Die Übernahme eines Unternehmens kann der Entwicklung eines anderen einen kräftigen Impuls verleihen. Die Anzahl der Mergers & Acquisitions steigt kontinuierlich an und erreichte 2021 einen Rekord von 62 193[1] (45 000 im Jahr 2020). Eine beeindruckende Zahl, die natürlich auch die Aufmerksamkeit der Hacker erregt: 2020 hat sich die Anzahl der Cyberangriffe nach Angaben der französischen IT-Sicherheitsbehörde ANSSI vervierfacht[2].
Auch wenn sich die Entscheidungsträger dieser Bedrohung zunehmend bewusst sind, wird dem Bereich Cybersicherheit in einem „Due Diligence“ Prozess nicht immer die erforderliche Aufmerksamkeit zuteil und er ist häufig ausschließlich auf Finanz-, Marketing- und HR-Aspekte beschränkt. Schlimmer noch, diese wesentliche Phase wird oft nur unvollständig durchgeführt und stellt daher für beide Seiten eine Bedrohung dar. Darüber hinaus erhöhen die komplexen Herausforderungen der Cybersicherheit das Risikolevel (interne Bedrohungen, externe Risiken, gesetzliche Risiken).
Daher haben die folgenden Fragen durchaus ihre Daseinsberechtigung: Welche Cybersicherheitsrisiken bergen Mergers & Acquisitions und welche Folgen haben sie für diese Art von Transaktionen? Wie und anhand welcher Strategie lässt sich ein Sicherheits- und Konformitätsaudit einrichten ?
Due Diligence – ein häufig unvollständiger, sekundärer oder unbekannter Prozess
Der Begriff der Cybersicherheit sollte ganz allgemein eine größere Rolle im Rahmen eines Due Diligence Prozesses spielen. Diese Notwendigkeit ergibt sich aus einer Studie des Jahres 2021, in der nur „25 % der Finanzakteure und Unternehmen die Sorgfaltspflicht der IT-Systeme als wichtig ansehen, diese Zahl sinkt auf 18 % bzw. 13 %, wenn es um die Due Diligence in Bezug auf die Cybersicherheit geht“[3]. Diese Empfehlung ist umso wichtiger, wenn das betroffene Unternehmen eine große Anzahl an Daten verarbeitet oder einen Wettbewerbsvorteil aufgrund einer bedeutenden technologischen Komponente hat. Eine IT-Sicherheitslücke kann dazu führen, dass sensible Daten an die
Öffentlichkeit gelangen oder geistiges Eigentum seinen Wert verliert, da es anderen Unternehmen unrechtmäßig zur Verfügung gestellt wird.
Ein anderes Problem betrifft die Phase, in der das Unternehmen die Bedeutung der Cybersicherheit festlegt. Dieser Schritt muss gleich zu Beginn einer Transaktion berücksichtigt werden und nicht erst in der Integrationsphase, wie dies häufig der Fall ist.
Due Diligence und Cybersicherheit: die unumgänglichen Schritte
Rufen wir uns einen grundlegenden Aspekt in Erinnerung: Ein Due Diligence Prozess auf dem Gebiet der Cybersicherheit ist nicht ohne Einbindung der DSI und/oder des RSSI (IT-Sicherheitsverantwortlicher) möglich.
Zunächst einmal muss ein Audit durchgeführt werden, um Informationen zu folgenden Aspekten zu sammeln und zu analysieren: Sicherheitspraktiken, Daten der letzten Sicherheitsvorfälle, Kartographie der verwendeten IT-Tools und -Infrastrukturen, vorhandene Risiken, Cybersicherheitsschulung der Beschäftigten, Organigramm der für die IT-Sicherheit zuständigen Teams etc. Diese Phase erfordert natürlich die größte Transparenz von Seiten des betroffenen Unternehmens.
Dieses Audit muss durch konkrete und messbare Maßnahmen zur Identifizierung der Lücken oder Gefahren ergänzt werden. Dazu können eine Erfassung der Daten aus den Datenbanken der Netzinfrastrukturen, Sicherheitstests, Analysen der Datenströme im Netz sowie eine Suche auf spezialisierten Websites gehören, um festzustellen, ob das Unternehmen bereits Ziel von Hackerangriffen war oder zu den zukünftigen Zielscheiben einer Hackergruppe gehört. Diese Arbeiten können mithilfe automatisierter Tools durchgeführt werden .
Bedeutende Risiken
Die Cybersicherheit außer Acht zu lassen, kann sich als folgenschwerer Fehler erweisen. Eine der Auswirkungen kann die Beschädigung des Unternehmensimages sein, wie dies der Fall bei der Übernahme der Starwood Hotels durch Marriott war, bei der die Daten von 500 Millionen Kunden unrechtmäßig öffentlich zugänglich waren[4]. Weitere Risiken sind ein Produktionsstopp, Datenlecks mit nachfolgenden Geldstrafen (DSGVO), ein Rückgang des Umsatzes oder des Gewinns oder sogar Auswirkungen auf den Ruf der Marke.
Eine solche Situation kann Geldstrafen oder auch Gerichtsverfahren nach sich ziehen. Es sei daran erinnert, dass der Diebstahl personenbezogener oder vertraulicher Daten im Durchschnitt 7,91 Millionen Dollar kostet, wie das Ponemon Institute in Zusammenarbeit mit IBM angibt[5]. In der Regel mindert eine Sicherheitslücke den Wert und die Attraktivität eines Unternehmens. Ein Grund mehr, Mergers & Acquisitions zu überdenken, wenn das betroffene Unternehmen bedeutenden Risiken ausgesetzt ist, die auch das übernehmende Unternehmen in Gefahr bringen könnten…
Der Merger & Acquisition Prozess ist daher in Bezug auf die Cybersicherheit nicht ganz ohne Risiken. Im Gegenteil! Eine erhöhte Wachsamkeit und eine konsequente Vorgehensweise sind für den Erfolg des Due Diligence Prozesses unerlässlich. Unternehmen, die eine Übernahme anstreben, sollten daher in ein IT-System investieren, das Cyberangriffen standhält, und ihre Beschäftigen im Hinblick auf eine gute „Cyber-Hygiene“ schulen, um die gängigsten Fallstricke zu vermeiden. Und Unternehmen, die selbst andere Unternehmen aufkaufen wollen, sollten die Cybersicherheit bei der Bewertung des Übernahmekandidaten auf keinen Fall außer Acht lassen.
Erfahren Sie, wie Oodrive Sie im Falle von Mergers & Acquisitions unterstützen kann
