Die Anzahl an Cyberangriffen hat sich in den vergangenen fünf Jahren fast verdoppelt. Das Weltwirtschaftsforum schätzt den Schaden der Attacken auf 90 Billionen US-Dollar. Neue Technologien breiten sich rasant aus und auch das Ausmaß der Nutzung nimmt zu, sodass sich neue Angriffsflächen für Cyberkriminelle bieten. Mit der Ausweitung der Test- und Pilotphasen zur neuen 5G-Mobilfunktechnologie wird sich dieser Trend noch verstärken. Trotz der zunehmenden Häufigkeit von Cyberattacken investieren Unternehmen noch zu wenig in die Steuerung ihrer Cyberrisiken. Dabei gewinnt die Cybersicherheit als ESG-Risikofaktor in allen Branchen deutlich an Bedeutung.
Cyberangriffe und ihre finanziellen Folgen
Empirische Marktanalysen zeigen, dass Anleger sich von Unternehmen abwenden, wenn diese von Datenlecks betroffen sind. Eine aktuelle Untersuchung des Analysehauses Ponemon Institute und der Managementberatung Accenture betrachtet Unternehmen, die an der New Yorker Börse notieren und von denen mindestens eine Million Datensätze gestohlen wurden. Gemäß der Untersuchung erreichte der Aktienkurs dieser Unternehmen etwa zwei Wochen nach Bekanntwerden des Vorfalls ihren Tiefpunkt und gab durchnittlich um etwa 7,3 Prozent nach.
Darüber hinaus veranschaulicht die Studie, dass der Aktienkurs dieser Unternehmen über einen Betrachtungszeitraum von einem oder zwei Jahren hinter dem Markt zurückblieb. Ein Beispiel dafür liefert einer der größten Schadsoftwareangriffe: Notpetya. Der Erpressertrojaner wurde 2017 von ukrainischen Servern aus an große internationale Unternehmen verbreitet und verursachte Verluste von mehr als 10 Milliarden US-Dollar. Unternehmen aus unterschiedlichen Branchen waren betroffen und Rechner auf der ganzen Welt infiziert. Das dänische Logistikunternehmen A.P. Møller-Maersk musste seinen Betrieb infolge des Angriffs für mehr als zehn Tage einstellen.
Der Hotelkonzern Mariott ist ein weiteres Beispiel für ein Unternehmen, das von einem Angriff mit Erpressungssoftware (Ransomware) betroffen war. Im November 2018 wurden der Hotelkette bis zu 500 Millionen Gästeeinträge wie Kreditkartendaten und Ausweisnummern gestohlen. Im Juli 2019 verhängte die britische Datenschutzbehörde ICO wegen des Verstoßes gegen die Datenschutzgrundverordnung (DSGVO) eine Geldbuße in Höhe von 126 Millionen US-Dollar gegen den Hotelkonzern. Für das zweite Quartal 2019 wies der Konzern einen Gewinnrückgang um 65 Prozent aus.
Cyberrisiken als Gefahr für die Wertschöpfungskette: Wie lassen sich Kosten und Umsatzeinbußen bemessen?
Die Kosten für Cyberrisiken lassen sich nur schwer beziffern. Im Rahmen einer 2019 durchgeführten Untersuchung zu den 2.000 größten globalen Unternehmen ermittelte Accenture die durchschnittlichen Gesamtkosten, die einem betroffenen Unternehmen 2017 durch eine Cyberattacke entstanden sind, auf 11,7 Millionen US-Dollar. Dabei sind die Durchschnittskosten gegenüber dem Vorjahr um 1,3 Millionen US-Dollar gestiegen. Und auch die Zahl der Angriffe nahm zu.
Bei Unternehmen mit kleiner und mittlerer Marktkapitalisierung, die weniger Ressourcen für IT und die sogenannte Cyberresilienz aufbringen konnten, könnten diese Kosten sogar noch höher ausfallen. Cyberresilienz ist die Fähigkeit von Unternehmen, die eigene Steuerungs- und Reaktionsfähigkeit während oder nach Cyberangriffen möglichst wenig einzubüßen und mit wenig Schäden den regulären Geschäftsbetrieb rasch wieder aufzunehmen.