Equifax: Massiver Datendiebstahl ruiniert Reputation – Aktienkurs stürzt ab
Am Tag, an dem ein Datendiebstahl bekannt wird, sinkt der Börsenwert betroffener Unternehmen im Schnitt um fünf Prozent. Das ist das Ergebnis einer aktuellen Studie, die ich Ihnen hier erst vor wenigen Wochen vorgestellt habe.
Dass das keine graue Theorie ist, und durchaus auch noch schlimmer kommen kann, zeigt jetzt ein aktueller Fall aus den USA: Die Wirtschaftsauskunftei Equifax, quasi ein amerikanisches Pendant zur deutschen Schufa, gab am 7. September bekannt, dass Hacker sensible Daten zu 143 Millionen (!) Verbrauchern in den Vereinigten Staaten erbeutet haben. Namen, Adressen, Geburtsdaten – und die dazugehörige, in den USA so besonders wichtige Sozialversicherungsnummer. Alles, was ein Krimineller zum Identitätsdiebstahl benötigt.
Folge für Equifax: An der New Yorker Börse fiel der Kurs des Unternehmens von einem Tag auf den nächsten von 142,72 US$ auf 123,23 US$ – ein Minus von 13,66 Prozent (!). Und das war erst der Anfang der Talfahrt: Eine Woche später lag er nur noch bei 92,98 US$. Binnen einer Woche wurde mehr als ein Drittel des Börsenwerts des mehr als 100 Jahre alten Traditionsunternehmens vernichtet.
Besonders peinlich: Wie Equifax selbst einräumte, nutzten die Hacker eine Software-Schwachstelle aus, die bereits seit Anfang März bekannt war. Equifax hatte über Monate versäumt, in der angegriffenen Web-Anwendung aktuelle Sicherheitsupdates einzuspielen. Mit anderen Worten: Der Diebstahl sensibler Informationen war nur möglich, weil sich die Daten-Experten leichtfertiger verhalten haben, als es von jedem privaten PC-Nutzer erwartet wird.
Equifax‘ Krisenmanagement ist seither eine chaotische Mischung aus durchaus zielführenden Maßnahmen bis hin zu folgenschweren Tölpeleien. Durchaus sinnvoll war zum Beispiel, schnell eine Webseite einzurichten, über die Verbraucher erfragen können, ob sie von dem Datendiebstahl betroffen sind. Gute Idee, nur leider schlecht umgesetzt: Die Webseite entbehrt wichtiger Sicherheitsstandards und sieht aus wie ein Phishing-Versuch, spuckte unzuverlässige Ergebnisse aus, und hatte zunächst im Kleingedruckten (angeblich versehentlich) eine Klausel untergebracht, nach der die Nutzer der Webseite ihr Recht auf Beteiligung an Sammelklagen aufgeben mussten.
Immerhin scheut das Unternehmen nicht vor notwendigen, radikalen Schritten: Noch im September wurden zunächst der Chief Information Officer und die Sicherheitschefin „in den Ruhestand geschickt“, schließlich trat auch der CEO zurück.
Reichen wird das nicht, denn laufend werden neue pikante Details bekannt – so haben drei Führungskräfte kurz vor Bekanntgabe des Hacks schnell noch einen Batzen Aktien verkauft (angeblich zufällig), Equifax selbst lenkte über den eigenen Twitter-Kanal User auf eine gefälschte Webseite, setzte sich für eine Einschränkung von Verbraucherrechten ein – und im März gab es bereits einen Cyberangriff, der vermutlich auf die gleichen Täter zurückgeht.
Hauptgrund für dieses chaotische Krisenmanagement dürfte mangelnde Vorbereitung sein. Fehlende Sicherheitsupdates hätte ein gutes, vorrauschauendes Reputation Management entdeckt, als schweres Reputationsrisiko identifiziert und abgeschaltet. Webseiten für Krisenfälle gehören gründlich vorbereitet und überprüft, bevor ein Krisenfall eintritt, so dass sie im Fall der Fälle nur noch online gestellt werden müssen.
Die Reputation von Equifax wird noch lange darunter leiden. Wenn Ihr Unternehmen von so einer Reputationskrise nicht kalt erwischt werden soll, empfehlen wir: Spielen Sie einmal im Jahr mögliche Krisenszenarien durch. Das hilft, mögliche Reputationsrisiken frühzeitig zu identifizieren und Krisen-Abläufe und -Verantwortlichkeiten zu optimieren, bevor sie gebraucht werden. Und das, bevor Ihr Unternehmen binnen einer Woche ein Drittel seines Werts einbüßt.
Roland Heintze
Schauen Sie für Neustes zum Thema Krisen-PR auch bei Mediengau vorbei!