Eine Studie untersuchte, welche negativen Auswirkungen die Nachricht eines Datenlecks für den Aktienkurs eines Unternehmens haben kann, und kam zu einigen interessanten Erkenntnissen.

Wenn eine Datenpanne auftritt, versucht das betroffene Unternehmen sofort alles, um die Nachwirkungen des Zwischenfalls zu minimieren. Dabei sind die Überholung der Sicherheitssysteme, die Benachrichtigung der Kunden, und die Schadensbegrenzung eingeschlossen. Die Schäden sollen nicht nur unterm Strich in Grenzen gehalten werden, sondern auch an einigen etwas weniger greifbaren Vermögenswerten wie der Markenreputation oder dem Kundenvertrauen eingedämmt werden.

In vielen Fällen schlägt der Sicherheitszwischenfall so große Wellen, dass die Auswirkungen auch beim Börsenwert des Unternehmens zu spüren sind. Tatsächlich liegt die Annahme nahe, dass der Aktienkurs unweigerlich einbricht, sobald sich die Neuigkeit über eine Datenpanne verbreitet – aber ist das wirklich der Fall? Anscheinend ist die Antwort zwar „ja“, insgesamt ergibt sich aber ein weniger eindeutiges Bild.

Eine neue Studie, die von der Technologie-Website Comparitech durchgeführt wurde, bietet Einblicke in genau diesen, etwas weniger erforschen, Bereich der Konsequenzen von Datenpannen. Die Analyse schöpft ihre Daten aus einer Auswahl von 28 namhaften Unternehmen, die beim New York Stock Exchange (NYSE) gelistet sind und seit 2007 in Summe 33 Datenpannen erlitten, von der jede mindestens 1 Million Datensätze freilegte.

Eine bemerkenswerte Erkenntnis ist, dass der Aktienkurs der Unternehmen meist nach etwa 14 Börsentagen einen Tiefpunkt erreichte, also etwa drei Wochen, nachdem der Zwischenfall aufgedeckt wurde. Der Börsenwert der Unternehmen sank im Durchschnitt um 7,27% und sie verfehlten die erwartete Kursentwicklung an der NASDAQ-Börse um bis zu -4,18%.

Interessanterweise erholte sich der Aktienkurs bald darauf – und zwar so sehr, dass sich die Aktien der Unternehmen bereits sechs Monate nach der Datenpanne sogar besser entwickelten (Wachstum von 7,4%) als vor dem Zwischenfall (4,1%). Gleichermaßen fand die Untersuchung auch heraus, dass „Unternehmen, die vor dem Zwischenfall an der NASDAQ-Börse eine negative Kursentwicklung von bis zu -1,65% aufwiesen, den zu erwartenden Kursverlauf bereits sechs Monate danach um 0,48% zu übertrafen“.

Allerdings dauerte es nicht lange, bis die Aktien diesen überraschenden Aufschwung wieder verloren. Nach einem Jahr konnten sie mit der gesamten NASDAQ-Marktentwicklung nicht mehr mithalten und wuchsen im Durchschnitt „nur“ um 8,38%, wodurch sie die zu erwartende Kursentwicklung um -6,49% verfehlten. Gleichermaßen stiegen die Aktien weiterhin zwei bis drei Jahre nach dem Zwischenfall, aber nicht genug, um mit dem gesamten Markt mithalten zu können. Die Auswirkungen scheinen nur auf längere Sicht auszugleichen zu sein.

Selbstverständlich sind nicht alle Datenlecks gleich schwerwiegend, wenn es um ihren Effekt auf den Börsenwert geht. Die Auswirkung von Vorfällen, bei denen hochsensible Daten wie Kreditkarten- und Sozialversicherungsnummern kompromittiert wurden, dauern länger an und verursachen einen größeren „Schaden“ am Aktienkurs. Außerdem wiegen die Auswirkungen von Datenpannen am schwersten bei Finanz- und Zahlungsunternehmen, während Unternehmen im Gesundheitswesen eher immun gegen solche „Nebenwirkungen“ zu sein scheinen.

Davon abgesehen, gibt Comparitech die Grenzen der Studie zu verstehen. Bei den Ergebnissen sollte man die kleine Auswahl an Untersuchungsobjekten ebenso berücksichtigen wie die Tatsache, dass andere Kräfte des Marktes den Aktienkurs ebenso beeinflussen. Diese Einflüsse konnten jedoch nicht berücksichtigt werden, vor allem nicht, wenn sie zeitlich weiter von der Datenpanne entfernt lagen.