Durch die zunehmende Omnipräsenz mobiler Geräte und die Nutzung von Online-Diensten ist die Menge digitaler Daten in den vergangenen Jahren exponentiell gewachsen. Der rapide Anstieg der von Unternehmen aufbewahrten Datenmenge hat auch Cyberkriminelle angezogen, die heute auf immer ausgefeiltere Tools und Techniken zurückgreifen. Dabei sind die Bereiche Datenverwaltung und -sicherheit für viele der betroffenen Unternehmen noch Neuland. Die durch Cyberkriminalität verursachten Kosten sind für globale Unternehmen heute um 60 % höher als noch vor fünf Jahren, wobei diese Zahl in den USA sogar auf über 80 % geklettert ist (siehe Abb. 1). Kein Unternehmen kann es sich heute leisten, die Bedrohung zu ignorieren, und Regulierungsbehörden wie das britische Information Commissioner’s Office (ICO) intensivieren Maßnahmen zur Durchsetzung. Damit wird jedoch gerade einmal die Spitze des Eisbergs behandelt.
Quelle: ico.org.uk, Accenture & Ponemon Institute’s 2017 Cost of Cyber Crime Study, Cisco Global Cloud Index.
Was ist unter Cyberrisiko zu verstehen?
Cyberrisiken sind ein weit gefasster Begriff. Die meisten Personen verstehen darunter das Risiko, Verluste oder Schäden durch Sicherheitsverstöße oder Angriffe auf Informationssysteme zu erleiden. Diese Verluste können vielfältiger Natur sein: Es kann sich beispielsweise um direkte finanzielle Schäden, Rufschädigungen oder Betriebsunterbrechungen handeln. Jüngste, weitläufig bekannte Angriffe (WannaCry, Petya, Equifax etc.) haben dazu geführt, dass das Bewusstsein für dieses Thema geschärft wurde; gleichzeitig haben sie auch die Aufmerksamkeit der Regulierungsbehörden auf sich gezogen. Mit Cyberrisiken wird im Allgemeinen der Datenschutz in Verbindung gebracht, der auch im Mittelpunkt der neuen Datenschutz-Grundverordnung (DSGVO) der EU steht, die im Mai 2018 in Kraft trat. Dieses Gesetz wurde zu einem weltweiten De-facto-Standard; es verdeutlicht und legt präzise dar, was sensible Daten sind und wer die Nutzungsrechte besitzt. Zudem wird Unternehmen die Verantwortung dafür zugewiesen, Kundendaten sicher aufzubewahren. Gelingt ihnen dies nicht, drohen hohe Geldstrafen.
Warum sollten Anleger sich für dieses Thema interessieren?
Cyberkriminalität stellt eine wesentliche Risikoquelle für Unternehmen dar, insbesondere für solche, die über signifikante immaterielle Vermögenswerte wie Marken, Kundenbeziehungen oder Technologien verfügen. Die negativen Auswirkungen, die Datenschutzverletzungen auf eine Marke haben können, ziehen die Wettbewerbsfähigkeit sowie die künftigen Umsätze und Cashflows von Unternehmen direkt in Mitleidenschaft. Datenschutzverletzungen decken oftmals unzureichende Geschäftsführungspraktiken und Schwächen in der Managementstruktur auf; zwar lassen sich Personen und Verfahren schnell ersetzen, doch das Vertrauen des Marktes und der Kunden wiederzugewinnen, dauert wesentlich länger.
Interaktion als wesentlicher Faktor
Unseres Erachtens sollten Anleger ein besonderes Augenmerk darauf richten, wie gut Unternehmen gegen Cyberereignisse gerüstet sind. Nur, wenn ein Unternehmen einen vielschichtigen Ansatz verfolgt, kann darauf vertraut werden, dass bei einem tatsächlichen (nicht potenziellen) Angriff Prozesse und Ressourcen zur Verfügung stehen, um die Auswirkungen auf den Betrieb und die Fähigkeit zur Wertschöpfung zu minimieren.
Um dieses Verständnis zu entwickeln, ist es erforderlich, über eine formelhafte Bewertung von Richtlinien hinauszugehen. Wir sind der Ansicht, dass die direkte Interaktion mit den Unternehmen das beste Mittel ist, um entsprechende Erkenntnisse zu gewinnen. Bei unserer umfassenden Auseinandersetzung mit dem Thema haben wir uns auf einige wesentliche Bereiche konzentriert:
- Governance: Verfügt der Vorstand über ein ausreichendes Verständnis des Themas Cyberrisiken?
- Expertise: Verfügt das Unternehmen intern über die erforderlichen Kompetenzen, um Cyberrisiken zu bewältigen? Greift es auf externe Fachleute zurück?
- Technologie: Setzt das Unternehmen in technischer Hinsicht Best Practices um?
Da Cyberrisiken viele verschiedene Geschäftsmodelle betreffen, haben wir die Sicherheitsverantwortlichen (CISO) oder Datenschutzbeauftragten (DPO) von zehn Unternehmen befragt, in die Schroders investiert. Ihr Tätigkeitsbereich umfasst etwa Sektoren wie Finanzdienstleistungen, Technologie und Telekommunikation.
Wesentliche Erkenntnisse: Expertise und Verantwortung des Vorstands
Dank dieser direkten und umfassenden Gespräche konnten wir die entscheidenden Informationen ausmachen und Stärken und Schwächen auf Unternehmensebene besser verstehen. Die wesentlichen Faktoren sind unseres Erachtens:
- Expertise: Es ist von essentieller Bedeutung, dass ein Unternehmen über ein kompetentes Team aus Fachexperten im Bereich der Cybersicherheit verfügt. Dieses Team muss unter der Leitung eines CISO/DPO stehen, der wiederum nach Möglichkeit an den CEO oder den Vorstand berichtet. Zudem sollte das Sicherheitsteam regelmäßig auf externe Fachexperten zurückgreifen, um im Hinblick auf neue Bedrohungen und Sicherheitstools stets auf dem neuesten Stand zu bleiben. Spezifische Technologieprozesse wie Penetrationstests, Sicherheitspatches usw. sollten intern direkt vom Team kontrolliert werden.
- Verantwortung auf Vorstandsebene: Auf Seiten des Vorstands sind spezifische Kompetenzen erforderlich, um einschätzen zu können, ob das Unternehmen auf betrieblicher sowie Führungsebene über geeignete Ressourcen zur Kontrolle von Cyberrisiken verfügt.
Untersuchen wir das Maß an Kompetenz und Verantwortung eines Unternehmensvorstands, bieten wir unseren Analysten und Fondsmanagern damit eine Grundlage, auf der sie ihre Fragen an die Managementteams aufbauen und die Antworten mit entsprechenden Vergleichsgruppen abgleichen können.
Darüber hinaus sehen wir nach den Gesprächen nun einige Bereiche mit anderen Augen; Bereiche, die generell als wichtig angesehen werden, von den Unternehmen jedoch häufig unbeachtet bleiben. Zum Beispiel deckten unsere Gespräche die folgenden Schwachstellen auf: Fokus auf ISO27001 (ein IT-Standard, den branchenführende Unternehmen intern umsetzen), Versicherungen gegen Cyberrisiken (die derzeit erhältlichen Produkte decken die Risiken nur begrenzt ab) und Leitlinien zu Cybersicherheit/Datenschutz (die zwar für Compliance-Zwecke wichtig sind, bei der tatsächlichen Bewältigung von Cyberrisiken jedoch weniger hilfreich scheinen).
Fazit: zielgerichteter Austausch
Cyberrisiken gewinnen für alle Unternehmen zunehmend an Bedeutung. Wir als Investoren müssen ein umfassenderes Verständnis dafür entwickeln, wie gut die Unternehmen, die Bestandteil der Portfolios unserer Kunden sind, gegen diese Risiken gewappnet sind. Wir sind der Ansicht, dass ein gezielter Austausch mit den Unternehmen das effizienteste Mittel darstellt, um Einblicke in wesentliche Bereiche wie Risikobeherrschung und technische Kompetenzen auf Führungsebene zu gewinnen. Auf diese Weise können Anleger hier möglicherweise ungeeignete Methoden ausmachen, noch bevor diese Schaden anrichten können.
Rechtliche Hinweise
Die hierin geäußerten Ansichten und Meinungen stammen von Ovidiu Patrascu und stellen nicht notwendigerweise die in anderen Mitteilungen, Strategien oder Fonds von Schroders oder anderen Marktteilnehmern ausgedrückten oder aufgeführten Ansichten dar.