switzerlandde
„Die Auswirkungen von Cyber-Risiken haben sich geändert, und Unternehmen müssen die Messlatte höher legen“

„Die Auswirkungen von Cyber-Risiken haben sich geändert, und Unternehmen müssen die Messlatte höher legen“

24-07-2019 | Einblicke

Bislang ist es schwer, Angaben zur Cyber-Sicherheit von Unternehmen und ihren Produkten zu bekommen. Der Cyber-Sicherheitsexperte von Robeco, Vincent Toms, spricht über die sich ändernden Auswirkungen von Cyber-Bedrohungen, das Rahmenkonzept und Rankingsystem für Cyber-Sicherheit, die er für Robeco entwickelt, sowie über die Pläne des Unternehmens, Cyber-Sicherheit in seine Aktivitäten zur Förderung von Nachhaltigkeit einzubeziehen.

  • Vincent  Toms
    Vincent
    Toms
    Analyst

Cyber-Sicherheit ist ein sich rasch entwickelndes Gebiet. Wie können wir mit all diesen Bedrohungen Schritt halten oder – besser noch – diesen immer einen Schritt voraus sein?

„Es gibt zurzeit über 90.000 bekannte Schwachstellen und mehr als 50.000 Bedrohungen, die diese Schwachstellen ausnutzen. Und diese Zahlen nehmen täglich zu. Mit diesen ‚bekannten’ Schwachstellen Schritt zu halten und IT-Systeme (Altsystemen) entsprechend upzudaten, kostet viel Zeit und Ressourcen.“ 

„Eine grundlegende ‚Datenhygiene’ ist unverzichtbar. Zu den Hauptursachen für Datenmissbrauch und Cyber-Angriffe gehören in den meisten Fällen nach wie vor das nicht rechtzeitige Aufspielen von Software-Patches, leicht zu erratende Passwörter und unsichere Installationen. Diese Dinge machen Computersysteme zu einer leichten Beute für Angreifer.“ 

Zu den aktuellen Einblicken
Zu den aktuellen Einblicken
Anmelden

Cyber-Sicherheit kostet viel Geld, ein Hackerangriff kann aber noch teurer werden. Wie groß ist die Bereitschaft von Unternehmen, genug Geld auszugeben, um ihre Systeme sicher zu machen?

„Die Situation hat sich in den letzten Jahren erheblich verändert. Wir sehen, dass Cyber-Sicherheitskontrollen von Vorständen mehr Aufmerksamkeit geschenkt wird. Und auch bei Aktionären findet das Thema mittlerweile Beachtung. Sie nutzen ihre Stimmrechte, um Cyber-Sicherheit zum Bestandteil der Vergütungssysteme für Führungskräfte zu machen. Ernstliche Hackerangriffe und der von Regulierungsbehörden sowie Lieferketten ausgehende Druck haben alle zu dieser Entwicklung beigetragen.“ 

„In den von Unternehmen im Rahmen ihrer Publizitätspflichten veröffentlichten Unterlagen findet man allerdings keine näheren Angaben, wie viel sie für Cyber-Sicherheit ausgeben. Das ist bedauerlich, weil uns das nicht die Sicherheit gibt, die wir suchen.“ 

„Zudem sind wir noch nicht so weit, dass wir beim Kauf eines Produkts sagen können, ob es sicherer oder weniger sicher ist. Hersteller und Lieferanten können zwar behaupten, ihre Produkte seien sehr sicher, aber es gibt keine Garantie. Und auch wenn ein Produkt als sicher konzipiert ist, sollte man dessen Lebenszyklus betrachten. Denn ein Produkt, das heute noch sicher ist, kann es übermorgen schon nicht mehr sein. Ich weiß, dass einige Unternehmen wie z. B. Microsoft großen Aufwand betreiben, um ihre digitale Umgebung sicher zu machen. Denn wenn sie die Sicherheit ihrer Kunden nicht gewährleisten können, werden sie bald keine Kunden mehr haben. Der Cyber-Sicherheitsrat der Niederlande empfiehlt Unternehmen, 10 % ihres Budgets für Cyber-Sicherheit auszugeben. Die Frage, ob dies ausreicht, zu wenig oder zu viel ist, lässt sich allerdings nicht beantworten.“

Aus den von Unternehmen veröffentlichten Informationen geht nicht hervor, wie viel Geld sie in IT und Cyber-Sicherheit investieren

Wie sieht das von Ihnen implementierte Rahmenkonzept zur Cyber-Sicherheit aus?

„Es gibt mehrere Cyber-Risikobereiche, die Unternehmen absichern müssen, um die Wahrscheinlichkeit eines Angriffs und die Folgen eines solchen Angriffs zu minimieren. Ihre Anstrengungen müssen sich nach den Bedrohungen (z. B. geschäftliche Risiken), dem Umfang von Kontrollmechanismen (Kosten) und den Folgen möglicher Schäden (Kosten eines Angriffs) richten.“

„Im Rahmen unserer Research-Tätigkeit beurteilen wir, inwieweit ein Unternehmen die wichtigsten Kontrollmechanismen für jeden Risikobereich umsetzt. Die wichtigsten Kontrollmechanismen, die wir uns ansehen, basieren auf mehreren internationalen Rahmenkonzepten für Cyber-Sicherheit. Nach Abschluss dieses Prozesses geben wir dem betreffenden Unternehmen eine Gesamtpunktzahl, die wir dann den Gesamtpunktzahlen vergleichbarer Unternehmen gegenüberstellen, um ein relatives Ranking zu erstellen. Diese Gesamtpunktzahl kann unsere Entscheidung beeinflussen, ob wir in ein Unternehmen investieren oder nicht.“ 

Sind Trendfonds Cyber-Risiken stärker ausgesetzt als andere Fonds?

„Cyber-Sicherheit betrifft viele Sektoren. Wir haben beschlossen, mit Trendfonds anzufangen, weil die mit Trends und insbesondere mit FinTech verbundenen Risiken hoch sind und Vertrauen dabei sehr wichtig ist. Mit diesen Fonds positionieren wir uns in Unternehmen mit großem digitalem Fußabdruck. Unser Ansatz besteht darin, flink und beweglich zu sein, klein anzufangen, unser Rahmenkonzept zum Laufen zu bringen, es schlank und knapp zu halten und dann größer zu machen. Wenn wir sehen, dass unser Ranking-Rahmenkonzept funktioniert, können wir es für andere Fonds verwenden.“

Was steckt hinter dem Bestreben, dieses Cyber-Sicherheitsranking für die Portfolio-Positionen von Robeco zu entwickeln? Und welche Ziele und welchen Zeitrahmen hat man Ihnen vorgegeben, als Sie bei Robeco anfingen?

„Die Bedrohung durch Cyber-Risiken in der digitalen Welt nimmt zu. Im Investmentprozess wird sie aber oft nicht berücksichtigt. Anleger sind sehr daran gewöhnt, physische Risiken z. B. im Zusammenhang mit Lieferketten oder der Produktion zu beurteilen. Da sich die Wertschöpfung der Unternehmen aber zunehmend in den Online-Bereich verlagert, ändern sich die Risiken. Und deshalb sollte sich auch der Analyseansatz der Anleger ändern. Die Investment-Community liegt derzeit immer noch weit zurück, was die Beurteilung von Cyber-Risiken und ihrer Auswirkungen auf Investments angeht. Robeco ist dabei, diese Lücke zu schließen.“ 

„Zu Beginn wurde ich gebeten, als Pilotprojekt zehn Unternehmen zu bewerten. Die längerfristige Zielsetzung besteht darin, das Cyber-Ranking in den Investmentprozess von Robeco und seine Aktivitäten zur Förderung von Nachhaltigkeit zu integrieren. Und es gibt eine Vision, dieses Ranking in eines seiner Ziele für nachhaltige Entwicklung aufzunehmen. Es passt also zu Robecos Philosophie.“

Anleger wollen das Cyber-Sicherheitsniveau selbst wählen können. Und Robeco kann ihnen dies ermöglichen – so wie bei Nachhaltigkeit

Wie wird Cyber-Sicherheit in Robecos Aktivitäten zur Förderung von Nachhaltigkeit einbezogen?

„Die Vision ist, dass es im Lauf der Zeit eine wechselseitige Beziehung zwischen dem Cyber-Sicherheitsranking und dem Einsatz für Nachhaltigkeit geben wird. Wenn im Ranking von Portfolio-Positionen Defizite oder attraktive Kandidaten für ein Investment entdeckt werden, arbeitet Robecos ‚Engagement’-Team mit dem betreffenden Unternehmen zusammen, um dessen Cyber-Sicherheitspraktiken zu verbessern. Dies ist für das Unternehmen und auch für die Anleger von Vorteil. Das Ergebnis einer solchen aktiven Einflussnahme kann in das Cyber-Ranking einfließen.“ 

„Ziel ist es, Einblick in die Cyber-Sicherheit und das Risikoprofil eines Unternehmens zu bekommen und diese Informationen in den Investmentprozess und den Prozess der aktiven Einflussnahme zu integrieren. Wir hoffen, dass dies auch zu einer besseren Berichterstattung über dieses Thema führen wird. Zum Beispiel werden Angaben zum CO2-Ausstoß inzwischen in Prüfungsberichten veröffentlicht, und wir sind der Meinung, dass Daten zur Cyber-Sicherheit in Zukunft genauso behandelt werden sollten.“

Wo stehen wir bei dieser Initiative, und was ist der nächste Schritt?

„Wir sind gegenwärtig dabei, die Risikobewertungsmethode und die Berichtsstandards zu verbessern. Wir wollen also die Überprüfung des Rahmenkonzepts und der wichtigsten Kontrollmechanismen bis Ende dieses Jahres zum Abschluss bringen. Danach wollen wir das Rahmenkonzept testen und automatisieren und es im nächsten Schritt vergrößern und mehr Unternehmen in das Ranking aufnehmen. Unser Ziel ist es, innerhalb von drei Jahren 2.000 bis 5.000 Unternehmen zu bewerten.“

Weitere Artikel zu diesem Thema

Wichtige rechtliche hinweise

Die auf dieser Website dargestellten Inhalte richten sich ausschliesslich an qualifizierte Anleger gemäss Definition im Schweizer Kollektivanlagengesetz vom 23. Juni 2006 (KAG) und seiner Durchführungsverordnung oder an „unabhängige Vermögensverwalter“, auf die die zusätzlichen folgenden Voraussetzungen zutreffen. Qualifizierte Anleger sind insbesondere regulierte Finanzvermittler wie Banken, Wertpapierhändler, Fondsverwaltungsgesellschaften und Vermögensverwalter von kollektiven Kapitalanlagen sowie Zentralbanken, regulierte Versicherungsgesellschaften, Organe der öffentlichen Hand und Altersvorsorgeeinrichtungen mit professioneller Tresorerie oder Unternehmen mit professioneller Tresorerie.

Die Inhalte richten sich allerdings nicht an nicht-qualifizierte Anleger. Indem Sie unten auf „Ich stimme zu“ klicken, signalisieren Sie Ihre Bestätigung und Ihr Einverständnis, dass Sie in Ihrer Funktion als qualifizierter Anleger gemäß KAG oder „unabhängiger Vermögensverwalter“ agieren, der die zusätzlichen im Folgenden aufgeführten Voraussetzungen erfüllt. Wenn Sie ein „unabhängiger Vermögensverwalter“ sind, der alle Voraussetzungen gemäß §3 Abs. 2 c) KAG in Verbindung mit §3 KAG KAG erfüllt, bestätigen Sie durch Anklicken von „Ich stimme zu“, dass Sie die Inhalte dieser Website ausschließlich für die Kunden Ihres Kundenstamms verwenden, die qualifizierte Anleger gemäss KAG sind.

Vertreter für die ausländischen, bei der Eidgenössischen Finanzmarktaufsicht (FINMA) für den Vertrieb in der Schweiz an nicht-qualifizierte Anleger registrierten Fonds in der Schweiz ist die ACOLIN Fund Services AG, Affolternstrasse 56, 8050 Zürich, und die Zahlstelle ist UBS Schweiz AG, Bahnhofstrasse 45, 8001 Zürich. Eine Liste der bei der FINMA registrierten Fonds finden Sie auf www.finma.ch.

Weder die Informationen noch die Meinungen, die auf der Website veröffentlicht wurden, stellen ein Angebot, eine Andienung oder Empfehlung zum Kauf, Verkauf oder zur Verfügung über Anlagen, zum Abschluss von sonstigen Transaktionen oder eine Anlageberatung oder einen Anlageservice dar. Eine Anlage in ein Produkt der Robeco/RobecoSAM AG sollte nur nach Studium der zugehörigen juristischen Unterlagen, beispielsweise der Bestimmungen zur Verwaltung, der Satzung, der Prospekte, der Dokumente mit wesentlichen Informationen für den Anleger und der Jahres- und Halbjahresberichte erfolgen, die alle kostenfrei auf dieser Website, am Geschäftssitz des Vertreters in der Schweiz sowie bei allen Niederlassungen von Robeco/RobecoSAM AG in den Ländern erhältlich sind, in denen Robeco vertreten ist. Für die in der Schweiz vertriebenen Fonds ist Erfüllungsort und Gerichtsstand der Geschäftssitz des Vertreters in der Schweiz.

Diese Website richtet sich nicht an Personen in Rechtsgebieten, in denen aufgrund der Staatsbürgerschaft der Person, des Wohnorts oder aus sonstigen Gründen die Veröffentlichung bzw. Verfügbarkeit dieser Website verboten ist. Den Personen, auf die derartige Einschränkungen zutreffen, ist der Zugriff auf diese Website nicht gestattet.

Nicht Zustimmen