6 Minuten Lesezeit 18 Februar 2020
Menschen auf einem Platz

Welchen Einfluss Cybersecurity auf Transaktionen hat

Autoren
Matthias Bandemer

EY Germany Cybersecurity Leader, EY Consulting GmbH | Deutschland

Ist mit Leidenschaft dabei, eine besser funktionierende Arbeitswelt mit hoher Cybersicherheit zu gestalten, um Werte zu erhalten und Vertrauen zu schaffen.

Jan Simon Grintsch

Partner Transaction Strategy & Execution, EY Strategy & Transactions GmbH | Deutschland

Digitale Technologien sind zugleich Hebel und Herausforderung. Wer Digital & Analytics praktisch nutzbar machen will, muss zugleich die Risiken klar im Fokus haben.

6 Minuten Lesezeit 18 Februar 2020

Fusionen sind ein kritischer Prozess. Oft dabei vernachlässigt: der Schutz vor Datenklau. Es lohnt sich auch finanziell, genau hinzusehen.

Deutschland, Österreich und die Schweiz gelten in Sachen Cybersecurity als vergleichsweise fortschrittlich, sehen sich selbst sogar gerne als globale Vorreiter. Geht es allerdings um Unternehmenstransaktionen wie Carve-outs oder Integrationen, hat das Thema hier derzeit noch bei Weitem nicht die gebotene Priorität. Das ist schwer nachvollziehbar, denn egal ob Private-Equity-Gesellschaften lukrative Deals für ihr Portfolio suchen oder ein Unternehmen ein anderes kaufen möchte, idealerweise steht vor jeder Transaktion ein umfassender Scan der Cyberrisiken beim Wunschkandidaten. Die Tatsache, dass dies heute noch zu selten geschieht, ist ein gravierendes Manko. Denn die Ergebnisse des Scans haben massiven Einfluss auf die Verhandlungen beim Kaufpreis. Der vielleicht spektakulärste Fall auf globalem Parkett: Nach der Entdeckung eines Datenlecks bei einem großen Internetunternehmen reduzierte sich der Kaufpreis auf der Stelle um 350 Millionen Dollar. 

Cyberrisiken bei Transaktionen

85%

aller großen Beteiligungsgesellschaften sehen Cybersecurity als hohes strategisches Risiko.

Käufer wollen heute sehr genau wissen, welche möglichen Gefahren sie sich mit einer Übernahme einhandeln. In besonderem Maße gilt das für Beteiligungsgesellschaften und auch für Unternehmen, die M&A betreiben. Da der Handel mit Unternehmen beziehungsweise Beteiligungen ihr Kerngeschäft ist, haben sie dafür oft Routineprozesse entwickelt und eingerichtet. Laut einer von EY in Großbritannien durchgeführten Studie betrachten heute 85 Prozent aller großen Beteiligungsgesellschaften Cybersecurity als hohes strategisches Risiko. 92 Prozent haben ein für Cybersecurity verantwortliches Vorstandsmitglied benannt.

Der Mittelstand unterschätzt oft das eigene Cyberrisiko

Die Studie, deren Ergebnisse zumindest tendenziell auch auf den deutschsprachigen Raum übertragbar sind, zeigt aber auch Mankos: Kleine und mittlere Beteiligungsgesellschaften haben das Thema Cyberrisiken noch nicht mit der nötigen Dringlichkeit auf dem Schirm. Und von allen Gesellschaften, die Cyberrisiken gezielt vor einem Investment betrachten – das ist knapp die Hälfte – ist nur gut jedes sechste sicher, ausreichende Security-Metriken im Fokus haben.

Ein grundlegender Faktor ist beispielsweise die Einschätzung der Frage, wie anfällig das Geschäftsmodell als solches für Cyberangriffe ist. Digitalisierung eröffnet zwar viele neue Türen für ein gewinnträchtiges Business, andererseits steigt mit dem Grad der Digitalisierung auch die Abhängigkeit von der IT. Für die Wertberechnung eines Unternehmens erweist sich die Digitalisierung also als zweischneidiges Schwert: Nur wenn die Security angemessen mitwächst, führt sie zur Wertsteigerung.

Das Cyberrisiko ist bei allen Unternehmen nahezu identisch. Aber kleinere Unternehmen haben oft nur sehr begrenzte Ressourcen für die Abwehr.

Gerade der Mittelstand unterliegt hier sehr oft einem Trugschluss: Geringere Unternehmensgröße heißt nicht, weniger Cyberrisiko. Vielmehr sind die Angriffsflächen bei allen Unternehmen nahezu identisch, kleinere Unternehmen haben jedoch oft nur sehr begrenzte technische und personelle Ressourcen für die IT-Sicherheit. Die geschwächte Verteidigungsfähigkeit macht KMU sogar zu besonders beliebten Angriffszielen.

Daten sind Kapital und Risiko zugleich

Ein weiterer Basisfaktor für die Risikobewertung sind die Personendaten: Je mehr Mitarbeiter- und Kundendaten verarbeitet werden und je sensibler die zu jeder Person erfassten Informationen sind, desto wichtiger ihr gesetzeskonformer Schutz. Europa hat mit der GDPR (in Deutschland durch die Datenschutz-Grundverordnung, kurz DSGVO, umgesetzt) seit Mitte 2018 sehr hohe Maßstäbe gesetzt und – noch entscheidender – auch sehr empfindliche Strafen bei Verstößen eingeführt. Meldungen über Datenlecks sind allerdings seither keineswegs seltener geworden.

Der Diebstahl nicht personenbezogener Daten hat zwar zunächst keine rechtlichen Konsequenzen, aber wenn sich Unternehmen ihre „Kronjuwelen“ stehlen lassen, sind die Folgen für das betroffene Unternehmen mitunter nicht minder gravierend: Schon oft mussten deutsche Unternehmen erfahren, dass kurz vor der Einführung eines neuen Schlüsselprodukts ein auffällig ähnliches Produkt auf dem Markt auftaucht. Werden Daten aus jahrelanger Forschungs- und Entwicklungsarbeit abgegriffen und schnell zu einem verkaufsfertigen Produkt weiterentwickelt, bleibt der erhoffte Markterfolg aus.

Zusammenprall von Betriebs- und Office-IT

Geht es um die Übernahme eines Produktionsunternehmens, kommen weitere markante Risiken hinzu. In Sachen Cyber geht es hier vor allem um die industriellen Steuerungssysteme (Industrial Control Systems, ICS), die über viele Jahrzehnte getrennt von der Business-IT entwickelt und komplett isoliert betrieben wurden. Heute haben ICS meist irgendwo Verbindungen zum Internet und werden damit angreifbar. Die Aufholjagd für eine adäquate Verteidigung treibt inzwischen ganz neue Marktsegmente, denn vor dem Anschluss an das Internet waren Cybersicherheitsaspekte bei ICS irrelevant und wurden bei ihrer Entwicklung nicht berücksichtigt.

Health Checks decken Schwachstellen in den verschiedenen Phasen der Transaktion auf

Die Analyse von Cyberrisiken ist alles andere als trivial und kann inhouse kaum umfassend umgesetzt werden. Eine möglichst genaue Untersuchung sollte allerdings der Anspruch sowohl für die potenziellen Käufer als auch Verkäufer eines Unternehmens sein, um das Maximum eines Deals herauszuholen. Sogenannte „Health Checks“ der Unternehmensinfrastruktur entlarven in einem ersten Schritt die Schwachstellen in der Abwehr. Besonders wertvoll werden die Erkenntnisse durch unternehmensübergreifende Vergleichsanalysen. Der Einsatz aktueller, relevanter Metriken kann die Ergebnisse der Checks in konkrete Risiken und letztlich monetäre Größen übersetzen. Das hilft dem Käufer, nicht in teure Fallen zu tappen und dem Verkäufer, das Unternehmen nicht leichtfertig unter Wert abzugeben.

Während der konkreten Anbahnung eines Kaufs ist der Wert einer guten Analyse am einfachsten nachzuvollziehen. Schließlich muss das Zielunternehmen in der Due-Diligence-Phase seine Cyberstrategie offenlegen. Aber auch schon bevor die Checks für die Vorbereitung des Deals mit Kenntnis und Einverständnis des Zielunternehmens ablaufen, kann ein genauer Blick auf die Cybersecurity wertvolle Hilfe leisten. Zwei Beispiele verdeutlichen dies für die beiden genannten Transaktionsphasen:

  • Health Check während der Due Diligence

    Ein in den USA ansässiges Technologiedienstleistungsunternehmen wollte einen kleineren Wettbewerber übernehmen, der in den USA und in der EU tätig war. Ziel war es, die beiden Unternehmen zusammenzuführen, Zugang zum Kundenstamm des Zielunternehmens zu erhalten und durch geographische Expansion und Cross-Selling zusätzliche Dienstleistungen verkaufen zu können.

    Ein umfassender Cybersecurity Health Check identifizierte beim Zielunternehmen eine Schwachstelle in der Datenverschlüsselung, die mehr als 25.000 Kunden betraf. Zusammen mit zahlreichen anderen gefundenen Cybersicherheitslücken, mangelnder Einhaltung von PCI und GDPR, sowie falschen Darstellungen der Datenschutzrichtlinien, die das Risiko von Rechtsstreitigkeiten und Rufschädigung mit sich brachten, konnte der Käufer eine 18-monatige Haftungsfreistellung von bis zu 70 Millionen Dollar (50 Prozent des Kaufpreises) für direkte Schäden an Käufer und Kunden und eine Kaufpreisminderung von neun Millionen Dollar aushandeln.

  • Health Check des anvisierten Zielunternehmens

    Eine Multimilliarden-Dollar-Firma aus dem Bekleidungssektor war interessiert an einem kleineren Konkurrenten, weil dieser eine scheinbar attraktive E-Commerce-Plattform unterhielt, die man gerne im eigenen Unternehmen gesehen hätte. Eine Null-invasive Cybersicherheitsanalyse, die also ohne Kenntnis oder gar Mithilfe des Zielunternehmens für den Kaufinteressenten durchgeführt wurde, brachte gravierende Sicherheitsprobleme mit eben der begehrten E-Commerce-Plattform zutage: Sie verbreitete Malware an Kunden.

    Unterstützung für den Kaufinteressenten gab es hier etwa bei der Berechnung möglicher Folgeschäden in verschiedenen Szenarien und bei der Kommunikation mit Vorstand und CEO. Am Ende ließ der Kaufinteressent die beim Zielunternehmen durchgeführte Sicherheitsanalyse auch bei sich selbst durchführen, um mögliche Schwachstellen gleich proaktiv schließen zu können.

Nach dem Kauf werden Cyberrisiken nicht irrelevant: Gerade auch die Integrationsphase birgt viele Möglichkeiten, folgenschwere Fehler zu begehen. Ein übergeordnetes Security-Management, die Umsetzung eines kontrollierten Day-1-Szenarios, die Beachtung relevanter Gesetze und Regularien und die Einrichtung eines zuverlässigen Incident-Response-Systems – dem Alarmmelder für Einbruchsversuche in die IT – seien hier als kritische Punkte genannt.

Im Rahmen des normalen Tagesgeschäfts schenken Unternehmen Cybersecurity immer mehr Beachtung. Bei Unternehmenstransaktionen spielt sie jedoch noch eine untergeordnete Rolle. Dabei können sich gerade durch die Veränderung von Unternehmensgrenzen neue Einfallstore für Angreifer auftun. Als signifikantes Risiko sollten Cyberfragen auch bei Unternehmensbewertungen durch mögliche Kaufinteressenten unbedingt berücksichtigt werden. Der negative Einfluss von Sicherheitslücken auf den Deal ist real und klar monetär bewertbar. Und wie nicht zuletzt das eingangs erwähnte Beispiel  zeigt: Cybersecurity hat das Potenzial zum Deal Maker oder Deal Breaker.

Fazit

Wenn Unternehmen im Rahmen einer Transaktion zusammenfinden, prallen nicht nur unterschiedliche Kulturen aufeinander. Auch in Sachen IT begegnen sich mitunter zwei völlig verschiedene Welten. Schnell führt der Zusammenschluss zu Sicherheitslücken, die Cyberkriminelle gnadenlos nutzen können. Neben den direkten Schäden durch Stillstand und Umsatzausfälle muss das Unternehmen dann oft auch noch hohe Strafen und Reputationsverlust verkraften. Schon im Vorfeld des Deals sollte das Zielunternehmen daher seine Cybersecurity im Sinne aktueller Gesetze auf Vordermann bringen: Entdeckt der Käufer hier Lücken, sinkt der Kaufpreis deutlich.

Über diesen Artikel

Autoren
Matthias Bandemer

EY Germany Cybersecurity Leader, EY Consulting GmbH | Deutschland

Ist mit Leidenschaft dabei, eine besser funktionierende Arbeitswelt mit hoher Cybersicherheit zu gestalten, um Werte zu erhalten und Vertrauen zu schaffen.

Jan Simon Grintsch

Partner Transaction Strategy & Execution, EY Strategy & Transactions GmbH | Deutschland

Digitale Technologien sind zugleich Hebel und Herausforderung. Wer Digital & Analytics praktisch nutzbar machen will, muss zugleich die Risiken klar im Fokus haben.