Cyberangriff als Insiderinformation: Wann besteht eine Ad-hoc-Pflicht?

Cyberangriffe gehören inzwischen zum Risikoprofil nahezu jedes größeren Unternehmens. Für börsennotierte Emittenten ist ein Cybervorfall aber nicht nur ein technisches, operatives und kommunikatives Krisenthema. Er wirft zugleich eine kapitalmarktrechtliche Kernfrage auf: Muss der Angriff als Insiderinformation behandelt und nach Art. 17 MAR unverzüglich per Ad-hoc-Mitteilung veröffentlicht werden?

Die Antwort ist anspruchsvoller, als es auf den ersten Blick erscheint. Weder ist jeder erfolgreiche Cyberangriff automatisch eine Insiderinformation, noch kann ein Emittent die kapitalmarktrechtliche Relevanz eines solchen Vorfalls pauschal verneinen. Maßgeblich ist eine Einzelfallprüfung nach den allgemeinen Grundsätzen des Insiderrechts. Gerade weil Cyberangriffe häufig unter erheblichem Zeitdruck, bei zunächst unvollständiger Tatsachengrundlage und mit parallelen Melde- und Kommunikationspflichten bewertet werden müssen, sollte diese Prüfung frühzeitig in das Incident-Response-Management integriert werden.

Ad-hoc-Pflicht nur bei Insiderinformation

Ausgangspunkt ist Art. 17 Abs. 1 MAR. Danach haben Emittenten Insiderinformationen, die sie unmittelbar betreffen, unverzüglich zu veröffentlichen. Ob ein Cyberangriff eine solche Insiderinformation darstellt, beurteilt sich nach Art. 7 MAR. Erforderlich ist insbesondere eine präzise, nicht öffentlich bekannte Information, die den Emittenten oder dessen Finanzinstrumente betrifft und geeignet ist, den Kurs erheblich zu beeinflussen.

Bei Cyberangriffen ist in der Praxis regelmäßig nicht der Emittentenbezug das Hauptproblem. Ein Angriff auf die IT-Infrastruktur, auf Produktionssysteme, Kundendaten, Forschungsdaten oder zentrale Geschäftsprozesse betrifft den Emittenten typischerweise unmittelbar. Schwieriger sind zwei andere Fragen: Ist die Information bereits hinreichend präzise? Und ist sie kursrelevant?

Die Präzision kann zu Beginn eines Cybervorfalls zweifelhaft sein. Reine IT-Anomalien, ungewöhnlicher Netzwerkverkehr oder ein bloßer Verdacht auf einen Angriff werden häufig noch nicht genügen. Verdichtet sich das Lagebild aber durch typische Indikatoren wie Datenabfluss, Verschlüsselung, Systemausfall, deaktivierte Sicherheitsfunktionen, Produktionsunterbrechung oder eine Kontaktaufnahme der Angreifer, kann die Schwelle zur präzisen Information überschritten sein. Der Umstand, dass das Schadensausmaß noch nicht abschließend feststeht, schließt die Präzision nicht zwingend aus. Auch eine noch nicht vollständig bezifferbare Entwicklung kann insiderrechtlich relevant sein, wenn ihr Eintritt oder ihre wesentlichen Auswirkungen hinreichend wahrscheinlich sind.

Die zentrale Frage: Kursrelevanz

Der eigentliche Schwerpunkt liegt meist bei der Kursrelevanz. Eine Information ist nicht schon deshalb kursrelevant, weil sie wichtig, unangenehm, reputationssensibel oder pressegeeignet ist. Entscheidend ist, ob ein verständiger Anleger die Information voraussichtlich als Teil seiner Anlageentscheidung berücksichtigen würde und ob sie geeignet ist, den Börsenkurs erheblich zu beeinflussen.

Bei Cyberangriffen muss deshalb zwischen dem technischen Vorfall und seiner wirtschaftlichen Bedeutung unterschieden werden. Der Umstand, dass ein Angriff stattgefunden hat, ist nicht automatisch gleichbedeutend mit einer erheblichen Änderung des Unternehmenswerts. Maßgeblich ist vielmehr, ob der Angriff aus der Ex-ante-Sicht des verständigen Anlegers Auswirkungen auf die künftigen Zahlungsströme, das Risikoprofil oder sonstige wertbildende Faktoren des Emittenten erwarten lässt.

Diese Unterscheidung ist praktisch wichtig. Ein Cyberangriff kann operativ erheblich sein und dennoch kapitalmarktrechtlich unterhalb der Ad-hoc-Schwelle bleiben. Umgekehrt kann ein zunächst technisch begrenzt erscheinender Vorfall kursrelevant werden, wenn er zentrale Geschäftsgeheimnisse betrifft, eine erhebliche Betriebsunterbrechung auslöst oder massive Haftungs-, Bußgeld- oder Reputationsrisiken nach sich zieht.

Cyberrisiken sind häufig bereits Teil der Markterwartung

Ein wesentlicher Gesichtspunkt ist die Markterwartung. Cyberrisiken sind heute kein außergewöhnliches Randrisiko mehr. Sie gehören zum allgemeinen Risikoumfeld kapitalmarktorientierter Unternehmen. Viele Emittenten berichten in Geschäftsberichten, Risikoberichten oder Prospekten ausdrücklich über Cyberrisiken. Auch die allgemeine Nachrichtenlage, geopolitische Spannungen, hybride Bedrohungslagen und der Einsatz künstlicher Intelligenz bei Angriffswerkzeugen haben dazu geführt, dass Anleger Cyberrisiken grundsätzlich einpreisen.

Daraus folgt nicht, dass Cyberangriffe kapitalmarktrechtlich irrelevant wären. Es bedeutet aber, dass der bloße Eintritt eines allgemeinen Cyberrisikos häufig keine hinreichende Abweichung von der Markterwartung begründet. Wenn der Markt ohnehin damit rechnet, dass Unternehmen Ziel von Angriffen werden können, begründet erst ein qualifizierender Umstand die mögliche Kursrelevanz. Ein solcher Umstand kann insbesondere in einer erheblichen Störung des Geschäftsbetriebs, in einem wesentlichen Datenabfluss, im Verlust zentraler Geschäftsgeheimnisse, in einer gravierenden Verletzung regulatorischer Pflichten oder in einer außergewöhnlichen finanziellen Belastung liegen.

Die Prüfung lautet daher nicht: „Gab es einen Cyberangriff?“ Die zutreffende Frage lautet: „Ändert die konkrete Information über diesen Angriff die bisherige Bewertungsgrundlage des Marktes in einer für den Fundamentalwert erheblichen Weise?“

Fundamentalwertrelevanz als Maßstab

Für die Ad-hoc-Publizität kommt es bei Cyberangriffen regelmäßig auf die unmittelbare Fundamentalwertrelevanz an. Der Angriff muss also geeignet sein, die Bewertung des Emittenten oder seiner Finanzinstrumente wesentlich zu verändern. Dafür genügt nicht jede abstrakte Unsicherheit. Erforderlich sind plausible Auswirkungen auf wertbildende Faktoren.

Besonders naheliegend ist eine Kursrelevanz, wenn der Angriff zu erheblichen Umsatzausfällen führt. Das ist etwa der Fall, wenn Produktionsanlagen stillstehen, zentrale IT-Systeme nicht verfügbar sind, Lieferketten unterbrochen werden oder der Geschäftsbetrieb in einem wesentlichen Marktsegment zeitweise nicht fortgeführt werden kann. In solchen Fällen kann sich der Cyberangriff unmittelbar auf Umsatz, Ergebnisprognose, Liquidität oder Covenants auswirken.

Ebenfalls relevant kann der Verlust von Geschäftsgeheimnissen oder geistigem Eigentum sein. Wird etwa der Kern einer technologischen Entwicklung, eine proprietäre Software, eine Kundendatenbank oder ein sonstiger Wettbewerbsvorsprung kompromittiert, kann dies den Unternehmenswert erheblich beeinflussen. Entscheidend ist aber auch hier die konkrete Bedeutung der betroffenen Informationen für das Geschäftsmodell. Nicht jeder Datenabfluss ist fundamentalwertrelevant; bei besonders sensiblen, strategischen oder geschäftskritischen Informationen kann die Bewertung aber anders ausfallen.

Bußgeld- und Haftungsrisiken können ebenfalls eine Rolle spielen. Cyberangriffe gehen häufig mit datenschutzrechtlichen Fragestellungen, Meldepflichten und möglichen Ansprüchen Betroffener oder Vertragspartner einher. In den meisten Fällen werden solche Risiken für sich genommen nicht die Schwelle zur Kursrelevanz erreichen. Anders kann es liegen, wenn besonders große Datenbestände, sensible Datenkategorien, systematische Sicherheitsdefizite oder massenhafte Schadensersatzforderungen betroffen sind.

Auch Reputationsschäden sind nicht schematisch zu behandeln. Der Markt weiß, dass auch sorgfältig organisierte Unternehmen Opfer professioneller Angriffe werden können. Ein Reputationsschaden wird daher vor allem dann kapitalmarktrechtlich relevant, wenn der Angriff auf gravierende Defizite in der Organisation, im Risikomanagement oder in der IT-Sicherheit hindeutet oder wenn dadurch geschäftsmodellkritische Kunden, Lieferanten, Lizenzgeber oder öffentliche Auftraggeber wegfallen könnten.

Marktpraxis: Viele Cyberangriffe werden nicht ad hoc veröffentlicht

Die bisherige Marktpraxis bestätigt, dass Cyberangriffe nicht automatisch als Insiderinformationen behandelt werden. Zahlreiche börsennotierte Unternehmen haben Cybervorfälle über Pressemitteilungen, Kundeninformationen oder sonstige Kommunikationskanäle bekannt gemacht, ohne eine Ad-hoc-Mitteilung zu veröffentlichen.

Ad-hoc-Mitteilungen finden sich demgegenüber vor allem bei Vorfällen, die eine erhebliche Beeinträchtigung des operativen Geschäfts erkennen lassen. Typische Fälle sind das Herunterfahren von IT-Systemen, Produktionsunterbrechungen, erhebliche Einschränkungen in einzelnen Geschäftsbereichen oder Verzögerungen bei der Finanzberichterstattung. Auch der mögliche Verlust einer Indexzugehörigkeit infolge verspäteter Finanzberichterstattung kann die kapitalmarktrechtliche Bewertung beeinflussen, weil damit mittelbare finanzielle Nachteile, geringere Liquidität, Verkaufsdruck indexabbildender Fonds und Reputationswirkungen verbunden sein können.

Diese Praxis ist konsequent. Sie zeigt, dass nicht der Begriff „Cyberangriff“ entscheidend ist, sondern die konkrete wirtschaftliche Tragweite des Vorfalls. Für Emittenten bedeutet dies: Eine Nichtveröffentlichung kann rechtlich vertretbar sein. Sie muss aber auf einer strukturierten Prüfung beruhen.

Kommunikation kann die Kursrelevanz beeinflussen

Ein weiterer wichtiger Punkt ist die öffentliche Informationslage. Die Kursrelevanz einer Information wird nicht abstrakt, sondern im Verhältnis zur bereits bekannten Marktlage bestimmt. Wenn ein Unternehmen die Öffentlichkeit fortlaufend und zutreffend über einen Cybervorfall informiert, kann sich das Informationsniveau des Marktes parallel zum Erkenntnisstand des Unternehmens entwickeln. In solchen Fällen kann es sein, dass zu keinem bestimmten Zeitpunkt eine neue, nicht öffentliche Information entsteht, die die bisherige Markterwartung erheblich verändert.

Das setzt allerdings eine sorgfältige Kommunikationsstrategie voraus. Pressemitteilungen, Kundeninformationen, Webseitenhinweise, Datenschutzinformationen und sonstige Erklärungen dürfen nicht isoliert betrachtet werden. Sie können kapitalmarktrechtlich relevant werden, weil sie den öffentlichen Kenntnisstand prägen und spätere Aussagen an ihnen gemessen werden. Unvollständige, verharmlosende oder missverständliche Kommunikation kann die Lage verschärfen, insbesondere wenn sich später herausstellt, dass der Angriff schwerwiegender war als zunächst dargestellt.

Kapitalmarktorientierte Unternehmen sollten deshalb bereits im Cyber-Incident-Response-Plan festlegen, wie technische Lagebewertung, rechtliche Einschätzung und externe Kommunikation zusammengeführt werden. Die kapitalmarktrechtliche Bewertung darf nicht erst nachgelagert erfolgen, wenn Pressearbeit, Kundenkommunikation oder Behördenmeldungen bereits ausgelöst wurden.

Aufschub der Veröffentlichung ist bei Cyberangriffen besonders schwierig

Ist ein Cyberangriff ausnahmsweise als Insiderinformation zu qualifizieren, kommt ein Aufschub der Veröffentlichung nach Art. 17 Abs. 4 MAR zwar grundsätzlich in Betracht, etwa wenn eine sofortige Veröffentlichung die Schließung einer Sicherheitslücke, die IT-forensische Aufklärung oder die Vermeidung von Nachahmungshandlungen gefährden würde. In der Praxis ist ein Aufschub jedoch gerade bei Cyberangriffen besonders schwierig, weil der Emittent die Geheimhaltung der Information häufig nicht zuverlässig sicherstellen kann. Angreifer können den Angriff selbst veröffentlichen, Daten im Darknet zugänglich machen, Kunden oder Medien kontaktieren oder mit der Veröffentlichung kompromittierter Informationen drohen. Hinzu kommen mögliche Informationsflüsse an Behörden, Versicherer, Dienstleister, Kunden, Lieferanten oder betroffene Personen. Deshalb ist ein Aufschub nicht ausgeschlossen, setzt aber eine besonders sorgfältige Prüfung und Dokumentation voraus.

Entscheidung gegen Ad-hoc-Mitteilung dokumentieren

In vielen Fällen wird ein Cyberangriff nach sorgfältiger Prüfung nicht als Insiderinformation einzuordnen sein. Das bedeutet aber nicht, dass die Entscheidung formlos oder intuitiv getroffen werden sollte. Gerade wenn sich ein Emittent gegen eine Ad-hoc-Mitteilung entscheidet, sollte die rechtliche Bewertung nachvollziehbar dokumentiert werden. Dies gilt insbesondere deshalb, weil die Einschätzung häufig unter erheblichem Zeitdruck und auf Grundlage eines noch unvollständigen technischen Lagebilds getroffen werden muss.

Maßgeblich ist eine Gesamtbewertung der konkret vorliegenden Erkenntnisse. Zu prüfen ist insbesondere, ob die Information bereits hinreichend präzise ist, welche Auswirkungen auf Geschäftsbetrieb, Umsatz, Kosten, Haftungsrisiken und Reputation zu erwarten sind, ob diese Erkenntnisse erheblich von der bisherigen Markterwartung abweichen und in welchem Umfang bereits öffentliche Kommunikation oder Presseberichterstattung stattgefunden hat. Ist ausnahmsweise von einer Insiderinformation auszugehen, stellt sich zusätzlich die Frage, ob deren Geheimhaltung überhaupt noch sichergestellt werden kann.

KRONSTEYN unterstützt Emittenten, Vorstände und Rechtsabteilungen bei der kapitalmarktrechtlichen Bewertung von Cyberangriffen. Ihr Ansprechpartner: Rechtsanwalt Dr. Hendrik Müller-Lankow.