Ein Artikel von Christian Taube, VP Cyber Services International, Beazley Security, und Stephanie Schuster, Product Leader M&A, Beazley
Wenn monatelange Verhandlungen und Due- Diligence-Prüfungen (umfassende Unternehmensanalyse) im Rahmen einer M&A-Transaktion (Mergers & Acquisitions) abgeschlossen sind und der Deal endlich unterzeichnet ist, können alle Beteiligten erleichtert aufatmen. Führungskräfte, ihre Rechts- und Finanzberater sowie operative und Akquise-Teams können sich nun auf die Chancen der Integration freuen. Sollten sie jedoch ihre Kolleginnen und Kollegen aus dem Bereich der Cybersicherheit oder andere Cyberexperten nicht mit einbezogen haben, könnte ihre Freude nur von kurzer Dauer sein.
Etwa ein Viertel (26%) der Führungskräfte in Deutschland erkennt Cyber als das größte Risiko für ihr Unternehmen – so das Ergebnis des aktuellen Risk & Resilience Report von Beazley. Trotzdem wird das Thema bei M&A-Prozessen oft vernachlässigt: In weniger als 10% der Fälle werden laut Forbes Cybersecurity-Prozesse berücksichtigt. Dabei sollte das ein zentraler Aspekt bei Due-Diligence-Prüfungen sein, um tiefgreifende finanzielle, betriebliche oder rufschädigende Auswirkungen zu vermeiden.
Eine teure Lektion: Übernahme mit Folgen
Die Übernahme von Yahoo durch Verizon im Jahr 2017 ist immer noch ein abschreckendes Beispiel dafür, wie hoch Strafen einer Datenschutzverletzung sein können, wenn sie während eines Übernahmeprozesses ans Licht kommt. Verizon wollte Yahoo für 4,5 Mrd. US-Dollar übernehmen. Noch vor Abschluss der Transaktion stellte Verizon jedoch fest, dass es bei Yahoo in den Jahren 2013 und 2014 zu Datenschutzverletzungen aufgrund von bösartigen Cyberangriffen gekommen war. Daraufhin verringerte sich laut faz.net der Kaufpreis für Yahoo um 350 Mio. US-Dollar und das Unternehmen musste eine Geldstrafe in Höhe von 35 Mio. US-Dollar an die Securities and Exchange Commission (SEC) zahlen. Darüber hinaus wurden Yahoo schwere Strafen auferlegt und nach einer Reihe von Klagen, in denen behauptet wurde, das Unternehmen habe es versäumt, seine Daten ausreichend zu schützen, musste es 80 Mio. US-Dollar an seine Aktionäre zahlen.
Nach wie vor ist der Fall Yahoo einer der bekanntesten. Doch das Unternehmen ist nicht allein. Defizite in der Cybersicherheit werden oft erst im Rahmen einer (technischen) Due Diligence während des M&A- Prozesses aufgedeckt und können zu unangenehmen Folgen sowohl auf Käufer- als auch auf Verkäuferseite führen – vor allem zu Verzögerung der Verhandlungen und damit einhergehenden weiteren Kosten, Freistellungsverpflichtungen für den Verkäufer oder letztlich Kaufpreisminderungen wie im Fall Yahoo.
Ein weiteres Risiko, das im Zusammenhang mit der Cybersicherheit beim Unternehmenskauf beachtet werden sollte, besteht drin, dass Cyberkriminelle mittlerweile erkannt haben, dass Verantwortliche im Fusions- und Übernahmefieber abgelenkt sein könnten, und Dienstleister sind auch weiterhin ein wichtiger Einstiegspunkt in größere, sicherere Organisationen. Daher muss die kaufende Instanz das akquirierte Unternehmen so schnell wie möglich nach der Übernahme in seine Sicherheit einbeziehen, um potenzielle Mängel in der Cybersicherheit und bei Dritten zu beheben.
Seite 1 Cyberrisiken bei M&A-Transaktionen – die Katze im Sack
Seite 2 Übernahme unerwarteter Risiken
Christian Taube 
Stephanie Schuster 
- Anmelden, um Kommentare verfassen zu können
