Cyberrisiken verursachen massive Kosten

Nordea AM hat ein Whitepaper darüber veröffentlicht, warum Cybersicherheit als Risikofaktor in allen Branchen zunehmend an Bedeutung gewinnt. Die Analyse zeigt die wichtigsten finanziellen Folgen auf und bewertet unterschiedliche Branchen anhand ihrer Cyberrisiken.

Die Zahl von Cyberangriffen hat sich in den letzten fünf Jahren fast verdoppelt. Das Weltwirtschaftsforum schätzt die Kosten der Attacken auf rund 90 Bio. US-Dollar. Geschwindigkeit und Ausmass der Nutzung neuer Technologien in den unterschiedlichsten Branchen tragen gemäss Michaela Zhirova und Marjo Koivisto von Nordea Asset Management dazu bei, neue Angriffsflächen für Cyberkriminelle zu schaffen. Mit der Ausweitung der Test- und Pilotphasen zur neuen 5G-Technologie wird sich dieser Trend noch verstärken. Bei Cyberangriffen auf Unternehmen und staatliche Stellen kommt es zu Verletzungen der Privatsphäre, zum Diebstahl wertvoller Daten, zur Gefährdung von Systemintegrität und Systemzugriffen sowie zur Vernichtung von Daten. Hinzu kommt, dass Unternehmen trotz der zunehmenden Häufigkeit und Raffinesse der Attacken noch immer zu wenig in die Steuerung ihrer Cyberrisiken investieren.

Hohe finanzielle Schäden

Da die Erkennung, Einschätzung und Behebung von Cyberangriffen mitunter langwierig ist und operative Verluste verursachen kann, steigen die Kosten für die Unternehmen immer weiter an, so die Autoren des Whitepapers. Dies zeigt sich an einigen der bisher grössten Schadsoftwareangriffe, wie z. B. bei der Hotelkette Marriott, die 2018 ein Datenleck in ihrem Reservierungssystem entdeckte und daraufhin in mehreren Ländern mit hohen Geldstrafen gebüsst wurde.

Doch nicht nur die Bussen können Unternehmen empfindlich treffen. Empirische Marktanalysen zeigen, dass Anleger sich tatsächlich von Unternehmen abwenden, die von Datenlecks betroffen sind. Für Unternehmen sollte dies laut den Experten von Nordea AM ein wichtiger Anreiz sein, sich besser gegen mögliche Cyberangriffe zu wappnen. Es zeigt sich nämlich, dass der Aktienkurs von Unternehmen, die Opfer von Datendiebstahl wurden, auch über einen Betrachtungszeitraum von zwei Jahren hinter dem Markt zurückblieben. Im Rahmen einer 2019 durchgeführten Untersuchung zu den 2'000 grössten börsennotierten Unternehmen bezifferte der Technologie-Dienstleister Accenture die durchschnittlichen Gesamtkosten, die einem betroffenen Unternehmen 2017 durch eine Cyberattacke entstanden, auf über 11 Mio. US-Dollar. Dabei waren die Durchschnittskosten (ebenso wie die Zahl der Angriffe) gegenüber dem Vorjahr deutlich gestiegen, und zwar um mehr als eine Million US-Dollar.

Lokalisierung der Gefahrenquelle zentral

Da keine allgemein verbindliche Kostenschätzung der Auswirkungen von Cyberangriffen getroffen werden kann, hat Nordea AM analysiert, in welchen Sektoren sich die Attacken am stärksten auf die Wertschöpfung auswirken. Die besonders bedrohten Sektoren lassen sich grob zwei Wirtschaftszweigen zuordnen: Industrie und produzierendes Gewerbe. Beide liegen im Hinblick auf ihre Gefährdung im Mittelfeld, jedoch mangelt es an Investitionen in IT-Systeme und an dem erforderlichen Sachverstand. Auch die Systeme im Gast- und Freizeitgewerbe sind in der Regel deutlich zu einfach gestrickt, um den komplexen Sicherheitsanforderungen zu genügen, die die von ihnen verarbeiteten sensiblen Kundendaten erfordern.

Eine 100-prozentige Absicherung gegen Cyberangriffe gibt es nicht. Deshalb ist es gemäss den Autoren zentral, sich ein eindeutiges Bild davon zu machen, welche Teile des Geschäftsmodells (sprich des Umsatzes) wesentlichen Cyberrisiken besonders stark ausgesetzt sind. Denn ein Cybervorfall kann die Geschäftsaktivitäten tagelang lahmlegen und verursacht so unmittelbare Schäden durch entgangene Umsätze. Neben der Lokalisierung der Gefahren sind auch die Investitionen in die Cyberrisikovorsorge wichtig. Die Experten erklären, dass Unternehmen laut einer Analyse von IBM idealerweise 14% ihres IT-Budgets für Cybersicherheit aufwenden sollten. Betrachtet man jedoch die durchschnittlichen Ausgaben auf Sektorebene (3,73% der Umsätze bei IT-Firmen beispielsweise), wird deutlich, dass die Ausgaben der Unternehmen in diesem Bereich deutlich zu gering sind.

Nordea AM ist davon überzeugt, dass die Digitalisierung für Unternehmen enorme Chancen mit sich bringt. Doch der Preis dafür steigt ins Unermessliche, wenn die Unternehmen keine angemessenen Vorkehrungen gegen Cyberangriffe treffen. Ungenügende Investitionen in Cybersicherheitssysteme und Know-how, mangelndes Wissen um die komplexen Sicherheitsanforderungen bei der Verarbeitung sensibler Kundendaten und fehlende Notfallpläne gehören laut der Studie zu den alarmierendsten Warnsignalen, die in den Branchen mit hohem Risiko identifiziert wurden.