Summen in Höhe von 40 Millionen Euro, 50 Millionen Euro, 89 Millionen Dollar! Das ist der Schaden bei drei der prominentesten Online-Betrugsfälle allein in diesem Jahr. Im ersten Fall traf es den österreichischen Flugzeugzulieferer FACC, im zweiten Fall den deutschen Autozulieferer Leoni und im dritten Fall die Notenbank in Bangladesch. Für Schlagzeilen sorgte außerdem erst kürzlich eine Datenpanne beim Onlinebroker Comdirect und eine Cyberattacke auf die US-Schnellimbisskette Wendy’s.

Solche Fälle erwecken den Eindruck, als ob Onlinekriminelle fast nach Belieben in die IT-Infrastruktur von Unternehmen eindringen könnten. Jüngst warnte der IT-Sicherheitspionier John McAfee: "Unsere Spezies stand noch nie zuvor einer Bedrohung mit solchen Dimensionen gegenüber. Sie denken womöglich, ich übertreibe und bin ein Schwarzseher. Aber ich bin mit vielen Hackern befreundet, die über die Fähigkeiten verfügen, enormen Schaden zu verursachen, wenn sie das möchten." Skeptiker mögen einwenden, McAfee mache damit nur Werbung für sein neues IT-Sicherheitsunternehmen MGT Capital. Aber die erwähnten Beispiele zeigen, dass die Bedrohung real ist. Zumal keineswegs nur Firmen oder Finanzinstitute betroffen sind. Auch staatliche Institutionen, der Durchschnittsbürger oder Gesundheitseinrichtungen werden angegriffen.

Das Bedrohungspotenzial steigt



Die zunehmende Vernetzung von Geräten - das sogenannte Internet of Things - erhöht die Risiken sogar noch. Schon allein deshalb, weil es dadurch immer mehr mögliche Einfallstore gibt. Sicher vor Cyberangriffen ist somit niemand mehr. Treffend beschreibt ein älteres Zitat von Cisco Systems-Vorstandschef John Chambers die Lage: "Es gibt nur zwei Arten von Unternehmen: jene, die gehackt wurden und jene, die es nur noch nicht wissen."

Die Dimensionen des Problems sind enorm. Der Marktforscher Juniper Research beziffert die durch Cyberangriffe verursachten Kosten weltweit bis 2019 auf 2,1 Billionen Dollar. Nach einer Studie der US-Gemeinschaftsorganisation National Cyber Security Alliance müssen 60 Prozent der betroffenen kleinen Unternehmen sechs Monate nach einem Datenleck dichtmachen.

Aufgewacht sind trotzdem noch nicht alle. Das zeigt der vom Bundesamt für Sicherheit in der Informationstechnik erstellte Bericht zur Lage der IT-Sicherheit in Deutschland. In der aktuellen Version ist die Rede davon, dass die Anzahl der Schwachstellen und Verwundbarkeiten in IT-Systemen auf einem hohen Niveau liege. Besonders beängstigend: Einen absolut sicheren Schutz gibt es nicht. Das bestätigen die Internet-Sicherheitsspezialisten von OpenDNS in einer Studie: "In der Praxis können wir unsere virtuellen Wände nie so hoch oder stark bauen, dass sie als Barrikaden ausreichen."

Das sollte keine Ausrede sein, um tatenlos zu bleiben. Doch sieht die Realität anders aus. Laut dem "Global Threat Intelligence Report 2016" von NTT Com Security, einem Spezialisten für Informationssicherheit und Risikomanagement, sind 77 Prozent der befragten Unternehmen und Organisationen auf Cyberangriffe nicht vorbereitet.



Trotzdem werden schon jetzt weltweit viele Milliarden in den Online-Sicherheitsschutz gesteckt. Und es dürfte noch mehr werden: Steven Morgan vom Marktforscher Cybersecurity Ventures taxiert die weltweiten Ausgaben rund um Internetsicherheit für den Fünfjahreszeitraum von 2017 bis 2021 auf eine Billion Dollar. Mit der von ihm prognostizierten Wachstumsrate von zwölf bis 15 Prozent jährlich ist er deutlich optimistischer als andere Experten, die im Durchschnitt von plus acht bis zehn Prozent per annum ausgehen. Morgan erklärt das so: "Die Vorhersagen der IT-Analysten können einfach nicht Schritt halten mit dem rasanten Anstieg der Internetkriminalität, der Epidemie bei Ransomware, der Ausbreitung von Malware von PCs und Laptops auf Smartphones und mobilen Geräten, dem milliardenfachen Einsatz schlecht geschützter Geräte im Internet der Dinge, den Legionen von Hackern und den ausgeklügelten Cyberangriffen auf Unternehmen, Regierungen, Bildungseinrichtungen und Verbrauchern weltweit."

Großer Hype, dann Korrektur



IT-Sicherheitsdienstleister operieren also in einem wachstumsstarken Umfeld. Das lockt Anleger an, die von diesem Megatrend profitieren wollen. 2013 und 2014 stiegen daher die Kurse in dem Sektor stark. 2015 gerieten sie aber unter Druck - der Preis für die vorangegangenen Übertreibungen, die zu deutlich überteuerten Bewertungen geführt hatten.

Seit Mitte Februar legen die Aktien aus dem Sektor aber wieder deutlich zu. Zur Trendwende beigetragen haben Fusionen und Übernahmen. Zahl und Volumen der Deals sind bereits deutlich gestiegen, und Morgan Stanley rechnet mit einem noch höheren Konsolidierungstempo. Analyst Keith Weiss sieht den Marktanteil der fünf größten Anbieter von Sicherheitslösungen dadurch in den kommenden Jahren von 26 auf 40 Prozent steigen. Breit gestreut lässt sich auf verstärkte Übernahmeaktivitäten mit dem ETFS ISE Cyber Security GO UCITS wetten, der über 30 Titel beinhaltet (siehe Tabelle Seite 3).

Bei Einzelinvestments drängen sich die größeren Branchenvertreter auf. Sie besitzen am ehesten die nötige Schlagkraft, die zunehmend auch in der Breite erforderlich ist. Dazu zählt Palo Alto Networks, dessen Sicherheitsplattform Netzwerk-, Cloud- und Endpoint-Security unter eine gemeinsame Architektur bringt. Der US-Konzern arbeitet bereits für fast die Hälfte der 2000 größten börsennotierten Firmen weltweit und zählt insgesamt mehr als 28 000 Kunden. Im Vorjahr stieg der Umsatz um 55 Prozent auf rund 928 Millionen Dollar. Langfristig ist ein Ende des Wachstums nicht abzusehen.

Ebenfalls interessant ist der IT-Großkonzern Cisco Systems. Der Anteil der IT-Sicherheit am Gesamtumsatz mag zwar noch relativ gering sein, aber in absoluten Größenordnungen gerechnet wachsen diese Großkonzerne mindestens genauso schnell wie die reinen IT-Sicherheit-Spezialisten. Dank ihrer größeren finanziellen Ressourcen sitzen sie vielleicht sogar am längeren Hebel. Cisco gilt mit einem Marktanteil von lediglich gut fünf Prozent als Branchenführer und dürfte in der Lage sein, diesen Anteil weiter zu erhöhen.



Im Bereich der Nebenwerte bietet sich mit Secunet Security Networks ein deutsches Unternehmen als Depotbeimischung an. Die Essener sind auf Kryptografie, digitale Technik für Behörden und Institutionen sowie Sicherheitslösungen im Automobilbereich spezialisiert und zählen sich zu den führenden deutschen Anbietern für anspruchsvolle IT-Sicherheit. Als Aushängeschilder gilt der Status als IT-Sicherheitspartner der Bundesrepublik Deutschland. Dem Unternehmen ist es gelungen, den Umsatz von 2000 bis 2015 von 18,0 Millionen auf 91,1 Millionen Euro zu steigern. Nach einem guten ersten Halbjahr ist kein Ende des Wachstums in Sicht. Einziges Manko ist die anspruchsvolle Bewertung.

Chips plus Versicherung für den Notfall



Ein günstigeres KGV hat NXP Semiconductor. Analysten erwarten für die kommenden fünf Jahre Gewinnzuwächse von 34 Prozent jährlich. Ins Spiel kommt dieser Titel, weil ausgereifte Halbleiter nötig sind, um Sicherheit gewährleisten zu können. Der Geschäftsbereich Security and Connectivity gilt als globaler Marktführer für sichere Verbindungen und Chiplösungen. In Deutschland etwa ist NXP größter Lieferant für Sicherheitschips in Ausweisen und Pässen.

Der US-Spezialversicherer Assurant versichert unter anderem Mobilgeräte wie Handys gegen Diebstahl - in Zeiten, in denen iPhone und Co für viele Menschen einen hohen Stellenwert besitzen, ein zukunftsträchtiges Angebot. Seit Kurzem können sich zudem kleinere Unternehmen gegen Datendiebstahl und andere Schäden aufgrund von Cyberattacken versichern.