IBM hat den jährlichen Cost of a Data Breach Report veröffentlicht. In der aktuellen Ausgabe 2025 sind die durchschnittlichen Kosten eines Datenlecks in Deutschland auf 3,87Mio.€ (ca. 4,03 Mio.US$) pro Vorfall gesunken – im Vorjahr lagen sie noch bei 4,9Mio.€(ca. 5,31Mio.US$). Weltweit sank der Durchschnittswert auf 4,44Mio.US$ pro Vorfall. Die gesunkenen Kosten führt IBM teilweise auf eine schnellere Erkennung zurückzuführen, die durch den Einsatz von künstlicher Intelligenz (KI) in Security Operations Centern (SOC) ermöglicht wird.
Im Gegensatz dazu stiegen die Kosten pro Datenleck in den USA deutlich an: Dort meldeten Unternehmen einen Rekordwert von durchschnittlich 10Mio.US$ pro Vorfall (2024: 9,36Mio.US$). Als Ursache nennt IBM höhere Aufwendungen für Erkennung und Eskalation sowie höhere Bußgelder der Regulierungsbehörden. Leichte Kostensteigerungen verzeichneten im Report auch die Benelux-Länder, Kanada und Indien.
KI-Risiken werden noch unterschätzt
Die weltweit geringere Schadenshöhe führen die Studienverantwortlichen zum Teil auf den Einsatz von KI-gestützter Sicherheitssoftware zurück. Gleichzeitig meldeten jedoch 13% der befragten Unternehmen Sicherheitsvorfälle, bei denen KI-Modelle oder ?Anwendungen kompromittiert wurden; weitere 8% wussten nicht, ob sie in dieser Form betroffen waren. 97% der Betroffenen verfügten nicht über angemessene KI-Zugriffskontrollen. Die meisten dieser Vorfälle (29%) betrafen SaaS-basierte KI-Services von Drittanbietern, gefolgt von intern trainierten Lösungen (26%) und Open-Source-Modellen (26%).
Bei Datenlecks zählt jeder Tag
Die Zeitspanne zur Identifizierung und Eindämmung eines Vorfalls bleibt ein entscheidender Kostentreiber. Deutsche Unternehmen benötigten 2025 durchschnittlich 170 Tage, um Sicherheitsvorfälle zu erkennen und einzudämmen – 15 Tage weniger als im Vorjahr und 71 Tage unter dem weltweiten Durchschnitt. Damit weist Deutschland die kürzeste Reaktionszeit aller untersuchten Länder und Regionen auf.
Weitere wichtige Erkenntnisse des Reports für Deutschland:
KI-Governance: 52% der deutschen Unternehmen haben Richtlinien zur Regulierung des KI-Einsatzes und zur Eindämmung von „Schatten-KI“. Dieser Wert liegt über dem globalen Durchschnitt (37%). Jedoch verfügen in Deutschland nur 39% über explizite KI-Zugriffskontrollen. Fast jedes zweite Unternehmen (45%) setzt strenge Freigabeprozesse für KI-Anwendungen ein, was das engmaschige deutsche Regulierungsumfeld unterstreicht.
