Warum ist Cybersicherheit bei Fusionen und Übernahmen (M&A) wichtig?
„Cybersicherheit sollte bei jeder M&A-Transaktion ein wichtiger Aspekt sein. Wenn die potenziellen Risiken ignoriert werden, kann dies zu ernsthaften finanziellen und rufschädigenden Schäden für das fusionierte Unternehmen führen.“ – Howard Schmidt, amerikanischer Computersicherheitsexperte und ehemaliger Cybersicherheitskoordinator des Weißen Hauses.
Welche Auswirkungen hätte es auf Ihre Investition, wenn eine Stunde, einen Tag, eine Woche oder einen Monat nach Abschluss einer neu erworbenen Akquisition ein Cyberangriff stattfinden würde? Bei Cyber Security Due Diligence geht es darum, Ihre Investition zu schützen und sicherzustellen, dass Sie die Risiken, die Sie kaufen, wirklich verstehen und was Sie tun müssen, um Ihre Akquisition so widerstandsfähig und erfolgreich wie möglich zu machen.
Unter normalen Umständen sind Fusionen und Übernahmen komplex, zeitaufwändig und mit Risiken behaftet.
Erwerbende kaufen oder erben die digitalen Plattformen, das geistige Eigentum, die Kundendatenbanken sowie die Vermögenswerte und Verbindlichkeiten des Zielunternehmens. Damit übernimmt er alle Cybersecurity-Bedrohungen und Compliance-Risiken, die mit den Informationssystemen des Zielunternehmens verbunden sind, sowie alle Risiken, die mit den Verwaltungs- und Betriebsverfahren des Unternehmens zusammenhängen. Wird im Rahmen der Transaktion keine detaillierte Cyber-Bewertung des Zielunternehmens durchgeführt, kann dies erhebliche finanzielle, rechtliche und rufschädigende Auswirkungen haben – einschließlich Betriebsunterbrechungen, behördliche Untersuchungen und Geldstrafen.
Fusionen und Übernahmen können aufgrund der großen Mengen an sensiblen Daten und der potenziellen Unterbrechung des Geschäftsbetriebs, die ein erfolgreicher Angriff nach sich ziehen kann, ein begehrtes Ziel für Cyberkriminelle darstellen. Daher ist es für Unternehmen von entscheidender Bedeutung, sich der potenziellen Risiken bewusst zu sein und angemessene Sicherheitsvorkehrungen zu treffen, um sich vor Verstößen gegen die Cybersicherheit zu schützen.
Welche Arten von Cybersicherheitsproblemen treten bei M&A am häufigsten auf?
Während des Fusions- (und Spaltungs-) oder Übernahmeprozesses können mehrere typische Cybersicherheitsprobleme auftreten. Diese können sein:
- Mangelnder Einblick in die Cybersicherheitslage des Zielunternehmens: Es kann schwierig sein, die Cybersicherheitsrisiken eines Unternehmens, das übernommen werden soll, gründlich zu bewerten, vor allem wenn das Zielunternehmen über unzureichende Cybersicherheitsverfahren verfügt oder die Dokumentation seiner Systeme und Netzwerke fehlt. Häufige Probleme sind die Notwendigkeit einer ordnungsgemäßen Rechnungsprüfung, einer Bestands- und Änderungsverwaltung, einer Anwendungsverwaltung und eines übermäßigen Zugriffs auf eine lokale Fernverwaltung.
- Integration verschiedener Systeme: Wenn zwei Unternehmen fusionieren, ist es üblich, dass sie unterschiedliche IT-Systeme und Netzwerke haben, die miteinander verbunden werden müssen. Da die Systeme integriert werden, kann dieses Verfahren Schwachstellen verursachen, was es wiederrum schwierig macht, jedes potenzielle Problem zu entdecken und zu beheben.
- Insider-Bedrohungen: Während des Fusions- oder Übernahmeprozesses sind die Mitarbeitenden beider Unternehmen möglicherweise wegen ihrer Zukunft besorgt und neigen eher dazu, sich an schädlichen Handlungen wie dem Diebstahl sensibler Daten oder der Sabotage von Systemen zu beteiligen. Außerdem führt die zusätzliche Arbeitsbelastung durch die Integration von Systemen zu vielen Veränderungen und Ablenkungen, was dazu führen kann, dass Fehler wahrscheinlicher sind, Patches vernachlässigt werden und die Anzeichen eines Angriffs nicht so schnell wie üblich erkannt werden.
- Unzureichende Kommunikation und Koordination: Um sicherzustellen, dass Cybersicherheitsrisiken angegangen und gemanagt werden, ist es für beide an einer Fusion oder Übernahme beteiligten Unternehmen entscheidend, effektiv zu kommunizieren und zusammenzuarbeiten. Dies ist jedoch nicht immer einfach, wenn es eine Kommunikationslücke gibt oder viele Teams nicht angemessen zusammenarbeiten.
- Rechtliche und regulatorische Überlegungen: Datenschutz und Cybersicherheit können rechtliche und regulatorische Fragen sein, die während des Fusions- oder Übernahmeprozesses berücksichtigt werden müssen. Diese Anforderungen müssen beachtet werden, um ernsthafte Risiken und Haftungen zu vermeiden.
- Verlust der Kontrolle über Unternehmenssysteme und -daten: Mitarbeitende können während einer Fusion den Zugang zu Unternehmenssystemen und -daten verlieren, was zu Sicherheitsverletzungen führen kann, wenn keine angemessenen Zugangskontrollen implementiert sind. Häufig werden Dienstleistungen (wie IT-Infrastrukturen und Hosting- oder Support-Funktionen) während einer Migrationsphase von der verkaufenden Partei übernommen. Wenn Service Level Agreements fehlen oder falsche Anreize gesetzt werden, kann dies zu einem Verlust der Verfügbarkeit, Vertraulichkeit oder Datenintegrität führen.
- Datenschutzverletzungen: Bei der Übertragung von Daten zwischen Unternehmen besteht die Gefahr, dass sensible Informationen offengelegt oder von Unbefugten eingesehen werden, was zu Datenschutzverletzungen führen kann. Die Nutzenden werden abgelenkt und oft sind die übernommenen Mitarbeitenden weniger vertraut mit den Sicherheitsprozessen und -kontrollen.
- Falsch konfigurierte Systeme: Wenn Systeme und Netzwerke neu konfiguriert werden, besteht das Risiko, dass sie falsch konfiguriert werden, was zu Sicherheitslücken führen kann.
Welche praktischen Schritte sollten für die Sicherheit vor, während und nach M&A geplant werden?
Vor der Übernahme
- Einbindung des CISO und des Sicherheitsteams: Der CISO und seine Teams müssen unbedingt in alle Phasen des M&A-Geschäfts einbezogen werden, da sie für den Schutz der Vermögenswerte und des Unternehmens-Rufs – der mit dem Wert des Geschäfts verbunden ist – von entscheidender Bedeutung sind. In vielen Fällen werden die CISO´s erst sehr spät im Lebenszyklus der Übernahme eingesetzt. Der Ausschluss von Fachleuten für Compliance und Sicherheit ist jedoch riskant, da nicht beachtete Bedenken zu teuren Haftungen führen können.
- Führen Sie eine gründliche Überprüfung der Sicherheitsvorkehrungen des Zielunternehmens durch: Für den Kauf eines Unternehmens ist es üblich eine Prämie zu zahlen. Daher ist es wichtig, alle potenziellen Verbindlichkeiten zu ermitteln, damit die Prämie mit dem Gesamtwert des Unternehmens in Einklang gebracht werden kann. Nicht offengelegte Datenschutzverletzungen sind ein Geschäftsrisiko. Der einfachste Schritt – so simpel er auch erscheinen mag – besteht daher darin, zu ermitteln, ob in Zeitungsartikeln, öffentlichen Dokumenten und sozialen Medien bereits Informationen öffentlich zugänglich sind, die ein Risiko von Datenschutzverletzungen darstellen könnten.
- Setzen Sie sich mit dem Sicherheitsteam des Zielunternehmens in Verbindung: Bauen Sie eine enge Arbeitsbeziehung mit dem Sicherheitsteam des Unternehmens auf, um die aktuellen Sicherheitskontrollen, -prozesse und -richtlinien sowie alle identifizierten Schwachstellen oder Risiken, aber auch die Unternehmenskultur und die Einstellung zum Risiko zu verstehen. Überlegen Sie, wie sich die Übernahme auf die bestehenden Sicherheitskontrollen des übernehmenden Unternehmens sowie auf die gesetzlichen und behördlichen Anforderungen auswirken wird, und stellen Sie fest, ob Änderungen (z. B. Rationalisierungen) vorgenommen werden müssen, um die Sicherheit zu gewährleisten.
Während der Übernahme
- Unabhängige Bewertung: Der nächste Schritt ist die Durchführung einer unabhängigen Bewertung der Cyber- und Datensicherheit, bei der die Cyber-Resilienz des Unternehmens mit internationalen Best Practices der Branche verglichen wird. Bei dieser Bewertung werden alle Sicherheitskomponenten eines Unternehmens berücksichtigt, um mögliche Schwachstellen zu ermitteln, potenzielle Sicherheitslücken aufzudecken und einen Bericht zu erstellen, in dem die erforderlichen Abhilfemaßnahmen aufgeführt sind. Spezialisierte Beratungsunternehmen wie CyberCompare haben Erfahrung in der Zusammenarbeit mit Investierenden oder Verkaufenden, um diese Bewertungen auf gründliche, unabhängige, kosteneffiziente und pragmatische Weise durchzuführen.
- Festlegen wirtschaftlicher Werte: Übersetzen Sie die Empfehlungen des unabhängigen Berichts für die Verhandlung in wirtschaftliche Werte. Führen Sie eine gründliche Kostenanalyse durch und berücksichtigen Sie dabei die Sicherheitsanpassung für wesentliche Dienste wie E-Mail und Dateifreigabe, fortgeschrittenere Dienste wie Entwicklungswerkzeuge und -prozesse sowie administrative Aspekte wie Softwarelizenzmanagement und Netzwerkzugang. Die Kosten für das Risikomanagement und die Cybersicherheit sollten ausgehandelt und in die Parameter des Vertragswertes einbezogen werden. Ziehen Sie die Einrichtung eines Treuhandfonds in Erwägung, um für eventuelle Verstöße nach der Übernahme aufzukommen.
Nach der Übernahme
- Entwickeln Sie einen Plan für die Integration der Sicherheitslage des Zielunternehmens: Sobald die M&A-Aktion abgeschlossen ist, arbeiten Sie mit dem Sicherheitsteam des Zielunternehmens zusammen, um einen detaillierten Plan für die Integration ihrer Sicherheitsmaßnahmen in die allgemeine Sicherheitsstruktur des übernehmenden Unternehmens zu entwickeln. Dies kann die Aktualisierung von Richtlinien und Verfahren, die Implementierung neuer Kontrollen und die Durchführung zusätzlicher Schulungen beinhalten, die während der unabhängigen Bewertung ermittelt wurden.
- Hohe Wachsamkeit aufrechterhalten: Fusions- und Übernahmetätigkeiten führen oft zu einer hohen Medienaufmerksamkeit. Daher ist es von entscheidender Bedeutung, in beiden Unternehmen ein hohes Maß an Sicherheitsbeobachtung aufrechtzuerhalten, um den erhöhten Gefahren, die sich aus der Medienpräsenz ergeben, zu begegnen. Bei der Zusammenlegung von Systemen kann es zu einer leichten Lockerung von Sicherheitsprotokollen kommen, die ausgenutzt werden könnten. Erstellen Sie eine Strategie zur Erkennung neu auftretender Bedrohungen und führen Sie strenge Kontrollen durch. Beispiele hierfür sind der Einsatz eines speziellen Teams zur Überwachung der Einhaltung von Sicherheitsvorschriften und zur Erkennung von Anomalien, die verstärkte Überwachung von Bedrohungsdaten und die Sicherstellung, dass das Risikomanagement auch die neu hinzugekommenen Bereiche der fusionierten Unternehmen berücksichtigt.
- Erhöhte Cyber-Resilienz: Nutzen Sie diese Gelegenheit, um die Cybersicherheitsabläufe zu vereinfachen, zu rationalisieren und die Sicherheitslage zu verbessern. Dies wird dazu beitragen, Vertrauen zwischen Mitwirkenden, Liefernden und Auftraggebenden aufzubauen.
Welche Schritte sind zu unternehmen, wenn es bei M&A zu einer Sicherheitsverletzung kommt?
Für die meisten Unternehmen sind M&A kein alltägliches Ereignis, sodass Ihr Unternehmen in vielen Fällen noch nie damit konfrontiert war. Es ist von entscheidender Bedeutung, dass Sie dies bereits vor M&A erörtert und einen Plan als Teil der 100-Tage-Pläne und der Integrationspläne für das erste Jahr entwickelt haben, damit die Mitarbeitenden wissen, wie ein Vorfall gehandhabt werden soll. Daher sollten Sie eine frühzeitige Übung/Simulation oder zumindest eine Tabletop-Übung einplanen. Darüber hinaus müssen Sie wissen, wie Sie sich an die richtigen Personen in der neu erworbenen Organisation wenden können und Sie müssen sicherstellen, dass Sie die richtige Unterstützung erhalten, sei es durch eine TSA mit Verkaufenden oder indem Sie sicherstellen, dass wichtige Mitarbeitende übernommen werden. Zu den zusätzlichen zu berücksichtigenden Komplikationen gehören die folgenden:
- Sie kennen die Systeme nicht so gut, und die Integration wurde möglicherweise überstürzt durchgeführt, sodass sich Benutzende und die Daten in zwei Umgebungen befinden. Zudem sind Sie nicht so vertraut mit der Eindämmung von Sicherheitsverletzungen.
- Es wurden kein neues Playbook entwickelt und die Teams sind nicht so geübt darin, darauf zu reagieren.
- Insgesamt kann es chaotisch sein, wenn die Systeme auf halbem Wege umgestellt werden und sich die Mitarbeitenden mitten in einer Umstrukturierung befinden.
Wie lässt sich das Budget für die Cybersicherheit bestimmen und das Risiko einer Sicherheitsverletzung bei M&A verringern?
Es ist schwierig, einen Durchschnittswert für die Ausgaben für Cybersicherheit bei M&A anzugeben, da der Betrag von verschiedenen Faktoren abhängt und erheblich schwanken kann. Zu den Faktoren, die die Höhe der Ausgaben für Cybersicherheit bei M&A beeinflussen können, gehören die Größe der beteiligten Unternehmen, die Komplexität der M&A, die Art der Branche, in der die Unternehmen tätig sind, und die potenziellen Risiken sowie Schwachstellen.
Im Allgemeinen sollten Unternehmen bei M&A ein größeres Budget für die Cybersicherheit bereitstellen, um sicherzustellen, dass sie angemessen gegen potenzielle Bedrohungen geschützt sind. Dies kann die Durchführung von Bewertungen der Cybersicherheit und die Implementierung geeigneter Schutzmaßnahmen wie Firewalls, Systeme zur Erkennung von Eindringlingen, Sicherheitsprotokolle und die Beibehaltung von Mitarbeitenden in Schlüsselpositionen oder die Unterstützung durch Dritte für den Fall eines Vorfalls umfassen.
Zusammengefasst:
- Cybersicherheitsrisiken können sich auf den Wert eines Unternehmens auswirken: Die Cybersicherheitslage eines Unternehmens kann sich erheblich auf seinen Wert auswirken, insbesondere bei M&A. Unternehmen mit soliden Cybersicherheitsmaßnahmen sind für potenzielle Erwerbende wahrscheinlich attraktiver, da sie als weniger risikoreich angesehen werden.
- Cyber Security Due Diligence ist unerlässlich: Unternehmen müssen vor einer M&A eine Cyber Security Due Diligence Prüfung durchführen, um potenzielle Schwachstellen zu ermitteln, die sich auf die Sicherheit des fusionierten Unternehmens auswirken könnten.
- Cybersecurity sollte in den M&A-Prozess integriert werden: Die Cybersicherheit sollte in alle Phasen des M&A-Prozesses integriert werden, einschließlich der Planungs- und Verhandlungsphasen. Dies kann dazu beitragen, potenzielle Risiken zu erkennen und zu beseitigen, bevor die Übernahme abgeschlossen ist.
- Cybersicherheitsrisiken können gemanagt werden: Zwar sind M&A immer mit Risiken verbunden, insbesondere wenn es um Cybersicherheit geht, doch lassen sich diese Risiken durch sorgfältige Planung und Umsetzung geeigneter Maßnahmen in den Griff bekommen.
- Cybersicherheit ist ein zentrales Geschäftsthema: Cybersicherheit ist nicht nur ein IT-Problem, sondern auch ein Geschäftsproblem, das erhebliche finanzielle und rufschädigende Folgen haben kann. Daher ist es wichtig, der Cybersicherheit im Rahmen von M&A Priorität einzuräumen.
Wir empfehlen Unternehmen dringend vor Beginn und während des M&A-Prozesses eine Sicherheitsplanung durchzuführen, um die negativen Folgen des realisierten Risikos zu begrenzen. Wir wissen, dass der Planungsprozess anstrengend sein kann, wenn man die einzigartigen Risiken und Kontrollen in einer sich schnell entwickelnden M&A-Landschaft vergleicht. CyberCompare kann Ihnen dabei helfen, Ihre Risiken zu spezifizieren und die Anforderungen an die Sicherheitskontrolle zu ermitteln.
Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.
Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.