germanyde
„Die Auswirkungen von Cyber-Risiken haben sich geändert, und Unternehmen müssen die Messlatte höher legen“

„Die Auswirkungen von Cyber-Risiken haben sich geändert, und Unternehmen müssen die Messlatte höher legen“

24-07-2019 | Einblicke

Bislang ist es schwer, Angaben zur Cyber-Sicherheit von Unternehmen und ihren Produkten zu bekommen. Der Cyber-Sicherheitsexperte von Robeco, Vincent Toms, spricht über die sich ändernden Auswirkungen von Cyber-Bedrohungen, das Rahmenkonzept und Rankingsystem für Cyber-Sicherheit, die er für Robeco entwickelt, sowie über die Pläne des Unternehmens, Cyber-Sicherheit in seine Aktivitäten zur Förderung von Nachhaltigkeit einzubeziehen.

  • Vincent  Toms
    Vincent
    Toms
    Analyst

Cyber-Sicherheit ist ein sich rasch entwickelndes Gebiet. Wie können wir mit all diesen Bedrohungen Schritt halten oder – besser noch – diesen immer einen Schritt voraus sein?

„Es gibt zurzeit über 90.000 bekannte Schwachstellen und mehr als 50.000 Bedrohungen, die diese Schwachstellen ausnutzen. Und diese Zahlen nehmen täglich zu. Mit diesen ‚bekannten’ Schwachstellen Schritt zu halten und IT-Systeme (Altsystemen) entsprechend upzudaten, kostet viel Zeit und Ressourcen.“ 

„Eine grundlegende ‚Datenhygiene’ ist unverzichtbar. Zu den Hauptursachen für Datenmissbrauch und Cyber-Angriffe gehören in den meisten Fällen nach wie vor das nicht rechtzeitige Aufspielen von Software-Patches, leicht zu erratende Passwörter und unsichere Installationen. Diese Dinge machen Computersysteme zu einer leichten Beute für Angreifer.“ 

Erhalten Sie regelmäßig die Robeco e-News
Erhalten Sie regelmäßig die Robeco e-News
Anmelden

Cyber-Sicherheit kostet viel Geld, ein Hackerangriff kann aber noch teurer werden. Wie groß ist die Bereitschaft von Unternehmen, genug Geld auszugeben, um ihre Systeme sicher zu machen?

„Die Situation hat sich in den letzten Jahren erheblich verändert. Wir sehen, dass Cyber-Sicherheitskontrollen von Vorständen mehr Aufmerksamkeit geschenkt wird. Und auch bei Aktionären findet das Thema mittlerweile Beachtung. Sie nutzen ihre Stimmrechte, um Cyber-Sicherheit zum Bestandteil der Vergütungssysteme für Führungskräfte zu machen. Ernstliche Hackerangriffe und der von Regulierungsbehörden sowie Lieferketten ausgehende Druck haben alle zu dieser Entwicklung beigetragen.“ 

„In den von Unternehmen im Rahmen ihrer Publizitätspflichten veröffentlichten Unterlagen findet man allerdings keine näheren Angaben, wie viel sie für Cyber-Sicherheit ausgeben. Das ist bedauerlich, weil uns das nicht die Sicherheit gibt, die wir suchen.“ 

„Zudem sind wir noch nicht so weit, dass wir beim Kauf eines Produkts sagen können, ob es sicherer oder weniger sicher ist. Hersteller und Lieferanten können zwar behaupten, ihre Produkte seien sehr sicher, aber es gibt keine Garantie. Und auch wenn ein Produkt als sicher konzipiert ist, sollte man dessen Lebenszyklus betrachten. Denn ein Produkt, das heute noch sicher ist, kann es übermorgen schon nicht mehr sein. Ich weiß, dass einige Unternehmen wie z. B. Microsoft großen Aufwand betreiben, um ihre digitale Umgebung sicher zu machen. Denn wenn sie die Sicherheit ihrer Kunden nicht gewährleisten können, werden sie bald keine Kunden mehr haben. Der Cyber-Sicherheitsrat der Niederlande empfiehlt Unternehmen, 10 % ihres Budgets für Cyber-Sicherheit auszugeben. Die Frage, ob dies ausreicht, zu wenig oder zu viel ist, lässt sich allerdings nicht beantworten.“

Aus den von Unternehmen veröffentlichten Informationen geht nicht hervor, wie viel Geld sie in IT und Cyber-Sicherheit investieren

Wie sieht das von Ihnen implementierte Rahmenkonzept zur Cyber-Sicherheit aus?

„Es gibt mehrere Cyber-Risikobereiche, die Unternehmen absichern müssen, um die Wahrscheinlichkeit eines Angriffs und die Folgen eines solchen Angriffs zu minimieren. Ihre Anstrengungen müssen sich nach den Bedrohungen (z. B. geschäftliche Risiken), dem Umfang von Kontrollmechanismen (Kosten) und den Folgen möglicher Schäden (Kosten eines Angriffs) richten.“

„Im Rahmen unserer Research-Tätigkeit beurteilen wir, inwieweit ein Unternehmen die wichtigsten Kontrollmechanismen für jeden Risikobereich umsetzt. Die wichtigsten Kontrollmechanismen, die wir uns ansehen, basieren auf mehreren internationalen Rahmenkonzepten für Cyber-Sicherheit. Nach Abschluss dieses Prozesses geben wir dem betreffenden Unternehmen eine Gesamtpunktzahl, die wir dann den Gesamtpunktzahlen vergleichbarer Unternehmen gegenüberstellen, um ein relatives Ranking zu erstellen. Diese Gesamtpunktzahl kann unsere Entscheidung beeinflussen, ob wir in ein Unternehmen investieren oder nicht.“ 

Sind Trendfonds Cyber-Risiken stärker ausgesetzt als andere Fonds?

„Cyber-Sicherheit betrifft viele Sektoren. Wir haben beschlossen, mit Trendfonds anzufangen, weil die mit Trends und insbesondere mit FinTech verbundenen Risiken hoch sind und Vertrauen dabei sehr wichtig ist. Mit diesen Fonds positionieren wir uns in Unternehmen mit großem digitalem Fußabdruck. Unser Ansatz besteht darin, flink und beweglich zu sein, klein anzufangen, unser Rahmenkonzept zum Laufen zu bringen, es schlank und knapp zu halten und dann größer zu machen. Wenn wir sehen, dass unser Ranking-Rahmenkonzept funktioniert, können wir es für andere Fonds verwenden.“

Was steckt hinter dem Bestreben, dieses Cyber-Sicherheitsranking für die Portfolio-Positionen von Robeco zu entwickeln? Und welche Ziele und welchen Zeitrahmen hat man Ihnen vorgegeben, als Sie bei Robeco anfingen?

„Die Bedrohung durch Cyber-Risiken in der digitalen Welt nimmt zu. Im Investmentprozess wird sie aber oft nicht berücksichtigt. Anleger sind sehr daran gewöhnt, physische Risiken z. B. im Zusammenhang mit Lieferketten oder der Produktion zu beurteilen. Da sich die Wertschöpfung der Unternehmen aber zunehmend in den Online-Bereich verlagert, ändern sich die Risiken. Und deshalb sollte sich auch der Analyseansatz der Anleger ändern. Die Investment-Community liegt derzeit immer noch weit zurück, was die Beurteilung von Cyber-Risiken und ihrer Auswirkungen auf Investments angeht. Robeco ist dabei, diese Lücke zu schließen.“ 

„Zu Beginn wurde ich gebeten, als Pilotprojekt zehn Unternehmen zu bewerten. Die längerfristige Zielsetzung besteht darin, das Cyber-Ranking in den Investmentprozess von Robeco und seine Aktivitäten zur Förderung von Nachhaltigkeit zu integrieren. Und es gibt eine Vision, dieses Ranking in eines seiner Ziele für nachhaltige Entwicklung aufzunehmen. Es passt also zu Robecos Philosophie.“

Anleger wollen das Cyber-Sicherheitsniveau selbst wählen können. Und Robeco kann ihnen dies ermöglichen – so wie bei Nachhaltigkeit

Wie wird Cyber-Sicherheit in Robecos Aktivitäten zur Förderung von Nachhaltigkeit einbezogen?

„Die Vision ist, dass es im Lauf der Zeit eine wechselseitige Beziehung zwischen dem Cyber-Sicherheitsranking und dem Einsatz für Nachhaltigkeit geben wird. Wenn im Ranking von Portfolio-Positionen Defizite oder attraktive Kandidaten für ein Investment entdeckt werden, arbeitet Robecos ‚Engagement’-Team mit dem betreffenden Unternehmen zusammen, um dessen Cyber-Sicherheitspraktiken zu verbessern. Dies ist für das Unternehmen und auch für die Anleger von Vorteil. Das Ergebnis einer solchen aktiven Einflussnahme kann in das Cyber-Ranking einfließen.“ 

„Ziel ist es, Einblick in die Cyber-Sicherheit und das Risikoprofil eines Unternehmens zu bekommen und diese Informationen in den Investmentprozess und den Prozess der aktiven Einflussnahme zu integrieren. Wir hoffen, dass dies auch zu einer besseren Berichterstattung über dieses Thema führen wird. Zum Beispiel werden Angaben zum CO2-Ausstoß inzwischen in Prüfungsberichten veröffentlicht, und wir sind der Meinung, dass Daten zur Cyber-Sicherheit in Zukunft genauso behandelt werden sollten.“

Wo stehen wir bei dieser Initiative, und was ist der nächste Schritt?

„Wir sind gegenwärtig dabei, die Risikobewertungsmethode und die Berichtsstandards zu verbessern. Wir wollen also die Überprüfung des Rahmenkonzepts und der wichtigsten Kontrollmechanismen bis Ende dieses Jahres zum Abschluss bringen. Danach wollen wir das Rahmenkonzept testen und automatisieren und es im nächsten Schritt vergrößern und mehr Unternehmen in das Ranking aufnehmen. Unser Ziel ist es, innerhalb von drei Jahren 2.000 bis 5.000 Unternehmen zu bewerten.“

Weitere Artikel zu diesem Thema

Disclaimer

Ich bestätige ein professioneller Kunde zu sein.

Die Informationen auf der nachfolgenden Website der Robeco Deutschland, Zweigniederlassung der Robeco Institutional Asset Management B.V., richten sich ausschließlich an professionelle Kunden im Sinne von § 67 Abs. 2 (WpHG) wie beispielsweise Versicherungen, Banken und Sparkassen. Die auf dieser Website dargestellten Informationen sind NICHT für Privatanleger bestimmt und entsprechen nicht den für Privatanleger maßgeblichen gesetzlichen Bestimmungen.

Wenn Sie kein professioneller Kunde sind, werden Sie auf die Privatkundenseite weitergeleitet.

Nicht Zustimmen