Cyberangriff und Insiderhandel
Dass Cyberangriffe Methoden der digitalen Kriegsführung sind und durch Industriespionage Milliarden an geistigem Eigentum verloren gehen, sind nicht zu leugnende Fakten. Betrachtet man mit klarem Blick Cyberangriffe auf börsennotierte Unternehmen, wird deutlich, dass ein weiteres Faktum der Öffentlichkeit bislang beharrlich verschwiegen wurde: Cyberangriffe sind ein Vehikel für Insiderhandel. Nachdem Cyberangriffe auf börsennotierte Unternehmen entdeckt und öffentlich kommuniziert werden, gibt in den allermeisten Fällen der Börsenkurs der betroffenen Unternehmen deutlich nach. Gemäß der letzten verfügbaren Studie der Rechtsanwaltskanzlei Freshfields Bruckhaus Deringer gingen bei 135 betroffenen Börsentiteln alleine am Tag der Kommunikation des Angriffs 38 Milliarden Euro an Börsenwert verloren.
Lange Verweildauer
Die Kommunikation des Angriffs ist der springende Punkt. Der Hacker hat vom Beginn des Angriffs auf das Unternehmen bis zu seinem Entdecken und zur unverzüglich zu erfolgenden „Ad-hoc- Meldung“ einen gewaltigen Informationsvorsprung. Die Studie eines konventionellen Cybersicherheitsunternehmens beziffert die durchschnittliche Anzahl der Tage, bis ein Cyberangriff entdeckt wird, mit 56. In dieser Zeit hat der Hacker die Gelegenheit, etwa über Dritte, auf fallende Kurse des angegriffenen Unternehmens zu setzten, und wird in den allermeisten Fällen durch den fallenden Börsenkurs massive Gewinne einfahren. Gemäß der Studie von Freshfields Bruckhaus Deringer dauert es im Schnitt dreieinhalb Wochen, bis sich der Börsenkurs eines angegriffenen Unternehmens wieder auf das Vorangriffsniveau erholt.
Rasch handeln
Alois Kobler, Mastermind des Blue Shield Umbrella, der mit seinen evolutionären Algorithmen eine Form selbst lernender künstlicher Intelligenz gegenüber konventionellen Cyberschutzschirmen einen deutlichen Innovationsvorsprung hat, schützt zahlreiche börsennotierte Unternehmen wie etwa die RHI AG (Börse London). Er bezweifelt, dass es notwendigerweise 56 Tage dauern muss, bis ein Cyberangriff entdeckt wird. „Bei evolutionären Cyberabwehrsystemen dauert es aktuell exakt 3 Stunden und 44 Minuten im Schnitt, bis ein Cyberangriff entdeckt und abgewehrt wird.“ Kobler setzt mit seinem in Linz- Leonding ansässigen Unternehmen Blue Shield Security auf österreichisches Know-how: „Wir haben als erstes europäisches Cybersicherheitsunternehmen einen auf künstlicher Intelligenz basierenden DNSWhitelist- Filter entwickelt, der nicht wie konventionelle Filter nur bereits bekannte Bedrohungen erkennen kann, sondern neu entstehende Bedrohungen dank der selbst lernenden Algorithmen in Echtzeit erkennen und abwehren kann.“
Bei evolutionären Cyberabwehrsystemen dauert es aktuell exakt 3 Stunden und 44 Minuten im Schnitt, bis ein Cyberangriff entdeckt und abgewehrt wird.
Klare Mindeststandards
Aus juristischer Sicht plädiert Rechtsanwalt Andreas Stieger, der Unternehmen im Bereich der Cybersicherheit vertritt, für eine klarere Regelung, um die Ursachen für den „Cyber-Insiderhandel zu bekämpfen, nämlich die zu geringen Standards für den Cyberabwehrschutz: „Es müssten klare prophylaktische Regeln getroffen werden. Es bedarf klarerer Mindeststandards für Abwehr- und Detektionsmaßnahmen, etwa wie sie im neuen Netz- und Informationssystemsicherheitsgesetz (NISG) vorgesehen sind, aber derzeit nur infrastrukturkritische Branchen („wesentliche Dienste“) betrifft und daher die Problematik der Cyberangriffe auf börsennotierte Unternehmen nicht löst. Allenfalls wären auch klarere Regelungen dahingehend zu treffen, dass ein Vorstand gegen seine allgemeinen Sorgfaltspflichten verstößt, wenn er keine oder völlig unzureichende Cyber-Security-Maßnahmen trifft.“
Aus dem Blickwinkel des Vorstands eines börsennotierten Unternehmens ist eine unverzügliche Meldung eines Cyberangriffs jedenfalls dringend ratsam.
Schadenersatzrechtliche Ansprüche
„Aus dem Blickwinkel des Vorstands eines börsennotierten Unternehmens ist eine unverzügliche Meldung eines Cyberangriffs jedenfalls dringend ratsam“, so Stieger. Gemäß § 156 Börsegesetz drohen für eine Verletzung der Adhoc- Meldeverpflichtung empfindliche Geldstrafen von bis zu 2,5 Millionen Euro oder 2 Prozent des jährlichen Gesamtnettoumsatzes oder des dreifachen aus dem Verstoß gezogenen Nutzens. Darüber hinaus stellt die Ad-hoc-Meldeverpflichtung eine Schutznorm dar, bei deren Verletzung auch schadenersatzrechtliche Ansprüche, etwa von Aktionären, drohen. Der Börse selbst ist gemäß § 119 Absatz 6 Börsegesetz die Ad-hoc-Meldung mindestens 30 Minuten vor der allgemeinen Veröffentlichung zu übermitteln. Damit soll der Börse Zeit gegeben werden, den Handel der von einem Cyberangriff betroffenen Aktie vor der allgemeinen Veröffentlichung auszusetzen.“ Die Kommunikation des Cyberangriffs ist, wie geschildert, der entscheidende Aspekt; nicht die Entdeckung des Cyberangriffs. Bis zur Kommunikation des Angriffs haben Insider die Gelegenheit, auf fallende Kurse zu setzen, erst mit der Kommunikation an die Allgemeinheit brechen die Kurse ein. Die Kommunikation eines Cyberangriffs bestimmt also den Börsenkurs.