Cybersicherheit für Anleger: Digitale Verteidigung ist unverzichtbar

Hackerangriffe und Datenschutzverletzungen haben das Thema Cyber- und Datensicherheit ganz oben auf die Tagesordnung der Unternehmen gesetzt. Anleger müssen sich mit den wachsenden Geschäftsrisiken auseinandersetzen, weil eine digitalisierte Welt mehr Sicherheit erfordert. AllianceBernstein | 24.11.2022 14:48 Uhr
© Photo by Philipp Katzenberger on Unsplash
© Photo by Philipp Katzenberger on Unsplash

Die sich ständig weiterentwickelnden Bedrohungen zwingen die Unternehmen dazu, ihre Abwehrmaßnahmen und ihre Bereitschaft zu überprüfen. In öffentlichen Erklärungen über die Bereitschaft wird das tatsächliche Niveau der vorhandenen Schutzmaßnahmen jedoch oft überschätzt.

Für viele Anleger nimmt Cybersicherheit allerdings noch keine hohe Priorität ein. Wir halten das für einen Fehler – vor allem, weil Fragen der Unternehmensführung (Governance) ein wichtiger Bestandteil der ESG (Umwelt, Soziales und Unternehmensführung) sind. Unvorbereitete Unternehmen riskieren finanzielle Verluste, Sanktionen und Reputationsschäden. Wir haben mit Fachleuten aus verschiedenen Bereichen der Cybersicherheit gesprochen und das regulatorische Umfeld untersucht, um Anlegern Leitlinien für die Bewertung des Cyber-Risikomanagements an die Hand zu geben.

Cyberangriffe verursachen immer höhere Kosten

Cyberangriffe sind sehr teuer. In der ersten Hälfte des Jahres 2022 wurden weltweit mindestens 2,8 Milliarden Malware-Angriffe verzeichnet, was einem Anstieg von 11 % gegenüber den vorangegangenen 12 Monaten entspricht, so das Cybersicherheitsunternehmen SonicWall. Laut einer Studie des Ponemon Institute und der IBM Security erreichten die Kosten im Jahr 2022 weltweit einen Rekordwert von 4,4 Millionen US-Dollar pro Datenschutzverletzung.

Die Sanierungskosten variieren je nach Ausgereiftheit der Systeme eines Unternehmens und je nachdem, ob Fernarbeit eine Rolle gespielt hat, was die Kosten tendenziell erhöht. Einige Branchen sind stärker gefährdet als andere (Abbildung). Doch in der heutigen Online-Welt ist kein Unternehmen mehr sicher. Und die Regierungen sind in höchster Alarmbereitschaft, da staatlich organisierte Cyberangriffe seit dem Beginn des Krieges zwischen Russland und der Ukraine stark zugenommen haben. In diesem sich wandelnden Umfeld können es sich Unternehmen nicht leisten, das Problem zu ignorieren. 

Die größten Herausforderungen für Unternehmen

Viele Unternehmen begegnen den Risiken, indem sie von Rechenzentren vor Ort auf cloudbasierte Lösungen umstellen. Doch auch die cloudbasierte Sicherheit wirft neue Probleme auf. 

Aufbau der Infrastruktur: Unternehmen stehen vor zwei großen Problemen: der Auswahl aus einer Vielzahl von Sicherheitsanbietern und -lieferanten und deren Verwaltung. Laut einem Anbieter, der verschiedene Cloud-Sicherheitsplattformen installiert, ist es ein häufiges Problem, ein einziges Dashboard zu erstellen, um ein Netzwerk aus verschiedenen Lösungen zu verwalten, die vom Endpunktschutz bis hin zu Cloud-Systemparameterlösungen reichen. Und da so viele ähnliche Optionen zur Verfügung stehen, sind einige Unternehmen wie gelähmt; sie brauchen zu lange, um die perfekte Lösung zu finden, anstatt eine anfängliche Infrastruktur aufzubauen, die im Laufe der Zeit aktualisiert werden kann. 

Überwachung, Schulung und Steuerung der Systeme: Wir sind der Meinung, dass eine klare Berichterstattungsstruktur an den für die Überwachung zuständigen Ausschuss des Verwaltungsrats unerlässlich ist, mit Berichten ohne Fachjargon, die auch von Aufsichtsratsmitgliedern ohne Cyber-Expertise leicht verstanden werden können. Ebenso hilfreich ist eine einfache Matrix, in der die Risiken als „hoch, mittel, niedrig“ eingestuft werden, sowie Berichte über Gegenmaßnahmen. Die Rechtsabteilung, der Vorstand und die Geschäftsleitung sollten häufiger mit dem Datensicherheitsteam interagieren. Die Aufsicht muss sich auch auf die Mitarbeiter erstrecken, die die Systeme betreiben und überwachen.

Steigende Kosten für Umsetzung/Beschaffung: Viele Chief Information Officer (CIO) haben uns mitgeteilt, dass sie mit den Kosten zu kämpfen haben. In einigen Fällen können Ingenieure eine einzige Änderung an einem Server vornehmen, die im Laufe der Zeit die Gesamtkosten für ein ganzes System drastisch erhöhen. Darüber hinaus stellen viele Anbieter die steigenden Kosten für die Überwachung und Wartung einer robusten Cybersicherheitsinfrastruktur nicht klar dar. Die Überprüfung von Mitarbeiterzugängen und ein vorausschauendes Infrastrukturkostenmodell können dazu beitragen, diese Fallstricke zu vermeiden, insbesondere bei Unternehmen mit geringeren dedizierten Cybersicherheitsressourcen. Die Kosten für Cyber-Versicherungen sind ein weiterer Faktor. Die Versicherungsleistungen können sich verringern, wenn neue Anbieter hinzukommen und Systeme aktualisiert werden oder wenn sich der Versicherungsschutz verringert. So hat beispielsweise Lloyd’s of London kürzlich angekündigt, keine Versicherungen mehr gegen staatlich unterstützte Cyberangriffe anzubieten.

Wie können Anleger das Cyber-Risikomanagement bewerten?

Anleger müssen die richtigen Fragen stellen und sich auf die Budgets konzentrieren, um die Cyber-Strategie und -Maßnahmen eines Unternehmens zu beurteilen. Wie werden Cyber-Probleme an den Vorstand gemeldet? Wie werden Risiken überwacht und eskaliert? Welche Arten von Systemtests und Reaktionsplänen werden angewandt? Sind die Mitarbeiter auf einen Angriff vorbereitet? 

Gespräche mit der Geschäftsführung können wichtige Hinweise auf die Cyberkompetenz liefern. Bei unseren jüngsten Besuchen haben wir festgestellt, dass Unternehmen mit einem ausgeprägten Risikobewusstsein eher bereit sind, über das Thema zu sprechen und Einzelheiten zur Unternehmensführung, Berichterstattung und Schulung anzugeben. Vage oder Standardantworten könnten darauf hindeuten, dass ein Unternehmen weniger gut auf Bedrohungen vorbereitet ist und damit anfälliger für Angriffe ist. 

Stimmige Strategien für komplexe Bedrohungen

Da die Bedrohungen zunehmen, müssen Unternehmen ihre Anstrengungen zur Angriffsabwehr und zum Schutz ihrer Daten und Systeme verstärken. Kleine und mittelgroße Unternehmen sind möglicherweise mit höheren Risiken konfrontiert, da viele von ihnen sich noch in einem relativ frühen Stadium der Cybersicherheitsentwicklung befinden und Lücken in ihren Systemen aufweisen. 

Bei Unternehmen aller Größenordnungen sollten Anleger die vorhandenen Cybersicherheitssysteme unter die Lupe nehmen und sich eingehender mit der Unternehmenskultur, den Ressourcen und der Berichterstattung über die Sicherheit befassen. Mit stimmigen Strategien in jedem Bereich werden Unternehmen besser darauf vorbereitet sein, Cyberangriffe zu verhindern und auf sie zu reagieren. Indem sie sich regelmäßig mit der Unternehmensleitung über diese Themen austauschen, sind professionelle Investoren besser in der Lage, das Cybersicherheitsprofil eines Unternehmens in eine umfassendere Risikobewertung von Portfoliokandidaten und -beteiligungen einzubeziehen.

Diana Lee, Director—Corporate Governance; ESG Analyst—Responsible Investment, AllianceBernstein

Performanceergebnisse der Vergangenheit lassen keine Rückschlüsse auf die zukünftige Entwicklung eines Investmentfonds oder Wertpapiers zu. Wert und Rendite einer Anlage in Fonds oder Wertpapieren können steigen oder fallen. Anleger können gegebenenfalls nur weniger als das investierte Kapital ausgezahlt bekommen. Auch Währungsschwankungen können das Investment beeinflussen. Beachten Sie die Vorschriften für Werbung und Angebot von Anteilen im InvFG 2011 §128 ff. Die Informationen auf www.e-fundresearch.com repräsentieren keine Empfehlungen für den Kauf, Verkauf oder das Halten von Wertpapieren, Fonds oder sonstigen Vermögensgegenständen. Die Informationen des Internetauftritts der e-fundresearch.com AG wurden sorgfältig erstellt. Dennoch kann es zu unbeabsichtigt fehlerhaften Darstellungen kommen. Eine Haftung oder Garantie für die Aktualität, Richtigkeit und Vollständigkeit der zur Verfügung gestellten Informationen kann daher nicht übernommen werden. Gleiches gilt auch für alle anderen Websites, auf die mittels Hyperlink verwiesen wird. Die e-fundresearch.com AG lehnt jegliche Haftung für unmittelbare, konkrete oder sonstige Schäden ab, die im Zusammenhang mit den angebotenen oder sonstigen verfügbaren Informationen entstehen. Das NewsCenter ist eine kostenpflichtige Sonderwerbeform der e-fundresearch.com AG für Asset Management Unternehmen. Copyright und ausschließliche inhaltliche Verantwortung liegt beim Asset Management Unternehmen als Nutzer der NewsCenter Sonderwerbeform. Alle NewsCenter Meldungen stellen Presseinformationen oder Marketingmitteilungen dar.
Klimabewusste Website

AXA Investment Managers unterstützt e-fundresearch.com auf dem Weg zur Klimaneutralität. Erfahren Sie mehr.

Melden Sie sich für den kostenlosen Newsletter an

Regelmäßige Updates über die wichtigsten Markt- und Branchenentwicklungen mit starkem Fokus auf die Fondsbranche der DACH-Region.

Der Newsletter ist selbstverständlich kostenlos und kann jederzeit abbestellt werden.