Cookie-Bestimmungen

Unsere Website verwendet Cookies. Durch die Nutzung der Website und durch Ihre Zustimmung zu den Nutzungsbedingungen stimmen Sie dem Gebrauch von Cookies zu Cookie-Bestimmungen.

Vorheriger Artikel (9/61)
ESG im Zeitalter der Cyber-Sicherheit
ESG im Zeitalter der Cyber-Sicherheit
Zurück

ESG im Zeitalter der Cyber-Sicherheit

12/09/2017

Felipe Gordillo

Felipe Gordillo

Senior ESG Analyst

BNP Paribas Asset Management

View profile

Cyber-Angriffe bedrohen Unternehmen, Regierungsinstitutionen und die Öffentlichkeit. McAfee schätzt die jährlichen Kosten für Angriffe auf die Weltwirtschaft auf mehr als 400 Mrd. USD. Institutionelle Anleger müssen sich der potenziellen Auswirkungen auf ihre Anlagen bewusst sein und wissen, wie gut Beteiligungsunternehmen derartige Risiken managen.

 

In diesem Jahr gerieten die Cyber-Angriffe „WannaCry“ und „Petya“ in die internationalen Schlagzeilen, denn sie infizierten hunderttausende von Computern in 150 Ländern und störten die Geschäftstätigkeit vieler der weltweit größten Unternehmen. Dies sind jedoch nur zwei unter vielen Schadattacken der letzten Jahre.

In dem Bericht von PwC zur "Global State of Information Security" steht, von 2009-2014 sind die Angriffe von 3,4 Mio auf 42,8 Mio gestiegen.

Die Motive hinter den Angriffen

„WannaCry“ zeigte die Risiken von Ransomware-Angriffen auf, aber die Arten von für Cyber-Angriffen und ihre Motivationen sind vielfältig und komplex. Es kann sich um Regierungs- oder Unternehmensspionage, um einfache Profitsucht oder -gier bzw. um Protestaktionen und Aktivismus handeln.

Im Jahr 2016 wurden nach Gemaltos „Breach Level Index“ 68 % der Angriffe von böswilligen Außenstehenden durchgeführt, bei 19 % handelte es sich um versehentliche Datenverluste und 9 % wurden durch böswillige Insider (Personen, die bei dem angegriffenen Unternehmen arbeiten) ausgeführt. Für 3 % waren „Hacktivisten“ verantwortlich und nur bei 1 % der Vorfälle handelte es sich um staatlich geförderte Angriffe.

Die Art der Angriffe hängt von der Art der kompromittierten Daten ab. Der häufigste Datenschutzverstoß ist der Identitätsdiebstahl, der 59 % aller Vorfälle in Bezug auf die Datensicherheit ausmacht. Durch den Identitätsdiebstahl haben Hacker Zugriff auf wichtige und wertvolle Daten von Unternehmen und Regierungen.  Zugriffe auf Finanzressourcen (Diebstahl von Geld) ist der zweithäufigste Angriffstyp – mit 18 % der Angriffe.

Ein erhebliches Risiko

Cyber-Angriffe stellen für viele Beteiligungsunternehmen ein erhebliches Risiko dar und können die Interessen aller Stakeholder eines Unternehmens schädigen. Ein Cyber-Angriff kann zunächst die Geschäftstätigkeit beeinträchtigen, indem er die betrieblichen Abläufe stört, die durch die Mitarbeiter und die Geschäftsführung ausgeführt werden. Zum Zweiten kann er sich umfassender auf die EDV-Systeme auswirken, mit denen die Zulieferer und Auftragnehmer des Unternehmens verwaltet werden. Zum Dritten wird es für ein Unternehmen, das die personenbezogenen Daten seiner Kunden nicht schützt, schwieriger sein, das Vertrauen und stabile Beziehungen zu seinen Kunden aufzubauen und aufrechtzuerhalten. Schließlich könnten Unternehmen auch Schwierigkeiten mit den Behörden bekommen, wenn die Gesetzgebung strenger wird. Es ist integraler Bestandteil der treuhänderischen Pflicht für institutionelle Anleger, sich dieser Risiken bewusst zu sein und sie angemessen zu verwalten.

Die Rolle von BNP Paribas Asset Management besteht darin, den Gefährdungsgrad gegenüber Cyber-Angriffen in unseren Portfolios zu ermitteln und zu verstehen, wie Beteiligungsunternehmen die technologischen und menschlichen Risikofaktoren unter Kontrolle halten. Das ist nicht einfach, angesichts der fehlenden Angaben von Beteiligungsunternehmen zu diesem Thema. Dafür gibt es in der Regel zwei Gründe – zum Einen das mangelnde Verständnis von Seiten des leitenden Managements und der Vorstände hinsichtlich des Ausmaßes und der Bedeutung der Risiken im Bereich Cyber-Kriminalität; zum Anderen die fehlende Erfahrung bei der Schaffung der entsprechenden Rahmenbedingungen für den Umgang mit Bedrohungen aus dem Internet. Die Entscheider haben in der Tat gerade erst damit begonnen, die entsprechenden Rahmenbedingungen zu schaffen. In Europa wurde beispielsweise die Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union im Juli 2016 verabschiedet. Unternehmen müssen diese Richtlinie bis Mai 2018 vollständig erfüllen. Die Europäische Kommission kann Strafen verhängen, die zwischen 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes eines Unternehmens liegen, wenn entsprechende Schutzmaßnahmen nicht implementiert wurden.

Cyber-Sicherheit aus Sicht von ESG

Die Cyber-Sicherheit betrifft die S-Faktoren (Kundenzufriedenheit und daran gekoppelt die Servicequalität) sowie die G-Faktoren (wie die Unternehmensleitung Risiken handhabt).

Bei BNP Paribas Asset Management gibt es zwei Bewertungsebenen. Zunächst prüfen wir die Cyber-Sicherheitsstrategie eines Unternehmens und deren Implementierung. Wir erwarten, dass Unternehmen darlegen, wie sie Angriffsflächen bei ihren Daten ermitteln und wie sie damit umgehen. Wir erwarten weiterhin, dass sie uns ihre Maßnahmenpläne dazu erläutern, wie sie eine Bedrohung erkennen und kompromittierte Daten wiederherstellen bzw. wieder unter ihre Kontrolle bringen. Zum Zweiten sehen wir uns die Unternehmensführung der Unternehmen und die für Risiken zuständigen Gremien an. Wir erwarten von Unternehmen, dass sie die Schlüsselpersonen für die Implementierung von Abhilfemaßnahmen benennen können und dass sich das leitende Management und der Vorstand an diesen Gremien beteiligen.

Cyber-Angriffe sind für alle Organisationen eine Bedrohung und haben reale finanzielle Auswirkungen. Anleger möchten sicher sein, dass das Thema Cyber-Sicherheit bei den Vorständen höchste Priorität hat und dass die Strukturen der Unternehmensführung in der Lage sind, diese Bedrohungen effektiv zu handhaben. Da dies heute ein Problem ist, das nicht nur die IT-Abteilung betrifft, müssen Anleger Unternehmen aktiv zur Einführung bewährter Maßnahmen im Bereich Cyber-Sicherheit und zu Investitionen in die entsprechenden technischen Lösungen drängen.

Fußnote:

BNP Paribas Asset Management ist aktives Mitglied des PRI-Beirats für Cyber-Sicherheit, der im Jahr 2016 seine Arbeit aufgenommen hat. Seine Rolle besteht darin, die Rahmenbedingungen zur Beurteilung von Cyber-Sicherheitsrisiken zu entwickeln und zu begreifen, welche Maßnahmen Unternehmen zum Umgang mit diesen Risiken ergreifen. Auf der diesjährigen PRI in Person hat eine Sitzung zur Cyber-Sicherheit stattgefunden, um das Thema ins Bewusstsein zu rücken und die Anleger dahingehen zu informieren, wie sie Unternehmen zur Einführung bewährter Praktiken und Verfahren im Bereich Cyber-Sicherheit bewegen können.

Folgen Sie uns