Morningstar
EmpfohlenMedalist Rating Shield IconProfessionelle Investoren Whats New Icon
Equities

ESG-Check: Cybersicherheit in Zeiten von COVID-19

Vorsicht vor "Zoombombing" und anderen Quellen von Cyber-Risiken. Die Verbreitung von Telearbeit offenbart Schwachstellen bei vielen Unternehmen, wie unsere Auswertungen zeigen.

Sustainalytics Blog 15.07.2020
Facebook Twitter LinkedIn
Font-Size

Die COVID-19-Pandemie bietet eine Gelegenheit, sowohl das Risiko als auch das Management von Umwelt-, Nachhaltigkeits- und Governance-Faktoren (ESG-Faktoren) in einem äußerst volatilen Betriebsumfeld zu untersuchen. Es besteht kaum ein Zweifel daran, dass die Risiken, die mit zwei dieser Faktoren - Datenschutz und Cybersicherheit - verbunden sind, durch die Pandemie besonders stark gewachsen sind. Arbeitnehmer sind gezwungen, in entfernte Arbeitsumgebungen zu wechseln, in einigen Fällen ohne den Nutzen einer langfristigen Übergangsplanung. Wenn Investoren sich anschicken, die von COVID-19 getriebenen operationellen Risiken zu verstehen, halten wir die Cybersicherheit für einen besonders wichtigen Faktor, den es zu überwachen gilt. 

Unternehmen bieten eine größere Angriffsfläche

Schon vor COVID-19 hatten sich Datenschutz und Cybersicherheit als zentrale Betriebsrisiken für Unternehmen herauskristallisiert. Wir haben in den vergangenen fünf Jahren einen stetigen Anstieg von Vorfällen im Zusammenhang mit Datenschutz und Datensicherheit registriert. Unser Prozess zur Erfassung von Vorfällen berücksichtigt Auswirkungen wie Betriebsunterbrechungen sowie Risiken in Form von rechtlicher oder behördlicher Haftung, wie z.B. solche, die durch die Allgemeine Datenschutzverordnung der Europäischen Union (GDPR) bedingt sind. Zusätzlich haben wir die Daten von IBM Security ausgewertet. Aus den Daten ergibt sich, dass im Jahr 2019 die durchschnittlichen Kosten eines einzelnen Datenverstoßes bei durchschnittlich 25.575 kompromittierten Datensätzen 3,9 Millionen USD betrugen. Das illustriert, dass die betrieblichen Auswirkungen und die finanziellen Kosten schnell eskalieren können.

Auch wenn die Arbeit an entfernten Standorten Flexibilität und Bequemlichkeit bietet, hat diese abrupte Veränderung der Arbeitsorganisation die Angriffsfläche für Cyber-Attacken vergrößert. Im Gegensatz zu einem sicheren Unternehmensnetzwerk, das von einer IT-Sicherheitsorganisation unterstützt wird, sind private Netzwerkverbindungen und persönliche Geräte anfälliger.

Eskalation der Cyberattacken in Zeiten von COVID-19

Mit Ausbruch der Pandemie befindet sich nun jeder in einem Unternehmen, von leitenden Angestellten bis hin zu einfachen Angestellten, „außerhalb“ des standardmäßigen Sicherheitsbereichs. Dies eröffnet Cyberkriminellen neue Möglichkeiten, ungesicherte Verbindungen auszunutzen und Zugang zu sensiblen Unternehmensdaten zu erlangen. Obwohl es noch früh ist, die Gesamtauswirkungen abzuschätzen, deuten vorläufige Daten bereits auf eine Eskalation der Cyberattacken hin, wobei Berichte von einem Anstieg der Cyberattacken um 238% allein auf Banken hinweisen. Einer von Barracuda, einem auf IT-Sicherheit spezialisierten Unternehmen, in Auftrag gegebenen Umfrage zufolge wurden 46% der weltweit tätigen Unternehmen seit dem Übergang zur Fernarbeit mit mindestens einem Cyberangriff konfrontiert; 49% gaben an, dass sie in den nächsten Monaten mit einem Cyberangriff rechnen.  Sogar die Weltgesundheitsorganisation (WHO) berichtete von einem fünffachen Anstieg der gezielten Cyberattacken.

„Zoom-Bomben“: Neue Quellen der Bedrohung

Die verbreitete Nutzung von Cloud-Videokonferenzen in der Pandemie, wie z.B. Zoom, hat neue Dimensionen der Cyber-Bedrohung geschaffen. Es haben sich neue Wege für böswillige Akteure aufgetan. Das Videokonferenz-Tool des US-Unternehmens Zoom ist für seine Benutzerfreundlichkeit bekannt, aber ist es auch sicher? Zoom ist weithin angenommen worden, und seine aktuelle Bewertung spiegelt diese stark steigende Nutzung wider. Die Sicherheitsmängel sind jedoch auch bekannt, wie die Aufnahme von "Zoombombing" in das Cybersicherheits-Lexikon zeigt. Dies hat zu Einschränkungen bei der Nutzung durch Unternehmen und Regierungen sowie zu behördlichen Untersuchungen geführt. Es sei erwähnt, dass Zoom rasch ein neues Datenschutz- und Cybersicherheitsprogramm eingeführt und Keybase, ein Unternehmen für End-to-End-Verschlüsselung und Dateiaustausch, übernommen hat. Behauptungen, Zoom sei bei der Behebung bekannter Schwachstellen nicht transparent oder proaktiv gewesen, können jedoch seine Glaubwürdigkeit im Falle weiterer Schwachstellen beeinträchtigen.

Zoom ist nicht das einzige Unternehmen, bei dem das Management dieses Problems zum ESG-Gesamtrisiko beiträgt. Sustainalytics-Daten, die materielle ESG-Risiken in den Bereichen Datenschutz und Sicherheit auf Unternehmensebene messen, zeigen, dass etwa 51% der Unternehmen „mittlere Risiken“ aufweisen. Das zeigt, dass sie aufgrund dieser Probleme finanzielle Auswirkungen befürchten müssen. Das bedeutet, dass für diese Unternehmen ein erhebliches Maß an nicht kontrollierten Risiken existiert, die gleichwohl durch das Management des Unternehmens adressiert werden können.

Fernarbeit als neue Normalität: Folgen für die Sicherheit

Schon vor COVID-19 hatte die Fernarbeit mit der Verbreitung des Hochgeschwindigkeits-Internets zugenommen. Die Pandemie hat diesen Wandel beschleunigt. Jüngste Entwicklungen wie Twitter, Facebook und die Ankündigung von Shopify, dass sie den meisten ihrer Mitarbeiter Fernarbeitsoptionen anbieten werden, deuten darauf hin, dass dies in bestimmten Branchen zur Norm werden könnte.

Infolgedessen werden viele Unternehmen im Rahmen einer umfassenderen Business-Continuity-Strategie - von Datensicherheitskontrollen bis hin zu Systemzertifizierungen sowie den Beziehungen zu externen Partnern - ihre Cybersicherheit vollkommen neu bewerten müssen. Dies bedeutet auch, dass Investoren möglicherweise die Veränderung der langfristigen Risikolandschaft eines Unternehmens im Zusammenhang mit Fragen des Datenschutzes und der Cybersicherheit untersuchen müssen.

Erfahren Sie mehr über die ESG Risk-Ratings von Sustainalytichs hier.

STICHWÖRTER
Facebook Twitter LinkedIn
Font-Size

Über den Autor

Sustainalytics Blog  Sustainalytics, eine Tochtergesellschaft von Morningstar, ist ein weltweit führender Anbieter von ESG- und Corporate Governance-Analysen und ESG Risk-Ratings

 

© Copyright 2024 Morningstar, Inc. Alle Rechte vorbehalten.

Nutzungsbedingungen        Datenschutz-Bestimmungen        Cookie Settings        Offenlegung

Das Morningstar Sterne-Rating für Aktien wird auf der Basis der Bewertung eines Analysten des Fair Value von Aktien festgelegt. Es ist eine Prognose/Schätzung und keine Tatsachenfeststellung. Morningstar vergibt eine Sterne-Rating auf der Basis der Schätzung eines Analysten des Fair Value einer Aktie. Das Sterne-Rating umfasst vier Komponenten: (1) unsere Beurteilung der wirtschaftlichen Lage des Unternehmens, (2) unsere Schätzung des Fair Value der Aktie, (3) die Unsicherheit unserer Schätzung des Fair Value und (4) den aktuellen Marktpreis. Dieser Prozess mündet in ein punktuelles Sterne-Rating, das täglich aktualisiert wird. Eine Bewertung mit 5 Sternen spiegelt die Überzeugung wider, dass die Aktie zu ihrem gegenwärtigen Preis vorteilhaft ist; bei einer Bewertung mit 1 Stern ist sie es nicht. Sind unsere zugrundeliegenden Annahmen richtig, pendelt sich der Marktpreis im Allgemeinen innerhalb von drei Jahren bei unserem geschätzten Fair Value ein. Anlagen in Wertpapieren sind Marktrisiken und anderen Risiken ausgesetzt. Die Wertentwicklung eines Wertpapiers in der Vergangenheit kann sich in der Zukunft fortsetzen oder auch nicht und ist keine Garantie für die künftige Wertentwicklung. Weitere Einzelheiten zum Morningstar Sterne-Rating für Aktien sind zu finden unter

Die Schätzung des quantitativen Fair Value ist Morningstars Schätzung des Dollarbetrags je Aktie, den das Aktienkapital eines Unternehmens wert ist. Die quantitative Schätzung des Fair Value basiert auf einem statistischen Modell, das sich aus der Schätzung der Aktienanalysten von Morningstar des Fair Value von Unternehmen ableitet, die auch eine Prognose der Finanzlage des Unternehmens beinhaltet. Die quantitative Fair Value-Schätzung wird täglich berechnet. Es ist eine Prognose/Schätzung und keine Tatsachenfeststellung. Anlagen in Wertpapieren sind Marktrisiken und anderen Risiken ausgesetzt. Die Wertentwicklung eines Wertpapiers in der Vergangenheit kann sich in der Zukunft fortsetzen oder auch nicht und ist keine Garantie für die künftige Wertentwicklung. Weitere Einzelheiten zur Fair Value-Schätzung sind zu finden unter

Das Morningstar Medalist Rating bringt zusammenfassend Morningstars zukunftsorientierte Analyse von Anlagestrategien zum Ausdruck, die über bestimmte Vehikel angeboten werden. Die Ratingskala reicht von Gold, Silber, Bronze über Neutral bis Negativ. Die Medalist Ratings geben an, welche Investments nach Ansicht von Morningstar im Zeitverlauf einen relevanten Index oder den Durchschnitt einer Vergleichsgruppe auf risikobereinigter Basis übertreffen werden. Investmentprodukte werden anhand von drei Säulen (People, Parent und Process) bewertet, die zusammen mit einer Gebührenbewertung die Grundlage für die Überzeugung von Morningstar in Bezug auf die Vorteile dieser Produkte bilden und das Medalist Rating bestimmen, das sie erhalten. Säulen-Ratings werden in Form von Niedrig, Unterdurchschnittlich, Durchschnittlich, Überdurchschnittlich und Hoch vergeben. Die Bewertung der Säulen kann über die qualitative Einschätzung eines Analysten erfolgen (entweder direkt für ein vom Analysten untersuchtes Produkt oder indirekt, wenn die Säulen-Ratings eines analysierten Produkts auf ein verwandtes, nicht analysiertes Produkt übertragen werden) oder über algorithmische Verfahren. Anlagevehikel werden nach ihrer erwarteten Performance in Ratinggruppen eingeteilt, die durch ihre Morningstar-Kategorie und ihren aktiven oder passiven Status definiert sind. Wenn Analysten ein Anlagevehikel direkt bewerten, weisen sie die drei Säulen-Ratings auf der Grundlage ihrer qualitativen Einschätzung zu, vorbehaltlich der Aufsicht des Analyst Rating Committee, und überwachen und bewerten sie mindestens alle 14 Monate neu. Werden die Anlagevehikel entweder indirekt von Analysten oder durch einen Algorithmus analysiert, werden die Ratings monatlich vergeben. Ausführlichere Informationen über diese Ratings, einschließlich ihrer Methodik, finden Sie unter hier

Bei den Morningstar Medalist Ratings handelt es sich weder um Tatsachenbehauptungen noch um Kredit- oder Risikobewertungen. Das Morningstar Medalist Rating (i) sollte nicht als alleinige Grundlage für die Bewertung eines Anlageprodukts verwendet werden, (ii) birgt unbekannte Risiken und Unsicherheiten, die dazu führen können, dass Erwartungen nicht eintreten oder erheblich von den Erwartungen abweichen, (iii) garantiert nicht, dass es auf vollständigen oder genauen Annahmen oder Modellen beruht, wenn es algorithmisch ermittelt wird, (iv) beinhaltet das Risiko, dass das Renditeziel nicht erreicht wird, z.B. aufgrund von unvorhergesehenen Veränderungen in der Geschäftsführung, der Technologie, der wirtschaftlichen Entwicklung, der Entwicklung der Zinssätze, der Betriebs- und/oder Materialkosten, des Wettbewerbsdrucks, des Aufsichtsrechts, der Wechselkurse, der Steuersätze, der Wechselkursänderungen und/oder der Veränderungen der politischen und sozialen Bedingungen, und (v) sollte nicht als Angebot oder Aufforderung zum Kauf oder Verkauf des Anlageprodukts angesehen werden. Eine Änderung der fundamentalen Faktoren, die dem Morningstar Medalist Rating zugrunde liegen, kann dazu führen, dass das Rating in der Folge nicht mehr zutreffend ist.

Wenn Sie Informationen über das historische Morningstar Medalist Rating für ein von Morningstar verwaltetes Investment wünschen, wenden Sie sich bitte an Ihr lokales Morningstar Büro.

Ausführlichere Informationen zu Interessenkonflikten, einschließlich der EU MAR Offenlegung, finden Sie in "Morningstar Medalist Rating Analyst Conflict of Interest & Other Disclosures for EMEA"hier

Wählen Sie Ihre Website Edition Um sicherzustellen, dass die Website für Sie relevant ist, müssen wir wissen, ob Sie ein Privatanleger oder ein Finanzfachmann sind.