Cyber-Attacke: Gefahr für den Börsenkurs

20. Jun 2018

Cyber-Attacke: Gefahr für den BörsenkursDr. Hubert Becker, Instinctif Partners

Rund 55 Mrd. Euro beträgt nach einer aktuellen Studie des Gesamtverbands der Deutschen Versicherungswirtschaft e.V. (GDV) der jährliche Schaden durch Cyber-Attacken in Deutschland. Rund ein Drittel davon sind Schäden aus Spionage, Patentrechtsverletzungen und Umsatzverluste durch Plagiate oder den Verlust von Wettbewerbsvorteilen. 35 Mrd. Euro entfallen auf operative Folgeschäden, vor allem Kosten der Wiederherstellung von Daten, Rechtsstreitigkeiten und Reputationsschäden. Die Wertvernichtung von Marktkapitalisierung börsennotierter Unternehmen ist darin noch nicht enthalten.

Abb: Schäden durch Cybercrime in Deutschland 2016 (Quelle: MRIC/ MunichRe, Uni München)

Dennoch zeigt sich eine erschreckende Sorglosigkeit bei deutschen Unternehmen. Während zwar drei Viertel der Unternehmen die Gefahren von Cyber-Attacken für relevant halten, glaubt nur gut ein Drittel, dass das eigene Unternehmen betroffen sein könnte. Dabei dürften gerade börsennotierte Unternehmen de facto einem größeren Risiko ausgesetzt sein: Sie sind bekannter, unterliegen strengen Publizitätsregeln und ihr Börsenwert spiegelt taggenau das Vertrauen der Anleger.

35 Prozent Kursverlust – und ein Kommunikations-Gau

Wie viel falsch laufen kann, lässt sich am Fall der US-Wirtschaftsauskunftei Equifax konkret beobachten. Equifax meldete im September 2017 den Datendiebstahl von 143 Mio. US-Kunden. Die Aktie stürzte um 12 Prozent ab. In den Folgetagen summierte sich der Kursverlust auf rund 35 Prozent. Das Handelsvolumen überstieg den Durchschnitt um mehr als das 20-fache. Der Vertrauensverlust war besonders groß, weil das Unternehmen bereits seit Ende Juli von den Attacken wusste. Über zwei Monate lang hatten Hacker Zugriff auf die Systeme von Equifax gehabt. Zudem war die technische Sicherheitslücke (Apache Struts) bereits seit März 2017 öffentlich bekannt und das Unternehmen hatte die notwendigen Sicherheitsupdates (Patches) versäumt.

Die Folge waren zahlreiche internationale Presseberichte, in denen die Fehler des Unternehmens aufgedeckt wurden. Problematisch war aber nicht nur die späte Meldung des Datenverlustes durch das Unternehmen. Hinzu kamen Insider-Geschäfte im Vorfeld der Veröffentlichung. Auch die Kundenaufklärung lief schief: Kunden, die auf einer Website ihre Daten prüfen konnten, mussten dafür zustimmen, auf eine Teilnahme an Sammelklagen zu verzichten. Kunden und Anleger machten ihrem Ärger über Social-Media-Kanäle Luft. Schrittweise war Equifax gezwungen zu reagieren anstatt mit einer eigenen Krisenstrategie die Kommunikationshoheit zu halten.

Abb: Kursentwicklung und Handelsvolumen der Equifax-Aktie nach der Cyber-Attacke

Die Aufarbeitung des Schadens erweist sich als aufwändig und langwierig. Inzwischen liefert Equifax regelmäßig Statusinformationen über die Aufklärung des Sachverhalts und setzt mit professioneller Hilfe Sicherheitsmaßnahmen um. Zudem gab es auch personelle Konsequenzen. Der CEO und der IT-Leiter mussten gehen. Aber der Skandal wirkt bis heute nach. Das Handelsvolumen ist nachhaltig erhöht, die Unsicherheit bleibt groß. Aktuell beschäftigen weitere neue Erkenntnisse das Unternehmen. Zuletzt im März 2018 wurde über gestohlene Driver-Licence-Daten und Bilder informiert, von denen 2,4 Mio. Kunden betroffen waren. Der Schwenk in der Kommunikationsstrategie hat geholfen. Nach und nach erholt sich der Börsenkurs. Doch bis heute hat Equifax das Kursniveau von vor dem Cyber-Fall nicht wieder erreicht.

Professionell agieren in der Krise

Cyber-Vorfälle – gleich ob mit Folgen für den Betrieb, Erpressungsversuch oder Verletzungen der Vertraulichkeit von Kundendaten – erfordern professionelle Reaktionen. Neben dem nötigen Know-how in der IT, das oftmals von den eigenen IT-Bereichen nicht vorgehalten wird, geht es auch um rechtliche Bewertungen und eine professionelle Krisenkommunikation. Mit Blick auf die Folgen für das Unternehmen stellt sich für kapitalmarktorientierte Unternehmen auch die Frage nach einer Ad-hoc-Meldung (Insiderinformation gem. Artikel 17 MAR). Während die Folgen einer Attacke oft nur schwer abschätzbar sind, muss gleichzeitig berücksichtigt werden, dass gerade Datenschutzthemen heute eine extrem hohe Aufmerksamkeit erfahren und sehr sensibel zu betrachten sind.

Mit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) erlangen Datenschutzverletzungen – insbesondere wenn sie durch Cyberattacken verursacht sind – zusätzliche Brisanz. Zu unterscheiden sind Verletzungen der Verfügbarkeit (drohende Betriebsunterbrechung), Vertraulichkeit (Erpressung, Datenhandel) und Integrität (Verlässlichkeit der Prozesse, Betrug).

Die Sorglosigkeit vieler Unternehmen ist fatal. Meist glauben die Verantwortlichen, dass ihr Unternehmen viel zu unbekannt und wenig lohnend als Ziel für eine Attacke sei. Doch die Mehrzahl der Cyber-Vorfälle ist auf ungezielte Angriffe zurückzuführen. Schadsoftware wird nach dem Gesetz der großen Zahl verteilt: 100 Mio. E-Mails werden versandt, da gehen mit Sicherheit einige ins Netz, die den Anhang mit dem Trojaner öffnen und nicht über ausreichende Virenschutzsoftware verfügen. Kommt es dann zum Beispiel zu einer Datenverschlüsselung und ggf. einer „Lösegeldforderung“ droht zumindest eine Betriebsunterbrechung mit entsprechenden Folgen für den Umsatz. Damit verbunden ist auch ein Reputationsrisiko: Kunden und Geschäftspartner müssen zügig informiert werden, um die Glaubwürdigkeit des Unternehmens zu wahren.

Ehrlich währt am längsten

Noch drastischer werden die Risiken, wenn Unternehmen Opfer einer gezielten Attacke werden. Solche Angriffe richten sich häufig auf Kundendaten. Die erbeuteten Daten werden entweder zum Verkauf gestellt oder das betroffene Unternehmen wird erpresst. Für börsennotierte Unternehmen droht hier unmittelbar auch ein kommunikatives Problem. Nicht zuletzt durch die Melde- und Informationspflichten der DSGVO verschärft sich die Frage, ob hier Ad-hoc-Pflichten zu beachten sind. Grundsätzlich richten sich die Ad-hoc-Pflichten auch bei einem Cyber-Zwischenfall nach der potenziellen Kursrelevanz. Die Schwierigkeit liegt dabei in der schnellen Beurteilung des Umfangs, der Dauer und der Folgen. Zudem werden Angriffe und der Abfluss von Daten – die beim Unternehmen ja weiterhin vorhanden sind – häufig erst einige Zeit nach dem Eindringen der Hacker bemerkt.

Grundsätzlich ist im Interesse der Glaubwürdigkeit des Unternehmens zu einer offenen Haltung zu raten. Denn im Zeitalter von Social Media ist die Wahrscheinlichkeit groß, dass Datenschutzverletzungen – wenn auch mit Verzögerung - bekannt werden. Verschleierungsstrategien untergraben die Glaubwürdigkeit des Unternehmens und des Managements und sind langfristig schädlich für den Geschäftserfolg.

Ein Krisenplan hilft

Die gute Nachricht ist: Die meisten Cyber-Vorfälle können innerhalb von 1-2 Tagen gelöst werden. Doch wenn schon zuvor Unsicherheit entsteht oder die Wiederherstellung der Systemintegrität nicht gelingt, sind hohe Reputationsrisiken die Folge. Bei börsennotierten Unternehmen macht sich das im Börsenkurs bemerkbar.

Natürlich sind Unternehmen mit datenbasierten Geschäftsmodellen besonders gefährdet. Hier hat ein Vertrauensverlust die nachhaltigsten Auswirkungen. Ähnlich sieht es bei Technologieunternehmen aus. So gingen nicht geschlossene technische Lücken beim Telefonanbieter Telefónica – die ebenfalls sehr spät bekannt wurden – mit einem Kursrückgang von kurzfristig über 5 Prozent einher. Auch im Nachgang entwickelte sich die Aktie negativ.

Krisenvorbereitung und Krisenmanagement sind eine Teamaufgabe. Neben IT-Experten, die befallene Systeme isolieren, Schadsoftware beseitigen und Sicherheitslücken finden und schließen, braucht es Juristen, die sich um Haftungsfragen und Meldepflichten kümmern. Schnelle und verlässliche Kommunikation ist essenziell, um das Vertrauen von Kunden und Geschäftspartnern zu erhalten. Natürlich möchte niemand Störfälle an die große Glocke hängen. Und in den meisten Fällen wird eine öffentliche Wirkung auch vermeidbar sein, wenn die entscheidenden Zielgruppen – vor allem betroffene Kunden und Partner – ordentlich über Fakten und Maßnahmen informiert werden. Das aber erfordert eine von Beginn an stringente Haltung und Planung im Krisenfall.

 

Dr. Hubert Becker ist Partner der Strategie- und Kommunikationsberatung Instinctif Partners. Das auf Unternehmens- und Kapitalmarktkommunikation spezialisierte Unternehmen hat einen Schwerpunkt im Krisen- und Reputationsmanagement und unterhält eine Hotline für Krisenfälle.