Jeroen van Oerle, Portfoliomanager bei Lombard Odier Investment Managers (LOIM) © LOIM
  • Von Redaktion
  • 13.04.2023 um 15:08
artikel drucken artikel drucken
lesedauer Lesedauer: ca. 03:05 Min

Risiken bei der Cybersicherheit von Unternehmen fließen viel zu selten in die Anlageentscheidung ein. Das meint Jeroen van Oerle, Portfoliomanager bei Lombard Odier Investment Managers (LOIM), in seinem Gastbeitrag. Laut einer Analyse von LOIM sind Hackerangriffe mit Kosten verbunden, die der Markt nicht angemessen berücksichtigt.

Die meisten Anleger scheinen sich darüber einig zu sein, dass es wichtig ist, Cybersicherheitsrisiken in den Portfoliomanagementprozess einzubeziehen. Eine aktuelle statistische Untersuchung von Lombard Odier Investment Managers (LOIM) zeigt jedoch, dass der Markt diesen Faktor bei der Bewertung von Vermögenswerten im Allgemeinen nicht in Betracht zieht.

 Aber der Reihe nach: LOIM hat eine Analyse von Cybersicherheitsrisiken und deren Integration in die fundamentale Aktienanalyse durchgeführt. Konkret wurden anhand einer statistischen Studie die Auswirkungen von Hacks auf eine Reihe börsennotierter Fintech-Unternehmen untersucht.

Die Ergebnisse zeigen, dass Cybersecurity-Verstöße einen unbedeutenden Einfluss auf die Aktienkursrenditen der gehackten Unternehmen haben. Das lässt die Schlussfolgerung zu, dass der Markt Cyberverletzungen vernachlässigt. Dies steht im Gegensatz zu der weit verbreiteten Ansicht, dass Hacks die Aktienkurse stark beeinflussen, da größere Sicherheitsverletzungen zu Klagen von Opfern und Aufsichtsbehörden geführt haben.

In einem zweiten Schritt wurden Tests durchgeführt, um festzustellen, ob diese Marktreaktion tatsächlich korrekt war. Dazu wurde das Ausbleiben von Aktienkursbewegungen mit den Quartals- und Jahresberichten des gehackten Unternehmens verglichen. Die gehackten Unternehmen wiesen höhere Investitions- und Betriebskosten aus. Diese sind wiederum direkt darauf zurückzuführen, dass die Attackierten den durch den Angriff verursachten Betriebs- und Markenschaden wiederherstellen mussten – im Vergleich zu nicht angegriffenen Unternehmen, denen keine Kosten entstanden sind.

Über alle Benchmarks hinweg steigen die Investitionsausgaben für gehackte Unternehmen um 11 bis 16 Prozent und die Betriebskosten um 8 bis 11 Prozent im Vergleich zu nicht gehackten Unternehmen. Gleichzeitig versuchen Unternehmen, die negativen Auswirkungen einer Sicherheitsverletzung abzumildern, indem sie ihre VVG-Kosten deutlich erhöhen, um die schlechte Publicity zu kompensieren. Dies führt in den Quartalen nach einem Hack (und in den Jahresergebnissen) häufig zu einem Umsatzanstieg. Dies mag als positives Ergebnis erscheinen, aber es muss beachtet werden, dass der gleiche Umsatzanstieg mit geringeren Kosten hätte erzielt werden können, wenn es nicht zu einem Verstoß gekommen wäre (insbesondere weniger Capex und Opex). Die Auswirkungen von Sicherheitsverletzungen auf den Umsatz und die VVG-Kosten werden mit der Zeit immer deutlicher, wie die entsprechenden Quartals- und Jahresergebnisse zeigen.

Entscheidend ist, dass die Ergebnisse der Studie zeigen, dass Hackerangriffe mit Kosten verbunden sind, und dass diese Kosten auf dem Markt nicht angemessen berücksichtigt werden. Wir gehen davon aus, dass diese Auswirkungen – insbesondere im Bereich der Betriebskosten – mit dem Übergang zu Software as a Service (SAAS)-Lösungen weiter zunehmen werden. Darüber hinaus dürften auch regulatorische Bußgelder zu größeren einmaligen Kosten führen.

Investoren können Cyberunsicherheiten nur schwer erkennen

Um diese Risiken in den Portfolios zu bewältigen, sollten Vermögensverwalter Informationen zur Cybersicherheit in ihre Anlageprozesse einbeziehen. Dies wird Hacks zwar nicht verhindern, aber es wird helfen, gut vorbereitete Unternehmen von anfälligen zu unterscheiden. Aus der Bewertungsperspektive sollten gehackte Unternehmen unter sonst gleichen Bedingungen mit einem Abschlag gegenüber ihren nicht gehackten Konkurrenten gehandelt werden, da die Kosten einer Sicherheitsverletzung höher sind. 

Die Untersuchung zeigt, dass auf Fragebögen basierende Bewertungen der Cybersicherheitsbereitschaft eines Unternehmens irreführend sein können. Die Bewertung von den Unternehmen in diesen Fragebögen angegebenen Werte für Datenschutz und -sicherheit sowie die Existenz von Cybersicherheitsprogrammen belegt, dass Unternehmen mit hoher Punktzahl eine höhere Kostenbasis haben als Unternehmen mit niedriger Punktzahl, die gehackt wurden.

Das ist aus zwei Gründen kontraintuitiv:

  1. Um ein ähnliches Ergebnis zu erzielen, konzentrieren sich Hacker auf leichtere Ziele statt auf schwierige (mit Ausnahme von staatlichen Akteuren, deren Angriffe von strategischen und nicht von monetären Motiven geleitet werden)
  2. Unternehmen, die eine hohe Punktzahl erreichen, sollten besser darauf vorbereitet sein, auf einen Cyberverstoß zu reagieren und sich davon zu erholen – doch das Gegenteil ist der Fall. Das bestärkt uns darin, dass wir eine evidenzbasierte Cybersicherheitsanalyse den Ergebnissen eines Fragebogens vorziehen.

Die Analyse stellt außerdem fest, dass es für Unternehmen – geschweige denn für Investoren – sehr schwierig ist, Schwachstellen bei der Cybersicherheit zu erkennen. Auf 100.000 externe Dienste oder Berührungspunkte, die ein Unternehmen in unserem Fintech-Universum einsetzt, kommen etwa sechs bekannte, ausgenutzte Schwachstellen. Das ist eine sehr geringe Anzahl von Bedrohungen, die eine Cybersicherheitsabteilung identifizieren muss: Es ist wie die Suche nach sechs bösartigen Nadeln in einem gutartigen Heuhaufen.

Die Cybersicherheit ist einer von vielen Faktoren, die in eine Investitionsentscheidung einfließen. Finanzielle Merkmale, Markttrends und viele andere Faktoren spielen eine wichtige Rolle bei der Investitionsentscheidung. In Anbetracht der Auswirkungen von Cyber-Risiken auf zahlreiche andere grundlegende Faktoren einer Investitionsentscheidung – insbesondere die finanziellen Auswirkungen auf Opex und Capex – sollte sie ein wesentlicher Bestandteil in der Optimierung des Risiko-Rendite-Puzzle für Anleger sein.

kommentare

Hinterlasse eine Antwort

kommentare

Hinterlasse eine Antwort