Inzwischen gehören Cyberangriffe zum Alltag von Unternehmen. Eine verbreitete Annahme ist es, dass es zwei Arten von Unternehmen gibt: solche, die bereits Opfer eines Cyberangriffes geworden sind, und solche, die es noch nicht bemerkt haben. Ein Angriff kann nebst finanziellen oder operativen Schäden zu einem Reputationsschaden führen, welcher weiter den Aktienkurs beeinflussen kann. Für die ISSS, ein Fachverein im Bereich der Informationssicherheit, soll nun untersucht werden, welchen Einfluss ein transparenter und offen kommunizierter Cyberangriff auf den Marktwert eines Unternehmens hat.

In einem ersten Schritt wurde eine Literaturanalyse durchgeführt, um einen Überblick über den aktuellen Stand der Forschung zu erhalten. Daraufhin wurden 15 Fälle von Cyberangriffen und deren Auswirkung auf den Aktienkurs des jeweiligen Unternehmens analysiert. Bei der Analyse wurde die Entwicklung der Kurse bis 60 Tage nach der Meldung untersucht und im Weiteren mit Konkurrenzunternehmen verglichen, welche keinen Cyberangriff erfahren haben. In einem letzten Teil der Arbeit wurden Interviews mit Führungskräften aus der IT geführt, um die theoretischen Erkenntnisse mit der Praxis abzuglei

Die Literaturrecherche zeigte, dass die Frage nach der Auswirkung eines Cyberangriffs nicht einheitlich beantwortet werden kann. Einige Quellen zeigten einen signifikanten negativen Einfluss, während andere diesen nicht erkannten. Durch die Unterteilung der Unternehmen in die Industriesektoren konnten unterschiedliche Auswirkungen aufgezeigt werden. Die Analyse der 15 Cyberangriffe ergab, dass fünf Tagen nach der offenen Meldung der Aktienkurs durchschnittlich um 1% gesunken ist, wobei das 50% Quantil bei 0% liegt. Die Resultate im Vergleich zum Branchendurchschnitt zeigten ein ähnliches Bild. Die Analysen ergaben, dass Unternehmen welche Opfer eines Angriffes wurden und diesen kommuniziert haben nicht stark beeinflusst wurden. Zudem ist der Verlust bei 50% der Unternehmen nur begrenzt ersichtlich oder haben sich im Vergleich zur Branche verbessert. Die beiden Interviews ergaben, dass ein Unternehmen Meldungen über Cyberangriffe zurückhält, wenn diese nicht kommuniziert werden müssen. Unter anderem erkannte auch ein Interviewpartner ein schwindendes Interesse in der Öffentlichkeit.