Mit einem IT-Sicherheits-Rating können CFOs standardisiert checken, ob ihr Unternehmen vor Hackern sicher ist.

LumineImages/iStock/Getty Images Plus

06.11.18
CFO

Warum CFOs über ein Cyber-Rating nachdenken sollten

Risikomanagement 2.0 – ein Rating der IT-Infrastruktur könnte für Konzerne bald genauso wichtig sein wie eine Bonitätsbewertung. CFOs sollten ein Auge auf das Thema werfen.

Bonitätsbewertungen sind für Unternehmen schon lange Alltag. Egal ob Moody’s, S&P, Fitch oder Scope: Viele Konzerne lassen sich von Ratinghäusern bewerten, um Vertrauen bei ihren Geldgebern zu schaffen.

Das gleiche Bewertungsprinzip könnte künftig auf die IT-Sicherheit übergreifen. So rechnet der Marktforscher Gartner damit, dass IT-Security-Ratings bis 2022 „bei der Beurteilung des Risikos von Geschäftsbeziehungen“ ebenso wichtig sein werden wie Bonitätsprüfungen. Denn speziell in der IT sind die Strukturen der Konzerne für Außenstehende oft undurchsichtig.

Eine unsichere IT-Infrastruktur erhöht das Risikoprofil eines Konzerns enorm. Nutzerdaten, Geschäftsgeheimnisse und Patente könnten Hackern offenliegen. Dadurch kann im schlimmsten Fall das ganze Unternehmen ins Wanken geraten.

IT-Sicherheitsrating in Echtzeit

Das Problem vieler CFOs: Oft sind sie im Vorstand oder der Geschäftsführung zwar für das Thema IT zuständig, kennen sich in dem Bereich aber nicht ausreichend aus. Das zeigt sich auch in Meetings: „Viele Finanzchefs schalten nach den ersten drei bis vier Sätzen ab“, beobachtet Patrick Steinmetz, Vertriebsmanager bei dem Start-up Bitsight. 

Der Sicherheitsspezialist Bitsight, der laut eigenen Angaben den Medienkonzern Bertelsmann sowie den Finanzinvestor KKR zu seinen Kunden zählt, hat daher eine Benutzeroberfläche gebaut, die dem Vorstand vereinfacht zeigen soll, ob das Unternehmen sicher ist. Zur Bewertung gibt Bitsight ein Rating zwischen 250 und 900 Punkten aus – ab einem Wert von 740 erreicht ein Konzern die höchste Sicherheitsstufe.

Den Sicherheitsspezialisten zufolge verläuft der Prozess der Ratingvergabe hochautomatisiert und in Echtzeit. Sie testen weltweit über 135.000 Konzerne täglich dauerhaft auf Sicherheitslücken – auch wenn sie keine Kunden sind. Dadurch will sich Bitsight in die Perspektive eines Hackers versetzen und berechnen, welche Erfolgschancen ein Angriff hat. Auf Grund der vielen laufenden Überprüfungen traut sich Bitsight auch ein IT-Security-Benchmarking für Unternehmen zu.

„Viele Finanzchefs schalten nach den ersten drei bis vier Sätzen ab.“

Patrick Steinmetz, Bitsight

CFOs können mit Versicherern besser verhandeln

Ein IT-Sicherheits-Rating kostet eine fünfstellige Summe im Jahr, könnte CFOs und ihren Unternehmen neben der höheren Verständlichkeit aber tatsächlich auch einige Vorteile bieten. Beispielsweise gibt eine solche Bewertung Finanzchefs eine Zahlengrundlage an die Hand, um mit ihren Versichern zu diskutieren. Durch eine nachweislich hohe IT-Sicherheit winken letztlich günstigere Policen. Laut Bitsight akzeptieren die zehn größten Versicherer das Rating-Produkt.

Auch bei M&A-Deals spielen Cyberrisiken mittlerweile eine entscheidende Rolle. CFOs und ihre Konzerne laufen immer wieder Gefahr, sich über Zukäufe ungewollt Gefahren ins Unternehmen zu holen.

Das Beispiel Yahoo illustriert, wie viel Geld auf dem Spiel steht: Der Internetkonzern wurde vergangenes Jahr vom US-Telekommunikationsriesen Verizon übernommen. Kurze Zeit später wurde jedoch ein massives Datenleck bei Yahoo publik. Die Folge: Verizon wollte nicht mehr den vollen Kaufpreis von ursprünglich fast 5 Milliarden US-Dollar bezahlen und überwies letztlich 350 Millionen Dollar weniger. Die Hacker hatten den Wert des E-Mail-Dienstleisters Yahoo deutlich geschmälert.

Das gleiche Prinzip funktioniert auch in die andere Richtung: Wenn ein Unternehmen ein hohes IT-Sicherheits-Rating vorweist, könnte ein Käufer dieses höher bewerten.

Wie steht es um die Akzeptanz von Cyber-Ratings?

Noch steckt der Markt in Deutschland in den Kinderschuhen.

Auch wenn Cybersecurity-Ratings für Unternehmen potentiell sinnvoll sind, steckt der Markt in Deutschland noch in den Kinderschuhen. Neben Bitsight bieten auch weitere kleinere Häuser wie Cysmo oder Ratingcy IT-Ratings in Deutschland an, mehr nicht. International sind Fico, Risk Recon und Security Scorecard in der Branche tätig, sie sind bislang aber noch nicht auf den deutschen Markt vorgestoßen.

Noch ist völlig offen, wie sich die Anerkennung derartiger Ratings in der näheren Zukunft entwickeln wird. Es sind noch viele grundlegende Fragen ungeklärt, etwa wie detailliert solche Ratings sind und wie genau sie erstellt werden müssen.

Allgemein gültige Grundsätze aufzustellen, ist schwieriger als bei den bilanzgestützten Bonitäts-Ratings. Weil Hacker häufig individuell und äußerst trickreich vorgehen und ihre Vorgehensweisen ständig verändern, müssen zwangsläufig auch die Beurteilungskriterien individueller Natur sein. Ob sich auf dieser Basis Ratings erstellen lassen, die durch verschiedene Zyklen hindurch konstant sind und von Investoren und Versicherungen durchgehend anerkannt werden, muss sich erst noch erweisen.

jakob.eich[at]finance-magazin.de