Im Fokus

Warum Cybersicherheit für Investierende relevant ist


Laut einer Studie von Accenture verlassen sich heutzutage 100 % der Unternehmen auf das Internet, während es vor 10 Jahren nur jedes vierte war.

Berücksichtigt man neben dieser größeren Konnektivität noch die ständig wachsenden Datenmengen, die von den Unternehmen verarbeitet werden, sowie das Arbeiten im Home Office seit Covid-19, dann ist es offensichtlich, warum Cyberkriminalität ein großes Risiko für Unternehmen darstellt.

Cyberkriminalität in den Schlagzeilen 

In jüngster Zeit gab es eine Reihe von aufsehenerregenden Cyberangriffen, bei denen große Unternehmen erpresst wurden. 

Colonial Pipeline, die größte Treibstoffpipeline in den USA, JBS, das weltweit größte fleischverarbeitende Unternehmen, Irlands nationaler Gesundheitsdienst und südafrikanische Schiffsterminals sind nur einige der jüngsten Opfer von Ransomware-Angriffen. 

Ein Ransomware-Angriff ist ein Cyberangriff, bei dem Benutzer*innen aus den eigenen Dateien oder Systemen ausgesperrt werden und ein Lösegeld als Gegenleistung für den Zugang gefordert wird. Im Fall von Colonial Pipeline betrug das Lösegeld 4,4 Mio. US-Dollar, während JBS gezwungen war, umgerechnet 11 Mio. US-Dollar zu zahlen. 

Weitere Beispiele sind das Devisenunternehmen Travelex, das Anfang 2020 um ein Lösegeld in Höhe von 6 Mio. US-Dollar erpresst wurde, der Angriff auf British Airways im Jahr 2018 (der zu einer Geldstrafe in Höhe von 26 Mio. US-Dollar führte, weil das Unternehmen keine ausreichenden Sicherheitsvorkehrungen getroffen hatte) und der Hack in die Systeme der Zentralbank von Bangladesch im Jahr 2016, bei dem Kriminelle 81 Mio. US-Dollar erbeuteten.

Viele Angriffe schaffen es gar nicht in die Schlagzeilen. Weltweit sollen im Jahr 2020 mehr als 30 Milliarden Datensätze gestohlen worden sein. Das ist mehr als in den 15 Jahren zuvor zusammengenommen. Allein in den USA erhielt das FBI im Jahr 2020 eine Rekordzahl von fast 800.000 Beschwerden über Cyberkriminalität, was einem Anstieg von 69 % gegenüber 2019 entspricht, wobei sich die gemeldeten Verluste auf mehr als 4,1 Mrd. US-Dollar beliefen. In Europa stiegen die Cyberangriffe 2020 im Vergleich zu 2019 um 75 %. 

Prävention von Cyberkriminalität: Die Ausgaben steigen 

Laut dem Forschungsunternehmen Cybersecurity Ventures werden sich die Kosten der Cyberkriminalität 2021 weltweit auf jährlich 6 Bio. US-Dollar und bis 2025 auf 10,5 Bio. US-Dollar belaufen. Zu den Kosten der Cyberkriminalität gehören Schäden und Verluste von Daten, Geld, Produktivität und geistigem Eigentum, Betriebsunterbrechungen, die Wiederherstellung von gehackten Daten und Systemen sowie Reputationsschäden. 

Infolgedessen sind die Ausgaben für Schutzmechanismen in die Höhe geschnellt. Es wird erwartet, dass die weltweiten Ausgaben für Cybersicherheitsprodukte und Dienstleistungen zwischen 2020 und 2026 mit einer durchschnittlichen jährlichen Wachstumsrate (CAGR) von 7,7 bis 14,5 % steigen werden. Die CAGR gibt die Wachstumsrate über mehrere Zeiträume an, wobei die Zinseszinsen berücksichtigt werden. 

Abbildung 1: Ausgaben für die Cybersicherheit dürften um 7,7 bis 14,5 % CAGR steigen (Mrd. USD p.a.)

Was ist Cyberkriminalität? 

Die Cyber- bzw. Internetkriminalität kann verschiedene Formen annehmen und wird immer raffinierter. In den meisten Fällen klicken Benutzer*innen unwissentlich auf gefährliche Links oder öffnen schädliche Anhänge, die bösartige Software (so genannte Malware) installieren, die Offenlegung vertraulicher Informationen ermöglichen und legitime Benutzer am Zugriff auf notwendige Systeme und Daten hindern.

Abbildung 2: Arten von Cyberangriffen

Schwachstellen bei der Cyberabwehr

E-Mails sind der häufigste Weg, über den Angriffe in die Systeme und Daten eines Unternehmens eindringen. Die größte Schwachstelle sind daher die Mitarbeitenden, denn die Hauptursache für Cybersecurity-Vorfälle sind Berichten zufolge menschliches Versagen. Das können Mitarbeitende sein, die es versäumen, Sicherheitsupdates rechtzeitig zu installieren, kein ausreichend sicheres Passwort zum Schutz sensibler Daten verwenden oder auf Phishing-E-Mails hereinfallen.

Weltweit betrachten 43 % der Unternehmen die Naivität der Mitarbeitenden in Bezug auf die Cybersicherheit als ihre größte organisatorische Schwachstelle, so der 2021 State of Email Security Report des Cybersicherheitsanbieters Mimecast. In einigen Ländern ist dieser Prozentsatz deutlich höher: In Großbritannien, den Niederlanden, Südafrika und in den Vereinigten Arabischen Emiraten sehen 50 % oder mehr der Befragten die mangelnden Cyber-Kenntnisse der Mitarbeitenden als große Gefahr für die Sicherheit ihrer Unternehmen an, so die Umfrage.

Rob Hyde, Chief Information Security Officer und Leiter Enterprise Technology bei Schroders, kommentiert: „Die Schulung unserer Mitarbeitenden ist unsere beste Verteidigung gegen Cyberangriffe. Wir verfügen zwar über hochsichere Produkte, aber um unsere Systeme und Daten effektiv zu schützen, müssen wir auch sicherstellen, dass unsere Mitarbeitenden wissen, wie sie verdächtige E-Mails oder Links erkennen können. 

Unternehmen haben vier Hauptgegner, vor denen wir uns schützen müssen. Ein böswilliger Outsider ist eine Person außerhalb des Unternehmens, die versucht, unsere Verteidigungsmaßnahmen zu durchdringen, um an sensible oder geschützte Informationen zu gelangen. Der böswillige Insider ist ein ähnlicher Fall, allerdings handelt es sich um einen Mitarbeitenden, dem wir den Zugang zu solchen Informationen anvertraut haben. Gutwillige Insider sind Mitarbeitende, die unwissentlich Teil eines versuchten Angriffs geworden sind, indem sie auf einen schädlichen Link geklickt oder eine schädliche E-Mail geöffnet haben. Schließlich gibt es noch Lieferant*innen – wir gehen schließlich ein Risiko ein, wenn wir die Dienste von Drittanbietern in Anspruch nehmen.

Wir haben Maßnahmen ergriffen, um uns gegen alle vier Arten von Angriffen zu schützen, und verbessern unseren Schutz ständig, da die Angreifer*innen immer raffiniertere Methoden anwenden, um in unsere Abwehrsysteme einzudringen. Das Aufkommen von Kryptowährungen beispielsweise bietet Angreifer*innen die Möglichkeit, auf eine Art und Weise von ihren Aktionen zu profitieren, die das traditionelle Finanzdienstleistungssystem nur sehr schwer zulassen würde.“ 

Cyberkriminalität kann erhebliche Auswirkungen auf Finanzunternehmen haben

Jedes Unternehmen, das das Internet nutzt, ist ein potenzielles Ziel für Cyberkriminelle, und ein Cyberangriff kann erhebliche Auswirkungen auf ein Unternehmen haben, sei es in finanzieller oder betrieblicher Hinsicht.

Hinzu kommt der Reputationsschaden, der durch Sicherheitsverletzungen entsteht. Laut einer Studie von HSBC dauert es im Durchschnitt zwei Jahre, bis sich der Ruf eines Unternehmens von der Aufdeckung einer Datenschutzverletzung erholt. In der Zwischenzeit verlieren die Aktienkurse der betroffenen Unternehmen in den folgenden drei Jahren 15,6 % an Wert. 

Abb. 3 & 4: Auswirkungen von Datenschutzverletzungen auf Reputation und Aktienkurs

Der Finanzsektor ist in der Regel am stärksten betroffen: Mit durchschnittlich -16,7 % gegenüber der NASDAQ verzeichnete er den stärksten Kursrückgang im Vergleich zum Technologiesektor mit durchschnittlich -2,9 %. 

Abbildung 5: Der Finanzsektor schneidet tendenziell am schlechtesten ab

Bewertung der Cyber-Vorbereitung eines Unternehmens 

Die Cyberbereitschaft eines Unternehmens sollte bei der Investitionsentscheidung der Anleger*innen eine entscheidende Rolle spielen. Es ist ein Geschäftsrisiko, das Anleger*innen nicht ignorieren können, so Samuel Thomas, Analyst für nachhaltige Investitionen bei Schroders.

„Wir verwenden unser eigenes ESG-Tool, CONTEXT, um zu messen, wie gut ein Unternehmen Cyber-Risiken managt. Dabei wird geprüft, ob die Unternehmen über eine Cybersicherheitszertifizierung verfügen, und es wird eine Rangliste erstellt, in der die Unternehmen danach bewertet werden, wie gut sie die Daten ihrer Kund*innen schützen. 

Wir gewinnen weitere Erkenntnisse durch die direkte Einbindung von Unternehmen, wobei wir uns darauf konzentrieren, wie gut ein Unternehmen Fragen wie diese beantworten kann: 

1) Liegt die Verantwortung für Cybersicherheit und Datenschutz auf der Ebene des Vorstands und der Geschäftsführung? 

2) Wie sieht das technische Know-how des Unternehmens aus? 

3) Wie werden Mitarbeitende und Lieferant*innen geschult und überwacht? 

4) In welchem Umfang arbeitet das Unternehmen mit externen Cybersicherheitsspezialist*innen zusammen?“ 

Die Fondsmanager Katherine Davidson und Charles Somers verwenden den oben beschriebenen Ansatz, um die Cyberbereitschaft der Unternehmen zu bewerten, in die sie investieren.

Katherine Davidson sagt: „Idealerweise würden wir uns wünschen, dass im Vorstand und in der Geschäftsführung der Unternehmen, in die wir investieren, mehr Fachwissen über Cybersicherheit und Datenschutz vorhanden ist. Dazu gehört in der Regel ein Chief Information Security Officer oder Datenschutzbeauftragte, die für Cyber-Angelegenheiten zuständig sind.“ 

Untersuchungen der Wirtschaftsprüfungsgesellschaften Deloitte und Grant Thornton haben ergeben, dass 2018 nur 8 % der FTSE 100-Vorstände einen Chief Information Security Officer (CISO) aufwiesen. Über ein Drittel der FTSE-350-Unternehmen, die Technologie und Cybersicherheit als zentrales Geschäftsrisiko für 2019 angaben, haben keine Personen mit entsprechenden Fachkenntnissen in ihren Vorständen. In den Sektoren Öl und Gas, Konsumgüter und Finanzen lag diese Zahl bei 50 % oder mehr.

„Wir wollen auch sehen, dass angemessene Schutzsysteme und Kontrollen vorhanden sind, dass diese Systeme und Kontrollen rigoros und systematisch getestet werden und dass die Sicherheitssoftware regelmäßig aktualisiert wird,“ so Charles Somers.

„Für uns ist es auch wichtig, dass Mitarbeitende und Lieferant*innen angemessen geschult werden und dass das Sicherheitsteam externe Spezialist*innen hinzuzieht, um sich über Branchentrends und bewährte Verfahren auf dem Laufenden zu halten.“ 

Eine Auswahl der Unternehmen, bei denen Schroders die Cybersicherheit zum Thema machte

Angesichts der zunehmenden Bedeutung des Themas beschäftigen wir uns schon seit einiger Zeit mit Cyberrisiken und -sicherheit in Unternehmen. 

So haben wir uns beispielsweise 2018 mit zehn unserer Beteiligungsunternehmen aus Sektoren wie Finanzdienstleistungen, Technologie und Telekommunikation getroffen, was in diesem Artikel näher erläutert wird: Cyberrisiken: Wie Investierende sich auf das Unbekannte vorbereiten können

Im darauffolgenden Jahr 2019 haben wir uns mit der Hotelgruppe Marriott International, dem Pharmaunternehmen Lonza, dem Technologieunternehmen Science Applications International Corporation und dem Personaldienstleister Recruit getroffen.

Lonza: 

  • Unser Dialog mit Lonza hat uns einen tieferen Einblick in die Anwendung von Best Practices im Cyber-Bereich ermöglicht. 
  • Es gibt Fachwissen auf Vorstandsebene mit regelmäßigen Briefings durch das Topmanagement. 
  • Es gibt eine klare und direkte Managementverantwortung mit entsprechenden Teamressourcen. 
  • Das Risikomanagement erfolgt proaktiv auf Gruppenebene durch Penetrationstests, Interaktion mit Fachleuten von Dritten und Cyberversicherungen. 
  • Es gibt eine regelmäßige Kommunikation und Koordinierung zwischen den technischen Ansprechpartner*innen in den verschiedenen Geschäftsbereichen. 

Marriot International: 

  • Wir führen zwar unser eigenes Research intern durch, ergänzen dies aber durch die vierteljährliche Überprüfung externer Ratings, um sicherzustellen, dass wir die Risiken aus verschiedenen Perspektiven ganzheitlich bewerten. Eine Herabstufung durch MSCI, die auf die eingeschränkte Datenschutzpolitik und Datensicherheits-Governance des Unternehmens zurückzuführen war, die hinter denen anderer Unternehmen zurückblieb, sowie ein Vorfall im Bereich der Datensicherheit Ende 2018 waren der Anlass für unsere Einflussnahme. 
  • Insbesondere forderten wir eine bessere und transparentere Berichterstattung über die Verwaltung der Datensicherheit.
  • Das Unternehmen hat dies inzwischen in seine Nachhaltigkeitsberichterstattung aufgenommen.

Science Applications International Corporation: 

  • Nach einer Übernahme nahmen wir Kontakt mit dem Unternehmen auf, um Informationen darüber zu erhalten, wie es mit der Cybersicherheit umgeht. 
  • Wir haben festgestellt, dass das Unternehmen über die richtigen Instrumente und Verfahren verfügt, um Cybersicherheitsrisiken zu mindern, einschließlich einer angemessenen Aufsicht auf Vorstandsebene. 

Recruit:

  • Nach einer Datenschutzverletzung im September 2019 haben wir uns mit dem Unternehmen getroffen und eine Umstrukturierung vorgeschlagen, damit die Aufsicht über die Datensicherheit und den Datenschutz auf Vorstandsebene angesiedelt wird.
  • Rekrutierung von neuen Führungskräften, die diese Rolle auf Vorstandsebene nach dem Treffen ausfüllen. 

Im Jahr 2020 haben wir uns mit dem digitalen Dienstleistungsunternehmen Reply SpA und dem Anbieter von Sicherheitssystemen AssaAbloy getroffen. 

Reply SpA: 

  • Wir haben uns mit dem Unternehmen in Verbindung gesetzt, um Einblick in seine Datensicherheitspraktiken und sein Personalmanagement zu erhalten. 
  • Wir baten um zusätzliche Details zu Aspekten der Cyber-Resilienz-Strategie von Reply, um den Anleger*innen ein besseres Verständnis des Risikoniveaus und des Managementansatzes zu ermöglichen.
  • Insbesondere forderten wir eine stärkere Differenzierung der bestehenden Compliance-Mechanismen, wie z. B. den Umfang und die Häufigkeit von Audits und Teamschulungen zu Datenschutz und Datensicherheit. 

AssaAbloy: 

  • Wir haben eine Untersuchung durchgeführt, um mehr über die Cybersicherheitsprozesse und die Aufsicht des Unternehmens zu erfahren.
  • Wir waren mit der Antwort des Unternehmens zufrieden, forderten es jedoch auf, die direkte Aufsicht und das Fachwissen auf Vorstandsebene zu erweitern. 

 


Wichtige Informationen:

Die hierin enthaltenen Ansichten und Meinungen sind die der Autoren dieser Seite und repräsentieren nicht notwendigerweise die Ansichten, die in anderen Mitteilungen, Strategien oder Fonds von Schroders zum Ausdruck gebracht oder reflektiert werden. Dieser Artikel dient nur zu Informationszwecken und ist in keiner Weise als Werbematerial gedacht. Das Material ist nicht als Angebot oder Aufforderung zum Kauf oder Verkauf von Finanzinstrumenten gedacht. Das Material ist nicht als Buchhaltungs-, Rechts- oder Steuerberatung oder als Anlageempfehlung gedacht und sollte auch nicht als solche angesehen werden. Schroders geht davon aus, dass die hierin enthaltenen Informationen zuverlässig sind, übernimmt jedoch keine Gewähr für deren Vollständigkeit oder Richtigkeit. Für Irrtümer in Bezug auf Fakten oder Meinungen kann keine Verantwortung übernommen werden. Bei individuellen Investitions- und/oder strategischen Entscheidungen sollte man sich nicht auf die Ansichten und Informationen in diesem Dokument verlassen. Die Wertentwicklung in der Vergangenheit ist kein verlässlicher Indikator für künftige Ergebnisse, die Kurse von Aktien und die daraus erzielten Erträge können sowohl fallen als auch steigen, und Investierende erhalten möglicherweise nicht den ursprünglich investierten Betrag zurück.