Technologie und Digitalisierung haben die Welt verändert, und beide entwickeln sich in rasantem Tempo weiter. Während sich die Welt weiterhin auf dieser transformativen digitalen Reise bewegt, müssen Investoren mit den Trends und Risiken, die sich daraus ergeben können, Schritt halten. Wenn man über das größte Risiko in einer digitalisierten Welt nachdenkt, stehen Gefahren im Cyberraum für alle an erster Stelle, aber es wurde bisher wenig getan, um dieses Thema in den Investitionsprozess zu integrieren.
Risiken der Cybersicherheit konzentrieren sich allerdings nicht auf bestimmte Unternehmen oder Branchen, sie sind allgegenwärtig. Dies bedeutet auch, dass Cybersicherheitsrisiken wesentlich sind und bei der Risikobewertung im Portfoliomanagement berücksichtigt werden sollten. Dies findet allerdings in der Praxis bisher kaum statt, sieht man von der Integration der üblichen subjektiven Angaben aus Fragebögen von ESG-Datenanbietern ab. Das liegt daran, dass sich zwar alle der Risiken bewusst sind, aber nur wenige den technischen, evidenzbasierten Input von Cyberwerkzeugen in Signale und Schlussfolgerungen für das Portfoliomanagement umsetzen können. Die Hauptprobleme, die dabei auftreten, waren und sind: Instabile Daten, komplexe technische Daten, fehlender Wesentlichkeitsrahmen und kein Follow-up mit dem Unternehmen.
Was sollte eine Methodik können?
Klar muss von Vornerein sein: Es wird sich nicht um ein perfektes Vorhersageinstrument handeln, mit dem sich ermitteln lässt, welche Unternehmen angegriffen werden. Stattdessen wird die Widerstandsfähigkeit des Unternehmens bewertet – also ob es sich schnell von einem Angriff erholen und zum normalen Geschäftsbetrieb zurückkehren kann. Neben dem Aspekt der Geschäftskontinuität sollte auch verstärkt über Regeln und Vorschriften zur Cybersicherheit diskutiert werden. Dies bedeutet, dass Unternehmen, die in Bezug auf den Tech-Stack (eine Liste aller Technologiedienste, die für die Erstellung und den Betrieb einer einzelnen Anwendung verwendet werden) im Rückstand sind, wahrscheinlich mehr Investitionen tätigen müssen als Unternehmen, die starke Systeme im Einsatz haben.
Auch sind mehr und höhere Geldstrafen für Unternehmen zu erwarten, die zu wenig in Technologie und Sicherheit investieren. Zudem dürften im Zuge neuer Regulierungsvorhaben auch neue gesetzliche Pflichten und Strafen auf betroffene Unternehmen zukommen. All diese Faktoren zusammen könnten die Gewinnspannen und möglicherweise das Wachstum beeinflussen und die Gewinner von den Verlierern unterscheiden.
Wie könnte jetzt so ein Prozess in der Praxis aussehen? Der erste Schritt ist die Überprüfung der „Basishygiene", indem das Unternehmensuniversum auf „bekannte Sicherheitslücken" untersucht wird, die von der Cybersecurity & Infrastructure Securities Agency der US-Regierung veröffentlicht wurden. Über den Anschluss an Testplattformen können bei einer monatlichen Überprüfung mehr als 125.000 einzelne IP-Adressen gescreent werden, um evidenzbasiertes Feedback über die Software-Schwachstellen von Unternehmen zu erhalten.
Diese Schwachstellen werden über ein Ampelsystem verständlich gemacht. Grün bedeutet, dass das Unternehmen die am kritischsten bewertete Software aktualisiert hat und sich an die grundlegende Cyberrisikohygiene hält. Gelb heißt, dass es Schwachstellen gibt, die bald behoben werden müssen. Rot weist darauf hin, dass es sich um eine erhebliche und bekannte Sicherheitslücke handelt, die bei diesem Unternehmen immer noch vorhanden ist und es für potenzielle Angriffe mit Hilfe von Skripten öffnet, die in vielen Fällen im Dark-Web weit verbreitet sind. Bei unserem ersten Screening im Juni 2022 stellten wir fest, dass 20 Prozent der Unternehmen im Screening-Universum (das nicht unbedingt mit den tatsächlichen Portfoliobeständen übereinstimmt) aktiv ausnutzbare, veraltete Software verwendeten.
Wie schnell reagieren Unternehmen auf Hinweise?
Im zweiten Schritt erhalten alle Unternehmen, die eine rote Bewertung erhalten haben, eine E-Mail mit dem Hinweis, dass wir eine Sicherheitslücke gefunden haben und das Unternehmen auffordern, seine Software zu aktualisieren. In der E-Mail werden die Schwachstelle und die Methodik zum Schließen der Sicherheitslücken in der Software beschrieben. Der Hauptvorteil dieses Ansatzes besteht darin, dass evidenzbasierte Informationen mit qualitativen Informationen kombiniert werden können.
Die Reaktion des Unternehmens kann in den Monaten nach der Aufforderung objektiv getestet werden, um zu sehen, ob das Problem gelöst werden konnte. Indem das Verhalten über einen langen Zeitraum beobachtet wird, entsteht ein genaues Bild von der Integration der Cybersicherheit in den Portfoliobeständen. Dieser Ansatz gilt nicht nur für Aktienbestände, sondern für Engagements in Privatunternehmen, Wandelanleihen und festverzinslichen Portfolios. Die Bewertung basiert auf IP-Adressen und ist daher unabhängig von der Anlageklasse.
Der dritte Schritt betrifft die Maßnahmen des Portfoliomanagements. Reagiert das Unternehmen nicht auf die Aufforderung, seine Software zu aktualisieren, nehmen wir ein formelles Gespräch mit dem Unternehmen auf. Dies geschieht nach einer Reihe von aufeinanderfolgenden roten Warnmeldungen. Alle Portfoliomanagement-Teams verfügen über den Ermessensspielraum, die Position zu verringern oder ganz zu veräußern.
Screenings werden immer wichtiger, da Cloud-Dienste zunehmen und die Konzentration kritischer Daten in einem bestimmten Rechenzentrum riskant sein kann. All diese Faktoren können anhand objektiver, evidenzbasierter Inputs überprüft werden und ermöglichen ein vollständiges Bild der (vernachlässigten) Risiken in einer digitalisierten Welt, mit dem letztendlichen Ziel, bessere Renditen pro Risikoeinheit für Portfolios zu erzielen.
Jeroen
Van Oerle ist Portfolio Manager Global Fintech bei Lombard Odier Investment
Managers.