Michaela Zhirova and Marjo Koivisto
Einleitung
Die Zahl von Cyberangriffen hat sich in den letzten fünf Jahren fast verdoppelt, und das Weltwirtschaftsforum schätzt die Kosten der Attacken auf USD 90 Bio.1 Geschwindigkeit und Ausmaß der Nutzung neuer Technologien in den unterschiedlichsten Branchen tragen sicherlich dazu bei, neue Angriffsflächen für Cyberkriminelle zu schaffen. Mit der Ausweitung der Test- und Pilotphasen zur neuen 5G-Technologie wird dieser Trend sich noch verstärken. Bei Cyberangriffen auf Unternehmen und staatliche Stellen kommt es u. a. zur Verletzung von Privatsphäre und Vertraulichkeit, zum Diebstahl wertvoller Daten, zur Gefährdung von Systemintegrität und Systemzugriff sowie zur Vernichtung von Daten. Hinzu kommt, dass Unternehmen trotz der in erschreckendem Maße zunehmenden Häufigkeit und Raffinesse der Attacken offenbar noch immer zu wenig in die Steuerung ihrer Cyberrisiken investieren. So kommt es, dass Chief Information Security Officers (CISOs) mangelnde Ressourcen als eines der zwei größten Probleme bezeichnen..
In diesem Responsible Investments-White Paper erörtern wir, warum Cybersicherheit unserer Ansicht nach als ESG-Risikofaktor in allen Branchen zunehmend an Bedeutung gewinnt, und geben Einschätzungen zu den wichtigsten finanziellen Folgen von Cyberangriffen in Unternehmen. Zudem haben wir die unterschiedlichen Branchen anhand ihrer Cyberrisiken bewertet und zeigen auf, welche Sektoren in unseren Augen besonders stark betroffen sind. Im Rahmen unseres auf die ESG-Faktoren ausgerichteten Aktionärsengagements haben wir ein Bewusstsein dafür entwickelt, Best Practices in den Bereichen Bedrohungserkennung, Governance, Sensibilisierung für das Umfeld und Integration von Maßnahmen zur Cybersicherheit in den Blick zu nehmen. Wir schlagen einen Fragebogen vor, der als Grundlage für die Errichtung einer Benchmark für die Widerstandsfähigkeit von Unternehmen gegen Cyberangriffe dienen kann, und erläutern unsere Erwartungen im Hinblick auf Best Practices, mit denen sich Unternehmen gegen Cyberrisiken wappnen.
Schwerwiegende Cyberangriffe: und ihre finanziellen Folgen für Unternehmen
Da die Erkennung, Einschätzung und Behebung von Cyberangriffen mitunter langwierig ist und operative Verluste verursachen kann, steigen die Kosten für die Unternehmen immer weiter an. Dies zeigt sich an einigen der bisher größten Schadsoftwareangriffe, wie z. B. durch NotPetya. Der Erpressungstrojaner wurde 2017 von ukrainischen Servern aus an große internationale Unternehmen verbreitet und verursachte bei diesen Verluste von insgesamt mehr als USD 10 Mrd.(2) Rechner auf der ganzen Welt wurden infiziert. Betroffen waren Unternehmen in diversen Branchen, von Gesundheitsdienstleistern bis hin zum dänischen Logistikunternehmen A.P. Møller-Maersk, das seinen Betrieb infolge des Angriffs für mehr als zehn Tage einstellen musste. (3)
Ein weiteres großes Unternehmen, das von einem schwerwiegenden Ransomware-Angriff betroffen war, ist Marriott. Am 8. September 2018 meldete ein internes Sicherheitstool einen verdächtigen Zugriffsversuch auf die interne Reservierungsdatenbank der Marriott-Tochter Starwood. Im Zuge der eingeleiteten internen Untersuchung des Vorfalls wurde festgestellt, dass das Netzwerk von Starwood, das 2016 von Marriott übernommen wurde, bereits im Jahr 2014 infiziert worden war. Berichten zufolge waren die ehemaligen Starwood-Hotels zum Zeitpunkt des Angriffs noch nicht auf das Marriott-eigene Reservierungssystem migriert worden, sondern nutzten noch immer die von Starwood übernommene IT-Infrastruktur. Bei der Untersuchung stellte Marriott fest, dass bei dem Angriff personenbezogene Daten verschlüsselt wurden und (vermutlich erfolgreich) versucht worden war, sie aus den Starwood-Systemen zu stehlen. Nachdem es Marriott gelungen war, die Daten zu entschlüsseln, wurde klar, dass es sich dabei um Informationen aus bis zu 500 Millionen Gästeeinträgen handelte, von denen viele äußerst sensible Informationen, wie Kreditkartendaten und Ausweisnummern, enthielten.
Auch finanziell traf der Trojaner Marriott hart: Im Juli 2019 wurde gegen den Hotelkonzern in Großbritannien eine Geldbuße von USD 126 Mio. wegen Verstoßes gegen die Datenschutz-Grundverordnung (DSGVO) verhängt. Für das zweite Quartal 2019 wies der Konzern einen Gewinnrückgang um 65% auf USD 232 Mrd. bzw. 69 Cent je Aktie aus(4). Darüber hinaus verhängte auch die türkische Datenschutzbehörde – nicht in Anwendung der DSGVO – wegen des Vorfalls ein Bußgeld in Höhe von TRY 1,5 Mio. (ca. USD 265.000) gegen die Hotelkette, was deutlich macht, dass ein einzelner Angriff weltweit mehrere Geldbußen nach sich ziehen kann. Im März 2019 schließlich wurde eine weitere Geldbuße von USD 28 Mio. verhängt (die sich jedoch wegen der Cyberversicherung von Marriott mit lediglich USD 3 Mio. im Konzernergebnis niederschlug).
Das Datenleck bei Marriott wurde am 30. November 2018 bekannt. Im darauffolgenden Monat brach der Aktienkurs des Hotelkonzerns um 17% ein, wobei allerdings der Dezember insgesamt volatil war und der Kurs im Vorjahr stark gestiegen war.
‘ Da die Erkennung, Einschätzung und Behebung von Cyberangriffen mitunter langwierig ist und operative Verluste verursachen kann, steigen die Kosten für die Unternehmen immer weiter an. ‘
Empirische Marktanalysen zeigen, dass Anleger sich tatsächlich von Unternehmen abwenden, die von Datenlecks betroffen sind. Für Unternehmen sollte dies ein wichtiger Anreiz sein, sich besser gegen mögliche Cyberangriffe zu wappnen. Eine aktuelle Untersuchung von an der NYSE notierten Unternehmen, die von einem öffentlich bekannt gewordenen Diebstahl von mindestens 1 Million Datensätzen betroffen waren, hat ergeben, dass die Aktienkurse dieser Unternehmen etwa zwei Wochen nach Bekanntwerden des Vorfalls ihren Tiefpunkt erreichten und infolge der Meldung im Durchschnitt etwa 7,27% nachgaben und damit im Schnitt 4,18% schlechter abschnitten als der NASDAQ(6) Dieselbe Studie kam zu dem Ergebnis, dass der Aktienkurs dieser Unternehmen, auch wenn sich die Auswirkungen des Datenlecks mit der Zeit abschwächten, (über einen Betrachtungszeitraum von einem oder zwei Jahren) hinter dem Markt zurückblieben.
Cyberrisiken als Gefahr für die Wertschöpfung: Wie lassen sich Kosten und Umsatzeinbußen bemessen?
Da sich Cyberangriffe im Einzelnen kaum vorhersehen lassen, gestaltet sich auch die genaue Bezifferung von Cyberrisiken schwierig. Zudem ergab eine kürzlich von Deloitte durchgeführte Befragung, dass Versicherungsgesellschaften aufgrund der problematischen finanziellen Modellierung sich rasch verändernder Bedrohungen nur ungern gegen Cyberrisiken versichern, da ständig neue Angreifer und Angriffsmethoden auf der Bildfläche erscheinen.(7) Schwerwiegende Cyberangriffe haben allerdings auch zu komplexeren Versicherungslösungen geführt, und so gaben Anbieter von Cyberversicherungen an, dass sich die szenariobasierten Risikomodellierungen der großen Cyberversicherer in den vergangenen drei bis vier Jahren immer mehr angeglichen haben.(8)
Im Rahmen einer 2019 durchgeführten Untersuchung zu den G2000-Unternehmen bezifferte Accenture die durchschnittlichen Gesamtkosten, die einem betroffenen Unternehmen 2017 durch eine Cyberattacke entstanden, auf USD 11,7 Mio. Dabei waren die Durchschnittskosten (ebenso wie die Zahl der Angriffe) gegenüber dem Vorjahr jedoch gestiegen, und zwar um USD 1,3 Mio.(9) Bei Unternehmen mit kleiner und mittlerer Marktkapitalisierung, die weniger Ressourcen für IT und operative Cyberresilienz aufbringen können, könnten diese Kosten sogar noch höher ausfallen. Über die genauen Kosten der Angriffe und die einzelnen Kostenfaktoren, z. B. die konkreten Ausfallzeiten oder notwendigen Investitionen in die Cybersicherheit, ist jedoch nur wenig bekannt. Wir möchten uns daher in diesem Artikel auch nicht an einer Kostenschätzung versuchen.
Stattdessen haben wir analysiert, in welchen Sektoren sich Cyberangriffe am stärksten auf die Wertschöpfung auswirken. Unser Fokus liegt dabei auf besonders bedrohten Sektoren, für die wir abschätzen, welche Geschäftsbereiche eines Unternehmens voraussichtlich einem besonders hohen Risiko ausgesetzt sind.
Damit wir uns nicht in technischen Einzelheiten verlieren, beruht unsere Bewertung auf allgemein gehaltenen Risikokonzepten. Für die Bewertung der einzelnen Sektoren haben wir jeweils drei Kategorien von Indikatoren gemessen: Schadenspotenzial (für Eigentum, Personen, Umwelt oder Betriebsstörungen), Art der Schwachstelle im System (Mangel an Sensibilisierung, Sachverstand oder Kommunikation) und Gefährdung (empfindliches Geschäftsmodell, Speicherung wertvoller oder sensibler Daten). Für die Sektorbewertungen anhand der ersten und dritten Kategorie von Indikatoren haben wir die Geschäftsmodelle der betreffenden Sektoren analysiert, um die jeweiligen Auswirkungen feststellen zu können. Die zweite Gruppe von Indikatoren bezieht sich auf potenzielle Schwachstellen in den Geschäftsabläufen: Vorsorge und Steuerung, Systemalter, Sensibilisierung, Sachverstand und Kommunikation.
Für die Bewertung dieser Indikatorenkategorie haben wir ca. 30 Fachaufsätze, Konferenzbeiträge von CISOs und Studien von Beratern analysiert, um uns ein Bild von den häufigsten systemischen Problemen der einzelnen Sektoren zu verschaffen. Eine weitere Risikodimension ergibt sich daraus, ob ein Geschäftsmodell auf Daten basiert oder ob die Daten, die Unternehmen dieses Sektors typischerweise speichern, besonders sensibel oder wertvoll sind. Einfach ausgedrückt haben wir die Unternehmen danach bewertet, ob sie ihre Cyberrisiken angemessen steuern, ob ihre Systeme auf dem neuesten Stand sind, ob sie auf die erforderliche Sachkenntnis zurückgreifen können und ob die verschiedenen Unternehmensteile ausreichend miteinander kommunizieren, um Sicherheitslösungen wirksam umsetzen zu können
Die besonders bedrohten Sektoren lassen sich grob zwei Wirtschaftszweigen zuordnen: der Industrie und dem produzierenden Gewerbe. Beide liegen im Hinblick auf ihre Gefährdung im Mittelfeld, jedoch mangelt es an Investitionen in Systeme und an erforderlichem Sachverstand
Systeme im Gast- und Freizeitgewerbe sind in der Regel deutlich zu einfach gestrickt, um den komplexen Sicherheitsanforderungen zu genügen, die die von ihnen verarbeiteten sensiblen Kundendaten erfordern.
‘ Was vielen CISOs Sorge bereitet, sind die mangelnden Investitionen der meisten Unternehmen in die Cyberrisikovorsorge ‘
Unsere Erwartungen an Unternehmen
Eine 100%ige Absicherung gegen Cyberangriffe ist nicht möglich. Ziel eines Unternehmens sollte es darum sein, sich hinreichend darauf vorzubereiten, wie es auf potenzielle Cyberattacken reagieren wird.
Zentrale Aufgabe sollte es unter anderem sein, sich ein eindeutiges Bild davon zu machen, welche Teile des Geschäftsmodells (der Umsätze) wesentlichen Cyberrisiken besonders stark ausgesetzt sind. Wie eingangs beschrieben, kann ein Cybervorfall die Geschäftsaktivitäten tagelang lahmlegen und verursacht so unmittelbar Schäden durch entgangene Umsätze. Nehmen wir hier die Telekommunikationsbranche als Beispiel, die tendenziell besser gewappnet ist als die genannten Hochrisikofälle. Bei einem großen Telekommunikationsunternehmen können Dienstleistungen für Geschäftskunden und Managed Services im Rahmen von Service Level Agreements (SLAs) mit Unternehmenskunden ca. 20-30% der Gesamtumsätze ausmachen. Tritt ein Cybervorfall ein, könnten die Unternehmenskunden sich auf diese SLAs berufen und den Dienstleister entsprechend haftbar machen. Ein weiteres Beispiel liefern Unternehmen der digitalen Welt, deren wichtigste Produkte Quellcodes für Softwareprogramme sind. Diese Unternehmen könnten ihre Produkte nicht verkaufen, wenn ihr Quellcode gehackt würde, und würden stetig steigende Umsatzeinbußen erleiden.
Was vielen CISOs außerdem Sorge bereitet, sind die mangelnden Investitionen der meisten Unternehmen in die Cyberrisikovorsorge. Einer Analyse von IBM(10) zufolge, sollten Unternehmen idealerweise 14% ihres IT-Budgets für Cybersicherheit aufwenden. Betrachten wir jedoch die durchschnittlichen Ausgaben auf Sektorebene (z. B. 3,73% der Umsätze bei IT-Firmen) auf Grundlage der 2018 verzeichneten Umsätze, wird deutlich, dass die Ausgaben der Unternehmen in diesem Bereich zu gering sind. Natürlich ist es für Unternehmen problematisch, ihr Cybersicherheitsbudget offenzulegen. Doch Anleger müssen unserer Ansicht nach Wert auf genaue Auskünfte legen
Unsere Erwartungen an die Cyberrisikovorsorge von Unternehmen
Im Zuge unserer Analyse haben wir einen Fragebogen zur Cyberrisikovorsorge für Unternehmen in unserem Anlageportfolio erstellt, um ein besseres Verständnis dafür zu entwickeln, welchen Cyberrisiken wir durch diese Anlagen ausgesetzt sind. Der Fragebogen umfasst 17 Fragen zu den Themen Erkennung, Steuerung, Integration in die Abläufe und Berechnung (wesentlicher) Cyberrisiken.
Aus den Ergebnissen des Fragebogens haben wir sektorübergreifende Best Practices abgeleitet, die die Grundlage unserer vier Erwartungen an die Cyberrisikovorsorge bilden:
- Erkennung von Cyberrisiken: Sind einem Unternehmen die größten Cyberrisiken für sein Geschäft nicht bewusst, ist dies ein akutes Warnsignal. Wir erwarten, dass die Risikoneigung der Unternehmen im Verhältnis zu ihrer Wahrnehmung der wesentlichen Cyberrisiken für ihr Geschäft steht, und wir erwarten eine konkret umgesetzte Strategie zum Schutz der digitalen Vermögenswerte. Ein Quellcode beispielsweise muss anders abgesichert werden als personenbezogene Daten.
- Steuerung: Die Cyberresilienz sollte in den Vorständen aller Unternehmen auf der Tagesordnung stehen. Datenschutzrichtlinien sollten flächendeckend zum Einsatz kommen und auch Mindestanforderungen an Dritte beinhalten, um Geschäftsbeziehungen mit diesen eingehen zu können. Wünschenswert ist unserer Ansicht nach eine vierteljährliche Überprüfung der vorhandenen Cybersicherheitskompetenzen durch den Vorstand.
- Umfeld: Eine der Best Practices ist das Bewusstsein dafür, dass ein besseres Ökosystem zum Thema Cyberresilienz etabliert werden muss. Ebenfalls zu den Best Practices im Bereich Umfeld und Ökosystem gehören der Austausch und die Zusammenarbeit mit anderen Unternehmen in den wichtigsten anzugehenden Themenfeldern.
- Integration: Zu den Best Practices in den Unternehmen zählen auch solide Prozesse für die Prognose von Vorfällen und die Schadensbegrenzung. Von Unternehmen mit Best Practice-Ansatz erwarten wir zudem, dass sie auf Produktebene bereits im Zuge der Produktentwicklung frühzeitig mögliche Cyberrisiken berücksichtigen und ihre digitalen Vermögenswerte und damit zusammenhängenden Kosten effektiv verwalten.
Fazit
Die Digitalisierung bringt für Unternehmen enorme Chancen mit sich. Doch ihr Preis steigt ins Unermessliche, wenn die Unternehmen keine angemessenen Vorkehrungen gegen Cyberangriffe treffen. Ungenügende Investitionen in Cybersicherheitssysteme und Know-how, mangelndes Wissen um die komplexen Sicherheitsanforderungen bei der Verarbeitung sensibler Kundendaten und fehlende Notfallpläne gehören in unseren Augen zu den alarmierendsten Warnsignalen, die wir in den Branchen mit hohem Risiko identifiziert haben. In diesem Beitrag haben wir uns auf Marktdaten bezogen, aus denen hervorgeht, dass sich Cybervorfälle und der Umgang der Unternehmen damit eindeutig auf Anlageentscheidungen auswirken. Zudem haben wir untersucht, wo sich die finanziellen Auswirkungen von Cyberangriffen bemerkbar machen. Abschließend haben wir auf Basis unserer Analyse unsere Erwartungen im Hinblick auf Best Practices im Bereich der Cyberresilienz formuliert.
1) Weltwirtschaftsforum, The Cybersecurity Guide for Leaders in Today’s Digital World, 2019.
(2) Quelle: The Untold Story of NotPetya, the Most Devastating Cyberattack in History, 2018 Wired Magazine.
(3) Maersk war bei Weitem nicht das einzige Unternehmen, dessen IT von NotPetya lahmgelegt wurde: Der Lebensmittel- und Getränkekonzern Mondelez, Pharma-Riese Merck, die Werbeagentur WPP, der Gesundheits- und Hygieneartikelproduzent Reckitt Benckiser, das französische Bauunternehmen Saint Gobain und die europäische FedEx-Tochter TNT Express zählten ebenfalls zu den Tausenden von betroffenen Weltkonzernen.
(4) Quelle: Marriott Takes $126 Million Charge Related to Data Breach, 2019 Wall Street Journal.
(5) Analysten zufolge war es nach dem 2017 verzeichneten Anstieg um 64% 2018 möglicherweise auch an der Zeit für eine Kurskorrektur bei Marriott. In der zweiten Jahreshälfte 2018 geriet der Kurs jedoch aufgrund unterschiedlicher Faktoren und schließlich insbesondere infolge des Bekanntwerdens des Cyberangriffs zunehmend unter Druck.
(6) Bischoff, Paul, Comparitech: How Data Breaches Affect Stock Market Share Prices, 28 Nov 2019.
(7) Quelle: Deloitte, 2018
(8) Die Größe des Marktes für Cyberversicherungen wird auf einen niedrigen US-Dollar-Milliarden-Betrag taxiert. Nach Schätzungen von Fitch sind die Prämieneinnahmen für abgeschlossene Cyberversicherungen 2018 um 8% auf USD 2 Mrd. gestiegen. Quelle: Fitch Ratings 2019,“Cyber Insurance Growth Slows, Market Remains Untested,” May 14, 2019.
(9) Ponemon Institute LLC and Accenture, The Cost of Cybercrime, 2019.
(10) The Wall Street Journal, IT spending: From value preservation to value creation, 12. März 2018.