt in Systeme ein und setzten ransomware eingesetzt, um Daten zu verschlüsseln und gleichzeitig sensible Datensätze zu exfiltrieren.
Ein Datenleck beschreibt eine unbeabsichtigte Offenlegung ohne Beteiligung böswilliger Akteure. Dies ist in der Regel auf Fehlkonfigurationen, menschliches Versagen oder unzureichende Zugriffskontrollen zurückzuführen. Ein ungesicherter cloud mit Kundendaten stellt ein Leck dar – die Daten wurden offengelegt, aber nicht unbedingt von einem Angreifer entdeckt oder ausgenutzt.
Ein Sicherheitsvorfall umfasst jedes Ereignis, das die Informationssicherheit potenziell gefährdet. Diese breitere Kategorie umfasst fehlgeschlagene Angriffsversuche, Verstöße gegen Richtlinien und anomale Aktivitäten, die möglicherweise keine tatsächliche Gefährdung der Daten darstellen. Nicht jeder Vorfall stellt eine Verletzung dar, aber jede Verletzung beginnt als Vorfall.
Diese Unterscheidungen haben erhebliche regulatorische Auswirkungen. Gemäß der DSGVO löst nur eine bestätigte Verletzung die 72-Stunden-Meldepflicht gegenüber den Aufsichtsbehörden aus. Unternehmen, die Datenlecks fälschlicherweise als Verstöße einstufen – oder schlimmer noch, Verstöße als bloße Vorfälle – riskieren sowohl regulatorische Strafen als auch Reputationsschäden.
Die geschäftlichen Auswirkungen von Datenschutzverletzungen gehen weit über die unmittelbaren Kosten für die Behebung hinaus. Laut einer Studie von IBM aus dem Jahr 2025 haben Unternehmen mit langfristigen Folgen wie Kundenabwanderung, gerichtlichen Vergleichen und anhaltender behördlicher Kontrolle zu kämpfen. Die Datenschutzverletzungen bei AT&T führten zu einem Vergleich in Höhe von 177 Millionen US-Dollar, was zeigt, wie sich die Kosten für Datenschutzverletzungen durch Gerichtsverfahren noch Jahre nach dem ursprünglichen Vorfall vervielfachen können.
Das Verständnis der Mechanismen von Sicherheitsverletzungen ermöglicht es Sicherheitsteams, Abwehrmaßnahmen dort zu priorisieren, wo sie am wichtigsten sind. Moderne Angriffe nutzen in der Regel mehrere Vektoren und kombinieren technische Schwachstellen mit menschlichen Faktoren, um sich unbefugten Zugriff zu verschaffen.
Gefährdete Anmeldedaten sind laut der Analyse von SailPoint 2025 der häufigste Angriffsvektor und in 61 % der Vorfälle involviert. Angreifer beschaffen sich Anmeldedaten durch phishing , Credential-Stuffing-Angriffen unter Verwendung zuvor geleakter Passwortdatenbanken und dem Kauf gestohlener Authentifizierungsdaten im Dark Web.
Die Gefahr besteht darin, dass Angreifer sich durch den Diebstahl von Anmeldedaten als legitime Benutzer ausgeben können. Wenn sich ein Angreifer mit gültigen Anmeldedaten einloggt, erkennen herkömmliche Perimeter-Sicherheitsmaßnahmen dies als autorisierten Zugriff und nicht als Eindringen. Aus diesem Grund müssen Unternehmen Verhaltensanalysen und Funktionen zur Erkennung von Kontoübernahmen implementieren, die verdächtige Aktivitäten auch dann identifizieren, wenn die Authentifizierung erfolgreich ist.
Der Verizon 2025 Data Breach Report zeigt, dass 75 % der Systemeinbrüche mittlerweile mit ransomware in Verbindung stehen. Moderne ransomware haben sich über die einfache Verschlüsselung hinaus weiterentwickelt und umfassen nun auch Datendiebstahl und Erpressung – Angreifer exfiltrieren sensible Daten, bevor sie die Verschlüsselung einsetzen, und verschaffen sich so einen doppelten Hebel gegenüber den Opfern.
Malware dient sowohl als Mechanismus für den ersten Zugriff als auch als Tool nach der Kompromittierung. Infostealer sammeln Anmeldedaten und Sitzungstoken, während Backdoors einen dauerhaften Zugriff für zukünftige Angriffe aufrechterhalten. Der Angriff auf Marquis Software, von dem 74 Banken und Kreditgenossenschaften betroffen waren, ging von Angreifern aus, die eine Schwachstelle in SonicWall ausnutzten, um ransomware zu verbreiten ransomware ein Beispiel dafür, wie die Ausnutzung von Schwachstellen mit malware einhergeht.
Phishing ein primärer Erstzugriffsvektor und tritt laut Daten von IBM aus dem Jahr 2025 in 16 % aller Sicherheitsverletzungen auf. Angreifer entwickeln immer ausgefeiltere Kampagnen, indem sie generative KI einsetzen, um grammatikalisch perfekte, kontextbezogene Nachrichten zu erstellen, die herkömmliche Erkennungsmechanismen umgehen. Die Sicherheitsverletzung an der Princeton University im November 2025 ging von einem phishing auf einen Mitarbeiter aus – ein Beweis dafür, dass sprachbasiertes Social Engineering E-Mail-Sicherheitskontrollen vollständig umgeht.
Datenverstöße durchlaufen in der Regel einen vorhersehbaren Lebenszyklus, der dem Cyber-Kill-Chain-Framework entspricht:
Der Verizon DBIR 2025 dokumentiert eine dramatische Veränderung: 30 % der Sicherheitsverletzungen betreffen mittlerweile Drittanbieter, doppelt so viele wie im Vorjahr. Kompromittierungen in der Lieferkette haben asymmetrische Auswirkungen – obwohl sie weniger als 5 % der ursprünglichen Kompromittierungen ausmachen, betrafen sie im Jahr 2025 47 % aller Opfer von Sicherheitsverletzungen.
Der Vorfall mit der Snowflake-Plattform veranschaulicht dieses Muster. Angreifer kompromittierten die Kundenumgebungen von Snowflake durch gestohlene Anmeldedaten und beeinträchtigten damit AT&T, Ticketmaster, Neiman Marcus und zahlreiche andere Unternehmen. Eine einzige Schwachstelle in der Lieferkette führte zu einer Kettenreaktion von Sicherheitsverletzungen, von denen Hunderte Millionen Menschen betroffen waren.
Verstöße durch Dritte kosten Unternehmen durchschnittlich 4,91 Millionen US-Dollar – das ist nach zero-day der zweitkostspieligste Vektor für den ersten Zugriff. Unternehmen müssen ihre Sicherheitsanforderungen auf Lieferanten, Auftragnehmer und cloud ausweiten und dabei dieselben strengen Maßstäbe anlegen wie bei internen Systemen.
Künstliche Intelligenz eröffnet sowohl für Angriffe als auch für die Verteidigung neue Dimensionen. Der IBM-Bericht für 2025 zeigt, dass bei 16 % der Sicherheitsverletzungen Angreifer KI einsetzten – und diese Zahl wird wahrscheinlich steigen, da KI-Tools immer leichter zugänglich werden.
Zu den KI-gestützten Angriffsmethoden gehören:
Shadow AI birgt zusätzliche Risiken. Wenn Mitarbeiter nicht autorisierte KI-Tools verwenden, können sie unbeabsichtigt sensible Daten an Drittanbieter weitergeben. Die IBM-Studie ergab, dass 97 % der Unternehmen, die KI-bezogene Sicherheitsverletzungen erlitten haben, über keine angemessenen KI-Zugriffskontrollen verfügten und dass Shadow AI die durchschnittlichen Kosten für Sicherheitsverletzungen um 670.000 US-Dollar erhöhte.
Unternehmen müssen Richtlinien zur KI-Governance festlegen, die sowohl den defensiven Einsatz von KI als auch die Risiken durch unbefugte KI-Nutzung innerhalb des Unternehmens berücksichtigen.
Datenverletzungen äußern sich je nach Angriffsvektor, Zielobjekt der Daten und Zielen der Angreifer unterschiedlich. Das Verständnis dieser Kategorien hilft Unternehmen dabei, Abwehrmaßnahmen zu priorisieren und geeignete Reaktionsstrategien zu entwickeln.
Verstöße gegen die Sicherheitsvorschriften für Anmeldedaten und Authentifizierung zielen auf Benutzernamen, Passwörter, Zugriffstoken und Sitzungscookies ab. Diese Verstöße ermöglichen weitere Angriffe, da gestohlene Anmeldedaten den Zugang zu weiteren Systemen ermöglichen. Der Verstoß gegen die Sicherheitsvorschriften bei National Public Data veranschaulicht dieses Risiko – auf einer Schwesterseite entdeckte Klartext-Anmeldedaten ermöglichten den Zugriff auf das Primärsystem.
Verstöße gegen den Schutz personenbezogener Daten legen personenbezogene Informationen (PII) wie Namen, Adressen, Sozialversicherungsnummern und Geburtsdaten offen. Diese Daten begünstigen Identitätsdiebstahl, die betrügerische Einrichtung von Konten und gezielte Betrugsversuche. Gesundheitsorganisationen sind aufgrund ihres Umgangs mit geschützten Gesundheitsdaten (PHI) besonders gefährdet.
Durch Verstöße gegen den Datenschutz im Finanzbereich werden Kreditkartennummern, Bankkontodaten und Zahlungsinformationen kompromittiert. Der Verstoß bei Marquis Software, von dem 74 Finanzinstitute betroffen waren, legte Kundendaten aus dem gesamten Bankensektor offen.
Verstöße gegen das geistige Eigentum zielen auf Geschäftsgeheimnisse, proprietären Code, Forschungsdaten und Wettbewerbsinformationen ab. Nationale Akteure und fortgeschrittene, hartnäckige Bedrohungsgruppen bevorzugen diese Kategorie besonders, um sich durch gestohlene Innovationen wirtschaftliche Vorteile zu verschaffen.
Der Hackerangriff auf Coupang verdeutlicht das Risiko durch Insider: Ein ehemaliger Mitarbeiter nutzte nicht widerrufene Zugriffstoken, um 33,7 Millionen Kundendaten zu kompromittieren. Unternehmen müssen den sofortigen Entzug von Zugriffsrechten implementieren und auf ungewöhnliche Aktivitäten von ausscheidenden Mitarbeitern achten.
Daten zu tatsächlichen Sicherheitsverletzungen liefern wichtige Informationen für Entscheidungen über Investitionen in die Sicherheit und die Prioritäten von Programmen. Im Zeitraum 2024–2025 kam es zu mehreren Rekordvorfällen, die das Verständnis der Branche hinsichtlich des Risikos von Sicherheitsverletzungen grundlegend verändert haben.
Der IBM-Bericht „Cost of a Data Breach 2025“ dokumentiert mehrere wichtige Trends:
In der ersten Hälfte des Jahres 2025 waren 166 Millionen Menschen von Datenkompromittierungen betroffen, wobei 1.732 Kompromittierungen 55 % der Gesamtzahl für das gesamte Jahr 2024 ausmachten, wie aus einer Analyse von Secureframe hervorgeht.
ransomware auf Change Healthcare ist laut einer Analyse des HIPAA Journal der größte Datenverstoß im Gesundheitswesen in der Geschichte und betrifft 192,7 Millionen Menschen.
Wichtige Details:
Lehren für Sicherheitsteams:
Das Hintergrundüberprüfungsunternehmen National Public Data erlitt einen Datenverstoß, bei dem 2,9 Milliarden Datensätze offengelegt wurden, die von Troy Hunt detailliert analysiert wurden.
Wichtige Details:
Lehren für Sicherheitsteams:
AT&T erlebte im Jahr 2024 zwei separate Datenschutzverletzungen, die zu einer Vergleichszahlung in Höhe von 177 Millionen US-Dollar führten.
Wichtige Details:
Lehren für Sicherheitsteams:
Die anhaltende Position des Gesundheitswesens als teuerste Branche spiegelt die Sensibilität medizinischer Daten, strenge regulatorische Anforderungen und die Attraktivität des Sektors für ransomware wider, die wissen, dass eine Unterbrechung der Versorgung eine dringende Notwendigkeit zur Zahlung von Lösegeld schafft.
Proaktive Erkennung und Prävention reduzieren die Auswirkungen von Sicherheitsverletzungen erheblich. Die IBM-Studie „2025“ zeigt, dass Unternehmen mit ausgereiften Sicherheitsprogrammen deutlich geringere Kosten und eine schnellere Wiederherstellung verzeichnen.
Moderne Angriffserkennung erfordert Transparenz über Netzwerke, Endpunkte, Identitäten und cloud hinweg. Kein einzelnes Tool bietet vollständige Abdeckung – effektive Programme kombinieren sich ergänzende Funktionen.
Netzwerkerkennung und -reaktion (NDR) analysiert den Netzwerkverkehr auf bösartige Muster, laterale Bewegungen und Indikatoren für Datenexfiltration. NDR ist besonders gut darin, Bedrohungen zu erkennen, die endpoint umgehen, und Angreiferaktivitäten entlang der gesamten Kill Chain zu identifizieren.
Endpoint and Response (EDR) überwacht einzelne Geräte auf malware , verdächtige Prozesse und Kompromittierungsindikatoren. EDR bietet detaillierte Einblicke in endpoint , kann jedoch netzwerkbasierte Angriffe übersehen.
Sicherheitsinformations- und Ereignismanagement (SIEM) korreliert Protokolle aus dem gesamten Unternehmen, um Muster zu identifizieren, die auf eine Kompromittierung hindeuten. Die Wirksamkeit von SIEM hängt von der Protokollabdeckung, der Qualität der Erkennungsregeln und der Fähigkeit der Analysten ab, Warnmeldungen zu untersuchen.
Identitätsbedrohungserkennung und -reaktion (ITDR) konzentriert sich speziell auf den Missbrauch von Anmeldedaten, die Ausweitung von Berechtigungen und identitätsbasierte Angriffe. Angesichts der Tatsache, dass 61 % aller Sicherheitsverletzungen mit kompromittierten Anmeldedaten einhergehen, befasst sich die identitätsbasierte Erkennung mit dem vorherrschenden Angriffsvektor.
Benutzer- und Entitätsverhaltensanalyse (UEBA) legt Verhaltensgrundlagen fest und warnt vor Anomalien, die auf eine Kompromittierung hindeuten könnten. UEBA erweist sich als besonders wertvoll für die Erkennung von Insider-Bedrohungen und kompromittierten Konten, die ungewöhnliche Muster aufweisen.
Unternehmen können mithilfe von Diensten wie „Have I Been Pwned“ überprüfen, ob ihre Zugangsdaten in bekannten Sicherheitsverletzungen auftauchen, und so proaktiv auf offengelegte Zugangsdaten reagieren, bevor Angreifer diese ausnutzen können.
Unternehmen, die KI und Automatisierung in großem Umfang für ihre Sicherheitsmaßnahmen einsetzen, erkennen Sicherheitsverletzungen 80 Tage schneller und sparen dadurch 1,9 Millionen US-Dollar im Vergleich zu Unternehmen ohne diese Fähigkeiten. Die durchschnittliche Erkennungszeit von Bedrohungen liegt bei 241 Tagen und damit auf dem niedrigsten Stand seit neun Jahren. Dies deutet darauf hin, dass sich Investitionen in KI-gestützte Sicherheitsmaßnahmen in der gesamten Branche auszahlen.
Eine wirksame Verhinderung von Verstößen kombiniert technische Kontrollen mit organisatorischen Prozessen:
Unternehmen mit formellen Plänen zur Reaktion auf Sicherheitsvorfälle sparen pro Vorfall 1,2 Millionen US-Dollar. Wirksame Pläne sollten folgende Punkte berücksichtigen:
Der Leitfaden der FTC Data Breach bietet maßgebliche Orientierungshilfen für Organisationen, die Maßnahmen zur Reaktion auf Datenschutzverletzungen entwickeln.
Die gesetzlichen Vorschriften schreiben bestimmte Fristen für die Meldung von Sicherheitsverletzungen vor und sehen bei Nichteinhaltung erhebliche Strafen vor. Sicherheitsteams müssen die regulatorischen Rahmenbedingungen verstehen, um angemessen reagieren zu können und zu vermeiden, dass sich die Auswirkungen einer Sicherheitsverletzung durch Verstöße gegen gesetzliche Vorschriften noch verschlimmern.
Laut dem GDPR Enforcement Tracker beliefen sich die kumulierten Bußgelder seit 2018 auf 5,6 bis 5,9 Milliarden Euro, wobei über 2.200 einzelne Sanktionen verhängt wurden. Organisationen, die mehreren Gerichtsbarkeiten unterliegen, müssen die strengsten geltenden Anforderungen erfüllen.
Die NIS2-Richtlinie stellt die bedeutendste Entwicklung im Bereich der EU-Cybersicherheitsvorschriften seit der DSGVO dar. Die NIS2-Richtlinie, die seit Oktober 2024 in Kraft ist, führt mehrere neue Anforderungen für Organisationen in 18 kritischen Sektoren ein:
Zu den Schwerpunkten der Durchsetzung gehören Versäumnisse in der Unternehmensführung, wiederholte Vorfälle und die Nichtregistrierung oder Nichtmeldung. Unternehmen, die in den Bereichen Energie, Verkehr, Gesundheit, Finanzen und digitale Infrastruktur tätig sind, müssen die Einhaltung dieser Anforderungen sicherstellen.
Die Strafen für Verstöße gegen das HIPAA reichen von etwa 100 US-Dollar pro Verstoß für unwissentliche Verstöße bis zu 50.000 US-Dollar pro Verstoß für vorsätzliche Vernachlässigung, mit einer jährlichen Obergrenze von 1,5 Millionen US-Dollar pro Verstoßkategorie. Strafrechtliche Sanktionen können bis zu 250.000 US-Dollar und 10 Jahre Freiheitsstrafe für den kommerziellen Missbrauch geschützter Gesundheitsdaten betragen.
Der Schwerpunkt der Durchsetzung im Jahr 2025 liegt auf Versäumnissen bei der Risikoanalyse und verspäteten Meldungen von Datenschutzverletzungen. Die Einigung mit PIH Health über eine Zahlung von 600.000 US-Dollar für eine phishing im Jahr 2019 zeigt, dass die Aufsichtsbehörden weiterhin ein Augenmerk auf Mängel in Sicherheitsprogrammen legen.
Laut einer Analyse von Foley & Lardner haben alle 50 Bundesstaaten sowie der District of Columbia, Puerto Rico und die Jungferninseln Gesetze zur Benachrichtigung bei Datenschutzverletzungen. Zu den wichtigsten Entwicklungen zählen die Einführung einer 30-tägigen Benachrichtigungspflicht in Kalifornien ab Januar 2026 und wesentliche Änderungen des Gesetzes in Oklahoma.
Unternehmen müssen die Meldepflichten für alle Gerichtsbarkeiten, in denen betroffene Personen ansässig sind, nachverfolgen – eine komplexe Aufgabe bei Datenschutzverletzungen, die Kunden im ganzen Land betreffen.
Das MITRE ATT&CK bietet eine gemeinsame Sprache zum Verständnis von Angriffstechniken:
Sicherheitsteams können ATT&CK nutzen, um die Erkennungsabdeckung abzubilden, Lücken zu identifizieren und Investitionen in Kontrollmaßnahmen auf der Grundlage der bei Datenverletzungen am häufigsten beobachteten Techniken zu priorisieren.
Die Bedrohungslage entwickelt sich mit KI-gestützten Angriffen und ausgeklügelten Kompromittierungen der Lieferkette weiter. Moderne Sicherheitsstrategien müssen sich anpassen und gleichzeitig starke grundlegende Kontrollen beibehalten.
Unternehmen, die KI und Automatisierung in großem Umfang in ihren Sicherheitsabläufen einsetzen, erzielen deutlich bessere Ergebnisse:
KI ist besonders gut darin, Signale aus großen Datenmengen miteinander zu korrelieren, subtile Verhaltensanomalien zu identifizieren und Warnmeldungen auf der Grundlage des tatsächlichen Risikos zu priorisieren. Diese Fähigkeiten begegnen der grundlegenden Herausforderung moderner Sicherheitsabläufe: zu viele Warnmeldungen und zu wenige Analysten. Unternehmen, denen es an internem Fachwissen mangelt, können Managed Detection and Response Services nutzen, um auf diese Fähigkeiten zuzugreifen.
Extended Detection and Response (XDR) vereint die Transparenz über Netzwerk-, endpoint, Identitäts- und cloud hinweg. Anstatt isolierte Erkennungstools zu betreiben, korreliert XDR Signale über die gesamte Angriffsfläche hinweg, um Bedrohungen zu identifizieren, die sich über mehrere Domänen erstrecken.
Dieser einheitliche Ansatz erweist sich als besonders wertvoll für die Erkennung komplexer Angriffe, die während der lateralen Bewegung und der Datenerfassungsphase mehrere Systeme betreffen. Ein Angreifer, der von einem kompromittierten endpoint aus endpoint gestohlenen Anmeldedaten auf cloud zugreift, erfordert eine Korrelation zwischen cloud, endpoint und Identitäts-Telemetrie, um erkannt zu werden – genau das Szenario, das XDR abdeckt.
Die Zero-Trust-Architektur geht davon aus, dass Angreifer einen ersten Zugriff erlangen, und konzentriert sich darauf, ihre Möglichkeiten zur lateralen Bewegung und zum Zugriff auf sensible Ressourcen einzuschränken. Unternehmen, die zero trust implementieren, zero trust durch die Verringerung des Umfangs und der Auswirkungen von Kompromittierungen 1,04 Millionen US-Dollar pro Sicherheitsverletzung.
Zu den wichtigsten Zero-Trust-Prinzipien gehören:
Angesichts der Tatsache, dass mittlerweile 30 % aller Sicherheitsverletzungen mit Drittanbietern in Verbindung stehen, müssen Unternehmen ihre Sicherheitsprogramme auf die Lieferkette ausweiten:
Der Ansatz Vectra AI zur Erkennung von Datenverletzungen konzentriert sich auf Attack Signal Intelligence, bei dem KI eingesetzt wird, um Bedrohungen anhand des Verhaltens der Angreifer und nicht anhand bekannter Signaturen zu erkennen und zu priorisieren. Diese Methodik trägt der Tatsache Rechnung, dass Angreifer unweigerlich einen ersten Zugriff erlangen – der Fokus verlagert sich daher auf die Erkennung böswilliger Aktivitäten wie laterale Bewegungen, Privilegieneskalation und Datenstaging, bevor es zu einer Exfiltration kommt.
Durch die gleichzeitige Überwachung des Netzwerkverkehrs, cloud und der Identitätssysteme mithilfe von NDR-Funktionen können Unternehmen Anzeichen für Sicherheitsverletzungen erkennen, die herkömmliche Tools übersehen. Dies erweist sich als besonders wertvoll für die 61 % der Sicherheitsverletzungen, bei denen Anmeldedaten kompromittiert wurden. In diesen Fällen erscheinen die Angreifer für signaturbasierte Tools als legitim, weisen jedoch bei einer ganzheitlichen Analyse erkennbare Verhaltensauffälligkeiten auf.
Die Cybersicherheitslandschaft entwickelt sich weiterhin rasant, wobei die Gefahr von Datenverstößen an vorderster Front der neuen Herausforderungen steht. In den nächsten 12 bis 24 Monaten sollten sich Unternehmen auf mehrere wichtige Entwicklungen vorbereiten.
Künstliche Intelligenz demokratisiert hochentwickelte Angriffsfähigkeiten. Tools, für die früher die Ressourcen eines Staates erforderlich waren, ermöglichen es nun auch weniger versierten Akteuren, komplexe Kampagnen durchzuführen. Es ist mit einem anhaltenden Wachstum in folgenden Bereichen zu rechnen:
Die derzeit 16 % der Sicherheitsverletzungen, an denen KI beteiligt ist, sind ein Frühindikator für einen wachsenden Trend. Unternehmen müssen in KI-gestützte Abwehrmaßnahmen investieren, um mit den Fähigkeiten der Angreifer Schritt zu halten.
Die Durchsetzung der NIS2-Richtlinie wird bis 2025 beschleunigt voranschreiten, da die EU-Mitgliedstaaten die Anforderungen umsetzen und erste Strafen verhängen. Die Bestimmungen der Richtlinie zur persönlichen Haftung von Führungskräften werden die Aufmerksamkeit der Vorstandsebene auf Sicherheitsprogramme lenken.
In den Vereinigten Staaten nehmen die Datenschutz- und Meldepflichten bei Datenschutzverletzungen auf Bundesstaatenebene weiter zu, was zu einer komplexen Compliance-Landschaft führt. Maßnahmen des Bundes hinsichtlich nationaler Standards für die Meldung von Datenschutzverletzungen könnten dieses Flickwerk letztendlich vereinfachen, aber Unternehmen sollten sich auf eine anhaltende Fragmentierung der Vorschriften einstellen.
Die Verdopplung der Beteiligung Dritter an Sicherheitsverletzungen signalisiert einen strukturellen Wandel in der Art und Weise, wie Angriffe ablaufen. Da Unternehmen ihre direkten Abwehrmaßnahmen verstärken, nehmen Angreifer zunehmend die Lieferkette ins Visier. Zu den Empfehlungen zur Vorbereitung gehören:
Sicherheitsverantwortliche sollten Investitionen priorisieren, die dokumentierte Muster von Sicherheitsverletzungen bekämpfen:
Organisationen, die ihre Investitionen auf evidenzbasierte Risikominderung ausrichten, werden diejenigen übertreffen, die sich auf allgemeine Sicherheitsausgaben verlassen.
Datenverstöße gehören auch 2025 zu den größten Bedrohungen für Unternehmen. Die durchschnittlichen weltweiten Kosten in Höhe von 4,44 Millionen US-Dollar – und 10,22 Millionen US-Dollar für US-Unternehmen – sind nur der Anfang der Auswirkungen von Datenverstößen, wie die Einigung von AT&T in Höhe von 177 Millionen US-Dollar zeigt. Für Sicherheitsexperten erfordert der Weg in die Zukunft sowohl ein Verständnis der Bedrohungslage als auch die Implementierung evidenzbasierter Abwehrmaßnahmen.
Die Muster sind eindeutig: Bei 61 % der Sicherheitsverletzungen handelt es sich um kompromittierte Anmeldedaten, bei 30 % um Drittanbieter und bei 75 % der Systemeinbrüche um ransomware. Unternehmen, die diese spezifischen Vektoren durch Identitätsschutz, Sicherheit in der Lieferkette und ransomware angehen, werden diejenigen übertreffen, die sich auf allgemeine Sicherheitsverbesserungen konzentrieren.
Technologieinvestitionen sind wichtig – KI-gestützte Erkennung ermöglicht eine um 80 Tage schnellere Identifizierung und Einsparungen in Höhe von 1,9 Millionen US-Dollar –, aber Technologie allein reicht nicht aus. Unternehmen mit formellen Plänen zur Reaktion auf Vorfälle sparen 1,2 Millionen US-Dollar pro Sicherheitsverletzung, während eine Zero-Trust-Architektur die Kosten um 1,04 Millionen US-Dollar senkt. Diese organisatorischen Fähigkeiten vervielfachen den Wert technischer Kontrollen.
Die regulatorischen Rahmenbedingungen werden immer strenger, wobei die Bestimmungen zur Haftung von Führungskräften gemäß NIS2 die Sicherheit auf Vorstandsebene in ganz Europa in den Fokus rücken. Unternehmen, die Compliance als Mindeststandard und nicht als Höchststandard betrachten und regulatorische Anforderungen als Ausgangspunkt für umfassende Sicherheitsprogramme nutzen, werden sich als besonders widerstandsfähig erweisen.
Für Sicherheitsteams, die die Abwehrmaßnahmen ihrer Organisation gegen Datenverstöße verstärken möchten, ist es ein logischer nächster Schritt, zu untersuchen, wie moderne KI-gestützte Erkennungs- und Reaktionsfunktionen die spezifischen Angriffsmuster angehen, die in aktuellen Daten zu Verstößen dokumentiert sind.
Eine Datenverletzung ist ein Sicherheitsvorfall, bei dem Unbefugte Zugriff auf vertrauliche, geschützte oder sensible Informationen erhalten. Dazu gehören personenbezogene Daten wie Namen und Sozialversicherungsnummern, Finanzdaten wie Kreditkarten- und Bankkontodaten sowie Geschäftsinformationen wie Geschäftsgeheimnisse und geistiges Eigentum.
Im Gegensatz zu einem Datenleck, bei dem es zu einer unbeabsichtigten Offenlegung ohne böswillige Absicht kommt, erfordert eine Datenschutzverletzung einen bestätigten unbefugten Zugriff – in der Regel durch Angreifer, die die kompromittierten Daten stehlen, verkaufen oder ausnutzen wollen. Der Data Breach „2025 Cost of a Data Breach bietet einen branchenüblichen Rahmen für die Definition und Messung der Auswirkungen von Datenschutzverletzungen.
Die drei Hauptkategorien von Verstößen sind:
Verstöße gegen die Authentifizierung und die Sicherheit von Anmeldedaten durch gestohlene Passwörter, Zugriffstoken und Sitzungscookies. Diese Verstöße ermöglichen weitere Angriffe, da gestohlene Anmeldedaten den Zugriff auf weitere Systeme ermöglichen. Ein Beispiel hierfür ist der Verstoß gegen die Sicherheit der nationalen öffentlichen Daten im Jahr 2024, bei dem Klartext-Anmeldedaten den Zugriff auf 2,9 Milliarden Datensätze ermöglichten.
Verstöße gegen den Schutz personenbezogener Daten, bei denen personenbezogene Daten (PII), geschützte Gesundheitsdaten (PHI) oder Finanzdaten offengelegt werden. Der Verstoß bei Change Healthcare, von dem 192,7 Millionen Patientenakten betroffen waren, fällt in diese Kategorie.
Verstöße durch Insider, die von Mitarbeitern verursacht werden – entweder durch böswillige Akteure oder durch fahrlässiges Verhalten. Der Coupang-Verstoß im Jahr 2025, bei dem ein ehemaliger Mitarbeiter nicht widerrufene Zugriffstoken ausnutzte, um 33,7 Millionen Datensätze zu kompromittieren, verdeutlicht das Risiko durch Insider.
Jeder Typ erfordert unterschiedliche Präventions- und Reaktionsstrategien, von der Sicherheit von Anmeldedaten und der Zugriffsverwaltung bis hin zur Überwachung interner Bedrohungen.
Die durchschnittlichen Kosten für Datenschutzverletzungen weltweit belaufen sich im Jahr 2025 laut einer Studie von IBM auf 4,44 Millionen US-Dollar, was einem Rückgang von 9 % gegenüber 4,88 Millionen US-Dollar im Jahr 2024 entspricht. Dieser Durchschnittswert verdeckt jedoch erhebliche Unterschiede:
Zu den Kosten zählen direkte Ausgaben wie Forensik und Behebung, indirekte Kosten wie Kundenabwanderung und Reputationsschäden sowie langfristige Auswirkungen wie Bußgelder und gerichtliche Vergleiche. Der Vergleich von AT&T in Höhe von 177 Millionen US-Dollar zeigt, wie sich die Kosten für Datenschutzverletzungen durch Rechtsstreitigkeiten über Jahre hinweg summieren.
Im Jahr 2025 benötigen Unternehmen durchschnittlich 241 Tage, um eine Sicherheitsverletzung zu erkennen und einzudämmen – ein Neunjahrestief, eine Verbesserung gegenüber den zuvor benötigten 258 Tagen. Diese Kennzahl umfasst die durchschnittliche Zeit bis zur Erkennung (MTTD) und die durchschnittliche Zeit bis zur Reaktion (MTTR).
Unternehmen, die in großem Umfang KI und Automatisierung einsetzen, erkennen Sicherheitsverletzungen 80 Tage schneller und sparen im Vergleich zu Unternehmen ohne diese Fähigkeiten 1,9 Millionen US-Dollar. Diese dramatische Verbesserung zeigt den Wert von KI-gestützten Sicherheitstools für die Erkennung und Reaktion auf Sicherheitsverletzungen.
Die Erkennungszeit variiert je nach Art des Angriffs erheblich. Ransomware mit offensichtlichen Auswirkungen werden schnell erkannt, während ausgeklügelte Datendiebstähle möglicherweise monatelang unbemerkt bleiben, bevor sie entdeckt werden. Der Durchschnitt von 241 Tagen unterstreicht, warum Prävention nach wie vor von entscheidender Bedeutung ist – oft entsteht bereits erheblicher Schaden, bevor der Angriff entdeckt wird.
Wenn eine potenzielle Sicherheitsverletzung entdeckt wird, sollten Unternehmen:
Der Leitfaden der FTC Data Breach enthält detaillierte Anweisungen zur Entwicklung von Reaktionsverfahren.
Laut einer Studie aus dem Jahr 2025 sind kompromittierte Anmeldedaten für 61 % aller Sicherheitsverletzungen verantwortlich, wodurch der Diebstahl von Anmeldedaten zum dominierenden Angriffsvektor wird. Angreifer beschaffen sich Anmeldedaten durch phishing , Credential Stuffing unter Verwendung zuvor gestohlener Passwörter und den Kauf von Anmeldedaten auf Dark-Web-Märkten.
Weitere wichtige Ursachen sind:
Der Vorfall bei Change Healthcare verdeutlicht mehrere Faktoren: gestohlene Anmeldedaten (61 % der Anmeldedatenvektoren), die auf nicht näher bekannte Weise erlangt wurden und für den Zugriff auf ein System ohne MFA-Schutz verwendet wurden, gefolgt vom ransomware (75 % der ransomware ).
Die Anforderungen variieren je nach Gerichtsbarkeit erheblich:
DSGVO (Europäische Union): Unternehmen müssen Aufsichtsbehörden innerhalb von 72 Stunden benachrichtigen, nachdem sie Kenntnis von einer Datenschutzverletzung erhalten haben, die EU-Bürger betrifft. Die Strafen können bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen.
NIS2 (Europäische Union): Organisationen in kritischen Sektoren müssen innerhalb von 24 Stunden eine Frühwarnung über schwerwiegende Vorfälle herausgeben und anschließend innerhalb von 72 Stunden einen vollständigen Bericht vorlegen. Die Strafen können bis zu 10 Millionen Euro oder 2 % des Umsatzes betragen, und die Richtlinie führt eine persönliche Haftung der Führungskräfte ein.
HIPAA (Vereinigte Staaten): Gesundheitsorganisationen müssen betroffene Personen innerhalb von 60 Tagen nach Entdeckung benachrichtigen. Verstöße, von denen mehr als 500 Personen betroffen sind, müssen den Medien gemeldet und dem HHS gemeldet werden. Die jährlichen Strafhöchstbeträge erreichen 1,5 Millionen US-Dollar pro Verstoßkategorie.
US-Bundesstaaten: Alle 50 Bundesstaaten haben Gesetze zur Benachrichtigung bei Datenschutzverletzungen mit unterschiedlichen Anforderungen. Kalifornien führt 2026 eine 30-Tage-Frist ein, während andere Bundesstaaten von einer „angemessenen Frist” bis hin zu bestimmten Tagen reichen.
Organisationen, die mehreren Rechtsordnungen unterliegen, müssen die strengsten geltenden Anforderungen erfüllen. Internationale Datenübertragungen erhöhen die Komplexität zusätzlich, da Verstöße in jeder Rechtsordnung, in der betroffene Personen ansässig sind, Verpflichtungen auslösen können.
Ein Notfallplan ist von entscheidender Bedeutung, wenn es darum geht, schnell und effektiv auf Datenschutzverletzungen zu reagieren, falls diese auftreten. Ein gut vorbereiteter Plan beschreibt die Schritte, die zur Eindämmung des Verstoßes, zur Bewertung des Schadens, zur Benachrichtigung der betroffenen Parteien und zur Wiederherstellung der Dienste unternommen werden müssen, um die Auswirkungen auf das Unternehmen zu minimieren.
Vorschriften wie die Allgemeine Datenschutzverordnung (GDPR) und der California Consumer Privacy Act (CCPA) schreiben strenge Datenschutzmaßnahmen und die Meldung von Datenschutzverletzungen vor. Die Einhaltung dieser Vorschriften erfordert einen proaktiven Ansatz für die Datensicherheit, einschließlich der Implementierung robuster Datenschutzmaßnahmen und Verfahren zur Meldung von Datenschutzverletzungen.
Zu den künftigen Trends gehören die zunehmende Nutzung von künstlicher Intelligenz und maschinellem Lernen für die prädiktive Erkennung von Bedrohungen, die Verwendung von Blockchain für die sichere Speicherung von Daten und Transaktionen sowie die zunehmende Betonung von "Privacy by Design"-Prinzipien bei der Softwareentwicklung, um die Datensicherheit von Anfang an zu verbessern.