Dass Kauf und Verkauf von Unternehmen zwei der wichtigsten Einfallstore für Cyber-Kriminelle und –Spione sind, wird bisher nicht ausreichend im M&A-Prozess (Mergers & Acquisitions) berücksichtigt. Dabei müssten diese Risiken im Prüfungs- und Bewertungsprozess, der Due Diligence, genauso eingehend beleuchtet werden wie finanzielle Verbindlichkeiten, Marktentwicklung oder technologischer Reifegrad von Produktionsanlagen.
Die internationale Anwaltskanzlei Freshfields Bruckhaus Deringer hat 214 Schlüsselpersonen in M&A-Deals befragt. Das Ergebnis: 78 Prozent der Befragten im Jahr 2014 waren der Ansicht, dass Cyber-Sicherheit nicht eingehend und detailliert in der Due Diligence untersucht wird. Obwohl sich 90 Prozent der Befragten darin einig waren, dass Cyber-Risiken den Kaufwert schmälern könnten. Und öffentliche Beispiele wie zuletzt von Sony zeigen, dass durch Angriffe aus dem Cyberspace große Vermögenswerte innerhalb von kurzer Zeit vernichtet werden können.
Es ist für Käufer darum unumgänglich, bei der Risikoprüfung des zu kaufenden Unternehmens künftig das Thema Cyber-Sicherheit zu einem wichtigen Baustein zu machen – der sich deutlich auf den Kaufpreis auswirken sollte. Folgende Fragen gilt es strukturiert zu beantworten, um eine Grundlage für die Risikobewertung zu erhalten:
1. Hat die zu kaufende Firma ein realistisches Bild der Bedrohungslage und kann damit die Risiken eines Cyber-Angriffs gut einschätzen?
Die Praxis zeigt: Nicht alle Firmen haben analysiert, welche Art von Bedrohungen mit welcher Wahrscheinlichkeit überhaupt eintreten können. Ihnen fehlt ein Sicherheitslagebild, um auf dieser Basis eine stabile Sicherheitsarchitektur zu entwickeln. Stellen Sie fest, dass ein solches Bild fehlt oder nicht konsistent ist, ist auch die Wahrscheinlichkeit recht hoch, dass die bisher getroffenen Sicherheitsmaßnahmen nicht ausreichend, nicht aufeinander abstimmt oder gar nicht vorhanden sind.
2. Kennt die Firma ihre Kronjuwelen und wie schützt sie diese?
Zuletzt hat der prominente Fall Sony gezeigt: Viele Unternehmen klassifizieren ihre Daten gar nicht oder nicht ausreichend. Wenn die Frage aufkommt, was wichtig sei, wird entweder alles oder gar nichts benannt. Natürlich ist das nicht richtig. Schließlich überlegt sich auch jede Bank, wie sie ihre Vermögenswerte sichert. Oder wundert es Sie schon längst, dass Sie Gold und Diamanten nicht auch im Automaten ziehen können? Fragen Sie darum gezielt nach, wie Daten klassifiziert werden. Und vor allem, wie die wichtigsten Daten – die Kronjuwelen – geschützt werden. Wurden genügend Sicherheitsringe um die Kronjuwelen gezogen? Nutzt das zu kaufende Unternehmen hier den neuesten Stand der Technik?
3. Wie ist der technische Cyber-Schutz organisiert?
Darauf aufbauend ist zu fragen, welche technischen Vorkehrungen es gegen Einbrüche aus dem Netz gibt. Eine Grundversorgung ist gegeben, wenn Unternehmen in präventive Maßnahmen wie Firewalls oder Virenscanner investiert haben. Da die meisten Mauern aber längst umgegangen werden können und Viren in einer Vielzahl existieren, dass Scanner kaum noch aktuell sein können, sollten Sie Ihr Augenmerk vor allem darauf legen, ob das Unternehmen technische Lösungen entwickelt hat, mit denen Einbrüche schnellstmöglich erkannt werden können. Denn die Zeit von der Detektion bis zur Beseitigung eines Sicherheitsvorfalls ist es künftig, die über Kosten und möglichen Schaden entscheidet. Existiert ein solches System nicht, liegt ein hohes Risiko vor.
4. Welche Sicherheits-Prozesse gibt es im Unternehmen?
Neben der technischen Seite entscheiden vor allem die gelebten Sicherheits-Prozesse im Unternehmen über das Risiko, hohen wirtschaftlichen Schaden zu erleiden. Dies beginnt mit der Existenz, dem Detailgrad und vor allem der Verständlichkeit von Sicherheitsrichtlinien, der Durchführung von Sicherheitstrainings für Führungskräfte und Mitarbeiter bis hin zur Existenz einer schnellen Eingreiftruppe, die im Fall einer erfolgreichen Hacker-Attacke möglichst schnell den Angriff stoppen und durch einen erprobten Prozess den Schaden gering halten kann. Fragen Sie gezielt nach: Existieren Feuerwehrübungen für Cyber-Sicherheitsfälle? Gibt es diese nicht, setzt sich das Unternehmen dem Risiko aus, im Ernstfall zum ersten Mal einen Krisen-Prozess abwickeln zu müssen – und dabei große Fehler zu machen.
5. Gab es Einbruchsfälle in der Vergangenheit und wie wurde mit diesen umgegangen?
Ein guter Indikator für die Fitness beim Thema Sicherheit ist vor allem die Analyse vergangener Einbrüche. Wann sind diese erfolgt und wie hat das Unternehmen darauf reagiert? Hat es alle juristischen, regulatorischen und Anforderungen an die Reputation meistern können? Wo wurden Fehler gemacht? Welche Konsequenz hatten diese Fehler in der Folge für Sicherheitsrichtlinien und –prozesse?
6. Gibt es einen „Chief Security Officer“ und wer ist auf der obersten Führungsebene für die Sicherheit verantwortlich?
Ein guter Indikator um zu überprüfen, wie ernst es ein zu kaufendes Unternehmen mit dem Thema Cyber-Sicherheit nimmt, ist das Vorhandensein eines „Chief Security Officer“ – also einer oberen Führungskraft, die mit keiner anderen Aufgabe als der Unternehmenssicherheit betraut ist. Wichtig ist: Verwechseln Sie nicht den Chef des Wachschutzes mit dem Chef der Cyber-Sicherheit. Prüfen Sie nach, wer öffentlich einsehbar – zum Beispiel auf Website oder im Geschäftsbericht – im Vorstand oder der Geschäftsführung für das Thema Cyber-Sicherheit verantwortlich ist. Finden Sie dort jemanden benannt, ist es sogar vielleicht der CEO, können Sie davon ausgehen, dass Sicherheit in dem Unternehmen als Chefsache wahrgenommen wird.
7. Existiert eine Cyber-Versicherung?
Das Geschäft für Versicherungen von Cyber-Schäden wächst beständig. Aber noch lange hat nicht jedes Unternehmen eine solche Versicherung abgeschlossen. Ist dies bei dem von Ihnen zu kaufenden Unternehmen der Fall, können Sie davon ausgehen, dass die Versicherung schon einmal einen sehr intensiven Check der vorhanden Sicherheitsprozesse durchgeführt hat, um eine Risikobewertung vorzunehmen. Dies kann ihr Urteil untermauern. Verlassen Sie sich aber nicht ausschließlich darauf. Prüfen Sie vielmehr auch gezielt die vorhandene Versicherung, ob sie überhaupt alle notwendigen Schäden abdeckt. Hat zum Beispiel ein produzierendes Unternehmen Personenschäden in der Versicherungspolice abgedeckt? Denn wer zahlt dafür, wenn aufgrund einer Cyber-Vorfalls Maschinen ausfallen oder in sabotiertem Zustand Mitarbeitern Schaden zufügen?
8. Wie stellt das zu kaufende Unternehmen Cyber-Sicherheit in der Lieferkette sicher?
Widmen Sie sich zuletzt der Frage, wie der Übernahmekandidat selbst Dritte auf ihre Sicherheit überprüft. Denn: Entwicklung, Produktion, Vertrieb – alles wächst enger zusammen. Auch die dazugehörige IT-Architektur. Wenn zum Beispiel gemeinsam mit Lieferanten und Kunden ein neues Produkt entwickelt wird: Wie wird sicher gestellt, dass es dadurch zu keinen Cyber-Einbrüchen kommen kann? Welche Regularien müssen Zulieferer erfüllen, wenn sie Daten an das Unternehmen übermitteln oder gar IT-Systeme zusammen gekoppelt werden?
Diese vereinfachte Darstellung soll Ihnen dabei helfen, sich bei der Einschätzung des Risikos durch Cyber-Angriffe zu orientieren. Vergessen Sie aber nicht, dass auch der M&A-Prozess an sich schon ein Sicherheitsrisiko darstellt. Die sensibelsten Unternehmensdaten werden hier zugänglich gemacht – bei Fusionen sogar beidseitig. Es ist entscheidend, für Datenräume die bestmögliche Sicherheitstechnik zu nutzen. Aber vor allem alle im Deal involvierten – Käufer, Verkäufer, Anwälte, Analysten, Investmentbanker, PR-Berater – in Sicherheitsfragen aufzuklären und sie gezielt vor Beginn des Prüfungs- und Transaktionsprozesses zu trainieren. Denn vergessen Sie nicht: Jede noch so exzellente technische Mauer kann am Ende umgegangen werden – am einfachsten durch den unachtsamen Umgang eines Menschen, der Zugang zum Bollwerk hatte.
