Moody’s, eines der weltweit größten Ratingagenturen erklärte im November 2018, dass es einen wichtigen Punkt zu seiner Ratingexpertise hinzufügen wird: Unternehmen auf ihr Risiko bezüglich der Folgen eines Cyberangriffs zu bewerten.

Laut Moody’s zählen Finanzunternehmen, börsennotierte Firmen, Krankenhäuser, Marktinfrastrukturanbieter und Stromversorger zu den am stärksten gefährdeten Unternehmensarten hierfür. Moody’s neuer Ansatz hat in der Branche große Bedeutung. Investoren greifen vermehrt auf die Expertise von Ratingfirmen und Versicherungsgesellschaften zurück, um die langfristigen Auswirkungen von Datenpannen oder IT-Sicherheitsrisiken einschätzen zu können. Moody’s Bewertungsmethode berücksichtigt, dass schlechte IT-Sicherheit, schwere finanzielle Folgen nach sich führen kann.

Equifax war das erste Unternehmen, das einen Geschmack von der neuen Bewertung bekam. Moody’s stufte das Kreditüberwachungsinstitut deutlich herunter – von stabil auf negativ. Man braucht allerdings gar nicht mal die schlechte IT-Sicherheit für die jetzige Herabstufung zu betrachten. Equifax kann sich wirtschaftlich schon jetzt kaum von den vielen Regressforderungen und Bußgeldern freischwimmen, die als Folgen des Datenabflusses entstanden sind.

Moody’s geht von einer Summe nahe der 700 Millionen US-Dollar-Marke aus. Obendrauf schätzt die Ratingagentur die Cybersicherheitskosten und Kapitalinvestitionen auf jährlich ca. 400 Millionen US-Dollar ein für die nächsten zwei Jahre. Bei Equifax haben die Geschäftsentwicklung und der Ruf schweren Schaden genommen – allein das genügt schon für eine Herabstufung. Das hätte allerdings auch aus anderen, herkömmlichen wirtschaftlichen Gründen oder Fehlentscheidungen passieren können. Das Moody’s das Rating jetzt auch von potenziellen Nachwirkungen von Cybergefahren abhängig macht, ist ein echter Wegweiser für andere Unternehmen. Moody’s erklärte dazu:

„Die verstärkte Betonung auf Cybersicherheit für alle datenorientierten Unternehmen, lässt erwarten, dass die höheren Cybersicherheitskosten den Gewinn und den freien Cashflow eines Unternehmens auf absehbare Zeit belasten werden“.

Ein klarer Fingerzeig an alle Unternehmen:

„…eure IT-Sicherheit ist schlampig – ihr werdet nicht nur Regressforderungen abgestraft, sondern werdet auch noch heruntergestuft im Rating. Folglich werden Anleger nicht mehr in euch vertrauen.“

Börsenhändler und Aktionäre können jetzt die langfristigen Perspektiven eines Unternehmens noch besser ermitteln. Cyberrisiken und Cyberschutzversicherung gibt es in dieser Signifikanz erst seit etwa 20 Jahren. Sie können heute aber nicht mehr von Anlegern vernachlässigt werden.

Bei dem Equifax Vorfall wurden 2017 mehr als 146 Millionen Datensätze gestohlen, die bis dato nicht wiedergefunden wurden. Seinerzeit hatte der Server eine Schwachstelle in Apache Struts, CVE-2017-5638. Diese Sicherheitslücke wurden von den Hackern ausgenutzt und somit wurde der Datendiebstahl möglich. Equifax musste kleinlaut zugeben, dass es seinen Server nicht ordnungsgemäß gepatched hatte, obwohl der Fehler offengelegt worden war und das Patch dafür zwei Monate zuvor zur Verfügung gestellt wurde. Der Equifax-Datendiebstahl hätte verhindert werden können.

Equifax wird noch lange an dieser Nachlässigkeit zu kauen haben.

Siehe auch:

• Mehr Schlampereien in der IT-Sicherheit bei Equifax als vermutet
• Equifax – Gefahr schon Monate zuvor bekannt gewesen

Artikel von cnbc.com, 22.05.2019: Equifax just became the first company to have its outlook downgraded for a cyber attack
Artikel von zdnet.com, 24.05.2019: Equifax rating outlook decimated over cybersecurity breach