ashworth1_GettyImages_cybersecurity

Die zunehmende Relevanz der Cybersicherheit für Ratings

LONDON – Der jüngste Ransomware-Angriff, der die Colonial Pipeline in den Vereinigten Staaten lahmlegte, veranschaulicht die zunehmende Komplexität von Cyber-Angriffen in den letzten 12 Monaten. Seit dieser Attacke auf Colonial ereigneten sich auch Angriffe auf den Versicherungssektor in Asien, einen europäischen LKW-Leasing-Anbieter, einen französischen Käufer notleidender Kredite und auf ein weltweit agierendes Lebensmittelunternehmen. In allen Fällen ging es um erpresserische Forderungen und sie zeigten auch deutlich die Fähigkeit der Angreifer, Ziele unabhängig von Geografie oder Branche auszuwählen.

Ebenso wenig sind die Angriffe auf börsennotierte Unternehmen beschränkt: auch Staaten und öffentliche Institutionen sind akut gefährdet. Wir haben Angriffe auf die amerikanische Stadt Hartford ebenso erlebt, wie auf zahlreiche texanische Schulbezirke und in jüngster Zeit auf das irische Gesundheitssystem.

Kein Wunder also, dass Cyber-Risiken ein zunehmend bedeutender Faktor der Bonitätsbewertung werden. Bei S&P Global Ratings haben wir in den letzten sechs Monaten mehr bonitätsrelevante Cyber-Ereignisse erlebt als in den sechs Jahren davor. Wir nehmen aktuelle Entwicklungen im Cyberspace routinemäßig unter die Lupe, um unseren Fokus zu schärfen. Unsere jüngsten Beurteilungen sind eine Bekräftigung unserer zahlreichen in der Vergangenheit gewonnenen Erkenntnisse, aber unsere Sichtweise im Hinblick auf das Management von Cyber-Risiken entwickelt sich weiter.

Viele der von uns bewerteten Unternehmen, vor allem in der Informationstechnologie und der Versicherungsbranche, sehen im Bereich Cyber-Services mehr und mehr Chancen entstehen. Die Unternehmen würden jedoch profitieren, wenn sie eine Reihe von Maßnahmen ergreifen, um die potenziellen Auswirkungen von Cyberangriffen auf ihr Kredit-Rating abzuschwächen.

Erstens ist rasches Handeln nach wie vor unabdingbar – wie wir jüngst im Gefolge des Cyber-Angriffs auf den US-Versicherer CNA gesehen haben. Die unverzüglich ergriffenen Abhilfemaßnahmen des Unternehmens -  wie etwa Kommunikation mit Mitarbeitern, Kunden, Versicherungsmaklern und -agenten sowie Investoren und Aufsichtsbehörden - trugen zur Schadensbegrenzung bei und zerstreuten unsere anfänglichen Bedenken hinsichtlich der potenziellen Auswirkungen auf die Marke, den Ruf und die Wettbewerbsposition des Unternehmens.

Zweitens ist festzustellen, dass die aktive Vorbeugung gegen Cyber-Ereignisse inzwischen zwar zur Norm geworden ist, aber viele Cyber-Angriffe aufgrund ihrer Struktur immer schwerer zu entdecken sind. Die aktive Aufdeckung wird sich daher zu einem Wettbewerbsvorteil entwickeln.

Back to Health: Making Up for Lost Time
Back to Health_event_Promotion 1 post event_16x9

Back to Health: Making Up for Lost Time

The COVID-19 crisis has laid bare systemic inequities that will have to be addressed if we are ever going to build more sustainable, resilient, and inclusive societies. In Back to Health: Making Up for Lost Time, leading experts examined the immediate legacy of the pandemic and explored solutions for bringing all communities and societies back to health.

WATCH NOW

Wie wichtig diese aktive Aufdeckung ist, haben wir im Fall der SolarWinds Holdings Inc. gesehen, die zahlreichen Berichten zufolge Anfang 2020 Ziel einer Cyberattacke wurde – und zwar schon mehrere Monate bevor das Unternehmen überhaupt Notiz davon nahm. Die vom Angriff bis zur Entdeckung verstrichene Zeit erhöhte Ausmaß und Tragweite des Ereignisses. Die Auswirkungen und Kosten des Angriffs trugen dazu bei, dass S&P SolarWinds kürzlich von B+ auf B herabstufte.

Drittens werden die Führungskräfte der Firmen aufgrund der Covid-19-Pandemie wahrscheinlich eher bereit sein, Mittel für das Management des Cyber-Risikos ihrer Unternehmen bereitzustellen, aber das allein reicht nicht. In Anbetracht der Tatsache, dass ein großer Teil der Cyberangriffe auf mangelhafte Risikokultur oder menschliches Versagen zurückzuführen ist, reichen selbst beträchtliche Summen für Cyber-IT nicht aus. Mit Geld allein lässt sich diese Gefahr nicht beheben. Wir erwarten daher verstärkte Unterstützung aus den Vorstandsetagen, wenn es um Simulationsübungen zur Feststellung und Prüfung der Abwehrbereitschaft geht.

Viertens: die Auswirkungen eines Cyberangriffs auf das Rating hängen von der Art des Angriffs und dem zugrunde liegenden Motiv ab. Unternehmen können aufgrund zentralisierter, möglicherweise politisch motivierter Attacken wie jene auf SolarWinds und die Microsoft Exchange Server indirekt Schaden nehmen, der aber nicht in allen Fällen direkte finanzielle und rufschädigende Folgen hat. Direkte Angriffe auf bestimmte Firmen oder Institutionen, die zu bilanzbeeinflussenden Ereignissen und wesentlichen betrieblichen Störungen führen, haben mit größerer Wahrscheinlichkeit Auswirkungen auf das Rating, insbesondere, wenn diese Angriffe unzureichend gemanagt werden.

Fünftens befinden sich Unternehmen in einem virtuellen Wettrüsten mit den Angreifern. Daher müssen die Firmen grundlegende Cyberrisiken verstehen, um überhaupt eine Chance zu haben, den Angreifern einen Schritt voraus zu sein. Unternehmen mit unterdurchschnittlichen Governance-Standards werden schon im Vorfeld eines Cyberangriffs ein relativ schwächeres Rating aufweisen. Wir werden verstärkt ein Auge auf laxe Governance-Standards für den Cyberbereich werfen, insbesondere auf  fehlende grundlegende Aspekte wie Mitarbeiterschulungen und Software-Patches. Die ausreichende und rechtzeitige Aktualisierung der Software vermindert für Unternehmen die potenzielle Gefahr aufgrund bekannter Schwachstellen, die Angreifer vielfach auszunützen versuchen.   

Wir betrachten das Management von Cyber-Risiken als einen Teilbereich des allgemeinen operativen Risikomanagements. Herkömmliches und standardmäßiges Risikomanagement können ebenso leicht angepasst werden wie Governance-Regeln. Daher ist es für Unternehmen von Bedeutung, sich seiner Risikobereitschaft und Toleranzschwellen im Cyberbereich bewusst zu werden. Gelingt es einer Firma nicht, diesen einen Schritt voraus zu sein, gilt es sicherzustellen, dass sie nicht hinter vergleichbare Unternehmen zurückfällt. Wir würden zumindest erwarten, dass ein Unternehmen über eine zuverlässige und vollständig überprüfte Datensicherungs- und Wiederherstellungsstrategie verfügt.

Sechstens könnte die nächste große Bedrohung des globalen Finanzsystems im Zusammenhang mit Cyberangriffen stehen, und zwar mit mehr korrelierten Risiken und einer schnelleren Ausbreitung als bislang angenommen. Unternehmen und Regierungen sollten entsprechend planen. Je nach Ausmaß und finanziellen Konsequenzen sowie dem Erfolg der Abwehrbemühungen könnte ein derartiges Ereignis weitreichende Auswirkungen auf das Rating haben. Unternehmen mit schwächeren Bilanzen, denen es an einer entsprechenden Cyber-Versicherung mangelt, werden eher unter Bonitätsdruck geraten.

Die Versicherer selbst lernen aus den pandemiebedingten Unklarheiten in ihren Produkten, und das muss auch ein Schwerpunkt bleiben. Der Cyberangriff  auf die neuseeländische Börse im August 2020 hätte angesichts der Rolle, die die Börse im Finanzsystem spielt, nicht unerwartet kommen dürfen. Die Börse akzeptierte daraufhin, dass ihre technologischen Ressourcen und die Planung des Krisenmanagements verbesserungswürdig waren.  

Schließlich haben die Ereignisse der letzten 12 Monate die Anfälligkeit komplexer, voneinander abhängiger Produktionsnetzwerke verdeutlicht, so dass Lieferketten in den kommenden Jahren zunehmend mit Cyberrisiken rechnen müssen. Wie eine Reihe von Angriffen in jüngster Zeit – unter anderem auf SolarWinds, den Microsoft Exchange Server und Codecov – sowie auch der Angriff auf Target im Jahr 2013 mit dem Diebstahl von Kundendaten gezeigt haben, muss sich die Governance im Bereich Cyberrisiken auf  die gesamte Lieferkette, einschließlich der Cyber-Standards bei Drittanbietern, erstrecken.

Die Unternehmen müssen es sich zur Gewohnheit machen, ihre Lehren aus vergangenen Cyberattacken zu ziehen und aktiv Maßnahmen zu ergreifen, um künftigen Bedrohungen vorzubeugen und sie aufzudecken. In Anbetracht der Bedeutung der Cyber-Risiko-Governance für das Rating werden sich die Vorteile größtmöglicher Cybersicherheit wahrscheinlich über den digitalen Bereich hinaus erstrecken.

Aus dem Englischen von Helga Klinger-Groier

https://prosyn.org/fSmZq04de