Einer Analyse des US-amerikanisches IT- und Beratungsunternehmens IBM zufolge sollten Unternehmen idealerweise 14 Prozent ihres IT-Budgets für Cybersicherheit aufwenden. Bei der Betrachtung der durchschnittlichen Ausgaben auf Sektorebene auf Grundlage der 2018 verzeichneten Umsätze wird deutlich, dass die Ausgaben der Unternehmen in diesem Bereich jedoch viel geringer sind (zum Beispiel 3,7 Prozent der Umsätze bei IT-Firmen). Zwar legen Unternehmen ihr Cybersicherheitsbudget nicht komplett offen, doch Anleger sollten Wert auf genaue Auskünfte legen.
Aus der Analyse heraus ergaben sich vier Erwartungen an die Cyberrisikovorsorge:
1. Erkennen von Cyberrisiken: Sind einem Unternehmen die größten Cyberrisiken für das Geschäftsmodell nicht bewusst, ist dies ein akutes Warnsignal. Die Risikoneigung der Unternehmen sollte im Verhältnis zu ihrer Wahrnehmung der wesentlichen Cyberrisiken stehen. Außerdem sollte eine Strategie zum Schutz der digitalen Vermögenswerte vorliegen. Ein Quellcode beispielsweise sollte auf eine andere Art und Weise abgesichert werden als personenbezogene Daten.
2. Steuerung: Die Cyberresilienz sollte in den Vorständen aller Unternehmen auf der Tagesordnung stehen. Datenschutzrichtlinien sollten flächendeckend zum Einsatz kommen und auch Mindestanforderungen an Dritte enthalten, um Geschäftsbeziehungen mit diesen eingehen zu können. Wünschenswert ist eine vierteljährliche Überprüfung der vorhandenen Cybersicherheitskompetenzen durch den Vorstand.
3. Umfeld: In den Unternehmen muss ein Bewusstsein dafür geschaffen werden, dass ein besseres Ökosystem zum Thema Cyberresilienz etabliert werden muss. Ebenfalls zu den empfohlenen Vorgehensweisen gehören der Austausch und die Zusammenarbeit mit anderen Unternehmen in den wichtigsten Themenfeldern.
4. Integration: Zu den empfohlenen Vorgehensweisen in den Unternehmen zählen auch solide Prozesse für die Prognose von Vorfällen und die Schadensbegrenzung. Von den Unternehmen wird zudem erwartet, dass sie auf Produktebene bereits während der Produktentwicklung und damit frühzeitig mögliche Cyberrisiken berücksichtigen und ihre digitalen Vermögenswerte und damit zusammenhängende Kosten effektiv verwalten.
Die Digitalisierung bringt für Unternehmen enorme Chancen mit sich. Doch die Kosten im Falle eines Cyberangriffes steigen, wenn die Unternehmen keine angemessenen Vorkehrungen dagegen treffen. Ungenügende Investitionen in Cybersicherheitssysteme und Know-how, mangelndes Wissen um die komplexen Sicherheitsanforderungen bei der Verarbeitung sensibler Kundendaten und fehlende Notfallpläne gehören zu den Warnsignalen. Cybervorfälle und der Umgang der Unternehmen damit wirken sich eindeutig auf Anlageentscheidungen aus.
Über die Autorin:
Marjo Koivisto leitet bei Nordea Asset Management am Standort Stockholm die ESQ-Quant-Aktivitäten. Seit dem Jahr 2018 gehört die Nachhaltigkeitsspezialistin dem Nordea-Team für verantwortungsbewusste Investments an und treibt dort zum Beispiel die Entwicklung der hauseigenen ESG-Datenplattform voran. Zuvor arbeitete Koivisto beim Weltwirtschaftsforum und bei der Weltbank.