Wie die Regulierung der neuen Technologie hinterherjagt: Der Fall Cybersicherheit

Noch vor nicht allzu langer Zeit stand die Bedrohung durch Cyberangriffe selten auf den Agenden der Vorstandsmeetings. Heutzutage ist das anders: Zahllose aufsehenerregende Cyberattacken haben Unternehmen auf der ganzen Welt in Alarmbereitschaft versetzt. Und heute suchen eben jene Unternehmen händeringend nach Talenten und Führungskräften im Bereich der Cybersicherheit, um diese in Windeseile einzustellen. Laut dem Anfang dieses Jahres veröffentlichten Allianz Risk Barometer,[1] gehören Cybervorfälle zur größten Bedrohung für Unternehmen weltweit – noch vor dem Klimawandel und geopolitischen Risiken.  Angesichts der rasanten Entwicklung der Branche zum Schutz vor Cyberangriffen haben die zuständigen Regulierungsbehörden wahrlich alle Hände voll zu tun.

Diese Regulierung hat viele verschiedene Formen angenommen. Einige davon zielen darauf ab, die Privatsphäre der Verbraucher besser zu schützen, während andere neue Vorschriften Betrug verhindern, die digitale Transparenz erhöhen und systemische Risiken mindern sollen.

Doch wie es so üblich ist, mahlen die Mühlen der Regulation langsam. Ein Beispiel aus diesem Jahr sind Kryptoassets.

Hierzu zunächst ein Blick zurück: Der angestammte Zweck von Bitcoin, der ersten Kryptowährung, war die Schaffung einer dezentralen Währung außerhalb des Zuständigkeitsbereichs von Regierungen – sozusagen die Währung „des Volkes“. Die Wurzeln der Kryptowährung können bis ins Jahr 2008 zurückverfolgt werden, als Satoshi Nakamoto sein Whitepaper “Bitcoin: A Peer-to-Peer Electronic Cash System” veröffentlichte.

In der Anfangsphase des Bitcoin zeigten die Regierungen weltweit gegenüber Kryptowährungen noch keine besondere Besorgnis. Die neuartige Währung wurde nur von wenigen Institutionen anerkannt, und nur wenige Menschen beteiligten sich über den Erwerb oder Handel mit Kryptoassets an der Branche. Die Regulierungsbehörden verspürten daher auch keine Dringlichkeit, ein Regelwerk für das Krypto-Ökosystem zu schaffen – wie etwa eine Regulierung der Bitcoin-Blockchain oder einen Rahmen für dessen Besteuerung. Journalisten bezeichnen die Branche immer noch als den digitalen “Wilden Westen” des Betrugs.

2016 schließlich war Japan das erste Land, das eine nationale Regulierung für Kryptowährungen einführte.[2] Dies geschah nach mehreren öffentlichkeitswirksamen Hacks auf große japanische Kryptowährungsbörsen, darunter der Diebstahl von 850.000 BTC (Bitcoin). Dies führte zwar nicht zu einer unmittelbaren regulatorischen Prüfung im Westen, erregte aber die Aufmerksamkeit des damaligen Vorsitzenden des internationalen Financial Stability Board (FSB), Mark Carney. Im März 2018 schrieb Carney einen Brief an die G20, in dem er erläuterte, dass eine erste Bewertung von Kryptowährungen durch das FSB zu dem Schluss gekommen sei, dass diese neuen digitalen Vermögenswerte zwar kontinuierliche Aufmerksamkeit erforderten, aber noch kein systemisches Risiko darstellten.[3]   

Heute stehen die Dinge ganz anders: Das regulatorische Umfeld für Kryptowährungen hat sich weiterentwickelt und die Branche findet immer schnellere Akzeptanz und hohe Beteiligungsquoten. Die Regulierung ist fast über Nacht in die Höhe geschnellt, und viele Journalisten erzählen heute eine ganz andere Geschichte über die Zukunft dieser neuen digitalen Anlageklasse. Die Regulierung hat endlich mit dem beispiellosen Wachstum der Branche Schritt gehalten. In vielerlei Hinsicht könnte die Regulierung der Kryptowährungen sogar genau das sein, was sie legitimiert und zum Mainstream macht.

Um zum Thema Cybersicherheit zurückzukommen: Durch unsere zunehmende Abhängigkeit von digitalen Technologien wird auch das tiefgreifende Wachstum der Branche beschleunigt. Und mit der größeren Abhängigkeit ist jedoch auch eine größere Anfälligkeit verbunden. Letztes Jahr wurden bei Datenschutzverletzungen mehr als 22 Milliarden Datensätze[4] offengelegt, ungefähr 70 Prozent dieser Delikte waren finanziell motiviert.[5] Zwar gibt es bereits seit einiger Zeit Cybersicherheits-Vorschriften und -Regulationen, die zum Risikomanagement beitragen sollen, doch auch diese Vorschriften haben sich mittlerweile weiterentwickelt und wurden an die größten Bedenken und Befürchtungen der Branche angepasst.

Betrachten wir zwei regulatorische Entwicklungen der jüngeren Geschichte.

Erste regulatorische Entwicklungsschritte

Seit 2011 sind börsennotierte Unternehmen in den Vereinigten Staaten von der Securities Exchange Commission (SEC) verpflichtet, in ihren Finanzberichten Informationen über Cybersicherheitsrisiken offenzulegen – einschließlich direkter und indirekter Kosten wie Umsatzeinbußen, Rufschädigung und Prozesskosten.[6] Im März 2022 schlug die SEC eine Verschärfung dieser Vorschriften vor, um eine standardisierte und rechtzeitige Offenlegung aller Cybervorfälle zu erreichen.[7]

Der erste Teil dieses Vorschlags sieht vor, dass Cybervorfälle innerhalb von vier Werktagen nach Feststellung eines wesentlichen Cybersecurity-Ereignisses (z. B. einer Datenverletzung) sowohl der SEC als auch den Aktionären (über das Formular 8-K) gemeldet werden müssen.[8]

Der zweite Teil des Vorschlags zielt darauf ab, die Berichtspflichten (über das Formular 10-K) zu konsolidieren, um die Transparenz der Governance- und Risikomanagementpraktiken zu verbessern. Die Vorschriften erweitern auch die obligatorische Berichtspflicht über Cybersecurity-Fachwissen auf der Ebene der Vorstandsmitglieder.[9] Die Unternehmen müssen nun klar und deutlich darlegen, wie sie ihre Cybersicherheitsrisiken mindern und dabei etwa über die Art und Weise berichten, wie sie mit externen Prüfern oder Beratern zusammenarbeiten, welche Maßnahmen zur Verhinderung von Angriffen (oder, wenn dies nicht möglich ist, zur Aufdeckung und Abschwächung) ergriffen werden, welche Verfahren das Unternehmen zur Kontinuität und -Wiederherstellung seiner Geschäftstätigkeit einsetzt und welche Bedrohung Cybervorfälle für die Unternehmensfinanzen darstellen.

Der SEC-Vorsitzende Gary Gensler erklärte hierzu: “Cybersicherheit ist ein neues Risiko, mit dem sich öffentliche Emittenten zunehmend auseinandersetzen müssen. Die Anleger wollen mehr darüber wissen, wie die Emittenten mit diesem wachsenden Risiko umgehen. Viele Emittenten stellen den Anlegern bereits Informationen über Cybersicherheit zur Verfügung. Ich denke, dass Unternehmen und Anleger gleichermaßen davon profitieren würden, wenn diese Informationen auf einheitliche, vergleichbare und entscheidungsnützliche Weise verlangt würden.” [10] 

Es sollte nicht überraschen, dass die Verordnung darauf abzielt, eine bessere Cybersicherheitskultur in börsennotierten Unternehmen zu fördern und zu unterstützen. Und wir glauben, dass sich die zunehmende Regulierung positiv auf die Ausgaben für Cybersicherheitsprodukte und -lösungen auswirken wird.

Die zweite Entwicklung

Einer der Gründe für die Zunahme von Cyberangriffen in den letzten Jahren ist die wachsende Zahl von vernetzten Geräten. Es wird erwartet, dass sich die Zahl der vernetzten Geräte bis 2025 auf 40 Milliarden verdoppelt (gegenüber 20 Milliarden im Jahr 2019).[11] Mit diesem Zuwachs geht eine noch größere Angriffsfläche für Hacker einher, die sich nun auch auf Haushaltsgeräte wie intelligente Kühlschränke, Staubsaugerroboter und Wearable-Geräte erstreckt.

Als Reaktion auf diese wachsende und sich ständig erweiternde Angriffsfläche beschloss die Europäische Kommission im September 2022, den EU Cyber Resilience Act vorzuschlagen – eine neue Rechtsvorschrift, die den gesamten Lebenszyklus digitaler Produkte umfasst und Hersteller und Softwareanbieter in die Pflicht nimmt, Unterstützung und Aktualisierungen zur Behebung laufender Schwachstellen bereitzustellen. Margrethe Vestager, Vizepräsidentin der Kommission und zuständig für die Kampagne “Ein Europa für das digitale Zeitalter”, sagte dazu: “So wie wir einem Spielzeug oder einem Kühlschrank mit CE-Kennzeichnung vertrauen können, wird der Cyber Resilience Act sicherstellen, dass die vernetzten Gegenstände und die Software, die wir kaufen, strenge Sicherheitsvorkehrungen erfüllen.”[12]

Das bestehende EU-Rahmenwerk umfasst bereits mehrere horizontale Rechtsvorschriften im Bereich der Cybersicherheit. Im Jahr 2013 trat die Richtlinie über Angriffe auf Informationssysteme in Kraft und harmonisierte die Kriminalisierung und die Strafen für verschiedene Cyberdelikte.[13] 2016 wurde die Richtlinie (EU) 2016/1148 über die Sicherheit von Netz- und Informationssystemen (NIS-Richtlinie) die erste EU-weite Rechtsvorschrift zur Cybersicherheit wirksam.[14] Im Jahr 2018 wurde die Allgemeine Datenschutzverordnung (GDPR) über den Datenschutz und den Schutz der Privatsphäre in der Europäischen Union und im Europäischen Wirtschaftsraum verabschiedet, die darauf abzielt, dem Einzelnen mehr Kontrolle und Rechte über personenbezogene Daten zu geben und das regulatorische Umfeld für internationale Unternehmen zu vereinfachen.[15] Und 2019 trat der EU-Cybersicherheitsakt in Kraft, um die Sicherheit von Produkten, Diensten und Verfahren der Informations- und Kommunikationstechnologie durch die Einführung eines freiwilligen europäischen Zertifizierungsprogramms für Cybersicherheit zu verbessern.[16] All diese Gesetzgebungsakte lassen jedoch verbindliche Anforderungen für Produkte mit digitalen Elementen aus. Genau hier setzt der EU Cyber Resilience Act an.

Mit der Verordnung soll sichergestellt werden, dass die Hersteller die Sicherheit ernster nehmen. Die Verordnung soll auch die Verbraucher dazu ermutigen, bei der Auswahl digitaler Produkte auf die Sicherheit zu achten, so wie sie es beim Kauf eines physischen Produkts – zum Beispiel eines Autos – tun würden. Die Europäische Kommission hat sogar einige Beispiele für wichtige Produkte mit digitalen Elementen auf ihrer Website angeführt.[17]

Die Einhaltung des EU-Gesetzes zur Cyber-Resilienz wird verpflichtend sein. Bei Nichteinhaltung drohen den Unternehmen Geldbußen in Höhe von 2,5 Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres oder bis zu 15 Millionen Euro, je nachdem, welcher Betrag höher ist.[18] Wenn die Rechtsvorschriften in Kraft treten, haben die Beteiligten 24 Monate Zeit, sich an diese Anforderungen anzupassen, und die Hersteller 12 Monate, um ihren Berichtspflichten nachzukommen. Insgesamt handelt es sich um einen bedeutenden Rechtsakt. Er wird zweifelsohne dazu führen, dass Unternehmen in der gesamten EU erhebliche Investitionen tätigen werden, um ihr internes Know-how im Bereich der Cybersicherheit zu verbessern.

Fazit

Bei Rize ETF sprechen wir oft über den „Rückenwind“, der die Cybersicherheit in den letzten zehn Jahren zu einer Erfolgsgeschichte für Investoren gemacht hat. Ob es nun das Wachstum der Daten – dem „neuen Öl“ – ist, die schiere Anzahl und das Ausmaß der vernetzten Geräte oder einfach die Häufigkeit von Cyberangriffen und die daraus resultierenden medialen Schlagzeilen: Die Branche scheint fast durchgängig von positiven Impulsen getragen zu werden. Die Regelmäßigkeit dieser Katalysatoren hat dazu geführt, dass dem Sektor im Laufe der Jahre eine enorme Energie zugeführt wurde. Ein oft übersehener Katalysator ist jedoch die Regulierung: Wir sind der Meinung, dass die Regulierung eine der wichtigsten Triebfedern für die Einführung von Cybersicherheitsprodukten und -dienstleistungen ist. Auch wenn die meisten Vorschriften zur Cybersicherheit (und damit auch zum Datenschutz) eher reaktiv als proaktiv sind, bestätigt ihre Existenz die Idee, dass digitale Produkte inzwischen fest in unser Leben integriert sind. Wie bei jeder Art von neuem Produkt gibt es Vorschriften, um die Nutzer zu schützen und sicherzustellen, dass die Hersteller das Richtige für die Nutzer tun.

Verwandter ETF:

RCRS: Rize Cybersecurity and Data Privacy UCITS ETF

Verweise:

[1] Allianz, Allianz Risk Barometer, January 2022. Available at: https://www.agcs.allianz.com/news-and-insights/reports/allianz-risk-barometer.html

[2] Sygna, Japan’s History of Crypto Asset Regulation: 2014-2020. Available at: https://www.sygna.io/blog/japan-crypto-regulation-history-2014-2020/

[3] Financial Stability Board, Chair sets out FSB priorities for the Argentine G20 Presidency, March 2018. Available at: https://www.fsb.org/2018/03/chair-sets-out-fsb-priorities-for-the-argentine-g20-presidency/

[4] Flashpoint, 2022.

[5] Verizon, 2021 DBIR Master’s Guide. Available at: https://www.verizon.com/business/resources/reports/dbir/2021/masters-guide/

[6] Security and Exchanges Commission, 2022. Available at: https://www.sec.gov/divisions/corpfin/guidance/cfguidance-topic2.htm#_ednref7

[7] Security and Exchanges Commission, 2022. Available at: https://www.sec.gov/news/press-release/2022-39

[8] Varonis, SEC Cybersecurity Disclosure Requirements’ Impact on Your Business, June 2022. Available at: https://www.varonis.com/blog/sec-cybersecurity-disclosure-requirements

[9] ibid

[10] Security and Exchanges Commission, 2022. Available at: https://www.sec.gov/news/press-release/2022-39

[11] Cisco, Cisco Annual Internet Report 2021. Available at: https://www.cisco.com/c/en/us/solutions/executive-perspectives/annual-internet-report/index.html

[12] European Commission, State of the Union: New EU cybersecurity rules ensure more secure hardware and software products, September 2022. Available at: https://ec.europa.eu/commission/presscorner/detail/en/IP_22_5374

[13] Directive 2013/40/EU of the European Parliament and of the Council of 12 August 2013 on attacks against information systems and replacing Council Framework Decision 2005/222/JHA OJ L 218, 14.8.2013, p. 8–14.

[14] Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union (OJ L 194/1, 19.7.2016 p. 1).

[15] European Commission, Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), September 2022. Available at : https://data.consilium.europa.eu/doc/document/ST-9565-2015-INIT/en/pdf

[16] Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA (the European Union Agency for Cybersecurity) and on information and communications technology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act) (OJ L 151, 7.6.2019, p. 15).

[17] European Commission, Annexes Proposal for a Regulation on cybersecurity requirements for products with digital elements – Cyber resilience Act, September 2022. Available at: https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act

[18] Proposal for a Regulation on cybersecurity requirements for products with digital elements – Cyber resilience Act, p. 65