Es gibt eindeutige Parallelen zwischen Wohneigentum und Cybersicherheit. Verschlossene Fenster und Türen sowie Hausalarmanlagen haben natürlich ihre Entsprechung im Cyberspace und werden oft zur Veranschaulichung der Bedeutung von Technologien wie Public Key Infrastructure (PKI), Netzwerkintelligenz und dergleichen verwendet. Aber der Zustand der Umgebung eines Hauses und die Bedrohung, die es für seine Besitzer darstellen könnte, sind normalerweise nicht Teil der Analogie. Das sollten sie aber sein. Ein über Wi-Fi angeschlossener Hausalarm ist nicht wirksam gegen Einbrecher, wenn der Strom ausgefallen ist - oder wenn das Heimnetzwerk nicht funktioniert.
Dasselbe allgemeine Prinzip gilt auch für öffentliche Unternehmen. Es ist möglich, dass ein Unternehmen auf dem Papier für die Anleger großartig aussieht. Vielleicht hat es eine vielversprechende neue Technologie entwickelt und konnte in den letzten 12 Monaten ein beeindruckendes Umsatzwachstum verzeichnen. Aber vielleicht ist das Unternehmen schlecht in Sachen Cybersicherheit und hat sein wertvollstes geistiges Eigentum versehentlich an ein Unternehmen am anderen Ende der Welt weitergegeben, das sein Produkt klont. Oder vielleicht ist es Cyberkriminellen gelungen, die Kontrolle über die industriellen Kontrollsysteme eines Herstellers zu übernehmen, was zu ungeplanten Ausfallzeiten oder Sicherheitsproblemen führt.
In unserer vernetzten Welt investieren viele Anleger weiterhin in Unternehmen mit soliden Finanzkennzahlen, machen sich aber wenig Gedanken über deren Cybersicherheitsreife. Die Cybersicherheitslage von öffentlichen Unternehmen kann zur Volatilität der Aktien beitragen. Laut einer Analyse der CGI Group kann ein schwerwiegender Sicherheitsverstoß den Aktienwert eines Unternehmens dauerhaft um 1,8 Prozent senken. Selbst die Aussicht auf eine unbefugte Datennutzung kann schwerwiegende Folgen haben, wie kürzlich bei Facebook, dessen Aktien von 185 US-Dollar pro Aktie am 16. März auf 153 US-Dollar pro Aktie am 28. März fielen. Die Aktien von Equifax fielen im letzten Jahr sogar noch spektakulärer, als bekannt wurde, dass mehr als 140 Millionen Amerikaner Opfer einer Verletzung der Cybersicherheit waren. Sie fielen um 35 Prozent von 141 Dollar pro Aktie am 6. September auf 93 Dollar am 15. September. Die Aktie hat sich bis heute nicht erholt.
Es ist leicht zu verstehen, warum die SEC in diesem Jahr zum ersten Mal seit 2011 wieder einen Leitfaden zur Cybersicherheit veröffentlicht hat. Einerseits sind Netzwerk- und Datenverwaltungstechnologien für moderne Unternehmen heute so wichtig wie die Elektrizität im vorigen Jahrhundert. Andererseits ist es für Anleger nach wie vor schwierig, bei der Bewertung von Unternehmen fundierte Entscheidungen zu treffen, da eine einzige Sicherheitsverletzung langfristige Auswirkungen auf börsennotierte Unternehmen haben kann. Häufig verschweigen viele Unternehmen weiterhin die Bedeutung der Cybersicherheit oder spielen sie herunter.
In unserer vernetzten Welt haben Hacker eine Vielzahl potenzieller Ziele, die für einzelne Unternehmen oder für die Allgemeinheit Probleme bedeuten können. Wie die SEC in ihrem neuen Leitfaden erklärt: "Ob es sich um die Unternehmen handelt, in die Investoren investieren, um ihre Konten bei Finanzdienstleistern, um die Märkte, über die sie handeln, oder um die Infrastruktur, auf die sie sich täglich verlassen, die investierende Öffentlichkeit und die US-Wirtschaft hängen von der Sicherheit und Zuverlässigkeit der Informations- und Kommunikationstechnologie, der Systeme und Netzwerke ab." Darüber hinaus ist die Liste der Bedrohungsakteure, vor denen man sich fürchten muss, lang. Neben Black-Hat-Hackern, die auf Geld aus sind, warnt die SEC auch vor Angriffen von Nationalstaaten, Hacktivisten und sogar Konkurrenten, die Angriffe auf öffentliche Unternehmen verüben.
Hacker könnten zum Beispiel die automatisierten Systeme ins Visier nehmen, die von quantitativen Fonds wie BlackRock verwendet werden. Die DARPA arbeitet daran, den Schutz dieser Systeme zu verbessern, da sie befürchtet, dass Hacker die Integrität der Finanzinfrastruktur angreifen könnten, indem sie falsche Informationen in Aktiendatenbanken einspeisen oder die Handelsalgorithmen verändern.
Solche Szenarien mögen zwar theoretisch erscheinen, aber das Risiko solcher Angriffe nimmt zu. Hacker wirken sich bereits nachteilig auf die Aktien bekannter Unternehmen aus, und in einigen Fällen ergreift die SEC Durchsetzungsmaßnahmen gegen sie. Das jüngste Beispiel hierfür ist Yahoo, dessen Holdinggesellschaft Altaba kürzlich mit einer Geldstrafe in Höhe von 35 Millionen Dollar belegt wurde. Yahoo hatte es versäumt, den Anlegern mitzuteilen, dass es 2014 gehackt worden war, bis zwei Jahre später.
Der jüngste Leitfaden der SEC befasst sich mit solchen Verzögerungen und enthält Leitlinien für die rechtzeitige Offenlegung von Cyberverletzungen. Sie konzentriert sich weniger auf die Cybersicherheitsstrategie oder die Bereitstellung konkreter Empfehlungen für Maßnahmen, die öffentliche Unternehmen ergreifen sollten, um sich zu schützen.
Letztlich nehmen jedoch Umfang und Art der Cyberrisiken zu. Cyber-Kriminelle können nun öffentliche Unternehmen durch Dritte, die mit ihnen Geschäfte machen, negativ beeinflussen. Beispiele für dieses Prinzip sind der Target-Hack von 2013 über einen HLK-Anbieter und der Mirai-Botnet-basierte Dyn-Angriff von 2016, der die Internetverfügbarkeit für bekannte Unternehmen wie Amazon, Spotify und Netflix unterbrochen hat.
Das Internet der Dinge (IoT) birgt jedoch auch eine Reihe neuer Cyberrisiken. Hacker, die es auf Industrieanlagen abgesehen haben, könnten Arbeiter verletzen oder sogar töten - eine Aussicht, die dem Ruf eines Unternehmens schaden und es mit Klagen belasten könnte. Um auf das Beispiel des Hauses am Anfang dieses Beitrags zurückzukommen: Was könnte mit den Aktien von Technologiekonzernen passieren, wenn es Hackern gelänge, sich Zugang zu intelligenten Lautsprechern zu verschaffen und Millionen von Menschen auszuspionieren? Oder was würde mit der Aktie eines Herstellers von Wi-Fi-Rauchwarnmeldern passieren, wenn es Hackern gelänge, diese Geräte ohne das Wissen ihrer Besitzer zu deaktivieren, und mehrere ihre Häuser niederbrennen würden? Die Vielfalt der möglichen Cyberangriffe war noch nie so groß wie heute.
Auf jeden Fall haben öffentliche Unternehmen die Aufgabe, die sich entwickelnden Sicherheitsschwachstellen zu verstehen und gleichzeitig zu entscheiden, wie viele Informationen sie der SEC mitteilen sollen. Die Aufsichtsbehörde selbst erklärt, dass sie nicht beabsichtigt, dass die Unternehmen zu viele Informationen weitergeben. Sie erklärt, dass es nicht notwendig ist, dass Unternehmen ihr "detaillierte Informationen zur Verfügung stellen, die ihre Cybersicherheitsbemühungen gefährden könnten - zum Beispiel, indem sie einen 'Fahrplan' für diejenigen liefern, die versuchen, die Sicherheitsvorkehrungen eines Unternehmens zu durchdringen". Damit börsennotierte Unternehmen das Vertrauen der Anleger erhalten, ist es jedoch von entscheidender Bedeutung, dass sie über einen solchen Fahrplan verfügen und einen Überblick über relevante Cyber-Schwachstellen und -Verletzungen ehrlich und freimütig mitteilen. Wie Franklin D. Roosevelt 1933 sagte: "Vertrauen ... gedeiht auf Ehrlichkeit, auf Ehre, auf der Heiligkeit von Verpflichtungen, auf treuem Schutz und auf selbstloser Leistung. Ohne sie kann es nicht leben."
