Cybersecurity Aktien? Gut. Aber lies erstmal das hier

Cybersecurity ist in den letzten Jahren ein heißes Thema geworden, nicht zuletzt wegen der vielen Cyberattacken und Datenlecks. Das Identity Theft Resource Center (ITRC) berichtet, dass die Anzahl der persönlichen Datensätze, die in Datenlecks freigesetzt wurden, im letzten Jahr auf 169 Millionen verdoppelt wurden, und zwar über alle Branchen hinweg: Unternehmen, Gesundheitswesen, Regierung, Bildung und Finanzen.

Dennoch ging es Cybersecurity dieses Jahr nicht besonders gut. Der PureFunds ISE Cyber Security ETF – in dem die ganze Breite an Cybersecurity-Aktien enthalten sind – ist in den vergangenen 12 Monaten 20 % gesunken. Dieser Abrutsch der ganzen Branche bietet natürlich für Langzeitinvestoren eine lukrative Möglichkeit zum Einstieg – allerdings sollte man sich vorher über die Branche schlau machen.

Wachstumspotenzial

Das Forschungsinstitut Markets and Markets erwartet, dass der weltweite Markt für Cybersecurity von derzeit 106,3 Milliarden US-Dollar bis zum Jahr 2020 auf 170,2 Milliarden anwächst. Im letzten Dezember fand eine Umfrage von Wakefield Research heraus, dass 81 % von 700 Entscheidern im IT-Bereich vorhatten, ihr Budget für IT-Sicherheit im Jahr 2016 um durchschnittlich 22 % anzuheben.

Regierungskörper, die für 8 % der Datenlecks im vergangenen Jahr verantwortlich waren, sehen sich auch stärkeren Sicherheitsvorgaben und damit erhöhten Ausgaben ausgesetzt. Anfang des Jahres entschied die Obama-Regierung, dass man für das Jahr 2017 das Budget auf 19 Milliarden US-Dollar anhebt, ein Plus von 5 Milliarden im Vergleich zu diesem Jahr. Deswegen spart man vielleicht an anderen Enden, für Cybersecurity hingegen wird man Geld lockermachen, werden die Angriffe doch auch immer ausgereifter und gewiefter.

Bedrohung von außen und von innen

Unternehmen im Bereich Cybersecurity kann man in zwei Bereiche teilen – solche, die ein Netzwerk vor Angreifern von außen schützen und solche, die gegen Angriffe von innen vorgehen.

Unternehmen, die die Außenwände schützen, kümmern sich um Firewalls, Antiviren-Software und andere Lösungen. Darunter fallen große Player wie Palo Alto Networks (WKN:A1JZ0Q) und Check Point (WKN:901638), FireEye (WKN:A1W4G7) und Antiviren-Unternehmen Symantec außerdem die Lösungen vom Giganten Cisco (WKN:878841).

Unternehmen, die nach innen arbeiten, bieten Überwachungslösungen an. Schlüsselunternehmen in diesem Bereich: IBM, Hewlett Packard, CA, die cloud-basierten Sicherheitsunternehmen Splunk und Imperva, außerdem der Behüter privilegierter Konten CyberArk (WKN:A12CPP).

Ein Problem, dem sich viele kleine Unternehmen in dieser Branche ausgesetzt sehen, besteht darin, dass große Player wie IBM, Cisco und HPE ihre eigenen Sicherheitsdienste bereits in ihre eigene Hardware und andere Dienste mit einbauen. Sobald das passiert, sehen all jene Unternehmen, die keine Nische gefunden haben (wie bspw. CyberArk mit privilegierten Konten), alt aus. Nischenbesetzer hingegen könnten aufgekauft werden.

Gemeinsamkeiten

Anleger dürften weiterhin einige Gemeinsamkeiten in der Branche erkennen. Zuerst einmal ist es nicht unüblich, dass diese Unternehmen einige Quartale lang Absatzwachstum im zwei- oder dreistelligen Bereich hinlegen. Palo Alto hat über 50 % jährliches Absatzwachstum seit dem Q4 2014 geschafft, Quartal für Quartal. FireEyes Umsatz wuchs 34 % im letzten Quartal, CyberArk verbesserte sich 42 %.

Absatzwachstum ist aber nicht alles. Die meisten Unternehmen teilen ihren Umsatz in Produkt und Dienstleistung. Das Umsatzwachstum beim Produkt (bzw. der Lizensierung) gilt als wichtiger, weil die Unternehmen mehr Lizenzen verkaufen müssen, um wiederkehrende Umsätze von Abonnements und Servicekosten zu generieren. Wenn das Wachstum beim Produktbereich besser ist als das Wachstum des gesamten Umsatz, dann gilt das als starker Indikator für zukünftiges Wachstum.

Andererseits sind Cybersecurity-Unternehmen in der Regel höchst unprofitabel. Das liegt an den Aktienkompensationen und der rapiden Verbrennung von Cash. Viele Unternehmen in der Branche – darunter Palo Alto, FireEye und CyberArk – brauchten Secondary Offerings, um an Geld zu kommen. Und das verwässerte die Aktien für bestehende Anleger. Manche Unternehmen wie CyberArk sind seitdem auf GAAP-Basis und Non-GAAP-Basis profitabel, da man bei den Ausgaben den Gürtel enger geschnallt hat. Andere, wie z.B. FireEye, bleiben auf beide Arten unrentabel.

Deswegen sollten Investoren unbedingt die Cash-Positionen dieser Unternehmen prüfen und sich die Abstimmung zwischen non-GAAP und GAAP ansehen. Zum Beispiel ist Palo Alto auf non-GAAP-Basis profitabel, auf GAAP-Basis aber nicht, weil man aktienbasierte Kompensationen zu zahlen hat, und die nahmen im letzten Quartal gut ein Drittel des Umsatzes weg.

Ein volatiler aber vielversprechender Markt

Es schien ganz, als hätten Anleger im letzten Jahr Cybersecurity-Aktien abgestoßen, aus Angst vor starken Konkurrenzsituationen und verringerten Ausgaben in dem Bereich. Aber ich denke, dass Unternehmen erst jetzt richtig reinbuttern und Budgets aufstocken werden – niemand kann sich ein Datenleck erlauben, der Schaden, den das Image nehmen würde, wäre um ein Vielfaches schlimmer und nicht mit Geld zu bezahlen. Die Konkurrenzsituation ist arg, das stimmt, betrifft aber nur jene Unternehmen, die Nischen nicht besetzen und dominieren können, nicht richtig wachsen und damit keine wichtigen Player sind.

Sicher: Cybersecurity-Aktien sind nichts für Anleger, die das Risiko scheuen. Aber wenn man die Flüchtigkeit ertragen kann, dann könnte man binnen der nächsten Jahre gut Gewinn machen, vorausgesetzt, man hat in diesem vielversprechenden Segment auf die richtigen Pferde gesetzt.