Die meisten Anleger scheinen sich darüber einig zu sein, dass es wichtig ist, Cybersicherheitsrisiken in den Portfoliomanagementprozess einzubeziehen. Eine aktuelle statistische Untersuchung von LOIM zeigt jedoch, dass der Markt diesen Faktor bei der Bewertung von Vermögenswerten im Allgemeinen nicht in Betracht zieht.
LOIM hat eine Analyse von Cybersicherheitsrisiken und deren Integration in die fundamentale Aktienanalyse anhand einer statistischen Studie über die Auswirkungen von Hacks auf eine Reihe börsennotierter FinTech-Unternehmen durchgeführt. Die Ergebnisse zeigen, dass Cybersecurity-Verstöße einen unbedeutenden Einfluss auf die Aktienkursrenditen der gehackten Unternehmen haben, was die Schlussfolgerung zulässt, dass der Markt Cyberverletzungen vernachlässigt. Dies steht im Gegensatz zu der weit verbreiteten Ansicht, dass Hacks die Aktienkurse stark beeinflussen, da größere Sicherheitsverletzungen zu Klagen von Opfern und Aufsichtsbehörden geführt haben.
In einem zweiten Schritt wurden Tests durchgeführt, um festzustellen, ob diese Marktreaktion tatsächlich korrekt war, indem das Ausbleiben von Aktienkursbewegungen mit den Quartals- und Jahresberichten des gehackten Unternehmens verglichen wurden. Die gehackten Unternehmen wiesen höhere Investitions- und Betriebskosten aus, die direkt darauf zurückzuführen sind, dass sie den durch den Angriff verursachten Betriebs- und Markenschaden wiederherstellen mussten, im Vergleich zu nicht angegriffenen Unternehmen, denen diese Kosten nicht entstanden sind.
Über alle Benchmarks hinweg steigen die Investitionsausgaben für gehackte Unternehmen um 11 % bis 16 % und die Betriebskosten um 8 % bis 11 % im Vergleich zu nicht gehackten Unternehmen. Gleichzeitig versuchen Unternehmen, die negativen Auswirkungen einer Sicherheitsverletzung abzumildern, indem sie ihre VVG-Kosten deutlich erhöhen, um die schlechte Publicity zu kompensieren. Dies führt in den Quartalen nach einem Hack (und in den Jahresergebnissen) häufig zu einem Umsatzanstieg. Dies mag als positives Ergebnis erscheinen, aber es muss beachtet werden, dass der gleiche Umsatzanstieg mit geringeren Kosten hätte erzielt werden können, wenn es nicht zu einem Verstoß gekommen wäre (insbesondere weniger Capex und Opex). Die Auswirkungen von Sicherheitsverletzungen auf den Umsatz und die VVG-Kosten werden mit der Zeit immer deutlicher, wie die nachfolgenden Quartals- und Jahresergebnisse zeigen.
Entscheidend ist, dass die Ergebnisse der Studie zeigen, dass Hackerangriffe mit Kosten verbunden sind, und dass diese Kosten auf dem Markt nicht angemessen berücksichtigt werden. Wir gehen davon aus, dass diese Auswirkungen – insbesondere im Bereich der Betriebskosten – mit dem Übergang zu SAAS weiter zunehmen werden. Darüber hinaus dürften auch regulatorische Bußgelder zu größeren einmaligen Kosten führen.
Investoren können Cyberunsicherheiten nur schwer erkennen
Um diese Risiken in den Portfolios zu bewältigen, sollten Vermögensverwalter Informationen zur Cybersicherheit in ihre Anlageprozesse einbeziehen. Dies wird Hacks zwar nicht verhindern, aber es wird helfen, gut vorbereitete Unternehmen von anfälligen zu unterscheiden. Aus der Bewertungsperspektive sollten gehackte Unternehmen unter sonst gleichen Bedingungen mit einem Abschlag gegenüber ihren nicht gehackten Konkurrenten gehandelt werden, da die Kosten einer Sicherheitsverletzung höher sind.
Die Untersuchung zeigt, dass auf Fragebögen basierende Bewertungen der Cybersicherheitsbereitschaft eines Unternehmens irreführend sein können. Die Bewertung von den Unternehmen in diesen Fragebögen angegebenen Werte für Datenschutz und -sicherheit sowie die Existenz von Cybersicherheitsprogrammen belegt, dass Unternehmen mit hoher Punktzahl eine höhere Kostenbasis haben als Unternehmen mit niedriger Punktzahl, die gehackt wurden. Dies ist aus zwei Gründen kontraintuitiv:
1. Um ein ähnliches Ergebnis zu erzielen, konzentrieren sich Hacker auf leichtere Ziele statt auf schwierige (mit Ausnahme von staatlichen Akteuren, deren Angriffe von strategischen und nicht von monetären Motiven geleitet werden)
2. Unternehmen, die eine hohe Punktzahl erreichen, sollten besser darauf vorbereitet sein, auf einen Cyberverstoß zu reagieren und sich davon zu erholen. Doch das Gegenteil ist der Fall, was uns darin bestärkt, dass wir eine evidenzbasierte Cybersicherheitsanalyse den Ergebnissen eines Fragebogens vorziehen.
Die Analyse stellt außerdem fest, dass es für Unternehmen – geschweige denn für Investoren – sehr schwierig ist, Cybersicherheitsschwachstellen zu erkennen. Auf 100.000 externe Dienste oder Berührungspunkte, die ein Unternehmen in unserem FinTech-Universum einsetzt, kommen etwa sechs bekannte, ausgenutzte Schwachstellen. Das ist eine sehr geringe Anzahl von Bedrohungen, die eine Cybersicherheitsabteilung identifizieren muss: Es ist wie die Suche nach sechs bösartigen Nadeln in einem gutartigen Heuhaufen.
Die Cybersicherheit ist einer von vielen Faktoren, die in eine Investitionsentscheidung einfließen. Finanzielle Merkmale, Markttrends und viele andere Faktoren spielen eine wichtige Rolle bei der Investitionsentscheidung. In Anbetracht der Auswirkungen von Cyber-Risiken auf zahlreiche andere grundlegende Faktoren einer Investitionsentscheidung – insbesondere die finanziellen Auswirkungen auf Opex und Capex – sollte sie ein wesentlicher Bestandteil in der Optimierung des Risiko-Rendite-Puzzle für Anleger sein.