Cybersicherheit – ein besonders brisantes und gefährliches Anlagethema

422
0
Share:

Von Quirien Lemey, Senior Portfolio Manager, DECALIA

1999 gelang es dem 15-jährigen James Jonathan, die Computer der NASA für 21 Tage lahmzulegen. Im August 2013 verschaffte sich eine Gruppe von Hackern Zugang zu den Kontodaten von über drei Milliarden Yahoo-Kunden – dies gilt aufgrund der schieren Zahl der betroffenen Nutzer nach wie vor als eine der massivsten Cyberattacken aller Zeiten.

WannaCry ist eine Schadsoftware, die für einen der grössten Ransomware-Angriffe aller Zeiten verwendet wurde: Sie infizierte 2017 über 230’000 Computer in mehr als 150 Ländern. Die Ausbreitung dieses Schadprogramms betraf mehrere Branchen. Ein Drittel der Krankenhäuser des britischen National Health Service (NHS) wurde infiziert. Offenbar wurden sogar Krankenwagen fehlgeleitet und somit die Notversorgung von Menschen gefährdet. Schätzungen zufolge belief sich der Schaden für den NHS auf sage und schreibe 92 Millionen britische Pfund. Infolge des Angriffs wurden 19’000 Arzttermine annulliert.

Einige Wochen später befiel ein Schadprogramm namens NotPetya weltweit 7000 Unternehmen. Das Programm sperrte den Zugang zu Systemen, die A.P. Moller-Maersk weltweit für den Betrieb von Frachtterminals verwendet. Die Behebung des Problems dauerte zwei Wochen, die Kosten für das dänische Schifffahrtsunternehmen beliefen sich auf 200 bis 300 Millionen US-Dollar. Diese Liste ist endlos lang. Wie nachstehende Grafik zeigt, haben die Anzahl und das Ausmass globaler Cyberangriff mit der Zeit zugenommen.

Cybersicherheit eine der grössten Herausforderungen

Da unsere Gesellschaft zunehmend digitalisiert wird und die Zahl der verbundenen Geräte explosionsartig steigt, wird dieser Trend anhalten. Cybersicherheit ist in den nächsten Jahren eine der grössten Herausforderungen für unsere Gesellschaft. Auf der ganzen Welt sind Unternehmen nicht nur von Imagerisiken durch Hackerangriffe bedroht, sondern auch von Geschäftsausfällen, IP-Diebstahl, hohen Reparaturkosten und sogar von Bussgeldern der jeweiligen Regierung. Ganze Nationen beteiligen sind zunehmend an Cyberkriegen wie zuletzt der Iran und Israel, die ihre grossangelegten Angriffe auch auf Zivilpersonen ausgeweitet haben. Iran beschuldigt Israel, hinter einem Cyberangriff auf die Tankstellen des Landes zu stecken, die eine Woche lang stillstanden. Einige Tage später griff die mit dem Iran in Verbindung stehende Hackergruppe Black Shadow ein Hosting-Unternehmen an, legte vorübergehend zahlreiche Websites lahm und stahl die Nutzerdaten von «Atraf», einem israelischen LGBT-Dating-Portal. In dem Mass, wie die Zahl der Cyberangriffe zunimmt, wächst seit zehn Jahren auch die Zahl der börsenkotierten Cybersicherheitsunternehmen stark an. Schätzungen gehen von einer kumulierten Marktkapitalisierung von über 400 Milliarden US-Dollar aus. Was bedeutet das für die Entwicklung des Bereichs Cybersicherheit, wer sind die Schlüsselakteure und was gibt es für Leitlinien für Anleger?

Klassische Antivirusprogramme funktionieren nicht mehr

Die gängigste Form der Cybersicherheit ist ein Virenschutzprogramm wie Norton, Trend Micro oder McAfee. Einst allgegenwärtig, hat die traditionelle Sicherheitssoftware für Endgeräte aufgrund ihres begrenzten Schutzpotenzials viel an Popularität eingebüsst. Herkömmliche Lösungen beruhen auf Datenbanken von Signaturen, eindeutigen Codewerten, die mit spezifischen Malware-Arten verknüpft sind, um ähnliche Attacken in der Zukunft zu erkennen und zu verhindern. Diese Lösungen sind naturgemäss beschränkt, da sie nur Schutz gegen Angriffe mit Schadprogrammen bieten, die zuvor bereits identifiziert und in der Datenbank gespeichert wurden. Bereits seit vielen Jahren weiss man, dass traditionelle Ansätze scheitern, da die Signaturen-Datenbanken nicht so schnell aktualisiert werden können, wie neue Malware programmiert wird (siehe nachstehende Grafik). Eine Erfassung mehrerer hunderttausender neuer Schadprogramme, die täglich ins Netz gelangen, ist praktisch unmöglich.

Aufgrund dieser Sicherheitslücke ist eine neue Generation von Anbietern auf den Plan getreten, die sich Technologien wie maschinelles Lernen und künstliche Intelligenz zunutze machen. Sie rüsten Unternehmen für die Behebung unbekannter Sicherheitslücken und die Abwehr sogenannter Zero-Day-Angriffe zu. Der sogenannte EDR-Markt (EDR = Endpoint Detection and Response) geht jedoch noch einen Schritt weiter: Abgesehen vom Schutz gegen Attacken können bereits in das System eingedrungene Schadprogramme erkannt und unschädlich gemacht werden. Crowdstrike und SentinelOne sind börsenkotierte Anbieter von EDR-Lösungen der nächsten Generation mit einer Cloud-Native-Plattform. Obwohl man theoretisch mit einer beliebigen Aktie Geld verdienen kann, sollte man grundsätzlich etablierte Unternehmen vermeiden, die in schweres Fahrwasser geraten sind. Das Antivirensegment unterscheidet sich nicht von anderen Bereichen der Softwareentwicklung. Etablierte Unternehmen bewegen sich in Richtung Cloud-Native-Lösungen, um sich einen Wettbewerbsvorteil zu sichern. Da zahlt es sich in der Regel aus, auf Cloud-Native-Disruptoren zu setzen. Der Wermutstropfen sind die hohen Bewertungen, mit denen diese Unternehmen in der Regel gehandelt werden. Bei diesem spezifischen Markt sollte man sich nicht auf den Endverbrauchermärkten positionieren, da immer weniger private Nutzer ein Virenschutzprogramm kaufen. Sogar Microsoft hat bereits einen eigenen Antivirusschutz in die Windows-Software integriert. Zu bevorzugen ist der Unternehmensmarkt, da Digitalisierung und Datennutzung auf dem Vormarsch sind und die Software-Kunden den Schutz ihres Workloads ermöglicht. Der läuft auf einer Vielzahl von Endgeräten wie Laptops, Desktops, Servern, virtuellen Maschinen und IoT-Geräten in lokalen, hybriden und Cloud-Umgebungen.

Mauer, Graben und Zugbrücke: so wird keine Burg mehr geschützt

«Castle-and-Moat» – besser bekannt als Perimetersicherheit – ist in vielen Unternehmen immer noch eine gängige Methode, um Daten vor hinterhältigen Angriffen zu schützen. Entsprechend der Burg-Metapher kann sich jeder nach Überwindung der Zugangspunkte innerhalb der Burgmauern bzw. in der Verwaltungszentrale frei bewegen. Da ausserhalb der Burg niemandem getraut werden kann, wird ein Graben gezogen, um unerwünschte Besucher fernzuhalten. Das Pendant zu diesem Graben ist in der Welt der Cybersicherheit in der Regel eine Firewall. Diese Sicherheitslösung ist ein kombiniertes System aus Computer-Hardware und Software, die auf Servern gehostet wird. Zu den etablierten Firewall-Anbietern zählen Cisco, Checkpoint und Palo Alto Networks. Diese Firewalls können durch eine Reihe zusätzlicher Lösungen ergänzt werden, wie z.B. durch Schwachstellenmanagement – Tenable und Qualys sind einige der börsenkotierten Unternehmen in diesem Segment, Endpunktschutz – wie oben beschrieben – und SIEM (Security Identification and Event Management, Marktführer: Splunk). Angestellte, die nicht in der Verwaltungszentrale arbeiten und im Internet surfen oder sich mit internen Anwendungen verbinden müssen, bauen diese Verbindung normalerweise anhand der VPN (Virtual Private Network) – oder MPLS (Multi-Protocol Label Switching) -Technologie auf. Der gesamte Datenverkehr von im Fernmodus arbeitenden Angestellten oder Unternehmensbereichen wird zurück in den Hauptsitz geleitet, wo alle Sicherheitsüberprüfungen und unternehmensspezifische Vorkehrungen implementiert werden.

So wie Salesforce.com und Workday vor mehr als einem Jahrzehnt in die traditionelle, von SAP und Oracle dominierte ERP-Softwarewelt eindrangen und sie – wie viele andere nach ihnen – durcheinander wirbelten, ist dies heute in der Welt der Cybersicherheit erneut der Fall: Cloud-Native-Cybersicherheitsanbieter wie Zscaler und Cloudflare lassen die traditionellen Akteure und herkömmlichen Architekturen hinter sich. Es zeigt sich, dass Cybersicherheit durchaus mit der Cloud sichergestellt werden kann – der Kauf teurer Hardware wird damit überflüssig. Es wird sogar behauptet, dass Cloud-basierte Sicherheit erheblich mehr Schutz bietet als die traditionellen On-Premises-gestützten Sicherheitssysteme. Zudem arbeiten Mitarbeiter zunehmend fern vom Hauptsitz und verwenden hierzu immer mehr Geräte wie Smartphones und iPads, so dass das Castle-and-Moat-Modell immer ineffizienter, kostspieliger und aufwändiger wird. Zweifelsohne hat sich diese Entwicklung durch die Covid-Pandemie noch beschleunigt, denn Mitarbeiter mussten plötzlich im Homeoffice arbeiten, was die IT-Abteilungen der Unternehmen vor grosse Sicherheits- und Effizienzprobleme stellte.

Das Problem sind Sie

Viele Leute denken bei offensichtlichem E-Mail-Betrugsversuchen: «Wie dumm man doch sein muss, diese E-Mail zu öffnen oder jenen Link anzuklicken.» Der Verizon 2021 Data Breach Investigation Report kommt jedoch zu dem Schluss, dass sich böswillige Hacker hauptsächlich mit Credentials Zugang zu Unternehmensnetzwerken verschaffen, wobei 61 Prozent der Sicherheitsvorfälle auf abgegriffene Credentials zurückzuführen sind. Die Tricks und Methoden der Hacker sind dabei sehr kreativ und komplex, ihr Erfolg beruht jedoch auf dem Faktor Mensch: Wir verwenden immer wieder die gleichen Passwörter, wir loggen uns mit ungeschützten Geräten in Unternehmensanwendungen ein, wir sträuben uns gegen die Multi-Faktor-Authentisierung und haben alle schon einmal unwissentlich auf betrügerische E-Mails geklickt. Abgesehen vom Übergang auf Cloud-Native-Sicherheitslösungen gibt es im Bereich Cybersicherheit Segmente, die in den beiden kommenden Jahren immer wichtiger werden. In einen dieser Bereiche fallen Identity and Access Management (IAM)-Systeme, d.h. Softwareprogramme für die Verwaltung und Kontrolle von Nutzeridentitäten und Zugriffsberechtigungen in Unternehmen. Okta ist Markführer im Single Sign-On-Segment, während Sailpoint und CyberArk führende Anbieter im Bereich Identity Government bzw. Privileged Access Management sind. Zu den jüngsten Börsengängen in diesem Segment zählen Ping Identity und Forgerock.

Da in der Regel Menschen als vermeintlich schwächstes Glied der Sicherheitskette ins Visier von Cyberattacken genommen werden, dürften Security Awareness-Programme für die Mitarbeiterschulung in den nächsten Jahren an Bedeutung gewinnen, damit Social Engineering-Angriffe erkannt und verhindert werden können. KnowBe4 ging vor Kurzem an die Börse und ist Marktführer in diesem Bereich.

Was wäre die Tech-Branche ohne Buzzwords?

Unternehmen beschleunigen ihre digitale Transformation, arbeiten mit hybriden und Multi-Cloud-Umgebungen, setzen immer mehr Cloud-basierte Anwendungen ein, nutzen viele unterschiedliche Endgeräte und lassen ihre Mitarbeiter immer häufiger ausserhalb des zentralen Unternehmensnetzes arbeiten – die Folge sind eine Fülle neuer Buzzwords. Zero Trust Security und SASE (Secure Access Server Edge) sind Beispiele für Konzepte, die von den in diesem Artikel genannten Unternehmen häufig angeführt werden. Statt anzunehmen, dass der Perimeter hinter der Firewall (in der Burg) geschützt ist, lautet das zentrale Motto des Zero Trust-Modells: «Traue niemandem, kontrolliere alles und jeden.» Die Zero-Trust-Umgebung verlangt von allen Nutzern, ob inner- oder ausserhalb des Unternehmensnetzes, vor jedem Zugriff auf Anwendungen und Daten eine Authentifizierung und Zugangsberechtigung sowie die kontinuierliche Überprüfung ihrer Sicherheitskonfiguration. Wir beobachten momentan eine Verlagerung von der traditionellen Burg- und Burggraben-Architektur auf eine Zero Trust-Umgebung. Ein neueres Buzzword ist SASE, dass die Integration von Sicherheits- und Netzwerk-Funktionalitäten in einen einzigen, zumeist Cloud-basierten Service beschreibt. Zero Trust ist dabei ein integraler Bestandteil. Es ist davon auszugehen, dass Unternehmen auf SASE als derzeit fortschrittlichstes Modell umstellen müssen. Angesichts des Hypes in Bezug auf SASE ist die Zahl der SASE-Anbieter deutlich gestiegen, die von sich sagen, über ein SASE-Produkt zu verfügen. Doch nicht jedes dieser Unternehmen kann derzeit auch alle erforderlichen und empfohlenen SASE-Funktionen anbieten. Zudem gibt es starke Unterschiede zwischen den angebotenen Programmen hinsichtlich des Funktionsniveaus und der Ausgereiftheit.

Wie sichert man Alpha?

Interessierte Anleger müssen die Gewinner und Verlierer dieser Umstellung erkennen. Dies ist eine komplexe Aufgabe, denn Investoren müssen sich mit den verschiedenen Technologien und hybriden Konfigurationen auskennen. So vermeiden wir beispielsweise eine Positionierung in traditionellen On-Premises-Firewalls, obwohl dieses Segment noch immer wächst. Unternehmen treiben die Umstellung zwar auf Zero Trust- und Cloud-basierte Sicherheitsarchitekturen um, es läuft jedoch nach wie vor ein wachsendes Datenvolumen über traditionelle Firewalls, was die Nachfrage nach diesen Produkten beflügelt… Die riesige installierte Basis (sprich: Investitionen in Hard- und Software) wird sich auch so schnell nicht ändern. Hinzu kommt die Weiterentwicklung der Produkte und Unternehmen. So bietet etwa Palo Alto inzwischen eine Cloud-basierte Version seiner Firewall an… Heikel ist zudem, dass sich die Technologien selbst rasant weiterentwickeln, so dass ältere Produkte rasch überholt sind.

Für Decalia ist Cybersicherheit eines der sieben wichtigsten Anlagethemen unseres Sustainable SOCIETY-Fonds (das ‚S‘ steht für Sicherheit). Unser diversifizierter Barbell-Ansatz für Anlagen in Cybersicherheit beruht auf Research und Expertise. Wir investieren in besonders disruptive und innovative Cloud-Native-Geschäftsmodelle wie das von Zscaler. Problematisch ist jedoch, dass diese Unternehmen in der Regel teuer sind, so dass wir parallel in günstige bewertete Akteure investieren, die sich jedoch durch solide Marktpositionen auszeichnen. Ausserdem setzen wir bei sämtlich Anlagethemen und Unterthemen unseren eigenen ESG-Rahmen für die einzelnen Untersektoren ein.

Quirien Lemey ist Senior Fund Manager bei Decalia, zu der er im Sommer 2021 stiess. Er verwaltet gemeinsam mit Alexander Roose den Multi-Themen-Fonds Decalia SOCIETY, ein Akronym, das die sieben Anfangsbuchstaben der Themen aufgreift, aus denen er besteht: Security, O2 & Ecology, Cloud & Digitalization, Industrial 5.0, Energy Consumption, Tech Med, Young Generation. Quirien Lemey verfügt über 14 Jahre Erfahrung als Analyst und Fondsmanager, wobei er die letzten elf Jahre bei Degroof Petercam Asset Management (DPAM) tätig war. 2021 wurde Quirien von Citywire Selector als siebtbester Fondsmanager in Europa eingestuft.

Share: