• Home
  • /
  • Meldungen
  • /
  • „Cybersicherheit ist ein Wertfaktor bei M&A-Transaktionen“

27.09.2022

„Cybersicherheit ist ein Wertfaktor bei M&A-Transaktionen“

Angesichts der weltweit steigenden Anzahl von Cyber-Angriffen gewinnt die Cybersicherheit in Unternehmenstransaktionen zunehmend an Bedeutung. Ferdinand Grieger, CLO, Deutsche Gesellschaft für Cybersicherheit, DGC Switzerland AG und Vorsitzender des Aufsichtsrats der DGC Germany AG zeigt, welche Risiken drohen, und erklärt, worauf Unternehmensverantwortliche achten sollten.

Select Dynamic field

Ferdinand Grieger

DB: Steht ein M&A-Deal an, werden wirtschaftliche, rechtliche, steuerliche und finanzielle Verhältnisse eines Unternehmens genau unter die Lupe genommen. Wie sieht es denn mit der Prüfung der IT-Sicherheit aus?

Grieger: Die Prüfung von Cyberrisiken ist heutzutage leider eine absolute Ausnahme. Wenn überhaupt, wird lediglich das Datenschutzkonzept des Targets geprüft, also die Erfüllung der Vorgaben nach der Datenschutzgrundverordnung. Das ist ein wichtiger Bestandteil einer Cyber Due Diligence. Mit Prüfung der IT-Sicherheit hat das aber wenig zu tun.

DB: Wieso sollte der Prüfung der IT-Sicherheit ebenso große Bedeutung beigemessen werden?

Grieger: Für alle an der M&A-Transaktion beteiligten Parteien erwachsen hieraus immense Risiken. Cyberrisiken sind die mit Abstand größte Bedrohung der heutigen Zeit für Unternehmen. Hacker machen vor keiner Grenze halt. Sie beachten keine Gesetze und sind nicht durch solche gebunden. Sie bieten keine Ratenzahlungen, Fristverlängerungen, Stundungen oder Ähnliches an, geben keine verbindlichen Auskünfte, Stillhalte- oder Rangrücktrittserklärungen ab. Wer in einer stark vernetzten und digitalisierten Welt ein Unternehmen kauft, ohne zuvor eine Cyber-Due-Diligence durchzuführen, kauft daher ein hohes Bestandsrisiko, unter Umständen teure Haftung und ein gegebenenfalls wertloses Target ein.

DB: Das heißt im Umkehrschluss, Cybersicherheit ist ein echter Wertfaktor bei Fusionen und Übernahmen?

Grieger: Absolut. Cybersicherheit ist ein Wert- oder Werterhaltungsversprechen. Wenn Unternehmen ein funktionierendes Cybersecurity-Konzept haben, dokumentiert das, dass die wesentlichen Unternehmenswerte, die Kronjuwelen eines Unternehmens, und der funktionierende Betriebsablauf geschützt wurden und werden und dass das Unternehmen die größte Bedrohung, einen Hackerangriff, adäquat in seinem Compliance-System reflektiert hat. Damit ist das größte nicht kalkulierbare Risiko eingedämmt und handhabbar geworden. Außerdem sind bestimmte kosten- und zeitintensive Prozesse wie die Entwicklung eines Cybersecurity-Risk-Management-Systems bereits abgeschlossen. Das steigert natürlich den Wert des Targets.

DB: Wie kommt es, dass der Aspekt Cybersicherheit im Rahmen der Due Diligence derzeit nicht standardmäßig analysiert wird?

Grieger: Dies liegt an den fehlenden Kenntnissen vom richtigen Vorgehen bei einer Cyber Due Diligence und einem Mangel an Problembewusstsein der Transaktionsparteien. Jeder Unternehmenskäufer möchte Rentabilitätsrisiken sowie die Risiken von Rechtsstreitigkeiten oder Steuernachzahlungen beim avisierten Target vermeiden und prüft das Target auf diese Risiken. Kaum ein Käufer bedenkt, dass beispielsweise das Verschlüsselungsrisiko und damit der totale Funktionsausfall des Targets, aber auch die „Infektion“ des Käuferunternehmens, infolge einer Hackerattacke wesentlich gefährlicher sind. Außerdem scheuen die Transaktionsparteien die Kosten einer Cyber Due Diligence und lassen dabei außer Acht, dass sich die Transaktion bei sich verwirklichenden Cyberrisiken insgesamt als wertlos erweisen kann.

DB: Wieso sind eigentlich gerade KMU so beliebte Angriffsziele?

Grieger: KMU haben, anders als große Konzerne, oft keine Möglichkeiten, Cyberangriffen organisatorisch zu begegnen. Zur Liquiditätsschonung und Ermöglichung von Investitionen und Inventionen wird – gerade bei sehr jungen Unternehmen – auf die Cyberabwehr kein Fokus gelegt. KMU sind zudem oft innovativ und verfügen über Geschäftskonzepte, die unter Umständen zukunftsfähiger sind als die großer Konzerne. Für lange Verhandlungsprozesse mit Cyberkriminellen fehlen ihnen notwendige Rücklagen. Das macht sie gegenüber Erpressern einigungs- bzw. zahlungsgeneigt und auch daher als Ziel sehr attraktiv. Sie haben außerdem nicht die Kopfstärke, um sich im Fall einer Cyberattacke optimal organisieren und verhalten zu können.

DB: Seit dem Krieg gegen die Ukraine ist das Thema Cyberangriffe ja generell mehr in die Öffentlichkeit gerückt. Wirkt sich dieser Bewusstseinswandel jetzt auch auf M&A-Prozesse aus?

Grieger: Der Konflikt in der Ukraine und die damit einhergehende Berichterstattung hat für eine leicht intensivierte Wahrnehmung der Gefahren für Unternehmen durch mangelnde Cybersicherheit geführt. Die Nachfrage nach Cybersecuritylösungen stieg hierdurch leicht an. Auf die Transaktionspraxis hat sich dieser Umstand bislang jedoch noch nicht spürbar durchgeschlagen. Im Gegenteil. Andere Fragen, beispielsweise zu Lieferketten, die Herkunft von Geldern und Investoren, die Standhaftigkeit von international relevanten Abreden beim Target und andere Unsicherheiten haben vielmehr den Raum bei einer Transaktion in Anspruch genommen, den Cybersecurity einnehmen sollte. Richtigerweise sollte diesen „neuen“ Aspekten aber mit mindestens gleicher Aufmerksamkeit wie Fragen zur Cybersicherheit begegnet werden.

DB: Können die M&A-Transaktionen auch selbst Auslöser für Cyber-Attacken sein?

Grieger: Auf jeden Fall! Eine Transaktion ist für Cyberkriminelle oft eine günstige Gelegenheit, um mit einem Angriff zwei lohnende Ziele zu treffen. Stellen Sie sich ein kleines Start-up mit wenig Cyberresilienz und einer in der Zukunft stark umsatztreibenden Geschäftsidee vor, das von einem Konzern gekauft wird. Hacker dringen im Vorfeld der Transaktion in das Start-up ein und verweilen in dessen IT-Infrastruktur. Sie spionieren zunächst dessen Geschäftsgeheimnisse aus und könnten diese zu diesem Zeitpunkt theoretisch schon verwerten. Da keine Cyber Due Diligence durchgeführt wurde, bleibt der Angriff auf das Start-up auch unbemerkt. Nach der Transaktion werden die Strukturen des Start-up in die des Konzerns überführt. Hiernach sind die Konzern-Strukturen ebenfalls infiziert und stehen auch für die Hacker offen. Außerdem steht die innovative Geschäftsidee, deretwegen der Konzern das Start-up gekauft hat, als „Verhandlungsmasse“ für die Hacker gegenüber dem Konzern und dem Start-up zur Verfügung. In diesem Szenario hätte der Konzern mit der Infektion eigener Systeme und der Wertlosigkeit der durchgeführten Transaktion mit allen damit im Zusammenhang stehenden Nebenwirkungen zu tun. Die Verkäufer des nicht hinreichend abgesicherten Targets sähen sich den Schadenersatzansprüchen des Konzerns gegenüberstehen.

DB: Das ist tatsächlich ein erschreckendes Szenario. Welchen Rat haben Sie für Unternehmen, bei denen M&A-Transaktionen demnächst anstehen? Wie entlarvt man Schwachstellen?

Grieger: Für den Käufer: Prüfen Sie sich und das Target intensiv auf Cyberrisiken. Andernfalls laufen Sie Gefahr, sich ein infiziertes, stark im Wert vermindertes Unternehmen und schlimmstenfalls Haftung einzukaufen oder das eingekaufte Geschäftspotenzial bereits kurz nach dem Closing der Transaktion wieder zu verlieren. Der erhoffte Marktvorteil würde dann schnell zum Wettbewerbsnachteil, substanziellem Risiko und für die Unternehmensleitung zum haftungsrechtlichen Bumerang verkommen.

Für den Verkäufer: Prüfen Sie sich intensiv auf Cyberrisiken. Andernfalls werden Sie im Transaktionsprozess nicht den optimalen Preis erzielen, Aufwände haben und im Anschluss einer Transaktion umfänglich in Anspruch genommen, werden jahrelang Prozesse führen und verlieren somit, wenn nicht die wirtschaftliche Existenzgrundlage, Zeit, Geld und Reputation.

Für beide Parteien: Erweitern Sie die Transaktionsteams um einen kompetenten Dienstleister aus dem Bereich Cybersicherheit. Dieser prüft das Target, sichert die Transaktion für die Dauer der Verhandlungen und des Closings ab und findet alle neuralgischen Schwachstellen. Dies tut er beispielsweise mithilfe eines Penetrationstests und dem Einsatz eines Schwachstellenscanners. Thematisieren Sie Cybersecurity frühzeitig und reflektieren Sie das bestehende Cybersecuritylevel beziehungsweise den Soll-Status in den Unternehmenskaufvertrag.

DB: Vielen Dank für das spannende Interview!

Grieger: Sehr gern. Ich danke Ihnen!


Das Interview führte Viola C. Didier, RES JURA Redaktionsbüro

Weitere Meldungen


Finanzen, online-Banking, virtual Money
Meldung

© maxsim/fotolia.com

07.10.2022

World Payments Report 2022: Banken müssen kleine und mittlere Unternehmen mit speziellen Zahlungsverkehrsdienstleistungen unterstützen

Neue Zahlungsmethoden (Instant Payments, e-money, mobile und digitale Geldbörsen, Konto-zu-Konto, QR-Codes) sind bei den Verbrauchern auf dem Vormarsch, aber die drohende Rezession und die steigenden Inflationsraten in Verbindung mit den anhaltenden geopolitischen Problemen stellen eine ganze Reihe neuer Herausforderungen dar. Trotz dieses globalen Gegenwinds geht der World Payments Report 2022 davon aus, dass der Anteil neuer Zahlungsmethoden an den gesamten bargeldlosen Transaktionen bis 2026 von rund 17% auf rund 24% steigen wird. Doch während der Zahlungsverkehr zwischen Handel und Endkunden (B2C) floriert, wurde bisher die Wertschöpfungskette im Geschäftskundenbereich (B2B) allzu oft vernachlässigt.

World Payments Report 2022: Banken müssen kleine und mittlere Unternehmen mit speziellen Zahlungsverkehrsdienstleistungen unterstützen
M&A, Mergers, Fusion, Übernahme
Meldung

© Tim/Fotolia.com

07.10.2022

Fintech M&A seit zwei Jahren im stetigen Anstieg

Die Fintech-Branche trotzt der allgemeinen Talfahrt bei M&As. Laut des Hampleton Partners Fintech M&A Market Reports kennt das weltweite Dealvolumen im Bereich Fintech seit zwei Jahren nur eine Richtung: Bergauf. So sind die Fusionen und Übernahmen in der ersten Jahreshälfte 2022 mit 591 veröffentlichten Deals im Bereich integrierte Finanzdienstleistungen, Krypto, Blockchain und Open Banking API-Dienstleistungen stark angestiegen. Der Report verzeichnet damit einen Anstieg von 46% gegenüber dem ersten Halbjahr 2021 (406 Fintech-Deals) und einen massiven Anstieg von 70% gegenüber dem ersten Halbjahr 2019 (348 Fintech-Deals).

Fintech M&A seit zwei Jahren im stetigen Anstieg
IPO
Meldung

© moomsabuy/fotolia.com

07.10.2022

Zurückhaltung auf dem weltweiten Markt für Börsengänge hält an – IPO-Kandidaten warten auf günstigeres Umfeld

Angesichts anhaltender geopolitischer Spannungen, steigender Zinsen und einer hohen Volatilität an den Weltbörsen verharren viele IPO-Kandidaten in Wartestellung: Insgesamt wagten im traditionell schwachen dritten Quartal weltweit 355 Unternehmen den Sprung aufs Parkett – 41% weniger als im dritten Quartal des Rekordjahres 2021. Das Emissionsvolumen schrumpfte um 56% auf 50,6 Mrd. USD.

Zurückhaltung auf dem weltweiten Markt für Börsengänge hält an – IPO-Kandidaten warten auf günstigeres Umfeld

Das könnte Sie interessieren: 


REThinking Finance Abo

Haben wir Ihr Interesse für REthinking Finance geweckt?

Schon heute wissen, was für das digitale Finanzmanagement von morgen wichtig ist.
Sichern Sie sich das REthinking Finance Gratis Paket: 1 Heft + Datenbank.