Datenlecks: Unternehmen machen bevorzugt an nachrichtenstarken Tagen Meldung

Unternehmen vermeiden so gezielt Aufmerksamkeit für Verlust sensibler Daten

[datensicherheit.de, 26.11.2022] Laut Erkenntnissen der Technischen Universität München (TUM) planen viele Unternehmen gezielt, wann sie den Verlust sensibler Kunden-Daten veröffentlichen. Eine neue Studie zeigt demnach am Beispiel börsennotierter US-Firmen, dass Unternehmen Datenlecks bevorzugt an Tagen melden, an denen andere Nachrichten die Schlagzeilen in den Medien dominieren. „Damit vermeiden sie stärkere Kursverluste am Aktienmarkt, riskieren aber größere Schäden der Betroffenen.“

In der EU muss jedes signifikante Datenleck innerhalb von 72 Stunden gemeldet werden

Jedes Jahr gelangten Unbefugte durch Hacking oder Datenpannen von Unternehmen an persönliche Informationen von Millionen Menschen, etwa an Passwörter, Kreditkartendaten oder Gesundheitsinformationen. „Die Folgen für die Betroffenen können verheerend sein, von finanziellen Schäden bis hin zu Identitätsdiebstahl.“ Um ihre Kunden davor zu schützen, seien Firmen in vielen Ländern gesetzlich verpflichtet, den Vorgang den Aufsichtsbehörden zu melden und die Kunden zu informieren – „wodurch die Lecks meist auch öffentlich werden“.

In solchen Situationen sei eigentlich Eile geboten, um eine Verbreitung und möglichen Missbrauch der Daten einzudämmen. Allerdings böten Gesetze den Unternehmen zeitliche Freiräume. In der Europäischen Union (EU) müsse jedes potenziell zu einem Risiko für betroffene Personen führende Datenleck innerhalb von 72 Stunden gemeldet werden. In den USA variierten die Meldefristen je nach US-Staat zwischen 30 und 90 Tagen.

Mehr als 8.000 Datenlecks bei börsennotierten US-amerikanischen Unternehmen in zehn Jahren

Als sich Jens Förderer, TUM-Professor für Innovation und Digitalisierung (Forscher am Center for Digital Transformation auf dem TUM-Campus Heilbronn), und Sebastian Schütz, Professor für Wirtschaftsinformatik der Florida International University, mit solchen Vorfällen beschäftigten, hätten sie sich gewundert, dass die Veröffentlichung der Datenverluste relativ geringe Folgen für den Aktienkurs der Unternehmen gehabt habe. Dies habe sie überrascht, da Datenlecks für die Firmen ja einen Imageverlust und ein sinkendes Kunden-Vertrauen bedeuteten – „was ihren Wert am Aktienmarkt eigentlich stark belasten sollte“, so Professor Förderer. Ihre Hypothese war nach seiner Aussage, dass die Aufmerksamkeit der Anleger „abgelenkt“ gewesen sei.

Die Forscher identifizierten deshalb nach eigenen Angaben den Zeitpunkt der Veröffentlichung von mehr als 8.000 Datenlecks börsennotierter US-amerikanischer Unternehmen zwischen 2008 und 2018, hierfür Informationen der Non-Profit-Organisation Identity Theft Resource Center (ITRC) nutzend. Dann hätten sie die Zeitpunkte mit Tagen abgeglichen, „an denen viele Firmen ihre Quartalszahlen vorstellten“ – also Tage, von denen im Voraus klar gewesen sei, „dass eine Vielzahl an marktrelevanten Informationen publik werden würde“. Hierzu sei das „Wall Street Journal“, die größte Wirtschaftszeitung der USA, ausgewertet worden.

An Tagen mit dominierenden anderen Schlagzeilen bedeutend mehr Datenlecks veröffentlicht

Die Studie bestätige die Vermutung der Forscher: „An Tagen, an denen andere Meldungen die Schlagzeilen dominierten, wurden signifikant mehr Datenlecks veröffentlicht.“ Besonders deutlich sei der Zusammenhang zwischen Nachrichtenlage und Veröffentlichungstag bei schwerwiegenden Datenverlusten gewesen – „bei Pannen mit firmeninternen Ursachen und wenn Gesundheitsinformationen oder Ausweisdaten betroffen waren“.

An hektischen Tagen müssten sowohl Redaktionen als auch Analysten Prioritäten setzen, welche Informationen sie aufgreifen. „Unsere Ergebnisse legen nahe, dass Unternehmen die Bekanntgabe ihrer Datenlecks strategisch planen und gezielt auf eine geringere Aufmerksamkeit setzen“, berichtet Professor Förderer.

An nachrichtenstarken Tagen geringere Kursverluste nach Datenverlusten

In einem zweiten Schritt hätten die Forscher wissen wollen, „ob das Kalkül der Unternehmen aufgeht“. Dafür hätten sie die Aktienkurse der Firmen nach der Bekanntgabe der Datenverluste untersucht. Zwar hätten die Unternehmen im Durchschnitt einen Kursverlust verzeichnen müssen – dieser sei aber an nachrichtenstarken Tagen tatsächlich deutlich geringer ausgefallen.

„Unternehmen, die ihre Fehler im Umgang mit Daten im Schatten anderer Ereignisse verstecken, vermeiden so auch den öffentlichen Druck, dass sie selbst und andere Firmen stärkere Maßnahmen gegen Datenlecks ergreifen müssen“, erläutert Professor Schütz. Die beiden Wissenschaftler empfehlen daher, die Spielräume für die Bekanntgabe von Datenverlusten möglichst eng zu fassen: „Je länger die Meldefrist für einen Datenverlust ist, desto eher können Unternehmen die Bekanntgabe strategisch planen und den Zweck der Bekanntgabe unterlaufen“, unterstreicht Professor Förderer.

Weitere Informationen zum Thema:

InformsPubOnLine, 15.02.2022
Data Breach Announcements and Stock Market Reactions: A Matter of Timing? / Jens Foerderer & Sebastian W. Schuetz

TUM
Center for Digital Transformation / Prof. Dr. Jens Foerderer