Bericht zur Cyber-Resilienz 2023
Das ist Artikel Teil 2 von 14 In diesem Bericht.
August 01, 2023 / 5 Lesezeit in Minuten
Wie Sie den Gefahren des Reputationsrisikos begegnen können
Die Reputationsstudie von Aon zeigt, dass ein großer Angriff langfristige Auswirkungen auf den Aktienkurs eines Unternehmens haben kann, sowohl im negativen wie auch im positiven Sinn.
Wesentliche Erkenntnisse
- Im Durchschnitt führte ein größerer Cyber-Vorfall zu einem Rückgang des Unternehmenswertes um 9 Prozent* im Jahr nach dem Ereignis.
- Schlechter abschneidende Unternehmen erlitten einen durchschnittlichen Wertverlust von -21 Prozent*.
- 17 Unternehmen konnten einen Cyber-Angriff erfolgreich abwehren und erzielten dadurch eine durchschnittliche Wertsteigerung von 18 Prozent über dem Marktdurchschnitt.
*über dem Marktdurchschnitt.
Weil Reputationsrisiken zu den immateriellen Risiken zählen, sind diese auch am schwierigsten zu bewertenden und zu quantifizierend. Laut der halbjährlich durchgeführten Umfrage von Aon zum globalen Risikomanagement zählt die Reputation eines Unternehmens seit über zehn Jahren konstant zu den fünf wichtigsten Prioritäten.1
Unternehmen können das Reputationsrisiko auf zwei Arten angehen: Sie können es proaktiv managen oder sie können nachträglich auf ein Reputationsereignis reagieren. Reagiert ein Unternehmen erst nachträglich auf ein Reputationsereignis, hat es nur noch wenig Einfluss darauf, wie das Ereignis in der Öffentlichkeit dargestellt wird. Dadurch ist das Unternehmen samt seiner Bewertung über die Medienkanäle den globalen Meinungen ausgesetzt.
Reputationskrisen veranlassen die Finanzmärkte häufig dazu, ihre Prognosen für künftige Cashflows neu zu bewerten, was wiederum zu einer Anpassung der Unternehmensbewertung führt. In Krisenzeiten erhält der Markt neue Informationen über das Unternehmen und sein Management und bildet in der Regel einen Konsens darüber, ob die Auswirkungen auf die langfristigen künftigen Cashflows positiv oder negativ sein werden. Im Mittelpunkt dieser Bewertung steht die Reputationsprämie, die sich aus dem Überschuss der Marktkapitalisierung über den Buch- und Markenwert des Unternehmens ergibt. Diese spiegelt die Ertragskraft des Unternehmens wider, die von den Anlegern bewertet wird, aber weder in den Markenwerten noch im Nettovermögen erfasst ist.2
Sobald sich der Unternehmenswert mindert, wird die Kontrolle verschärft, was zu aufsichtsrechtlichen und persönlichen Haftungsrisiken seitens der Führungskräfte und leitenden Angestellten führen kann. Der ehemalige Chief Information Security Officer (CISO) eines bekannten Beförderungsunternehmens wurde wegen der Vertuschung von Zahlungen im Zusammenhang mit einer Datenverletzung aus dem Jahr 2016, bei der die persönlichen Daten von 57 Millionen Nutzern veruntreut wurden, von einem Bundesgericht zu einer Strafe verurteilt3, und vor kurzem verhängte die britische Prudential Regulatory Authority eine Geldstrafe gegen einen ehemaligen Chief Information Officer (CIO) eines FinTech-Unternehmens wegen Verstoßes gegen die Verhaltensregeln für Führungskräfte.4
Analog dazu, wie tiefgreifend die Auswirkungen einer fehlerhaft behandelten Datenverletzung behandelt werden, schwindet dann auch das Vertrauen in das betreffende Unternehmen. Das Vertrauen bzw. die emotionale Einstellung dazu, dass ein Unternehmen zuverlässig ist und ein Gefühl der Zuversicht und Sicherheit vermittelt, ist von zentraler Bedeutung für die Bemessung der Reputationsprämie. Ein großer Cyber-Angriff kann, wenn er erfolgreich ist, schnell das Vertrauen untergraben, sich negativ auf die Stimmung der Kunden auswirken, den Markenwert beeinträchtigen und die Reputationsprämie eines Unternehmens schmälern. Während das Ereignis selbst zeitlich begrenzt sein mag, können die Langzeiteffekte einem Unternehmen weitaus länger zu schaffen machen. Organisationen müssen den Ruf eines Unternehmens wie jeden anderen wichtigen Vermögenswert auch verwalten. Proaktive Unternehmen, die entsprechende Pläne für unerwünschte Ereignisse in der Schublade haben und ehrlich kommunizieren, können sogar feststellen, dass der Markt nicht nur verzeihen, sondern auch diejenigen belohnen kann, die sich darauf einlassen und auf effektive Weise reagieren.
Aon-Ergebnisse: Reputationsrisiko
Die Reputationsstudie von Aon2 verdeutlicht die zunehmende Schwere heutiger Cyber-Angriffe. Ein größerer Cyber-Angriff kann langfristige Auswirkungen auf den Aktienkurs eines Unternehmens haben. Eine Analyse von 47 prominenten Cyber-Ereignissen zeigt, dass diese Vorfälle im Durchschnitt zu einem Rückgang des Unternehmenswertes um 9 Prozent führten, der sogar über die marktbedingten Einflüsse im Jahr nach dem Ereignis hinausging. Dies entspricht einer negativen Gesamtwertbeeinflussung von 225 Milliarden Dollar. Unternehmen, die schlechter abschnitten (30), erlitten einen durchschnittlichen Wertverlust von -21 Prozent über dem Marktdurchschnitt bzw. einen Gesamtverlust von 670 Milliarden Dollar.
Doch nicht alle Unternehmen haben nach einem Cyber-Angriff an Wert verloren. Bei einigen stieg das Reputationskapital im Zuge des Ereignisses sogar an. Bei unserer Untersuchung wurden 17 Unternehmen identifiziert, die diese Herausforderungen erfolgreich gemeistert haben und eine durchschnittliche Wertsteigerung von 18 Prozent über dem Markttrend erzielten, was insgesamt zu einer Wertsteigerung von 445 Milliarden Dollar führte. Diese Gewinner reagierten schnell und effektiv, um den Schaden durch das Ereignis zu minimieren, und nutzten die sich bietende Gelegenheit, das Reputationsnarrativ zu lenken und den Schaden für ihre Dachmarke zu minimieren.
Cyber-Ereignisse
Cyber | Menge | Endwertbeeinflussung ($) | Endwert (%) |
---|---|---|---|
Gesamt | 47 | -228B | -6 |
Gewinner | 17 | 437B | 19 |
Verlierer | 30 | -666B | -20 |
Ransomware, die in der Regel als betriebliche Bedrohung angesehen wird, kann auch das Reputationskapital erheblich schädigen und den Unternehmenswert schmälern. Wenn wir die Auswirkungen von Datenverletzungen mit denen von Ransomware-Angriffen vergleichen, zeigt unsere Langzeitstudie von 12 bedeutenden Ransomware-Ereignissen, dass Ransomware-Angriffe im Durchschnitt 12 Prozent geringere Auswirkungen hatten als Datenverletzungen.
Cyber-Jahre
Datenschutzverletzung | Menge | Endwert ($) | Endwert (%) |
---|---|---|---|
2010-2015 | 16 | -147B | -0.74 |
2016-2021 | 31 | -81B | -8.54 |
Insgesamt richten Cyber-Angriffe heutzutage mehr Schaden an, und unsere Untersuchungen zeigen einen deutlichen Anstieg der Wertbeeinflussung. Die durchschnittliche Wertbeeinflussung von 31 Cyber-Angriffen im Zeitraum 2016 bis 2021 lag 8 Prozent unter der durchschnittlichen Wertbeeinflussung von 16 Cyber-Angriffen im Zeitraum 2010 bis 2015.
Arten von Cyber-Ereignissen
Datenschutzverletzung | Menge | Endwert ($) | Endwert (%) |
---|---|---|---|
Datenschutzverletzung | 31 | -356B | -5.73 |
Ransomware | 12 | -93B | -12.32 |
Das Management von Cyber-Risiken und der Abschluss einer Cyber-Versicherung werden von den Stakeholdern im Allgemeinen positiv bewertet. Eine Cyber-Versicherung kann vor unvorhersehbaren finanziellen Auswirkungen und vor der Erosion des Shareholder Value (EPS) schützen, und sie kann zum Schutz von Mitarbeitern, Kunden und Geschäftspartnern beitragen. Fünf Hebel zur Wiederherstellung des Reputationswertes können Unternehmen dabei helfen, das Risiko von Reputationsverlusten nach einer Datenverletzung zu mindern: Vorbereitung, Steuerung, Kommunikation, Aktion und Veränderung. Unternehmen müssen sich durch einen soliden Wiederherstellungsplan bzw. Incident-Response-Plan intensiv mit der Prävention und Eindämmung von Cyber-Verlusten befassen. Eine starke und sichtbare Führung durch den CEO sowie genaue und gut koordinierte Offenlegungen sind Teil eines kritischen Reaktionsplans. Die Maßnahmen sollten unverzüglich und weltweit umgesetzt werden. Und vor allem sind echte Einsicht und ein ehrliches Bekenntnis zu sinnvollen Veränderungen erforderlich.
Referenzen
Wissenschaftlicher Kommentar: Bei den Angaben zu den Auswirkungen in Prozent und $ handelt es sich um modellierte Zahlen, bei denen die marktweiten Bewegungen herausgerechnet wurden.
1 „Globaler Risikomanagementbericht 2021.“ Aon. Bericht. 2021.
3 „Ehemaliger Sicherheitschef von Uber wegen Vertuschung einer Datenpanne, die Millionen von Uber-Nutzerdaten betraf, von einem Bundesgericht verurteilt.“ Büro des US-Bundesstaatsanwalts. Pressemitteilung. 5. Oktober 2022.
4 „Ehemaliger CIO der TSB Bank wegen IT-Betriebsstörungen im Jahr 2018 von der PRA mit einer Geldstrafe in Höhe von 81.000 £ belegt.“ FinTech Futures. Artikel. 18. April 2023.
Versicherungsprodukte und -dienstleistungen werden angeboten von: Aon Risk Insurance Services West, Inc, Aon Risk Services Central, Inc, Aon Risk Services Northeast, Inc, Aon Risk Services Southwest, Inc, und Aon Risk Services, Inc. in Florida sowie deren lizenzierten Tochtergesellschaften.
Die hierin enthaltenen Informationen und Aussagen sind allgemeiner Natur und beziehen sich daher nicht auf die Umstände einzelner Personen oder Rechtsträger. Obwohl wir uns bemühen, genaue und aktuelle Informationen zu liefern und diese aus Quellen beziehen, die unseres Erachtens verlässlich sind, besteht keine Gewähr dafür, dass die Informationen zum Zeitpunkt der Kenntnisnahme korrekt sind und es bleiben werden. Die genannten Informationen sollten nicht ohne eingehende Prüfung der jeweiligen Sachlage und eine vorherige professionelle Beratung als Entscheidungs- oder Handlungsgrundlage dienen.
Cyber-
Management in sechs vorgestellten Risikobereichen
Der diesjährige Bericht dient als Leitfaden für Führungskräfte, um den Risikoreifegrad ihres Unternehmens mit dem anderer Unternehmen vergleichen zu können und um bessere Entscheidungen für den Umgang mit Cyber-Risiken in den sechs vorgestellten Risikobereichen zu treffen: Cyber-Risiken, betriebliche Risiken, Lieferkettenrisiken, Insiderrisiken, Reputationsrisiken und systemische Risiken.