security logo
Photo by Pixabay on Pexels.com
Posted inDatenschutz IT Audit / Compliance / Security

Cyber Security als Erfolgsfaktor der IT-Due-Diligence bei M&A-Deals

Cyber Security bei M&A-Deals: Die unterschätzte Zeitbombe in der IT-Due-Diligence

In der heutigen digitalisierten Welt sind Cyber-Risiken allgegenwärtig. Dennoch zeigt die Praxis, dass dieser Aspekt im Rahmen von Mergers & Acquisitions (M&A) oft nur oberflächlich behandelt wird. Dabei kann eine unzureichende Analyse der IT-Sicherheit nach dem Kauf schwerwiegende finanzielle und rechtliche Konsequenzen nach sich ziehen.

Warum Cyber Security über den Deal-Erfolg entscheidet

Die IT-Due-Diligence bewertet traditionell die technische Ausstattung und die strategische Bedeutung der IT für das Geschäftsmodell. Die Autoren betonen jedoch, dass Cyber Security ein integraler Baustein sein muss, da Sicherheitslücken den Kaufpreis und die Vertragsgestaltung massiv beeinflussen können.

Das mahnende Beispiel: Ein prominenter Fall ist die Übernahme von Starwood durch Marriott International im Jahr 2018. Erst nach der Akquisition wurde ein jahrelanges Datenleck entdeckt, das 500 Millionen Kunden betraf und zu enormen Bußgeldern sowie einem massiven Imageverlust führte.

Die 5 Säulen einer gründlichen Cyber-Due-Diligence

Für eine fundierte Bewertung des Zielunternehmens sollten laut Nguyen und Hoffmann folgende Kernbereiche geprüft werden:

  1. Bestandsaufnahme der Sicherheitsarchitektur: Sind Firewalls, Verschlüsselung und Zugriffsverwaltung auf dem neuesten Stand?. Besonders Legacy-Systeme (Altsysteme) stellen ein hohes Risiko dar, da sie oft das schwächste Glied in der Sicherheitskette sind.
  2. Compliance-Check: Erfüllt das Unternehmen regulatorische Anforderungen (z. B. DSGVO) und verfügt es über notwendige Zertifizierungen?.
  3. Incident-Response-Management: Wie gut ist das Unternehmen auf Angriffe vorbereitet? Gibt es Notfallpläne und eine funktionierende Disaster Recovery?.
  4. Sicherheitskultur und -bewusstsein: Der „Tone at the Top“ ist entscheidend. Es muss geprüft werden, ob die Geschäftsführung Sicherheit priorisiert und Mitarbeiter regelmäßig geschult werden.
  5. Historie von Cybervorfällen: Die Analyse vergangener Vorfälle gibt wertvolle Hinweise auf die Verwundbarkeit der Systeme.

Praxis-Herausforderungen und Risiken

  • Legacy IT und „Trust“-Probleme: Veraltete Architekturen (z. B. alte Active Directory Server) können zum Albtraum werden, da kompromittierte Konten sich rasant im Netzwerk ausbreiten können.
  • Gefahren in der Lieferkette: Der Fall Maersk/NotPetya zeigt, wie ein infizierter PC in einer Niederlassung über eine Drittanbieter-Software ein globales Unternehmen lahmlegen kann.
  • Service Provider Blind Spot: Viele Unternehmen unterschätzen die Risiken durch externe Dienstleister. Hier muss geprüft werden, ob Sicherheitsvorgaben vertraglich fixiert und auch überwacht werden.
  • Internationale Komplexität: Ein Beispiel aus Kanada verdeutlicht, wie eine Übernahme durch eine „öffentliche Einrichtung“ plötzlich strengere lokale Datenspeicherpflichten (FIPPA statt PIPA) auslösen kann, was die Nutzung globaler Cloud-Lösungen unmöglich machen könnte.

Handlungsempfehlungen für die Umsetzung

  • Qualität der Daten: Bevorzugen Sie für die Prüfung systembasierte Datenabzüge (z. B. aus Managementkonsolen wie Splunk oder WSUS) gegenüber manuell gepflegten Listen, um ein realistisches Bild zu erhalten.
  • Risikobewertung mit System: Nutzen Sie standardisierte Frameworks wie das Common Vulnerability Scoring System (CVSS), um technische Schwachstellen objektiv in Risikoklassen einzustufen.
  • Expertenteams etablieren: Große Unternehmen sollten ständige M&A-Evaluierungsteams vorhalten; kleinere Betriebe sollten auf spezialisierte externe Berater setzen.

Fazit: Cyber Security sollte bei M&A-Transaktionen nicht als Kostenfaktor, sondern als Chance verstanden werden. Eine gut durchdachte IT-Due-Diligence deckt kostspielige Risiken frühzeitig auf und schafft durch Resilienz einen echten Mehrwert für das neue Gesamtunternehmen.