5 Mergers-&-Acquisitions-Strategien
So managen Sie Security-Risiken bei Übernahmen
Foto: Elle Aon - shutterstock.com
Mergers & Acquisitions (M&A; Fusionen und Übernahmen) können für Unternehmen Risiken aufwerfen, die nicht unbedingt direkt in den Fokus rücken, wie Doug Saylors, Partner und Co-Lead of Cybersecurity bei der Unternehmensberatung ISG, zu bedenken gibt. Denn M&A-Teams verfügten in der Regel über begrenzte Ressourcen und konzentrierten sich in erster Linie auf Finanzen und Geschäftsbetrieb, während IT und Cybersicherheit zu Beginn des Prozesses in den Hintergrund rückten. "Annahmen über die Zusammenführung von Netzwerken, die 'Rationalisierung' von IT- und Cybersicherheitsplattformen sowie deren Mitarbeitern werden in der Regel mit begrenztem Wissen über die tatsächlichen Funktionen und Arbeitsabläufe in den einzelnen Organisationseinheiten getroffen", konstatiert der Experte.
Ein aktueller Bericht von Gartner postuliert, dass ein Unternehmen, das fusioniert, übernommen wird oder andere Übernahmeaktivitäten fährt, in der Lage sein muss, Sicherheitsanforderungen zu evaluieren, die sich auf Geschäftsstrategie und Risiken der zukünftigen Entität auswirken könnten. "Das führt zu einem Verständnis des Sicherheitsstatus im übernommenen Unternehmen (soweit das vor dem Deal möglich ist). Es stellt sicher, dass es keine bösen Überraschungen gibt und ermöglicht, den Integrationsaspekt sicher und geschützt anzugehen", schreiben die Gartner-Autoren. Wie eine solche böse Überraschung aussehen kann, zeigt der Blick in die jüngere Vergangenheit: Als Verizon im Jahr 2017 Yahoo übernommen hat, zog der Telekommunikationsriese nachträglich 350 Millionen Dollar vom Kaufpreis ab, nachdem zwei massive Data Breaches bei Yahoo bekannt wurden. Sämtliche drei Milliarden Nutzerkonten des Unternehmens waren betroffen.
Nachfolgend finden Sie fünf Strategien, die Unternehmen bei der Bewältigung von Cybersecurity-Risiken im Rahmen von Fusions- und Übernahmeprozessen unterstützen und Kaufreue vermeiden können.
1. Assessment ist Pflicht
Vor einer Übernahme muss dem Käufer ein aktuelles Assessment des Zielunternehmens vorliegen. Das kann ein spezielles Audit sein, ein Security oder Enterprise Assessment - wichtig ist dabei aber laut Vladimir Svidesskis, Head of Security, Compliance and Risk beim IT-Dienstleister Vaco Holdings, vor allem, wann die Bewertung durchgeführt wurde: "Idealerweise sollte das Assessment nicht älter als neun Monate sein. Alles, was älter als ein Jahr ist, ist nicht mehr wirklich valide. Gleichen Sie diese Informationen mit den vorhandenen Richtlinien und Verfahren sowie den aktuellen strategischen Zielen ab: Stimmen ihre Richtlinien, Verfahren und Prozesse damit überein? Bietet das Assessment ein gewisses Maß an Sicherheit, dass diese Richtlinien und Verfahren eingehalten werden?"
Das übernehmende Unternehmen sollte laut Svidesskis auch alle Informationen über vermutete und bestätigte Sicherheits- oder Compliance-Vorfälle, Gefährdungen, Kompromittierungen oder auch cyberbezogene Versicherungsaktivitäten erhalten: "Auch Dinge, deren Offenlegung nicht gesetzlich vorgeschrieben ist, sollten enthalten sein. Selbst, wenn es sich nur um einen internen Vorfall handelt, der nicht meldepflichtig war, können das relevante Informationen sein, die dem Käufer im Vorfeld bekannt sein sollten."
2. Drum prüfe…
Im Fall von Übernahmen, bei denen die Technologie das Produkt des Zielunternehmens (oder ein wichtiger Bestandteil davon) ist, sollte Cybersicherheit besonders im Fokus stehen, wenn es nach Philip Odence, General Manager von Black Duck Audit Business bei Synopsys, geht. Laut dem Experten für Due-Diligence-Prüfungen bei M&A-Transaktionen müssten Käufer-Unternehmen sich davon überzeugen, dass die Software des Übernahmeziels sicher ist. "Ist das nicht der Fall, holt sich das kaufende Unternehmen einen ganzen Haufen ungeplanter Sanierungsarbeiten für die Zukunft ein", warnt Odense und fügt hinzu: "Da übermäßige Probleme die Wahrscheinlichkeit von Sicherheitslücken erhöhen, möchte der Käufer möglicherweise einen Teil der Mittel für diesen Fall hinterlegen. Es ist auch nicht ungewöhnlich, dass über eine Bewertung verhandelt wird, wenn die Software deutlich hinter den Industrienormen zurückbleibt."
Käufer erwarteten keine Perfektion, allerdings könnten Probleme in unerwarteter Zahl und Größenordnung die Perspektive auf den Deal ändern. Es komme allerdings selten vor, dass eine Due-Diligence-Prüfung ein Geschäft zum Scheitern bringe, meint Odence und relativiert: "Aber das kann sich auf die Vertragsbedingungen, den Zeitplan oder die Bewertung auswirken. Die Quintessenz: Wissen ist Macht. Käufer sollten die Due-Diligence-Prüfung nutzen, um vor Abschluss des Deals so viel Einblick wie möglich in die Softwaresicherheit des Zielunternehmens zu erhalten, um sich vor möglichen Risiken schützen zu können."
Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.
3. Profis an den Tisch!
Laut Chris Clymer, Director und CISO beim Risk-Management-Spezialisten Inversion6, würden Cybersecurity- und IT-Teams vor Fusionen und Übernahmen nur selten miteinbezogen, da man den Kreis klein halten wolle. In den Augen des Sicherheitsentscheiders ein mitunter teurer Fehler: "Es ist nicht ungewöhnlich, dass ein strategisches Übernahme- oder Fusionsziel mit mangelhafter IT und Sicherheit behaftet ist, deren Behebung viele Millionen Dollar kosten kann. Gerade deshalb ist es so wichtig, IT- und Security-Expertise hinzuzuziehen und die wichtigsten Schwachstellen zu identifizieren. Ich habe in gering regulierten Branchen schon die Übernahme von Firmen miterlebt, denen es an grundlegenden Dingen wie einer Patching-Strategie oder Endpunktsicherheit mangelte - von fortschrittlicheren Kontrollmaßnahmen wie SIEM ganz zu schweigen."
Clymer empfiehlt Unternehmen deshalb, IT- oder Security-Experten direkt in M&A-Teams zu integrieren, um teure Überraschungen zu vermeiden und Sicherheitsrisiken zu minimieren. Doch damit nicht genug: "Darüber hinaus sollten die IT-Teams über einen strukturierten Prozess verfügen, der genau festlegt, wie das Onboarding bei neuen Akquisitionen abläuft. Dazu gehören beispielsweise frühzeitige Bewertungen, die Vermittlung von Ansprechpartnern im Unternehmen oder die Änderung der Admin-Passwörter."
Laut Frank Kim, Fellow am SANS Institute und CISO in Residence bei YL Ventures, verfügen Unternehmen in vielen Fällen über keinen Prozess, um die Security in die Due-Diligence-Prüfung zu integrieren. Dabei könne das viele Probleme verhindern: "Im schlimmsten Fall wird das IT-Sicherheitsteam oder der CISO sehr spät hinzugezogen, und das M&A-Team fordert dann ein Security Review kurz vor Abschluss innerhalb weniger Tage. Sitzt das IT-Sicherheitsteam oder der CISO immer mit am Tisch, kann das Security-Niveau des Zielunternehmens bewertet und Fragen zu potenziellen Cybersicherheitsrisiken gestellt werden."
4. Data Environment?
Akquirierende oder fusionierende Unternehmen, die nicht vom ersten Tag an eine Due-Diligence-Prüfung durchführen, würden sehr wahrscheinlich auch nicht verstehen, mit welcher Art von Datenumgebung sie es zu tun hätten, meint Gartner-Analyst Sam Olyaei. "Sie könnten es mit persönlichen Daten zu tun haben oder mit identifizierbaren, mit Daten aus dem Gesundheitswesen, die gesetzlichen Anforderungen wie HIPAA unterliegen, mit Zahlungsdaten, die gesetzlichen Anforderungen wie PCI unterliegen, und so weiter. Sie werden also weder aus Informations- noch aus Umgebungsperspektive zu einem wirklich guten Verständnis kommen."
Das Problem mit dem mangelnden Verständnis des Risikos von Datenumgebungen bestehe darin, dass die übernehmenden Unternehmen nicht wüssten, welche Art von Sicherheitskontrollen das Zielunternehmen implementiert hat und ob ihre Umgebungen vollständig sicher sind, so der Gartner-Analyst. Das Gleiche gelte für Unternehmen, die fusionieren, erklärt Olyaei: "Man muss versuchen, sich zumindest einen guten Überblick über die Datenumgebung zu verschaffen, mit der man es zu tun hat und die potenziellen Risiken bestimmen. Eine SWOT-Analyse des Unternehmens, das Sie übernehmen oder mit dem Sie fusionieren möchten, gibt Ihnen eine gute Vorstellung davon, mit welchen Informationen und Assets Sie es zu tun haben."
5. Kompetenzanalysen
"Man sollte nicht vergessen, dass ein Unternehmen bei einer Akquisition oder Fusion nicht nur die Technologie des Zielunternehmens erwirbt, sondern auch dessen Mitarbeiter", stellt Joe McMorris, CISO und CIO beim Softwareunternehmen (und Übernahmespezialisten) Planview, fest. Er empfiehlt: "Unternehmen sollten eine vollständige Analyse der Skills derjenigen Mitarbeiter durchführen, die übernommen werden. Denn am Ende des Tages hat man nicht nur die neuen Mitarbeiter, sondern auch die bestehenden Mitarbeiter, die unter Umständen überfordert sind. Während der Integration kann es auf beiden Seiten zu Wissens- und Skill-Lücken kommen, etwa weil alte Technologie auf neue trifft und das entsprechende Fachwissen nicht vorhanden ist."
Während einer solchen Integration müssten die Mitarbeiter ein enormes Arbeitspensum bewältigen - und das zusätzlich zum Tagesgeschäft, so der IT- und Sicherheitsentscheider. "Das kann zu Burnout, schlechter Arbeitsmoral und Fluktuation führen. Während einer Integration ist das Risiko wohl am größten, weil man Netzwerke, Technologien und Prozesse zusammenführt und verändert. Verliert man in dieser Phase Mitarbeiter oder überlastet sie, kann es zu Fehlern, Schwachstellen und Risiken kommen, die normalerweise nicht auftauchen würden. Eine Kompetenzanalyse kann dazu beitragen, solchen Szenarien vorzubeugen." (fm)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation Network World.