Boards und Cybersicherheit

Angesichts der großen Ungewissheit und der zahlreichen über diese Ungewissheit verfassten Artikel ist uns bisher lediglich klar, dass wir noch nicht wissen, inwiefern sich unser Leben verändern (oder nicht verändern) wird, wenn COVID-19 endlich hinter uns liegt.

Angesichts der großen Ungewissheit und der zahlreichen über diese Ungewissheit verfassten Artikel ist uns bisher lediglich klar, dass wir noch nicht wissen, inwiefern sich unser Leben verändern (oder nicht verändern) wird, wenn COVID-19 endlich hinter uns liegt. Inmitten des Chaos gibt es jedoch ein Thema, bei dem scheinbar zunehmender Konsens zu verzeichnen ist: Umwelt, Soziales und Governance. Im Angesicht des Coronavirus werden die unmittelbare Relevanz und die praktische Anwendung aller drei Elemente – Umwelt, Soziales und Governance – in einer Weise abgewogen und analysiert wie nie zuvor.

Im Zusammenhang mit den bei Investitionen zu berücksichtigenden Faktoren Umwelt, Soziales und Governance veröffentlichte das CFA Institute bereits 2008 sein Handbuch „Environmental, Social, and Governance Factors at Listed Companies“ (Umwelt-, Sozial- und Governance-Faktoren bei börsennotierten Unternehmen). Dies wurde 2015 durch „Environmental, Social, and Governance Issues in Investing“ (Umwelt-, Sozial- und Governance-Faktoren beim Investieren) ergänzt, als eine Umfrage unter CFA-Charterholdern ergab, dass die „Rechenschaftspflicht des Boards“ der wichtigste Faktor für Umwelt, Soziales und Governance bei der Investitionsanalyse und Entscheidungsfindung ist. Keine Erwähnung fand jedoch (überraschenderweise) ein Bereich, der sowohl für Soziales als auch für Governance gilt und der schneller wächst und heute wohl von größerer unmittelbarer Bedeutung ist als jeder andere: Cybersicherheit.

Die im Januar von RBC Global Asset Management veröffentlichte Umfrage „Responsible Investment Survey“ ergab, dass zwei Drittel von 800 institutionellen Investoren in den USA, Kanada, Europa und Asien mehr über die Auswirkungen der Cybersicherheit auf ihre Investitionen besorgt sind als über alle anderen Faktoren von Umwelt, Sozialem und Governance.

Die im Januar von RBC Global Asset Management veröffentlichte Umfrage „Responsible Investment Survey“ ergab, dass zwei Drittel von 800 institutionellen Investoren in den USA, Kanada, Europa und Asien mehr über die Auswirkungen der Cybersicherheit auf ihre Investitionen besorgt sind als über alle anderen Faktoren von Umwelt, Sozialem und Governance. Das sollte uns nicht überraschen. Cybersicherheitsverletzungen stiegen in fünf Jahren (bis 2019) laut „Ninth Annual Cost of Cybercrime“ von Accenture um über 65 % und die globalen Gesamtkosten von Cyberkriminalität zwischen 2019 -2023 werden auf 5,2 Billionen Dollar geschätzt. Und diese Zahlen galten natürlich, ehe sich die Welt gezwungen sah, von zu Hause aus zu arbeiten. Besonders besorgniserregend ist die riesige Anzahl von Berichten über zunehmende Cyber-Angriffe, speziell über eine Verfünffachung jener, die die WHO erleidet, während hinter den Kulissen von rivalisierenden Agenturen Cyber-Spionage im Wettlauf um einen Impfstoff betrieben wird.

Es gibt viele (Gratis-) Ratschläge und eine Menge „Vordenkertum“ zu diesem Thema und nicht zuletzt zu Fähigkeit und Bereitschaft von Boards, Verantwortung für die Cybersicherheit zu übernehmen. Viele schlagen einen ähnlichen Tenor an, d. h. Unkenntnis seitens der Boards wird vorausgesetzt und man schlägt vor, dieses Problem regelmäßig durch Aufklärung in kleinen „Portionen“ abzustellen. Die Bürde der Aufklärung trägt dann oft ein Chief Information Security Officer, dessen Rolle schnell und zu Recht an Bedeutung gewinnt (The role of the CISO, Leathwaite). Wenn es jedoch niemanden dafür im Unternehmen gibt, sollten die Boards „auch erwägen, externe Experten heranzuziehen, die die neuesten Technologien und besten Praktiken erklären können, damit Vorstände besser über Cyber-Risiken und entsprechende Vorbereitung aufgeklärt werden“ (Cybersecurity, The Board’s Role, Spencer Stuart, 2015).

Die Unternehmensrealität

Es ist allerdings Realität, dass die Boards schlicht weiterhin in Unkenntnis sind. Die jüngst bei der Umfrage für verantwortungsbewusstes Investment zu verzeichnende verstärkte Betonung von Cybersicherheit-Governance ist eine Momentaufnahme des Status Quo und stellt Folgendes fest: „Fast 60 % der Unternehmen gaben nicht an, dass ihr Board oder Boardunterausschuss für Fragen der Cybersicherheit zuständig ist“. Außerdem „gaben nur 10 % an, dass sie aktiv Direktoren mit Kenntnissen und Erfahrungen im Bereich der Cybersicherheit eingesetzt haben“. Dies läuft zusehends den Interessen der institutionellen Anleger und Aktionäre, aber auch denen der Stakeholder zuwider, die (zum Beispiel) die Hauptleidtragenden einer groben Datenverletzung sind. Man scheint sich weiter der Tatsache zu verschließen, dass Cybersicherheit „nicht nur ein IT-Problem, sondern auch ein Boardproblem“ ist (Clara Durodié, CEO, Cognitive Finance).

Ein Cyber-Angriff (die Verteidigung dagegen und/oder die Reaktion darauf) ist in der Tat eine der wenigen potenziellen Hauptkatastrophen, die in die Unternehmensstrategie aufgenommen werden können (müssen). Von zweiundzwanzig globalen Hauptrisiken, die im zweijährlich erscheinenden Lloyd's City Risk Index aufgeführt sind, ist nur die Bedrohung durch einen „Cyber-Angriff“ (Rang 7) konstant und zum großen Teil (relativ) bekannt: vielleicht weniger als weißer Rabe, sondern eher als grauer. Der Rest (Erdbeben, Sonnenstürme, Krieg usw.) ist sporadisch und unvorhersehbar, entzieht sich der Kontrolle von Boards und wird nicht von Versicherungen gedeckt. Nebenbei bemerkt, eine Humanpandemie rangiert im gleichen Index auf Platz 4 (und ihre Kosten scheinen durchaus unterschätzt zu werden).

Die Zusammensetzung von Board/Geschäftsführung und die Corporate Governance wurden und werden akademischer als auch zunehmend empirischer Investorüberprüfung unterzogen. Besonderen Nachdruck hat man auf die Bedeutung und die Vorteile ethnischer und geschlechtsspezifischer Vielfalt gelegt. Kompetenz- und Relevanzüberprüfung waren jedoch weniger ausgeprägt, was zum großen Teil an einem Datenmangel liegt. Im Kontext von Umwelt, Sozialem und Governance und insbesondere von Cybersicherheit ist dies sicher nicht zukunftsfähig. Um ein (zugegebenermaßen vereinfachtes) Beispiel für eine Dichotomie zu nennen: Das Durchschnittsalter des unabhängigen, Non-executive Director eines öffentlichen Unternehmens liegt derzeit in FTSE-Unternehmen bei über 60 Jahren und im Dow (www.boardex.com) bei über 63 Jahren, beide mit Trend nach oben. Demgegenüber sind 73 % der männlichen CISOs jünger als 45 Jahre und 42 % der weiblichen CISOs jünger als 35 Jahre (The CISO in 2020, Marlin Hawk). Es ist nicht nur die Wissenslücke, die auffällt.

Abhängigkeit und Anfälligkeit

Die gute Nachricht ist, dass Vorständen Wissen endlich nicht mehr nur vorgekaut wird. So  sieht Resilient Governance for Boards of Directors (Center for Long-Term Cybersecurity an der UC Berkeley) zwar ein, dass es „derzeit keines solides, einvernehmliches Programm für die Board-Aufsicht über Cyber“ gibt, aber es legt die Alternativen, die einem Vorstand offenstehen, sinnvollerweise dar und bietet Anleitung zu diesen Alternativen (einschließlich der Möglichkeit, „Boardmitglieder einzusetzen, die über profundes Cyber-Fachwissen verfügen“).

Ein prominenter Investor, Warren Buffett, beschrieb Cybersicherheit als „das Problem Nummer eins der Menschheit“ (das war allerdings 2017 – in letzter Zeit wurde es vermutlich vorübergehend von diesem Platz verdrängt). Der Punkt ist, dass es die Investoren – einschließlich CFA-Charterholder – sind, denen die Verantwortung zukommen muss, Veränderungen auf Boardebene voranzutreiben. Die Stakeholder stehen im Blickpunkt der Öffentlichkeit und auch die Politiker, die davon profitieren werden (Elizabeth Warren et al.), aber es sind die größeren Aktionäre mit einer Stimme oder sogar mit einem Platz am Tisch, die am ehesten unmittelbaren Einfluss haben. Sie müssen dringend mehr Details und Daten über die Verantwortung und Pflichten von Vorständen in Bezug auf Umwelt, Soziales und Governance im Allgemeinen und Cybersicherheit im Besonderen einholen.

Heute ist der einzelne Mensch mehr denn je von Technologie abhängig. Viele Unternehmen jedoch sind total von Technologie abhängig. Abhängigkeit und Anfälligkeit gehen Hand in Hand. Hier sind Investoren gefragt!

Dieser Artikel wurde am 4. Mai 2020 vom CFA Institute veröffentlicht.

Kontakt

Wenn Sie uns kontaktieren möchten, füllen Sie bitte das Kontaktformular aus, damit sich einer unserer Mitarbeiter mit Ihnen in Verbindung setzen kann.

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.