Kosten von Datenlecks sinken – in Deutschland

Im Gegensatz dazu stiegen die Kosten pro Datenleck in den USA deutlich an: Dort meldeten Unternehmen einen Rekordwert von durchschnittlich 10 Millionen Dollar pro Vorfall (2024: 9,36 Millionen Dollar). Ursache sind höhere Aufwendungen für Erkennung und Eskalation sowie höhere Bußgelder der Regulierungsbehörden. Leichte Kostensteigerungen verzeichneten auch die Benelux-Länder, Kanada und Indien.

Die weltweit geringere Schadenshöhe ist zum Teil auf den Einsatz von KI-gestützter Sicherheitssoftware zurückzuführen. Gleichzeitig meldeten jedoch 13 % der befragten Unternehmen Sicherheitsvorfälle, bei denen KI-Modelle oder ‑Anwendungen kompromittiert wurden; weitere 8 % wussten nicht, ob sie in dieser Form betroffen waren. 97 % der Betroffenen verfügten nicht über angemessene KI-Zugriffskontrollen. Die meisten dieser Vorfälle (29 %) betrafen SaaS-basierte KI-Services von Drittanbietern, gefolgt von intern trainierten Lösungen (26 %) und Open-Source-Modellen (26 %).

Bei Datenlecks zählt jeder Tag
Die Zeitspanne zur Identifizierung und Eindämmung eines Vorfalls bleibt ein entscheidender Kostentreiber. Deutsche Unternehmen benötigten 2025 durchschnittlich 170 Tage, um Sicherheitsvorfälle zu erkennen und einzudämmen – 15 Tage weniger als im Vorjahr und 71 Tage unter dem weltweiten Durchschnitt. Damit weist Deutschland die kürzeste Reaktionszeit aller untersuchten Länder und Regionen auf. Aber ebenso wie in 2024 verzeichneten Industrieunternehmen die höchsten Durchschnittskosten pro Vorfall (2025: 6,67 Millionen Euro; 2024: 9,34 Millionen Euro), gefolgt von Pharmaunternehmen (4,62 Millionen Euro) und Finanzdienstleistern (4,46 Millionen Euro).

Einfallstor Lieferkette
In 16 % der deutschen Fälle erfolgte der Erstzugriff über die Lieferkette oder Drittanbietersysteme, was im Schnitt 4,52 Millionen Euro kostete. Phishing lag mit 14 % und 4,15 Millionen Euro Schaden an zweiter Stelle. Denial-of-Service-Attacken (ebenfalls 14 %) verursachten durchschnittlich 3,14 Millionen Euro. Gestohlene oder kompromittierte Anmeldedaten fielen von 20 % (Platz 1 im Vorjahr) auf 8 % (Platz 5), verursachten aber immer noch 4,2 Millionen Euro Schaden (2024: 5,11 Millionen Euro).

„Der erste Rückgang der Schadenshöhe von Datenlecks seit fünf Jahren ist eine gute Nachricht für die deutschen Unternehmen“, sagt Christine Barbara Müller, Partner & Head of Security Services DACH bei IBM Deutschland. „Trotzdem dürfen wir uns nicht ausruhen: KI-Anwendungen und die darunterliegende Infrastruktur haben in vielen Unternehmen eine starke strategische Bedeutung gewonnen und müssen auf Daten-, Modell und Zugriffsebene noch besser abgesichert werden. Zusätzlich muss der Einsatz von Schatten-KI durch Mitarbeitende eingedämmt werden, um dieses Einfallstor für Cyberkriminelle zu schließen. In diesen Bereichen sehe ich in Deutschland trotz steigenden Kostendrucks auf die Unternehmen weiterhin Luft nach oben“, so Müller.

Weltweite Beobachtungen

Organisationen mit hohem Einsatz von Schatten-KI (unregulierte, nicht autorisierte Nutzung von KI) verzeichneten durchschnittlich 670.000 Dollar höhere Kosten pro Datenleck als Unternehmen mit geringer oder keiner Schatten-KI – einer der größten Kostentreiber 2025. Nahezu 90 % der betroffenen Unternehmen meldeten Betriebsunterbrechungen, und lediglich ein Drittel hatte seine Systeme zum Zeitpunkt der Studie vollständig wiederhergestellt; die meisten benötigten dafür mehr als 100 Tage. 

Laut der aktuellen Studie lehnten 63 % der befragten Organisationen Erpressungsforderungen ab (2024: 59 %). Dennoch bleiben die durchschnittlichen Kosten von Erpressungs- oder Ransomware-Angriffen hoch – insbesondere, wenn der Angriff vom Täter offengelegt wird, bevor das Unternehmen ihn erkennt (5,08 Millionen Dollar). Und nur 49 % der teilnehmenden Unternehmen und Organisationen planen nach einem Vorfall zusätzliche Sicherheitsinvestitionen (2024: 63 %). Weniger als die Hälfte davon will explizit KI-gestützte Lösungen priorisieren.