SMI 11’961 0.6%  SPI 15’437 0.5%  Dow 35’295 1.1%  DAX 15’587 0.8%  Euro 1.0707 0.0%  EStoxx50 4’183 0.8%  Gold 1’768 -1.6%  Bitcoin 56’552 6.8%  Dollar 0.9234 0.0%  Öl 84.9 1.0% 
24.09.2021 09:00:37

Schroders: Warum Cybersicherheit für Anleger relevant ist

Schroders: Warum Cybersicherheit für Anleger relevant ist

Jo Marshall
Investment Writer

Laut einer Studie von Accenture verlassen sich heutzutage 100 % der Unternehmen auf das Internet, während es vor 10 Jahren nur jedes vierte war.

Berücksichtigt man neben dieser grösseren Konnektivität noch die ständig wachsenden Datenmengen, die von den Unternehmen verarbeitet werden, sowie das Arbeiten im Home Office seit Covid-19, dann ist es offensichtlich, warum Cyberkriminalität ein grosses Risiko für Unternehmen darstellt.

Cyberkriminalität in den Schlagzeilen

In jüngster Zeit gab es eine Reihe von aufsehenerregenden Cyberangriffen, bei denen grosse Unternehmen erpresst wurden.

Colonial Pipeline, die grösste Treibstoffpipeline in den USA, JBS, das weltweit grösste fleischverarbeitende Unternehmen, Irlands nationaler Gesundheitsdienst und südafrikanische Schiffsterminals sind nur einige der jüngsten Opfer von Ransomware-Angriffen.

Ein Ransomware-Angriff ist ein Cyberangriff, bei dem Benutzer aus den eigenen Dateien oder Systemen ausgesperrt werden und ein Lösegeld als Gegenleistung für den Zugang gefordert wird. Im Fall von Colonial Pipeline betrug das Lösegeld 4,4 Mio. US-Dollar, während JBS gezwungen war, umgerechnet 11 Mio. US-Dollar zu zahlen.

Weitere Beispiele sind das Devisenunternehmen Travelex, das Anfang 2020 um ein Lösegeld in Höhe von 6 Mio. US-Dollar erpresst wurde, der Angriff auf British Airways im Jahr 2018 (der zu einer Geldstrafe in Höhe von 26 Mio. US-Dollar führte, weil das Unternehmen keine ausreichenden Sicherheitsvorkehrungen getroffen hatte) und der Hack in die Systeme der Zentralbank von Bangladesch im Jahr 2016, bei dem Kriminelle 81 Mio. US-Dollar erbeuteten.

Viele Angriffe schaffen es gar nicht in die Schlagzeilen. Weltweit sollen im Jahr 2020 mehr als 30 Milliarden Datensätze gestohlen worden sein. Das ist mehr als in den 15 Jahren zuvor zusammengenommen. Allein in den USA erhielt das FBI im Jahr 2020 eine Rekordzahl von fast 800.000 Beschwerden über Cyberkriminalität, was einem Anstieg von 69 % gegenüber 2019 entspricht, wobei sich die gemeldeten Verluste auf mehr als 4,1 Mrd. US-Dollar beliefen. In Europa stiegen die Cyberangriffe 2020 im Vergleich zu 2019 um 75 %.

Prävention von Cyberkriminalität: Die Ausgaben steigen

Laut dem Forschungsunternehmen Cybersecurity Ventures werden sich die Kosten der Cyberkriminalität 2021 weltweit auf jährlich 6 Bio. US-Dollar und bis 2025 auf 10,5 Bio. US-Dollar belaufen. Zu den Kosten der Cyberkriminalität gehören Schäden und Verluste von Daten, Geld, Produktivität und geistigem Eigentum, Betriebsunterbrechungen, die Wiederherstellung von gehackten Daten und Systemen sowie Reputationsschäden.

Infolgedessen sind die Ausgaben für Schutzmechanismen in die Höhe geschnellt. Es wird erwartet, dass die weltweiten Ausgaben für Cybersicherheitsprodukte und -dienstleistungen zwischen 2020 und 2026 mit einer durchschnittlichen jährlichen Wachstumsrate (CAGR) von 7,7 bis 14,5 % steigen werden. Die CAGR gibt die Wachstumsrate über mehrere Zeiträume an, wobei die Zinseszinsen berücksichtigt werden.

Abbildung 1: Ausgaben für die Cybersicherheit dürften um 7,7 bis 14,5 % CAGR steigen (Mrd. USD p.a.)

Was ist Cyberkriminalität?

Die Cyber- bzw. Internetkriminalität kann verschiedene Formen annehmen und wird immer raffinierter. In den meisten Fällen klicken Benutzer unwissentlich auf gefährliche Links oder öffnen schädliche Anhänge, die bösartige Software (so genannte Malware) installieren, die Offenlegung vertraulicher Informationen ermöglichen und legitime Benutzer am Zugriff auf notwendige Systeme und Daten hindern.

Abbildung 2: Arten von Cyberangriffen

Schwachstellen bei der Cyberabwehr

E-Mails sind der häufigste Weg, über den Angreifer in die Systeme und Daten eines Unternehmens eindringen. Die grösste Schwachstelle sind daher die Mitarbeiter, denn die Hauptursache für Cybersecurity-Vorfälle ist Berichten zufolge menschliches Versagen. Das können Mitarbeiter sein, die es versäumen, Sicherheitsupdates rechtzeitig zu installieren, kein ausreichend sicheres Passwort zum Schutz sensibler Daten verwenden oder auf Phishing-E-Mails hereinfallen.

Weltweit betrachten 43 % der Unternehmen die Naivität der Mitarbeiter in Bezug auf die Cybersicherheit als ihre grösste organisatorische Schwachstelle, so der 2021 State of Email Security Report des Cybersicherheitsanbieters Mimecast. In einigen Ländern ist dieser Prozentsatz deutlich höher: In Grossbritannien, den Niederlanden, Südafrika und in den Vereinigten Arabischen Emiraten sehen 50 % oder mehr der Befragten die mangelnden Cyber-Kenntnisse der Mitarbeiter als grosse Gefahr für die Sicherheit ihrer Unternehmen an, so die Umfrage.

Rob Hyde, Chief Information Security Officer und Leiter Enterprise Technology bei Schroders, kommentiert: "Die Schulung unserer Mitarbeiter ist unsere beste Verteidigung gegen Cyberangriffe. Wir verfügen zwar über hochsichere Produkte, aber um unsere Systeme und Daten effektiv zu schützen, müssen wir auch sicherstellen, dass unsere Mitarbeiter wissen, wie sie verdächtige E-Mails oder Links erkennen können.

Unternehmen haben vier Hauptgegner, vor denen wir uns schützen müssen. Ein böswilliger Outsider ist eine Person ausserhalb des Unternehmens, die versucht, unsere Verteidigungsmassnahmen zu durchdringen, um an sensible oder geschützte Informationen zu gelangen. Der böswillige Insider ist ein ähnlicher Fall, allerdings handelt es sich um einen Mitarbeiter, dem wir den Zugang zu solchen Informationen anvertraut haben. Der gutwillige Insider ist ein Mitarbeiter, der unwissentlich Teil eines versuchten Angriffs geworden ist, indem er auf einen schädlichen Link geklickt oder eine schädliche E-Mail geöffnet hat. Schliesslich gibt es noch den Lieferanten - wir gehen schliesslich ein Risiko ein, wenn wir die Dienste von Drittanbietern in Anspruch nehmen.

Wir haben Massnahmen ergriffen, um uns gegen alle vier Arten von Angriffen zu schützen, und verbessern unseren Schutz ständig, da die Angreifer immer raffiniertere Methoden anwenden, um in unsere Abwehrsysteme einzudringen. Das Aufkommen von Kryptowährungen beispielsweise bietet Angreifern die Möglichkeit, auf eine Art und Weise von ihren Aktionen zu profitieren, die das traditionelle Finanzdienstleistungssystem nur sehr schwer zulassen würde."

Cyberkriminalität kann erhebliche Auswirkungen auf Finanzunternehmen haben

Jedes Unternehmen, das das Internet nutzt, ist ein potenzielles Ziel für Cyberkriminelle, und ein Cyberangriff kann erhebliche Auswirkungen auf ein Unternehmen haben, sei es in finanzieller oder betrieblicher Hinsicht.

Hinzu kommt der Reputationsschaden, der durch Sicherheitsverletzungen entsteht. Laut einer Studie von HSBC dauert es im Durchschnitt zwei Jahre, bis sich der Ruf eines Unternehmens von der Aufdeckung einer Datenschutzverletzung erholt. In der Zwischenzeit verlieren die Aktienkurse der betroffenen Unternehmen in den folgenden drei Jahren 15,6 % an Wert.

Abb. 3& 4: Auswirkungen von Datenschutzverletzungen auf Reputation und Aktienkurs

Der Finanzsektor ist in der Regel am stärksten betroffen: Mit durchschnittlich -16,7 % gegenüber der NASDAQ verzeichnete er den stärksten Kursrückgang im Vergleich zum Technologiesektor mit durchschnittlich -2,9 %.

Abbildung 5: Der Finanzsektor schneidet tendenziell am schlechtesten ab

Bewertung der Cyber-Vorbereitung eines Unternehmens

Die Cyberbereitschaft eines Unternehmens sollte bei der Investitionsentscheidung eines Anlegers eine entscheidende Rolle spielen. Es ist ein Geschäftsrisiko, das Investoren nicht ignorieren können, so Samuel Thomas, Analyst für nachhaltige Investitionen bei Schroders.

"Wir verwenden unser eigenes ESG-Tool, CONTEXT, um zu messen, wie gut ein Unternehmen Cyber-Risiken managt. Dabei wird geprüft, ob die Unternehmen über eine Cybersicherheitszertifizierung verfügen, und es wird eine Rangliste erstellt, in der die Unternehmen danach bewertet werden, wie gut sie die Daten ihrer Kunden schützen.

Wir gewinnen weitere Erkenntnisse durch die direkte Einbindung von Unternehmen, wobei wir uns darauf konzentrieren, wie gut ein Unternehmen Fragen wie diese beantworten kann:

1) Liegt die Verantwortung für Cybersicherheit und Datenschutz auf der Ebene des Vorstands und der Geschäftsführung?

2) Wie sieht das technische Know-how des Unternehmens aus?

3) Wie werden Mitarbeiter und Lieferanten geschult und überwacht?

4) In welchem Umfang arbeitet das Unternehmen mit externen Cybersicherheitsspezialisten zusammen?"

Die Fondsmanager Katherine Davidson und Charles Somers verwenden den oben beschriebenen Ansatz, um die Cyberbereitschaft der Unternehmen zu bewerten, in die sie investieren.

Katherine Davidson sagt: "Idealerweise würden wir uns wünschen, dass im Vorstand und in der Geschäftsführung der Unternehmen, in die wir investieren, mehr Fachwissen über Cybersicherheit und Datenschutz vorhanden ist. Dazu gehört in der Regel ein Chief Information Security Officer oder Datenschutzbeauftragte, die für Cyber-Angelegenheiten zuständig sind."

Untersuchungen der Wirtschaftsprüfungsgesellschaften Deloitte und Grant Thornton haben ergeben, dass 2018 nur 8 % der FTSE 100-Vorstände einen Chief Information Security Officer (CISO) aufwiesen. Über ein Drittel der FTSE-350-Unternehmen, die Technologie und Cybersicherheit als zentrales Geschäftsrisiko für 2019 angaben, haben keine Personen mit entsprechenden Fachkenntnissen in ihren Vorständen. In den Sektoren Öl und Gas, Konsumgüter und Finanzen lag diese Zahl bei 50 % oder mehr.

"Wir wollen auch sehen, dass angemessene Schutzsysteme und Kontrollen vorhanden sind, dass diese Systeme und Kontrollen rigoros und systematisch getestet werden und dass die Sicherheitssoftware regelmässig aktualisiert wird," so Charles Somers.

"Für uns ist es auch wichtig, dass Mitarbeiter und Lieferanten angemessen geschult werden und dass das Sicherheitsteam externe Spezialisten hinzuzieht, um sich über Branchentrends und bewährte Verfahren auf dem Laufenden zu halten."

Eine Auswahl der Unternehmen, bei denen Schroders die Cybersicherheit zum Thema machte

Angesichts der zunehmenden Bedeutung des Themas beschäftigen wir uns schon seit einiger Zeit mit Cyberrisiken und -sicherheit in Unternehmen.

So haben wir uns beispielsweise 2018 mit zehn unserer Beteiligungsunternehmen aus Sektoren wie Finanzdienstleistungen, Technologie und Telekommunikation getroffen, was in diesem Artikel näher erläutert wird: Cyber-risk: how investors can prepare for the unpredictable

Im darauffolgenden Jahr 2019 haben wir uns mit der Hotelgruppe Marriott International, dem Pharmaunternehmen Lonza, dem Technologieunternehmen Science Applications International Corporation und dem Personaldienstleister Recruit getroffen.

Lonza:

- Unser Dialog mit Lonza hat uns einen tieferen Einblick in die Anwendung von Best Practices im Cyber-Bereich ermöglicht.

- Es gibt Fachwissen auf Vorstandsebene mit regelmässigen Briefings durch das Topmanagement.

- Es gibt eine klare und direkte Managementverantwortung mit entsprechenden Teamressourcen.

- Das Risikomanagement erfolgt proaktiv auf Gruppenebene durch Penetrationstests, Interaktion mit Fachleuten von Dritten und Cyberversicherungen.

- Es gibt eine regelmässige Kommunikation und Koordinierung zwischen den technischen Ansprechpartnern in den verschiedenen Geschäftsbereichen.

Marriot International:

- Wir führen zwar unser eigenes Research intern durch, ergänzen dies aber durch die vierteljährliche Überprüfung externer Ratings, um sicherzustellen, dass wir die Risiken aus verschiedenen Perspektiven ganzheitlich bewerten. Eine Herabstufung durch MSCI, die auf die eingeschränkte Datenschutzpolitik und Datensicherheits-Governance des Unternehmens zurückzuführen war, die hinter denen anderer Unternehmen zurückblieb, sowie ein Vorfall im Bereich der Datensicherheit Ende 2018 waren der Anlass für unsere Einflussnahme.

- Insbesondere forderten wir eine bessere und transparentere Berichterstattung über die Verwaltung der Datensicherheit.

- Das Unternehmen hat dies inzwischen in seine Nachhaltigkeitsberichterstattung aufgenommen.

Science Applications International Corporation:

- Nach einer Übernahme nahmen wir Kontakt mit dem Unternehmen auf, um Informationen darüber zu erhalten, wie es mit der Cybersicherheit umgeht.

- Wir haben festgestellt, dass das Unternehmen über die richtigen Instrumente und Verfahren verfügt, um Cybersicherheitsrisiken zu mindern, einschliesslich einer angemessenen Aufsicht auf Vorstandsebene.

Recruit:

- Nach einer Datenschutzverletzung im September 2019 haben wir uns mit dem Unternehmen getroffen und eine Umstrukturierung vorgeschlagen, damit die Aufsicht über die Datensicherheit und den Datenschutz auf Vorstandsebene angesiedelt wird.

- Rekrutierung von neuen Führungskräften, die diese Rolle auf Vorstandsebene nach dem Treffen ausfüllen.

Im Jahr 2020 haben wir uns mit dem digitalen Dienstleistungsunternehmen Reply SpA und dem Anbieter von Sicherheitssystemen AssaAbloy getroffen.

Reply SpA:

- Wir haben uns mit dem Unternehmen in Verbindung gesetzt, um Einblick in seine Datensicherheitspraktiken und sein Personalmanagement zu erhalten.

- Wir baten um zusätzliche Details zu Aspekten der Cyber-Resilienz-Strategie von Reply, um den Anlegern ein besseres Verständnis des Risikoniveaus und des Managementansatzes zu ermöglichen.

- Insbesondere forderten wir eine stärkere Differenzierung der bestehenden Compliance-Mechanismen, wie z. B. den Umfang und die Häufigkeit von Audits und Mitarbeiterschulungen zu Datenschutz und Datensicherheit.

AssaAbloy:

- Wir haben eine Untersuchung durchgeführt, um mehr über die Cybersicherheitsprozesse und die Aufsicht des Unternehmens zu erfahren.

- Wir waren mit der Antwort des Unternehmens zufrieden, forderten es jedoch auf, die direkte Aufsicht und das Fachwissen auf Vorstandsebene zu erweitern.

Hier erfahren Sie mehr: https://www.schroders.com/de/ch/asset-management/insights/

Wichtige Informationen: Bei dieser Mitteilung handelt es sich um Marketingmaterial. Die Einschätzungen und Meinungen in diesem Dokument geben die Auffassung des Autors bzw. der Autoren auf dieser Seite wieder und stimmen nicht zwangsläufig mit Ansichten überein, die in anderen Veröffentlichungen, Strategien oder Fonds von Schroders zum Ausdruck kommen. Dieses Material dient ausschliesslich zu Informationszwecken und ist in keiner Hinsicht als Werbematerial gedacht. Das Dokument stellt weder ein Angebot noch eine Aufforderung zum Kauf oder Verkauf eines Finanzinstruments dar. Es ist weder als Beratung in buchhalterischen, rechtlichen oder steuerlichen Fragen noch als Anlageempfehlung gedacht und sollte nicht für diese Zwecke genutzt werden. Die Ansichten und Informationen in diesem Dokument sollten nicht als Grundlage für einzelne Anlage- und/oder strategische Entscheidungen dienen. Die Wertentwicklung in der Vergangenheit ist kein verlässlicher Indikator für künftige Ergebnisse. Der Wert einer Anlage kann sowohl steigen als auch fallen und ist nicht garantiert. Alle Anlagen sind mit Risiken verbunden. Dazu gehört unter anderem der mögliche Verlust des investierten Kapitals. Die hierin aufgeführten Informationen gelten als zuverlässig. Schroders garantiert jedoch nicht deren Vollständigkeit oder Richtigkeit. Einige der hierin enthaltenen Informationen stammen aus externen Quellen, die von uns als zuverlässig erachtet werden. Für Fehler oder Meinungen Dritter wird keine Verantwortung übernommen. Darüber hinaus können sich diese Daten im Einklang mit den Marktbedingungen ändern. Dies schliesst jedoch keine Verpflichtung oder Haftung aus, die Schroders gegenüber seinen Kunden gemäss etwaig geltender aufsichtsrechtlicher Vorschriften wahrnimmt. Die aufgeführten Regionen/Sektoren dienen nur zur Veranschaulichung und stellen keine Empfehlung zum Kauf oder Verkauf dar. Die im vorliegenden Dokument geäusserten Meinungen enthalten einige Prognosen. Unseres Erachtens stützen sich unsere Erwartungen und Überzeugungen auf plausible Annahmen, die unserem derzeitigen Wissensstand entsprechen. Es gibt jedoch keine Garantie, dass sich etwaige Prognosen oder Meinungen als richtig erweisen. Diese Einschätzungen oder Meinungen können sich ändern. Herausgeber dieses Dokuments: Schroder Investment Management Limited, 1 London Wall Place, London EC2Y 5AU, Grossbritannien. Registriert in England unter der Nr. 1893220. Zugelassen und beaufsichtigt durch die Financial Conduct Authority.


Bildquelle: Schroders, Schroders, Schroders, SchrodersSchroders,Schroders, Schroders, Schroders, Schroders

Fondsfinder

Nachrichten

  • Nachrichten zu Fonds
  • Alle Nachrichten

finanzen.net News

Datum Titel
{{ARTIKEL.NEWS.HEAD.DATUM | date : "HH:mm" }}
{{ARTIKEL.NEWS.BODY.TITEL}}
pagehit