Ein Artikel von Christian Taube, VP Cyber Services International, Beazley Security, und Stephanie Schuster, Product Leader M&A, Beazley
Wenn monatelange Verhandlungen und Due- Diligence-Prüfungen (umfassende Unternehmensanalyse) im Rahmen einer M&A-Transaktion (Mergers & Acquisitions) abgeschlossen sind und der Deal endlich unterzeichnet ist, können alle Beteiligten erleichtert aufatmen. Führungskräfte, ihre Rechts- und Finanzberater sowie operative und Akquise-Teams können sich nun auf die Chancen der Integration freuen. Sollten sie jedoch ihre Kolleginnen und Kollegen aus dem Bereich der Cybersicherheit oder andere Cyberexperten nicht mit einbezogen haben, könnte ihre Freude nur von kurzer Dauer sein.
Etwa ein Viertel (26%) der Führungskräfte in Deutschland erkennt Cyber als das größte Risiko für ihr Unternehmen – so das Ergebnis des aktuellen Risk & Resilience Report von Beazley. Trotzdem wird das Thema bei M&A-Prozessen oft vernachlässigt: In weniger als 10% der Fälle werden laut Forbes Cybersecurity-Prozesse berücksichtigt. Dabei sollte das ein zentraler Aspekt bei Due-Diligence-Prüfungen sein, um tiefgreifende finanzielle, betriebliche oder rufschädigende Auswirkungen zu vermeiden.
Eine teure Lektion: Übernahme mit Folgen
Die Übernahme von Yahoo durch Verizon im Jahr 2017 ist immer noch ein abschreckendes Beispiel dafür, wie hoch Strafen einer Datenschutzverletzung sein können, wenn sie während eines Übernahmeprozesses ans Licht kommt. Verizon wollte Yahoo für 4,5 Mrd. US-Dollar übernehmen. Noch vor Abschluss der Transaktion stellte Verizon jedoch fest, dass es bei Yahoo in den Jahren 2013 und 2014 zu Datenschutzverletzungen aufgrund von bösartigen Cyberangriffen gekommen war. Daraufhin verringerte sich laut faz.net der Kaufpreis für Yahoo um 350 Mio. US-Dollar und das Unternehmen musste eine Geldstrafe in Höhe von 35 Mio. US-Dollar an die Securities and Exchange Commission (SEC) zahlen. Darüber hinaus wurden Yahoo schwere Strafen auferlegt und nach einer Reihe von Klagen, in denen behauptet wurde, das Unternehmen habe es versäumt, seine Daten ausreichend zu schützen, musste es 80 Mio. US-Dollar an seine Aktionäre zahlen.
Nach wie vor ist der Fall Yahoo einer der bekanntesten. Doch das Unternehmen ist nicht allein. Defizite in der Cybersicherheit werden oft erst im Rahmen einer (technischen) Due Diligence während des M&A- Prozesses aufgedeckt und können zu unangenehmen Folgen sowohl auf Käufer- als auch auf Verkäuferseite führen – vor allem zu Verzögerung der Verhandlungen und damit einhergehenden weiteren Kosten, Freistellungsverpflichtungen für den Verkäufer oder letztlich Kaufpreisminderungen wie im Fall Yahoo.
Ein weiteres Risiko, das im Zusammenhang mit der Cybersicherheit beim Unternehmenskauf beachtet werden sollte, besteht drin, dass Cyberkriminelle mittlerweile erkannt haben, dass Verantwortliche im Fusions- und Übernahmefieber abgelenkt sein könnten, und Dienstleister sind auch weiterhin ein wichtiger Einstiegspunkt in größere, sicherere Organisationen. Daher muss die kaufende Instanz das akquirierte Unternehmen so schnell wie möglich nach der Übernahme in seine Sicherheit einbeziehen, um potenzielle Mängel in der Cybersicherheit und bei Dritten zu beheben.
Übernahme unerwarteter Risiken
Auch nach Abschluss des Unternehmenskaufs kann es für den Käufer des Unternehmens zu bösen Überraschungen kommen: Käufer können mit dem Unternehmen auch Risiken erwerben, die nicht identifiziert oder quantifiziert wurden, was nach der Übernahme zu unerwarteten Kosten führen kann. Zudem kann auch die Integration von IT-Systemen zu Schwachstellen führen, wenn sie nicht sorgfältig geplant wird. Eine Standardisierung von Securitytools und Protokollen ist für die Aufrechterhaltung der Sicherheit unerlässlich. Akquirierte Organisationen haben möglicherweise auch Verträge mit Dritten, die Sicherheitsrisiken bergen. Es ist wichtig, diese zu bewerten und die Einhaltung von Sicherheitsstandards zu gewährleisten.
Nicht alle Cyberrisiken sind bösartiger Natur: Oft führen auch einfachere Mängel wie ablaufende Domänen und Zertifikate oder falsche administrative Berechtigungen zu erheblichen Betriebsstörungen. Daher ist es entscheidend, vom ersten Tag an die Kontrolle über kritische Elemente sicherzustellen.
Die Risiken hören damit nicht auf. Während in den Vorstandsetagen vielleicht die Korken knallen, um den Abschluss zu feiern, können verärgerte Mitarbeiter des neu erworbenen Unternehmens ein Risiko für die Sicherheit des Unternehmens darstellen. Die Überwachung und Verwaltung von Zugriffsrechten ist ein wichtiger Schritt, um dieses Risiko zu mindern. Darüber hinaus sind auch die übernommenen Compliance-Anforderungen zu berücksichtigen. Es ist wichtig, die Verpflichtungen und Prüfungspläne des übernommenen Unternehmens zu kennen, um Strafen zu vermeiden und eine kontinuierliche Einhaltung der Vorschriften zu gewährleisten.
Cybersicherheit als Schlüssel erfolgreicher Akquisitionen
Die finanziellen Auswirkungen von Cyberrisiken bei M&A-Transaktionen können erheblich sein – unabhängig von etwaigen Strafen können sich zusätzliche Kosten für Services, Sicherheitsmaßnahmen oder Wiederherstellung auf Hunderttausende Euro belaufen. Darüber hinaus kann die Bewertung eines Unternehmens deutlich niedriger ausfallen, wenn während der Due-Diligence-Prüfung erhebliche Cyberrisiken festgestellt werden. Die Einbindung eines Cybersecurityteams zu Beginn einer Transaktion, anstatt es erst nach einer Übernahme mit der Integration zu beauftragen, trägt dazu bei, dass potenzielle Risiken bereits in einem frühen Stadium des Prozesses gelöst werden können. Die Erweiterung des Akquisitionsteams wird auch zeigen, wo zusätzliche Ressourcen und das Fachwissen Dritter benötigt werden.
Akquisitionen sind zeitaufwendig und bergen unzählige Fallstricke. Die Integration von Kulturen und Strategien, um den Wert einer übernommenen Organisation zu erhalten, erfordert sorgfältige Planung und eine klare Strategie. Das gilt auch für die Integration von Technologien und Systemen, wobei der Wunsch nach betrieblicher Effizienz mit der Notwendigkeit, die Cybersicherheit aufrechtzuerhalten, in Einklang gebracht werden muss.
Cybersicherheit ist ein kritischer Aspekt bei M&A-Transaktionen, der sorgfältig bedacht werden muss. Durch die Einbeziehung der Cybersicherheit in die Due-Diligence-Prüfung und die Planung der Integration nach der Akquisition können Unternehmen Risiken mindern, ihre Investitionen schützen und letztlich erhöhte Kosten und Frustration sowohl auf Käufer- als auch auf Verkäuferseite vermeiden.
Absichern der Akquirierung
Wenn es darum geht, einen Unternehmenskauf durch eine Versicherung abzusichern, legen erfahrene M&A-Underwriter Wert darauf, dass die Cybersicherheit in Due-Diligence-Prüfungen berücksichtigt wird. Dabei muss festgehalten werden, ob das akquirierte Unternehmen für die Größe oder Industrie adäquat abgesichert ist, über eine angemessene Cyberversicherung verfügt oder ob es bereits Opfer von Cybervorfällen war. Im Rahmen einer M&A-Versicherung schließt Beazley entsprechende Risiken jedoch nicht grundsätzlich aus, wenn das Unternehmen bereits Opfer von cyberkriminellen Angriffen war. Es ist wichtig zu verstehen, welche Folgen der Vorfall hatte und welche Maßnahmen das Unternehmen ergriffen hat, um den Schaden zu beheben und zukünftige Cyberrisiken zu minimieren.
Krisen machen Unternehmen resilienter gegenüber Risiken. Daher ist es wichtig, Cybersecurityexperten auch im M&A-Prozess einzubeziehen, denn ihre Erfahrung erlaubt es zu erkennen, welche Prozesse oder Risikopläne an die aktuelle Lage angepasst werden müssen und welche Maßnahmen nötig sind, bevor ein akquiriertes Unternehmen in die eigenen IT-Systeme integriert werden kann.
Diesen Artikel lesen Sie auch in AssCompact 11/2024 und in unserem ePaper.
Bild: © YOGI C – stock.adobe.com
Christian Taube 
Stephanie Schuster 
- Anmelden, um Kommentare verfassen zu können
