Hilfe, mein Cyber-Security-Anbieter wurde übernommen!

Laut Erhebungen von S&P Global Market Intelligence gab es allein in den ersten drei Quartalen 2021 im Bereich Cyber-Security 151 Fusionen und Übernahmen - verglichen mit lediglich 94 im gleichen Zeitraum 2020, 88 im Jahr 2019 und 80 im Jahr 2018. Viele Unternehmen sicherten sich umfangreiche Summen an Risikokapital von Private-Equity-Firmen, einige wurden von diesen sogar komplett übernommen. Insgesamt investierten VC-Firmen im vergangenen Jahr fast 22 Milliarden Dollar in Cybersicherheitsunternehmen, was einen Rekord darstellt.

Dieser Trend verdeutlicht die Probleme, mit denen Unternehmen konfrontiert werden, wenn Security-Technologien und -Dienste, in die sie investiert haben, plötzlich in andere Plattformen integriert, verdrängt oder ganz vom Markt genommen werden. Für IT-Security-Verantwortliche ist es umso wichtiger, genau zu beobachten, was vor sich geht, und zu wissen, welche Fragen sie stellen müssen, wenn ein anderes Unternehmen ihren Anbieter oder Service übernimmt.

Mit Fragen Klarheit schaffen

Laut Jeff Pollard, Analyst bei Forrester Research, sind allerdings die Chancen, eine klare Antwort von dem übernehmenden oder übernommenen Unternehmen zu erhalten, oft gering. Dies gilt insbesondere dann, wenn der Käufer plant, die Technologien oder Services des anderen Unternehmens deutlich zu reduzieren oder Mitarbeiter zu entlassen.

Trotzdem sei es immer eine gute Idee, so viele Informationen wie möglich zu erhalten, sagt er: "Verlangen Sie so weit wie möglich genaue Angaben darüber, wie der Anbieter nach der Integration in das andere Unternehmen aussehen wird", so Pollard. Gibt der Käufer an, dass er dessen Technologie in seine Plattform integrieren wird, sollten Sie fragen, was das bedeutet: Wird sie in die Benutzeroberfläche integriert oder Teil einer größeren Plattform?

Pollard und andere Experten haben sechs Fragen identifiziert, die Sicherheitsverantwortliche stellen sollten, wenn ihr Anbieter übernommen wird:

1. Wird das Produkt weitergeführt oder integriert?

Die Weiterführung eines Produkts kann nach einer Übernahme oder Fusion ein großes Problem darstellen. Verfügt der Käufer nämlich über ähnliche oder sich überschneidende Technologien, können Produkte fallen gelassen oder eingestellt werden. Auch die Produkt-Roadmap kann nach einer Übernahme geändert oder gekürzt werden.

Diese Fälle können eintreten, wenn der Käufer ein größeres Plattformangebot hat oder er die andere Company wegen ihrer Expertise und nicht unbedingt wegen ihrer Produkte kauft, erklärt Daniel Kennedy, Analyst bei 451 Research. "Fragen Sie daher, ob das Produkt, in das Sie investiert haben, weiterhin angeboten wird, in welcher Form und für wie lange", so Kennedy. "Werden Aktualisierungen verfügbar sein und für wie lange?"

Wenn die Technologie in ein größeres Plattformangebot integriert wird, sollten Sie sich über die künftige Strategie des übernehmenden Unternehmens informieren, sagt er: "Muss ich dann das größere Angebot installieren oder sollte ich mich nach einem reinen Ersatz umsehen? Wie sehen die künftige Lizenzvereinbarung und die Kosten aus?"

Charles King, Analyst bei Pund-IT, ist der Meinung, dass der übernehmende oder übernommene Anbieter in der Lage sein sollte, Einblicke in das zu geben, was die Kunden für mindestens zwei bis vier Jahre erwarten können. Dazu gehöre auch eine Antwort auf die Frage, ob geplant ist, bestehende Systeme und Technologien außer Betrieb zu nehmen oder zu ersetzen. "In einigen Fällen ist der Prozess weniger komplex oder problematisch, als die Kunden befürchten", so King. Aber es gebe genügend Negativbeispiele.

2. An wen berichten künftig Gründer/CEO und andere Spitzenkräfte?

Erkundigen Sie sich, was nach Abschluss der Transaktion aus den Gründern oder Topmanagern des erworbenen Unternehmen wird. Häufig beinhalten Übernahmevereinbarungen eine zusätzliche Prämie, wenn das gekaufte Unternehmen bestimmte finanzielle Ziele erreicht. Die Dauer dieser Earnout-Perioden kann zwischen drei und fünf Jahren liegen.

"Finden Sie heraus, welche Art von Earnout-Periode mit den Gründern oder Führungskräften des erworbenen Unternehmens vereinbart wurde", empfiehlt Richard Stiennon, leitender Forschungsanalyst bei IT-Harvest. "Werden sie länger bleiben oder sich in 12 Monaten auszahlen lassen?"

Und mehr noch: "Finden Sie heraus, welche Rolle sie in dem neuen Unternehmen einnehmen werden", so Stiennon. Handelt es sich dabei um strategische Aufgaben oder eher um eine reine Titelfunktion? "Manchmal beeinflussen die übernommenen Führungskräfte die Vision und die Strategie des Käufers und übernehmen schließlich selbst die Leitung", merkt er an.

Wie sein Forrester-Kollege Pollard ausführt, kann es aber auch ganz anders kommen, insbesondere, wenn ein viel kleinerer Anbieter wegen einer bestimmten Technologie durch ein großes Unternehmen übernommen wird. Dann berichteten die Führungskräfte oft nur an einen Geschäftsführer und hätten kaum die Möglichkeit, Entscheidungen hinsichtlich der weiteren Produkt-Roadmap, Support-Verpflichtungen und anderer Fragen zu beeinflussen, sagt er.

3. Werden alle Mitarbeiter übernommen?

Zögern Sie nicht, sich zu erkundigen, ob es zu größeren personellen Veränderungen in den Bereichen Vertrieb, Service und Support kommen könnte, empfiehlt Pundit-IT-Analyst King. In vielen Fällen sind diese Mitarbeiter diejenigen, mit denen die Kunden regelmäßig zu tun haben und die sie anrufen und denen sie vertrauen, wenn Probleme oder Notfälle auftreten. "Diese Mitarbeiter gehören auch zu denjenigen, bei denen die Wahrscheinlichkeit am größten ist, dass sie reduziert oder durch das bestehende Personal des übernehmenden Anbieters ersetzt werden", sagt King. "Dieser Prozess kann sehr schmerzhaft sein, vor allem, wenn der neue Anbieter einen ganz anderen Ansatz oder ein anderes Engagement für den Kundenservice hat."

4. Wird die Marke weitergeführt?

Laut IT-Harvest-Analyst Stiennon kann es hilfreich sein, die Pläne des übernehmenden Unternehmens für das Branding zu kennen. "Wird die Marke beibehalten, ist das ein Zeichen, dass das Produkt, das Sie gekauft haben, weiterhin unterstützt und verbessert wird", sagt Stiennon. "Wenn nicht, geht das Produkt vermutlich in einer größeren Plattform auf oder wird eingestellt. In diesem Fall sollten Sie sich darauf einstellen, dass Sie die gesamte Plattform des neuen Anbieters kaufen und nutzen müssen, um die bisherigen Funktionen zu erhalten, warnt er.

5. Ist das übernehmende Unternehmen ein Private-Equity-Unternehmen?

Ein weiterer Tipp von dem IT-Harvest-Analysten: "Finden Sie heraus, ob es sich bei dem Unternehmen, das Ihren Security-Anbieter aufkauft, um eine Private-Equity-Firma handelt."

Die Wahrscheinlichkeit ist hoch: Laut Momentum Cyber kauften Private-Equity-Firmen im Jahr 2021 insgesamt 130 Unternehmen aus dem Bereich Cyber-Security, mehr als in jedem anderen Jahr. Beispiele dafür sind die Übernahme von ProofPoint durch Thoma Bravo für 12,3 Milliarden Dollar, der Kauf von McAfee durch ein Konsortium unter Führung der Symphony Technology Group für 4 Milliarden Dollar sowie der Kauf von ExtraHop durch Bain Capital und Cross Point Capital für 900 Millionen Dollar.

Seien Sie vorsichtig, wenn auch Ihr Security-Anbieter von einer Private-Equity-Firma gekauft wird, warnt Stiennon: "Beteiligungsfirmen setzen auf Hebelwirkung und hoffen entweder, viele Unternehmen zusammenzulegen und sie für einen Börsengang zu verpacken oder mit Gewinn weiterzuverkaufen. Beides könnte sich direkt auf Ihre Investition in die Technologie oder Dienstleistung des übernommenen Anbieters auswirken."

6. Wie sieht die Kultur des übernehmenden Unternehmens aus?

"Wenn Ihr Security-Anbieter übernommen wird, sollten Sie auf die Kultur des übernehmenden Unternehmens achten", rät Forrester-Mann Pollard: Oft wurden diese Unternehmen gegründet, um ein bestimmtes Problem oder eine Reihe von Problemen zu lösen. "Die Kultur dieser Firmen ist oft sehr stark auf Fachwissen und Fähigkeiten ausgerichtet", sagt Pollard. Sie haben ein echtes Engagement und eine Leidenschaft und kennen sich aus.

Wird ein solcher Anbieter dann von einem viel größeren, produktorientierten Unternehmen übernommen, kann es zu Problemen kommen, warnt der Security-Experte: "Ihnen bleiben etwa zwei Jahre Zeit, um die Lage zu überprüfen. Spätestens in sechs Monaten oder einem Jahr sollten Sie über einen Wechsel der Lösung und eine Migration nachdenken."

Dieser Artikel basiert auf einem Beitrag der US-Schwesterpublikation CSO.