switzerlandde
Digitale Assets zur Abwehr von Cyberangriffen rüsten

Digitale Assets zur Abwehr von Cyberangriffen rüsten

22-10-2021 | Einblicke

Die Bereitschaft zur Verbesserung der Datensicherheit hat sich erhöht, da Cyberangriffe eine Gefahr im Volumen von mehreren Billionen Dollar darstellen. Das war das Ergebnis eines Engagement-Programms von Robeco.

  • Peter van der Werf
    Peter
    van der Werf
    Engagement Specialist
  • Carolina Vergroesen
    Carolina
    Vergroesen
    Active Ownership Analyst

In aller Kürze

  • Dreijähriges Engagement zur Verbesserung der Cybersicherheit bei neun Unternehmen
  • Die meisten verfügen über eine klare Strategie, legen aber nur zögerlich Schwächen offen
  • Anhaltende Kompetenzlücken sprechen dafür, dass die Unternehmen ihre Cyberkompetenz intern stärken

Unser Active Ownership-Team hat soeben ein dreijähriges Engagement-Programm bei neun Unternehmen beendet und ist bei sieben davon zu einem positiven Ergebnis gekommen. Die Unternehmen wurden ausgewählt, weil sie bei ihrer Geschäftstätigkeit sensible Kundendaten in den Bereichen Zahlungen, Telekommunikation und Haushaltsprodukte nutzen.

Die meisten verfügen über eine klare Strategie mit Fokus auf Verbesserung ihrer Cybersicherheit, nachdem bei einigen eine Reihe aufsehenerregender Datenangriffen stattgefunden haben. Allerdings sind die Firmen überwiegend zögerlich, was vollständige Transparenz bezüglich ihrer Schwächen angeht – unter anderem deshalb, weil sie die Offenlegung etwaiger Lücken im Risikomanagement gegenüber kriminellen oder Wettbewerbern vermeiden wollen.

Cyberkriminalität ist ein globaler Geschäftszweig geworden, dessen Bedeutung der Drogenbranche entspricht. Die verursachten Kosten sind von 500 Mrd. US-Dollar im Jahr 2017 auf schätzungsweise sechs Billionen Dollar im Jahr 2020 gestiegen. Da praktisch alle Unternehmen in irgendeiner Form digitale Aktivitäten aufweisen, war es noch nie notwendiger, ihre digitalen Assets stärker zu schützen.

„In dem Maß, in dem die Digitalisierung sich weit über den Technologiebereich hinaus ausbreitet, ist das auch bei den entsprechenden Cyberangriffen der Fall“, sagt Active Ownership Analyst Carolina Vergroesen. „Cyberkriminalität umfasst alles von kleinen lokalen Sicherheitsvorfällen mit geringen Konsequenzen bis hin zu Cyberattacken, die erhebliche Teile der Weltwirtschaft beeinträchtigen können.“

„Laxe Praktiken in punkto Cybersicherheit sind eine eindeutige und offensichtliche Bedrohung für die Geschäftsmodelle von Unternehmen. Während diese Risiken in den letzten Jahren klarer zutagegetreten sind, sind die Schritte weniger transparent, welche die Unternehmen zur Verringerung solcher Risiken unternommen haben.“

Zu den aktuellen Einblicken
Zu den aktuellen Einblicken
Anmelden

Fünf Themen für ein Engagement

Unser Engagement legt den Fokus auf fünf Themen: Governance und Überwachung, Leitlinien und Prozesse, Risikomanagement und Kontrollen, Transparenz und Offenlegung sowie systematischer Schutz privater Daten. Ursprünglich waren dafür im Jahr 2018 elf Unternehmen ausgewählt worden. Doch eines wurde gestrichen, nachdem wir uns aufgrund schlechter finanzieller Entwicklung davon getrennt hatten, und ein anderes wurde übernommen.

„Die meisten der Unternehmen, die Gegenstand unseres Engagements waren, erkannten die Risiken in Bezug auf Cybersicherheit an. Ihre diesbezüglichen Ansätze unterschieden sich jedoch beträchtlich“, sagt Carolina Vergroesen. „Während einige darin eine Top-Priorität und eine unverzichtbare Voraussetzung ihrer Geschäftstätigkeit sahen, betrachteten andere dies nur als eines von vielen Geschäftsrisiken. Die verschiedenen Auffassungen resultierten in deutlich unterschiedlichen Erfolgsraten der einzelnen Unternehmen untereinander und in Bezug auf diverse Ziele.“

„Im Hinblick auf das Ziel Governance und Überwachung, verfügten fast 80 % der Unternehmen über eine klare Strategie und Governance-Hierarchie für das Management der Cybersicherheit. Als schwieriger erwiesen sich allerdings einige Punkte hinsichtlich der Transparenz, weil die meisten Unternehmen sich nicht in die Karten schauen lassen wollten.“

Umgehung von Barrieren

„Dies ist verständlich, da Hacker Barrieren leichter umgehen können, wenn sie genau wissen, welche Sicherheitssysteme existieren. Die nur zögerliche Bereitstellung von Information beeinträchtigte freilich unsere Erfolgsrate speziell im Hinblick auf die Ziele Leitlinien und Prozesse sowie Transparenz und Offenlegung. Im Hinblick auf diese Bereiche konnten wir das Engagement bei nur fünf der neuen Unternehmen erfolgreich beenden.“

Auf größere Offenheit der Unternehmen stieß unser Team im Hinblick auf das Ziel Risikomanagement und Kontrolle. „Auch wenn die Unternehmen damit zögerte, ihre konkreten Reaktionen auf Cyberangriffe offenzulegen, waren sie eher bereit über die Sensitivität und Integrität ihrer Sicherheitskontrollen zu diskutieren“, sagt Carolina Vergroesen.

„Mehrere Firmen verfügen über spezielle Teams, die regelmäßig die Abwehrmaßnahmen des Unternehmens testen, um mögliche Lücken bei ihren aktuellen Praktiken zu identifizieren. Dies fanden wir besonders ermutigend, da sich die Art der Bedrohungen ständig verändert und die Unternehmen bereit sein sollten, ihre Sicherheitssysteme entsprechend anzupassen und rasch auf neue Bedrohungen zu reagieren.“

Schutz privater Daten als Priorität

Der Raub von Daten einschließlich persönlicher Informationen ist besonders gravierend, sowohl für die betroffenen Kunden als auch im Hinblick auf die Reputation und rechtliche Haftung eines Unternehmens. Insgesamt war unser Engagement bei sechs der neun Unternehmen erfolgreich, was das Ziel systematischen Schutzes privater Daten betrifft.

„Unternehmen müssen gegenüber ihren Kunden transparent sein, was die Art und Verwendung der gesammelten Daten angeht. Im Fall von Verstößen gegen die Datensicherheit müssen diese informiert werden“, sagt Carolina Vergroesen.

„Obwohl die meisten Unternehmen über Leitlinien zum Schutz privater Daten verfügen, unterschieden sich diese erheblich in ihrer Qualität. Während einige global gelten und sehr detailliert sind, sind andere nur lokal ausgerichtet und erfüllen lediglich gesetzliche Anforderungen, anstatt für die Kunden wirklich informativ zu sein.“

Hilfreiche Gesetzgebung

Mittlerweile wird die Gesetzgebung zu Cybersicherheit zunehmend globalisiert. Diese Entwicklung erhielt 2018 einen erheblichen Schub mit der Einführung der Datenschutz-Grundverordnung (DSGVO) der EU. Diese verschärften Vorgaben regeln die notwendigen Vorkehrungen beim Sammeln von Daten für gewerbliche Zwecke in der EU. Sie sind bereits gegen Unternehmen angewendet worden, welche die Vorschriften nicht erfüllen. Im laufenden Jahr dürfte der California Privacy Rights Act (CPRA) in den USA ähnliche Auswirkungen auf die Unternehmen haben wie die DSGVO in der EU.

„Positiv stimmt uns, dass fast 80 % der Länder der Welt mittlerweile über gesetzliche Cybersicherheit-Vorschriften verfügen“, sagt Carolina Vergroesen. „Eine laufende Weiterentwicklung dieser Vorschriften ist entscheidend zur Sicherstellung eindeutiger Standards, die von den Unternehmen einzuhalten sind.“

„Auch wenn einige der Unternehmen in unserem Engagement-Programm weit über die gesetzlichen Anforderungen hinaus gehen, besteht bei vielen Cyber-Strategien eine direkte Verbindung zu speziellen gesetzlichen Vorgaben.“

Kompetenzlücken

Einer Schattenseite der zunehmenden Aufmerksamkeit, die das Thema Cybersicherheit genießt, sind der dadurch gestiegene Bedarf an IT-Spezialisten und die damit verbundenen Kompetenzlücken. Ein Bericht der Information Systems Security Association zeigt, dass diese Lücke zwischen Nachfrage und Angebot in Bezug auf qualifizierte IT-Experten 2021 das fünfte Jahr aufeinander fortbestand.

„Während die Standards im Hinblick auf Cybersicherheit weltweit angehoben werden, konkurrieren die Unternehmen um fähige Köpfen, die sie für diesen Tätigkeitsbereich einstellen können“, sagt Carolina Vergroesen. „Unseres Erachtens sollten sich die Unternehmen deshalb auf die hausinterne Entwicklung von Cyber-Kompetenzen konzentrierten, da das Anheuern externer Talente auf erhebliche Schwierigkeiten stoßen könnte.“

Weitere Aktivitäten im Bereich Cybersicherheit

Nachdem das entsprechende Engagement-Programm beendet wurde, wird das Team den Fokus im Hinblick auf dieses Thema auf die Bereiche liegen, in denen es eine indirekte Folge der umfassenden Digitalisierung ist.

„Auch wenn wir dieses Engagement beendet haben, halten wir Cybersicherheit in praktisch allen Branchen weiterhin für wichtig“, sagt Carolina Vergroesen.

„Speziell im Rahmen unserer Engagement-Themen im Hinblick auf die Digitalisierung des Gesundheitssektors und die gesellschaftlichen Folgen der Künstlichen Intelligenz liegt der Fokus weiterhin auf der sorgfältigen Umsetzung von Praktiken in Bezug auf Cybersicherheit und Schutz privater Daten. Es gibt noch viel zu tun; wie im Fall der zugrundeliegenden Technologie gibt es ständige Fortschritte.

Logo

Zugangsbeschränkung / Haftungsausschluss

Die auf diesen Seiten enthaltenen Informationen dienen Marketingzwecken und sind ausschliesslich für (i) qualifizierte Anleger gemäss dem Schweizer Bundesgesetz über die kollektiven Kapitalanlagen vom 23. Juni 2006 („KAG“), (ii) Professionelle Kunden gemäss Anhang II der Richtlinie über Märkte für Finanzinstrumente (2014/65/EU; „MiFID II“) mit Sitz in der Europäischen Union oder im Europäischen Wirtschaftsraum mit einer entsprechenden Lizenz zur Erbringung von Vertriebs- / Angebotshandlungen im Zusammenhang mit Finanzinstrumenten oder für (iii) solche, die hiermit aus eigener Initiative entsprechende Informationen zu spezifischen Finanzinstrumenten erfragen und als professionelle Kunden qualifizieren.

Die Fonds haben ihren Sitz in Luxemburg oder den Niederlanden. Die ACOLIN Fund Services AG, Postanschrift: Affolternstrasse 56, 8050 Zürich, agiert als Schweizer Vertreter der Fonds. UBS Switzerland AG, Bahnhofstrasse 45, 8001 Zürich, Postanschrift: Europastrasse 2, P.O. Box, CH-8152 Opfikon, fungiert als Schweizer Zahlstelle. Der Prospekt, die Key Investor Information Documents (KIIDs), die Satzung, die Jahres- und Halbjahresberichte der Fonds sind auf einfache Anfrage hin und kostenlos im beim Schweizer Vertreter ACOLIN Fund Services AG erhältlich. Die Prospekte sind auch über die Website www.robeco.ch verfügbar.

Einige Fonds, über die Informationen auf dieser Website angezeigt werden, fallen möglicherweise nicht in den Geltungsbereich des KAG und müssen daher nicht über eine entsprechende Genehmigung durch die Eidgenössische Finanzmarktaufsicht FINMA verfügen. Einige Fonds sind in Ihrem Wohnsitz- / Sitzstaat möglicherweise nicht verfügbar. Bitte überprüfen Sie den Registrierungsstatus in Ihrem jeweiligen Wohnsitz- / Sitzstaat. Um die in Ihrem Land registrierten Produkte anzuzeigen, gehen Sie bitte zur jeweiligen Länderauswahl, die auf dieser Website zu finden ist, und wählen Sie Ihr Wohnsitz- / Sitzstaat aus.

Weder Informationen noch Meinungen auf dieser Website stellen eine Aufforderung, ein Angebot oder eine Empfehlung zum Kauf, Verkauf oder einer anderweitigen Verfügung eines Finanzinstrumentes dar. Die Informationen auf dieser Webseite stellen keine Anlageberatung oder anderweitige Dienstleistung der Robeco Switzerland Ltd dar. Eine Investition in ein Produkt von Robeco Switzerland Ltd sollte erst erfolgen, nachdem die entsprechenden rechtlichen Dokumente wie Verwaltungsvorschriften, Prospekt, Jahres- und Halbjahresberichte konsultiert wurden.

Durch Klicken auf "Ich stimme zu" bestätigen Sie, dass Sie resp. die von Ihnen vertretene juristische Person eine der oben genannten Kategorien von Adressaten fallen und dass Sie die Nutzungsbedingungen für diese Website gelesen, verstanden und akzeptiert haben.

Nicht Zustimmen