Symbolbild

Viele Unternehmen planen gezielt, wann sie den Verlust sensibler Kunden-Daten veröffentlichen. Eine neue Studie zeigt am Beispiel von börsennotierten US-Firmen, dass Unternehmen Datenlecks bevorzugt an Tagen melden, an denen andere Nachrichten die Schlagzeilen in den Medien dominieren. Damit vermeiden sie stärkere Kursverluste am Aktienmarkt, riskieren aber größere Schäden der Betroffenen.

Jedes Jahr gelangen Unbefugte durch Hacking oder Datenpannen von Unternehmen an persönliche Informationen von Millionen Menschen, etwa an Passwörter, Kreditkartendaten oder Gesundheitsinformationen. Die Folgen für die Betroffenen können verheerend sein, von finanziellen Schäden bis hin zu Identitätsdiebstahl. Um ihre Kunden davor zu schützen, sind Firmen in vielen Ländern gesetzlich verpflichtet, den Vorgang den Aufsichtsbehörden zu melden und die Kunden zu informieren, wodurch die Lecks meist auch öffentlich werden.

In solchen Situationen ist eigentlich Eile geboten, um eine Verbreitung und möglichen Missbrauch der Daten einzudämmen. Allerdings bieten Gesetze den Unternehmen zeitliche Freiräume. In der Europäischen Union muss jedes Datenleck, das zu einem Risiko für betroffene Personen führen kann, innerhalb von 72 Stunden gemeldet werden. In den USA variieren die Meldefristen je nach Bundesstaat zwischen 30 und 90 Tagen.

Mehr als 8.000 Datenlecks in zehn Jahren

Als sich Jens Förderer, Professor für Innovation und Digitalisierung an der Technischen Universität München (TUM), und Sebastian Schütz, Professor für Wirtschaftsinformatik der Florida International University, mit solchen Vorfällen beschäftigten, wunderten sie sich, dass die Veröffentlichung der Datenverluste relativ geringe Folgen für den Aktienkurs der Unternehmen hatte. „Das hat uns überrascht, da Datenlecks für die Firmen ja einen Imageverlust und ein sinkendes Kunden-Vertrauen bedeuten, was ihren Wert am Aktienmarkt eigentlich stark belasten sollte“, sagt Jens Förderer. „Unsere Hypothese war, dass die Aufmerksamkeit der Anleger abgelenkt war.“

Die Forscher identifizierten deshalb den Zeitpunkt der Veröffentlichung von mehr als 8.000 Datenlecks börsennotierter US-amerikanischer Unternehmen zwischen 2008 und 2018, wobei sie Informationen der Non-Profit-Organisation Identity Theft Resource Center (ITRC) nutzten. Dann glichen sie die Zeitpunkte mit Tagen ab, an denen viele Firmen ihre Quartalszahlen vorstellten – also Tagen, von denen im Voraus klar war, dass eine Vielzahl an marktrelevanten Informationen publik werden würde. Dafür werteten sie das „Wall Street Journal“ aus, die größte Wirtschaftszeitung der USA.

Deutliches Ergebnis bei Pannen mit Firmen-internen Ursachen

Die Studie bestätigt die Vermutung der Forscher: An Tagen, an denen andere Meldungen die Schlagzeilen dominierten, wurden signifikant mehr Datenlecks veröffentlicht. Besonders deutlich war der Zusammenhang zwischen Nachrichtenlage und Veröffentlichungstag bei schwerwiegenden Datenverlusten, bei Pannen mit Firmen-internen Ursachen und wenn Gesundheitsinformationen oder Ausweisdaten betroffen waren.

„An hektischen Tagen müssen sowohl Redaktionen als auch Analysten Prioritäten setzen, welche Informationen sie aufgreifen. Unsere Ergebnisse legen nahe, dass Unternehmen die Bekanntgabe ihrer Datenlecks strategisch planen und gezielt auf eine geringere Aufmerksamkeit setzen“, sagt Förderer.

Geringere Kursverluste an Nachrichten-starken Tagen

In einem zweiten Schritt wollten die Forscher wissen, ob das Kalkül der Unternehmen aufgeht. Dafür untersuchten sie die Aktienkurse der Firmen nach der Bekanntgabe der Datenverluste. Zwar mussten die Unternehmen im Durchschnitt einen Kursverlust verzeichnen. Dieser fiel aber an Nachrichten-starken Tagen tatsächlich deutlich geringer aus.

„Unternehmen, die ihre Fehler im Umgang mit Daten im Schatten anderer Ereignisse verstecken, vermeiden so auch den öffentlichen Druck, dass sie selbst und andere Firmen stärkere Maßnahmen gegen Datenlecks ergreifen müssen“, sagt Sebastian Schütz.

„Spielräume eng fassen“

Die Wissenschaftler empfehlen, die Spielräume für die Bekanntgabe von Datenverlusten möglichst eng zu fassen. „Je länger die Meldefrist für einen Datenverlust ist, desto eher können Unternehmen die Bekanntgabe strategisch planen und den Zweck der Bekanntgabe unterlaufen“, sagt Jens Förderer.

Originalpublikation: Jens Foerderer, Sebastian Schuetz: Data Breach Announcements and Stock Market Reactions: A Matter of Timing? Management Science 2022.
DOI: 10.1287/mnsc.2021.4264
https://doi.org/10.1287/mnsc.2021.4264

Anzeige

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein