Studie: Markt vernachlässigt Cyberverstöße

13.04.2023

Jeroen van Oerle, Portfoliomanager bei Lombard Odier Investment Managers / Foto: © Lombard Odier

Die meisten Anleger scheinen sich darüber einig zu sein, dass es wichtig ist, Cybersicherheitsrisiken in den Portfoliomanagementprozess einzubeziehen. Eine aktuelle statistische Untersuchung von LOIM zeigt jedoch, dass der Markt diesen Faktor bei der Bewertung von Vermögenswerten im Allgemeinen nicht in Betracht zieht. 

LOIM hat eine Analyse von Cybersicherheitsrisiken und deren Integration in die fundamentale Aktienanalyse anhand einer statistischen Studie über die Auswirkungen von Hacks auf eine Reihe börsennotierter FinTech-Unternehmen durchgeführt. Die Ergebnisse zeigen, dass Cybersecurity-Verstöße einen unbedeutenden Einfluss auf die Aktienkursrenditen der gehackten Unternehmen haben, was die Schlussfolgerung zulässt, dass der Markt Cyberverletzungen vernachlässigt. Dies steht im Gegensatz zu der weit verbreiteten Ansicht, dass Hacks die Aktienkurse stark beeinflussen, da größere Sicherheitsverletzungen zu Klagen von Opfern und Aufsichtsbehörden geführt haben. 

In einem zweiten Schritt wurden Tests durchgeführt, um festzustellen, ob diese Marktreaktion tatsächlich korrekt war, indem das Ausbleiben von Aktienkursbewegungen mit den Quartals- und Jahresberichten des gehackten Unternehmens verglichen wurden. Die gehacktenUnternehmen wiesen höhere Investitions- und Betriebskosten aus, die direkt darauf zurückzuführen sind, dass sie den durch den Angriff verursachten Betriebs- und Markenschaden wiederherstellen mussten, im Vergleich zu nicht angegriffenen Unternehmen, denen diese Kosten nicht entstanden sind. 

Über alle Benchmarks hinweg steigen die Investitionsausgaben für gehackte Unternehmen um 11 % bis 16 % und die Betriebskosten um 8 % bis 11 % im Vergleich zu nicht gehackten Unternehmen. Gleichzeitig versuchen Unternehmen, die negativen Auswirkungen einer Sicherheitsverletzung abzumildern, indem sie ihre VVG-Kosten deutlich erhöhen, um die schlechte Publicity zu kompensieren. Dies führt in den Quartalen nach einem Hack (und in den Jahresergebnissen) häufig zu einem Umsatzanstieg. Dies mag als positives Ergebnis erscheinen, aber es muss beachtet werden, dass der gleiche Umsatzanstieg mit geringeren Kosten hätte erzielt werden können, wenn es nicht zu einem Verstoß gekommen wäre (insbesondere weniger Capex und Opex). Die Auswirkungen von Sicherheitsverletzungen auf den Umsatz und die VVG-Kosten werden mit der Zeit immer deutlicher, wie die nachfolgenden Quartals- und Jahresergebnisse zeigen. 

Entscheidend ist, dass die Ergebnisse der Studie zeigen, dass Hackerangriffe mit Kosten verbunden sind, und dass diese Kosten auf dem Markt nicht angemessen berücksichtigt werden. Wir gehen davon aus, dass diese Auswirkungen - insbesondere im Bereich der Betriebskosten - mit dem Übergang zu SAAS weiter zunehmen werden. Darüber hinaus dürften auch regulatorische Bußgelder zu größeren einmaligen Kosten führen. 

Investoren können Cyberunsicherheiten nur schwer erkennen

Um diese Risiken in den Portfolios zu bewältigen, sollten Vermögensverwalter Informationen zur Cybersicherheit in ihre Anlageprozesse einbeziehen. Dies wird Hacks zwar nicht verhindern, aber es wird helfen, gut vorbereitete Unternehmen von anfälligen zu unterscheiden. Aus der Bewertungsperspektive sollten gehackte Unternehmen unter sonst gleichen Bedingungen mit einem Abschlag gegenüber ihren nicht gehackten Konkurrenten gehandelt werden, da die Kosten einer Sicherheitsverletzung höher sind.