Die COVID-19-Pandemie bietet eine Gelegenheit, sowohl das Risiko als auch das Management von Umwelt-, Nachhaltigkeits- und Governance-Faktoren (ESG-Faktoren) in einem äußerst volatilen Betriebsumfeld zu untersuchen. Es besteht kaum ein Zweifel daran, dass die Risiken, die mit zwei dieser Faktoren - Datenschutz und Cybersicherheit - verbunden sind, durch die Pandemie besonders stark gewachsen sind. Arbeitnehmer sind gezwungen, in entfernte Arbeitsumgebungen zu wechseln, in einigen Fällen ohne den Nutzen einer langfristigen Übergangsplanung. Wenn Investoren sich anschicken, die von COVID-19 getriebenen operationellen Risiken zu verstehen, halten wir die Cybersicherheit für einen besonders wichtigen Faktor, den es zu überwachen gilt.
Unternehmen bieten eine größere Angriffsfläche
Schon vor COVID-19 hatten sich Datenschutz und Cybersicherheit als zentrale Betriebsrisiken für Unternehmen herauskristallisiert. Wir haben in den vergangenen fünf Jahren einen stetigen Anstieg von Vorfällen im Zusammenhang mit Datenschutz und Datensicherheit registriert. Unser Prozess zur Erfassung von Vorfällen berücksichtigt Auswirkungen wie Betriebsunterbrechungen sowie Risiken in Form von rechtlicher oder behördlicher Haftung, wie z.B. solche, die durch die Allgemeine Datenschutzverordnung der Europäischen Union (GDPR) bedingt sind. Zusätzlich haben wir die Daten von IBM Security ausgewertet. Aus den Daten ergibt sich, dass im Jahr 2019 die durchschnittlichen Kosten eines einzelnen Datenverstoßes bei durchschnittlich 25.575 kompromittierten Datensätzen 3,9 Millionen USD betrugen. Das illustriert, dass die betrieblichen Auswirkungen und die finanziellen Kosten schnell eskalieren können.
Auch wenn die Arbeit an entfernten Standorten Flexibilität und Bequemlichkeit bietet, hat diese abrupte Veränderung der Arbeitsorganisation die Angriffsfläche für Cyber-Attacken vergrößert. Im Gegensatz zu einem sicheren Unternehmensnetzwerk, das von einer IT-Sicherheitsorganisation unterstützt wird, sind private Netzwerkverbindungen und persönliche Geräte anfälliger.
Eskalation der Cyberattacken in Zeiten von COVID-19
Mit Ausbruch der Pandemie befindet sich nun jeder in einem Unternehmen, von leitenden Angestellten bis hin zu einfachen Angestellten, „außerhalb“ des standardmäßigen Sicherheitsbereichs. Dies eröffnet Cyberkriminellen neue Möglichkeiten, ungesicherte Verbindungen auszunutzen und Zugang zu sensiblen Unternehmensdaten zu erlangen. Obwohl es noch früh ist, die Gesamtauswirkungen abzuschätzen, deuten vorläufige Daten bereits auf eine Eskalation der Cyberattacken hin, wobei Berichte von einem Anstieg der Cyberattacken um 238% allein auf Banken hinweisen. Einer von Barracuda, einem auf IT-Sicherheit spezialisierten Unternehmen, in Auftrag gegebenen Umfrage zufolge wurden 46% der weltweit tätigen Unternehmen seit dem Übergang zur Fernarbeit mit mindestens einem Cyberangriff konfrontiert; 49% gaben an, dass sie in den nächsten Monaten mit einem Cyberangriff rechnen. Sogar die Weltgesundheitsorganisation (WHO) berichtete von einem fünffachen Anstieg der gezielten Cyberattacken.
„Zoom-Bomben“: Neue Quellen der Bedrohung
Die verbreitete Nutzung von Cloud-Videokonferenzen in der Pandemie, wie z.B. Zoom, hat neue Dimensionen der Cyber-Bedrohung geschaffen. Es haben sich neue Wege für böswillige Akteure aufgetan. Das Videokonferenz-Tool des US-Unternehmens Zoom ist für seine Benutzerfreundlichkeit bekannt, aber ist es auch sicher? Zoom ist weithin angenommen worden, und seine aktuelle Bewertung spiegelt diese stark steigende Nutzung wider. Die Sicherheitsmängel sind jedoch auch bekannt, wie die Aufnahme von "Zoombombing" in das Cybersicherheits-Lexikon zeigt. Dies hat zu Einschränkungen bei der Nutzung durch Unternehmen und Regierungen sowie zu behördlichen Untersuchungen geführt. Es sei erwähnt, dass Zoom rasch ein neues Datenschutz- und Cybersicherheitsprogramm eingeführt und Keybase, ein Unternehmen für End-to-End-Verschlüsselung und Dateiaustausch, übernommen hat. Behauptungen, Zoom sei bei der Behebung bekannter Schwachstellen nicht transparent oder proaktiv gewesen, können jedoch seine Glaubwürdigkeit im Falle weiterer Schwachstellen beeinträchtigen.
Zoom ist nicht das einzige Unternehmen, bei dem das Management dieses Problems zum ESG-Gesamtrisiko beiträgt. Sustainalytics-Daten, die materielle ESG-Risiken in den Bereichen Datenschutz und Sicherheit auf Unternehmensebene messen, zeigen, dass etwa 51% der Unternehmen „mittlere Risiken“ aufweisen. Das zeigt, dass sie aufgrund dieser Probleme finanzielle Auswirkungen befürchten müssen. Das bedeutet, dass für diese Unternehmen ein erhebliches Maß an nicht kontrollierten Risiken existiert, die gleichwohl durch das Management des Unternehmens adressiert werden können.
Fernarbeit als neue Normalität: Folgen für die Sicherheit
Schon vor COVID-19 hatte die Fernarbeit mit der Verbreitung des Hochgeschwindigkeits-Internets zugenommen. Die Pandemie hat diesen Wandel beschleunigt. Jüngste Entwicklungen wie Twitter, Facebook und die Ankündigung von Shopify, dass sie den meisten ihrer Mitarbeiter Fernarbeitsoptionen anbieten werden, deuten darauf hin, dass dies in bestimmten Branchen zur Norm werden könnte.
Infolgedessen werden viele Unternehmen im Rahmen einer umfassenderen Business-Continuity-Strategie - von Datensicherheitskontrollen bis hin zu Systemzertifizierungen sowie den Beziehungen zu externen Partnern - ihre Cybersicherheit vollkommen neu bewerten müssen. Dies bedeutet auch, dass Investoren möglicherweise die Veränderung der langfristigen Risikolandschaft eines Unternehmens im Zusammenhang mit Fragen des Datenschutzes und der Cybersicherheit untersuchen müssen.
Erfahren Sie mehr über die ESG Risk-Ratings von Sustainalytichs hier.