Studie von LOIM: Markt vernachlässigt Cybersecurity-Verstöße

von , 16.04.2023, 21:00 Uhr

Kommentar von Jeroen van Oerle, Portfoliomanager bei Lombard Odier Investment Managers

Die meisten Anleger scheinen sich darüber einig zu sein, dass es wichtig ist, Cybersicherheitsrisiken in den Portfoliomanagementprozess einzubeziehen. Eine aktuelle statistische Untersuchung von LOIM zeigt jedoch, dass der Markt diesen Faktor bei der Bewertung von Vermögenswerten im Allgemeinen nicht in Betracht zieht.

LOIM hat eine Analyse von Cybersicherheitsrisiken und deren Integration in die fundamentale Aktienanalyse anhand einer statistischen Studie über die Auswirkungen von Hacks auf eine Reihe börsennotierter FinTech-Unternehmen durchgeführt. Die Ergebnisse zeigen, dass Cybersecurity-Verstöße einen unbedeutenden Einfluss auf die Aktienkursrenditen der gehackten Unternehmen haben, was die Schlussfolgerung zulässt, dass der Markt Cyberverletzungen vernachlässigt. Dies steht im Gegensatz zu der weitverbreiteten Ansicht, dass Hacks die Aktienkurse stark beeinflussen, da größere Sicherheitsverletzungen zu Klagen von Opfern und Aufsichtsbehörden geführt haben.

In einem zweiten Schritt wurden Tests durchgeführt, um festzustellen, ob diese Marktreaktion tatsächlich korrekt war, indem das Ausbleiben von Aktienkursbewegungen mit den Quartals- und Jahresberichten des gehackten Unternehmens verglichen wurden. Die gehackten Unternehmen wiesen höhere Investitions- und Betriebskosten aus, die direkt darauf zurückzuführen sind, dass sie den durch den Angriff verursachten Betriebs- und Markenschaden wiederherstellen mussten, im Vergleich zu nicht angegriffenen Unternehmen, denen diese Kosten nicht entstanden sind.

Über alle Benchmarks hinweg steigen die Investitionsausgaben für gehackte Unternehmen um 11 % bis 16 % und die Betriebskosten um 8 % bis 11 % im Vergleich zu nicht gehackten Unternehmen. Gleichzeitig versuchen Unternehmen, die negativen Auswirkungen einer Sicherheitsverletzung abzumildern, indem sie ihre VVG-Kosten deutlich erhöhen, um die schlechte Publicity zu kompensieren.

Dies führt in den Quartalen nach einem Hack (und in den Jahresergebnissen) häufig zu einem Umsatzanstieg. Dies mag als positives Ergebnis erscheinen, aber es muss beachtet werden, dass der gleiche Umsatzanstieg mit geringeren Kosten hätte erzielt werden können, wenn es nicht zu einem Verstoß gekommen wäre (insbesondere weniger Capex und Opex). Die Auswirkungen von Sicherheitsverletzungen auf den Umsatz und die VVG-Kosten werden mit der Zeit immer deutlicher, wie die nachfolgenden Quartals- und Jahresergebnisse zeigen.

Entscheidend ist, dass die Ergebnisse der Studie zeigen, dass Hackerangriffe mit Kosten verbunden sind, und dass diese Kosten auf dem Markt nicht angemessen berücksichtigt werden. Wir gehen davon aus, dass diese Auswirkungen – insbesondere im Bereich der Betriebskosten – mit dem Übergang zu SAAS weiter zunehmen werden. Darüber hinaus dürften auch regulatorische Bußgelder zu größeren einmaligen Kosten führen.

Investoren können Cyberunsicherheiten nur schwer erkennen

Um diese Risiken in den Portfolios zu bewältigen, sollten Vermögensverwalter Informationen zur Cybersicherheit in ihre Anlageprozesse einbeziehen. Dies wird Hacks zwar nicht verhindern, aber es wird helfen, gut vorbereitete Unternehmen von anfälligen zu unterscheiden. Aus der Bewertungsperspektive sollten gehackte Unternehmen unter sonst gleichen Bedingungen mit einem Abschlag gegenüber ihren nicht gehackten Konkurrenten gehandelt werden, da die Kosten einer Sicherheitsverletzung höher sind.

Die Untersuchung zeigt, dass auf Fragebögen basierende Bewertungen der Cybersicherheitsbereitschaft eines Unternehmens irreführend sein können. Die Bewertung von den Unternehmen in diesen Fragebögen angegebenen Werte für Datenschutz und -sicherheit sowie die Existenz von Cybersicherheitsprogrammen belegt, dass Unternehmen mit hoher Punktzahl eine höhere Kostenbasis haben als Unternehmen mit niedriger Punktzahl, die gehackt wurden. Dies ist aus zwei Gründen kontraintuitiv:

1. Um ein ähnliches Ergebnis zu erzielen, konzentrieren sich Hacker auf leichtere Ziele statt auf schwierige (mit Ausnahme von staatlichen Akteuren, deren Angriffe von strategischen und nicht von monetären Motiven geleitet werden)

2. Unternehmen, die eine hohe Punktzahl erreichen, sollten besser darauf vorbereitet sein, auf einen Cyberverstoß zu reagieren und sich davon zu erholen. Doch das Gegenteil ist der Fall, was uns darin bestärkt, dass wir eine evidenzbasierte Cybersicherheitsanalyse den Ergebnissen eines Fragebogens vorziehen.

Die Analyse stellt außerdem fest, dass es für Unternehmen – geschweige denn für Investoren – sehr schwierig ist, Cybersicherheitsschwachstellen zu erkennen. Auf 100.000 externe Dienste oder Berührungspunkte, die ein Unternehmen in unserem FinTech-Universum einsetzt, kommen etwa sechs bekannte, ausgenutzte Schwachstellen. Das ist eine sehr geringe Anzahl von Bedrohungen, die eine Cybersicherheitsabteilung identifizieren muss: Es ist wie die Suche nach sechs bösartigen Nadeln in einem gutartigen Heuhaufen.

Die Cybersicherheit ist einer von vielen Faktoren, die in eine Investitionsentscheidung einfließen. Finanzielle Merkmale, Markttrends und viele andere Faktoren spielen eine wichtige Rolle bei der Investitionsentscheidung. In Anbetracht der Auswirkungen von Cyber-Risiken auf zahlreiche andere grundlegende Faktoren einer Investitionsentscheidung – insbesondere die finanziellen Auswirkungen auf Opex und Capex – sollte sie ein wesentlicher Bestandteil in der Optimierung des Risiko-Rendite-Puzzle für Anleger sein.

Anhang

Anhang 2: Ergebnisse der sektorspezifischen Lasso-Regression

Wir stellen fest, dass die Ergebnisse zu den Nachhaltigkeitsfaktoren im IT-Sektor einen stärkeren Beitrag leisten als bei diversifizierten Finanzunternehmen. Die nachstehenden Ergebnisse zeigen zunächst die optimalen Lasso-Regressionen im Finanzsektor auf Capex, Opex, Umsatz und SG&A (Anhang 2A und 2B), gefolgt von einem ähnlichen Datensatz für den Software- und Dienstleistungssektor (Anhang 2C und 2D).

WICHTIGE INFORMATIONEN

Nur für den professionellen Einsatz bei Investoren.

Dieses Dokument wird von Lombard Odier Asset Management (Europe) Limited herausgegeben, die von der Financial Conduct Authority (FCA) zugelassen ist und reguliert wird und im FCA-Register unter der Nummer 515393 eingetragen ist. Lombard Odier Investment Managers („LOIM“) ist ein Handelsname. Dieses Dokument dient nur zu Informationszwecken und stellt weder ein Angebot noch eine Empfehlung zum Kauf oder Verkauf von Wertpapieren oder Dienstleistungen dar. Es ist nicht zur Verteilung, Veröffentlichung oder Verwendung in Ländern bestimmt, in denen eine solche Verteilung, Veröffentlichung oder Verwendung rechtswidrig wäre.

Dieses Material enthält keine persönlichen Empfehlungen oder Ratschläge und ist nicht als Ersatz für eine professionelle Beratung über Investitionen in Finanzprodukte gedacht. Bevor ein Anleger eine Transaktion abschließt, sollte er sorgfältig abwägen, ob diese für seine besonderen Umstände geeignet ist, und gegebenenfalls unabhängige professionelle Beratung in Bezug auf Risiken sowie rechtliche, regulatorische, kreditrechtliche, steuerliche und buchhalterische Konsequenzen einholen. Dieses Dokument ist Eigentum von LOIM und ist ausschließlich für den persönlichen Gebrauch des Empfängers bestimmt. Es darf ohne vorherige schriftliche Genehmigung von LOIM weder ganz noch teilweise vervielfältigt, übertragen, verändert oder für andere Zwecke verwendet werden. Dieses Dokument gibt die Meinung von LOIM zum Zeitpunkt der Herausgabe wieder.

Weder dieses Dokument noch eine Kopie davon darf in die Vereinigten Staaten von Amerika, in eines ihrer Territorien oder Besitztümer oder in Gebiete, die ihrer Rechtsprechung unterliegen, oder an eine Person der Vereinigten Staaten von Amerika oder zu deren Gunsten versandt, dorthin mitgenommen oder dort verteilt werden. Zu diesem Zweck bezeichnet der Begriff „US-Person“ jeden Bürger, Staatsangehörigen oder Einwohner der Vereinigten Staaten von Amerika, eine in einem Staat, Territorium oder Besitz der Vereinigten Staaten von Amerika gegründete oder bestehende Personengesellschaft, eine nach den Gesetzen der Vereinigten Staaten oder eines Staates, Territoriums oder Besitzes der Vereinigten Staaten von Amerika gegründete Kapitalgesellschaft oder einen Nachlass oder Trust, der unabhängig von der Quelle seiner Einkünfte der Bundeseinkommenssteuer der Vereinigten Staaten unterliegt. Quelle der Zahlen: Sofern nicht anders angegeben, wurden die Zahlen von LOIM erstellt.

Obwohl bestimmte Informationen aus öffentlichen Quellen stammen, die wir für zuverlässig halten, können wir ohne unabhängige Überprüfung weder für ihre Richtigkeit noch für die Vollständigkeit aller aus öffentlichen Quellen verfügbaren Informationen garantieren. Die geäußerten Ansichten und Meinungen dienen ausschließlich Informationszwecken und stellen keine Empfehlung von LOIM zum Kauf, Verkauf oder Halten eines Wertpapiers dar. Die Ansichten und Meinungen entsprechen dem Stand zum Zeitpunkt dieser Präsentation und können sich ändern. Sie sollten nicht als Anlageberatung verstanden werden. Kein Teil dieses Materials darf (i) in irgendeiner Form und mit irgendwelchen Mitteln kopiert, fotokopiert oder vervielfältigt werden oder (ii) ohne vorherige Zustimmung von Lombard Odier Asset Management (Europe) Limited an Personen verteilt werden, die nicht Angestellte, leitende Angestellte, Direktoren oder autorisierte Vertreter des Empfängers sind. Im Vereinigten Königreich handelt es sich bei diesem Material um Marketingmaterial, das von Lombard Odier Asset Management (Europe) Limited genehmigt wurde, die von der FCA zugelassen ist und reguliert wird.

Redaktion

Die Redaktion von Nachrichten-Fabrik.de veröffentlicht eigene Beiträge zu Finanzen, Wirtschaft, Politik und Gesellschaft. Aber auch Gastbeiträge und Pressemitteilungen werden an dieser Stelle veröffentlicht.


Meistgelesene Nachrichten

24h 48h 72h 7 Tage 30 Tage 3 Mo 12 Mo 24 Mo