Hackerangriffe und Datenschutzverletzungen haben das Thema Cyber- und Datensicherheit ganz oben auf die Tagesordnung der Unternehmen gesetzt. Anleger müssen sich mit den wachsenden Geschäftsrisiken auseinandersetzen, weil eine digitalisierte Welt mehr Sicherheit erfordert.
24.11.2022 | 11:34 Uhr
Die sich ständig weiterentwickelnden Bedrohungen zwingen die
Unternehmen dazu, ihre Abwehrmaßnahmen und ihre Bereitschaft zu
überprüfen. In öffentlichen Erklärungen über die Bereitschaft wird das
tatsächliche Niveau der vorhandenen Schutzmaßnahmen jedoch oft
überschätzt.
Für viele Anleger nimmt Cybersicherheit allerdings noch keine hohe
Priorität ein. Wir halten das für einen Fehler – vor allem, weil Fragen
der Unternehmensführung (Governance) ein wichtiger Bestandteil der ESG
(Umwelt, Soziales und Unternehmensführung) sind. Unvorbereitete
Unternehmen riskieren finanzielle Verluste, Sanktionen und
Reputationsschäden. Wir haben mit Fachleuten aus verschiedenen Bereichen
der Cybersicherheit gesprochen und das regulatorische Umfeld
untersucht, um Anlegern Leitlinien für die Bewertung des
Cyber-Risikomanagements an die Hand zu geben.
Cyberangriffe sind sehr teuer. In der ersten Hälfte des Jahres 2022
wurden weltweit mindestens 2,8 Milliarden Malware-Angriffe verzeichnet,
was einem Anstieg von 11 % gegenüber den vorangegangenen 12 Monaten
entspricht, so das Cybersicherheitsunternehmen SonicWall. Laut einer
Studie des Ponemon Institute und der IBM Security erreichten die Kosten
im Jahr 2022 weltweit einen Rekordwert von 4,4 Millionen US-Dollar pro
Datenschutzverletzung.
Die Sanierungskosten variieren je nach Ausgereiftheit der Systeme eines
Unternehmens und je nachdem, ob Fernarbeit eine Rolle gespielt hat, was
die Kosten tendenziell erhöht. Einige Branchen sind stärker gefährdet
als andere (Abbildung). Doch in der heutigen Online-Welt ist
kein Unternehmen mehr sicher. Und die Regierungen sind in höchster
Alarmbereitschaft, da staatlich organisierte Cyberangriffe seit dem
Beginn des Krieges zwischen Russland und der Ukraine stark zugenommen
haben. In diesem sich wandelnden Umfeld können es sich Unternehmen nicht
leisten, das Problem zu ignorieren.
Viele Unternehmen begegnen den Risiken, indem sie von Rechenzentren vor Ort auf cloudbasierte Lösungen umstellen. Doch auch die cloudbasierte Sicherheit wirft neue Probleme auf.
Aufbau der Infrastruktur: Unternehmen stehen vor zwei großen Problemen: der Auswahl aus einer Vielzahl von Sicherheitsanbietern und -lieferanten und deren Verwaltung. Laut einem Anbieter, der verschiedene Cloud-Sicherheitsplattformen installiert, ist es ein häufiges Problem, ein einziges Dashboard zu erstellen, um ein Netzwerk aus verschiedenen Lösungen zu verwalten, die vom Endpunktschutz bis hin zu Cloud-Systemparameterlösungen reichen. Und da so viele ähnliche Optionen zur Verfügung stehen, sind einige Unternehmen wie gelähmt; sie brauchen zu lange, um die perfekte Lösung zu finden, anstatt eine anfängliche Infrastruktur aufzubauen, die im Laufe der Zeit aktualisiert werden kann.
Überwachung, Schulung und Steuerung der Systeme: Wir sind der Meinung, dass eine klare Berichterstattungsstruktur an den für die Überwachung zuständigen Ausschuss des Verwaltungsrats unerlässlich ist, mit Berichten ohne Fachjargon, die auch von Aufsichtsratsmitgliedern ohne Cyber-Expertise leicht verstanden werden können. Ebenso hilfreich ist eine einfache Matrix, in der die Risiken als „hoch, mittel, niedrig“ eingestuft werden, sowie Berichte über Gegenmaßnahmen. Die Rechtsabteilung, der Vorstand und die Geschäftsleitung sollten häufiger mit dem Datensicherheitsteam interagieren. Die Aufsicht muss sich auch auf die Mitarbeiter erstrecken, die die Systeme betreiben und überwachen.
Steigende Kosten für Umsetzung/Beschaffung: Viele Chief Information Officer (CIO) haben uns mitgeteilt, dass sie mit den Kosten zu kämpfen haben. In einigen Fällen können Ingenieure eine einzige Änderung an einem Server vornehmen, die im Laufe der Zeit die Gesamtkosten für ein ganzes System drastisch erhöhen. Darüber hinaus stellen viele Anbieter die steigenden Kosten für die Überwachung und Wartung einer robusten Cybersicherheitsinfrastruktur nicht klar dar. Die Überprüfung von Mitarbeiterzugängen und ein vorausschauendes Infrastrukturkostenmodell können dazu beitragen, diese Fallstricke zu vermeiden, insbesondere bei Unternehmen mit geringeren dedizierten Cybersicherheitsressourcen. Die Kosten für Cyber-Versicherungen sind ein weiterer Faktor. Die Versicherungsleistungen können sich verringern, wenn neue Anbieter hinzukommen und Systeme aktualisiert werden oder wenn sich der Versicherungsschutz verringert. So hat beispielsweise Lloyd’s of London kürzlich angekündigt, keine Versicherungen mehr gegen staatlich unterstützte Cyberangriffe anzubieten.
Anleger müssen die richtigen Fragen stellen und sich auf die Budgets konzentrieren, um die Cyber-Strategie und -Maßnahmen eines Unternehmens zu beurteilen. Wie werden Cyber-Probleme an den Vorstand gemeldet? Wie werden Risiken überwacht und eskaliert? Welche Arten von Systemtests und Reaktionsplänen werden angewandt? Sind die Mitarbeiter auf einen Angriff vorbereitet?
Gespräche mit der Geschäftsführung können wichtige Hinweise auf die Cyberkompetenz liefern. Bei unseren jüngsten Besuchen haben wir festgestellt, dass Unternehmen mit einem ausgeprägten Risikobewusstsein eher bereit sind, über das Thema zu sprechen und Einzelheiten zur Unternehmensführung, Berichterstattung und Schulung anzugeben. Vage oder Standardantworten könnten darauf hindeuten, dass ein Unternehmen weniger gut auf Bedrohungen vorbereitet ist und damit anfälliger für Angriffe ist.
Stimmige Strategien für komplexe Bedrohungen
Da die Bedrohungen zunehmen, müssen Unternehmen ihre Anstrengungen zur Angriffsabwehr und zum Schutz ihrer Daten und Systeme verstärken. Kleine und mittelgroße Unternehmen sind möglicherweise mit höheren Risiken konfrontiert, da viele von ihnen sich noch in einem relativ frühen Stadium der Cybersicherheitsentwicklung befinden und Lücken in ihren Systemen aufweisen.
Bei Unternehmen aller Größenordnungen sollten Anleger die vorhandenen Cybersicherheitssysteme unter die Lupe nehmen und sich eingehender mit der Unternehmenskultur, den Ressourcen und der Berichterstattung über die Sicherheit befassen. Mit stimmigen Strategien in jedem Bereich werden Unternehmen besser darauf vorbereitet sein, Cyberangriffe zu verhindern und auf sie zu reagieren. Indem sie sich regelmäßig mit der Unternehmensleitung über diese Themen austauschen, sind professionelle Investoren besser in der Lage, das Cybersicherheitsprofil eines Unternehmens in eine umfassendere Risikobewertung von Portfoliokandidaten und -beteiligungen einzubeziehen.
Diese Informationen werden von
AllianceBernstein (Luxemburg) S.à.r.l. gegeben, einer im Luxemburger
Handels- und Unternehmensregister (R.C.S.) eingetragenen Gesellschaft
mit beschränkter Haftung. Luxemburg B 34 305, 2-4, rue Eugène Ruppert,
L-2453 Luxemburg. AllianceBernstein S.à.r.l. unterliegt der Aufsicht
durch die Aufsichtskommission des Finanzsektors (CSSF). Dies wird nur zu
Informationszwecken angegeben und ist nicht als Anlageberatung oder
Aufforderung zum Kauf eines Wertpapiers oder einer sonstigen Anlage zu
verstehen. Die hier geäußerten Ansichten und Meinungen basieren auf
unseren internen Prognosen und geben keine zuverlässigen Hinweise auf
die zukünftige Marktperformance. Die Fondsanlagen können an Wert
gewinnen und verlieren, und es kann vorkommen, dass die Anleger nicht
den vollen angelegten Betrag zurückerhalten. Die Performances der
Vergangenheit bieten keine Gewähr für zukünftige Ergebnisse.
Diese Informationen richten sich lediglich an Privatpersonen und sind nicht für die Öffentlichkeit bestimmt.
© 2022 AllianceBernstein L.P.
Dieser Inhalt ist für professionelle Anleger bestimmt. Mit Klick auf "Weiter" bestätigen Sie, dass Sie ein professioneller Anleger sind und stimmen unserer Datenschutzerklärung zu.
Weiter
Diesen Beitrag teilen: