Wenn Unternehmen andere Unternehmen übernehmen, stehen nicht nur die Finanzkennzahlen auf dem Prüfstand. Auch der Stand der IT-Sicherheit spielt bei einem sogenannten M&A-Deal eine immer wichtigere Rolle. Worauf hier besonders zu achten ist und welche Folgen eventuelle Mängel haben können, beleuchten wir hier.
Wie gehören M&A und IT-Sicherheit zusammen?
Mergers & Acquisitions (M&A) sind strategische Prozesse, bei denen zwei Unternehmen fusionieren oder ein Unternehmen ein anderes kauft. Diese Transaktionen sind häufig darauf ausgerichtet, Marktanteile zu erhöhen, neue Technologien zu erwerben oder geografisch zu expandieren.
In einer zunehmend digitalisierten Welt spielt die IT-Sicherheit eine immer wichtigere Rolle – auch bei M&A-Deals! Unternehmen benötigen resiliente IT-Infrastrukturen, um Geschäftsdaten, Kundendaten und vertrauliche Informationen zu schützen. Erfolgreiche Cyber-Angriffe gefährden den Erfolg einer Firma und damit Mergers & Acquisition-Transaktionen.
Daher wird der Stand der IT-Sicherheit in einem M&A-Prozess in der Regel bereits in der Due-Diligence-Phase – also bei der ersten Unternehmensprüfung – untersucht. Diese Phase ist entscheidend, da potenzielle Käufer alle Aspekte des Zielunternehmens durchleuchten, um Risiken zu identifizieren.
_______
Florian Bröder, Geschäftsführer der FB Pro, dazu:
“Ein Unternehmen, das heute aus betriebswirtschaftlicher Sicht sehr gute Zahlen hat und daher ein interessantes Kaufobjekt ist, kann morgen aufgrund eines Cyber-Angriffs nichts mehr wert sein. Darüber hinaus entstehen möglicherweise weitere Risiken für den Käufer. Daher gehört eine fachlich fundierte Bewertung der technischen und organisatorischen IT-Sicherheitsmaßnahmen zu jedem M&A-Deal”._______
IT-Sicherheitsprobleme in einem M&A-Prozess: Was können die Folgen sein?
Werden bei einem IT-Audit mangelhafte Sicherheitsmaßnahmen, Datenlecks oder Compliance-Verstöße gefunden, hat das unter anderem diese Folgen:
Vor dem M&A-Deal
Wenn IT-Sicherheitsprobleme während der Due-Diligence-Phase entdeckt werden, führt das unter Umständen zu Nachverhandlungen, Preisnachlässen oder sogar zum Abbruch des Deals. Der oder die Käufer könnten also den Kaufpreis senken oder zusätzliche Garantien und Verpflichtungen fordern, um die Risiken zu minimieren.
Während des M&A-Deals
IT-Systeme, die Sicherheitslücken und Schwachstellen aufweisen, erschweren die Integration in andere Systemlandschaften. Verzögerungen und hohe Kosten sind die Folge. Außerdem kann es zu – möglichweise sehr kostspieligen – Sicherheitsvorfällen kommen.
Nach dem M&A-Deal
Unentdeckte Sicherheitsprobleme können langfristige Schäden verursachen. Dies umfasst finanzielle Verluste durch Sicherheitsvorfälle, rechtliche Konsequenzen aufgrund von Compliance-Verstößen und Reputationsverluste, die das Vertrauen von Kunden, Partnern und Investoren beeinträchtigen.
_____
Ein einfacher Praxis-Tipp
Sie möchten wissen, wie gut ein IT-System “gehärtet” ist? Schnell transparente Berichte automatisiert erzeugen, um den Status der angewendeten Systemkonfiguration zu messen – das geht mit unserem kostenfreien AuditTAP.
Von daher: Im Rahmen eines M&A-Deals von verschiedenen Referenz-Systemen einen AuditTAP-Bericht anfordern und auswerten. Alles unter 40% Compliance zu standardisierten Frameworks sollte näher beleuchtet werden!
_____
M&A: Wer haftet bei den Mängeln in der IT-Sicherheit?
Die Haftung für IT-Sicherheitsprobleme betrifft sowohl das Management des verkaufenden Unternehmens als auch die neuen Eigentümer:
-
- Was leider vergessen wird: IT-Sicherheit sollte immer Chefsache sein! Denn Geschäftsführer haften persönlich, wenn sie ihre Sorgfaltspflichten vernachlässigen (vgl. auch NIS2). Wenn nach dem Verkauf Sicherheitsvorfälle auftreten, die auf unzureichende Sicherheitsmaßnahmen oder Vernachlässigung der IT-Sicherheit zurückzuführen sind, folgen rechtliche Konsequenzen und oft auch vertraglich vereinbarte Pönalen / Strafen.
- Die neuen Eigentümer müssen erhebliche Summen investieren, um Sicherheitslücken zu schließen und Compliance-Anforderungen zu erfüllen. Sie haften für finanzielle Verluste und rechtliche Strafen, wenn Sicherheitsprobleme nicht rechtzeitig erkannt und behoben werden.
Wie lassen sich IT-Sicherheitsprobleme beseitigen?
Wie so oft ist proaktives Handeln besser als ein verzögertes Reagieren. Deshalb sollten Sie in allen Phasen eines M&A-Prozesses, der sich über viele Monate oder gar Jahre hinziehen kann, Ihre “Datenschätze” bestmöglich und gemäß den aktuellen Regularien schützen.
Orientieren Sie sich zum Beispiel an den Vorgaben des BSI-Grundschutz und der ISO 27001, zudem haben Sie Branchenstandards wie BAIT/VAIT/KAIT/ZAIT, DORA oder TISAX einzuhalten!
______
Lesetipp: Möchten Sie wissen, wie Sie Abweichungen bei einem ISO 27001 Audit vermeiden können? Dieser Ratgeber hilft Ihnen weiter: Configuration Management gemäß ISO 27001:2022
______
Vor dem M&A-Deal
-
- Systeme zur Angriffserkennung (SzA) sind Pflicht. Und ein regelmäßiges IT-Sicherheitsaudit hilft zusätzlich, Schwachstellen in der IT-Infrastruktur zu identifizieren und zu beheben.
- Arbeiten Sie mit IT-Security-Experten zusammen, um potenzielle Risiken zu erkennen und effektive Sicherheitsmaßnahmen zu implementieren.
- Sichern Sie Ihre Systeme präventiv ab, zum Beispiel mit einer Systemhärtung, und sorgen Sie für eine professionelle Angriffserkennung.
Während des M&A-Deals
-
- Implementieren Sie (falls noch nicht vorhanden) spätestens jetzt Systeme zur kontinuierlichen Überwachung der IT-Sicherheitslage, um Bedrohungen frühzeitig zu erkennen und darauf zu reagieren.
- Optimieren Sie fortwährend Ihre Maßnahmen zur Verbesserung der Informationssicherheit. Spielen Sie zum Beispiel so schnell wie möglich Updates ein und setzen Sie die Anforderungen von neuen Regularien um.
- Planen Sie ein ordentliches IT-Budget für die Zeit nach dem M&A-Deal ein. Denn auch nach der Übernahme oder Fusion müssen weiterhin Informationssicherheit, Datenschutz und Compliance erfüllt werden.
Nach dem M&A-Deal
-
- Führen Sie regelmäßig Sicherheitsüberprüfungen durch, um sicherzustellen, dass die IT-Systeme den aktuellen Bedrohungen und regulatorischen Anforderungen entsprechen.
- Sensibilisieren und schulen Sie alle bestehenden und neuen Mitarbeiter regelmäßig, damit diese über die aktuellen Sicherheitsbedrohungen und -Cybersecurity-Praktiken informiert sind.
- Bleiben Sie weiterhin mit Hochdruck am Thema “IT-Sicherheit” dran – und das auf allen Ebenen!
Fazit
Die IT-Sicherheit spielt eine zentrale Rolle bei M&A-Deals und kann den Erfolg einer Transaktion maßgeblich beeinflussen. Als Geschäftsführer, der sein Unternehmen verkaufen möchte, müssen Sie sicherstellen, dass Ihre IT-Infrastruktur robust und sicher ist. Ein gründliches Sicherheitsaudit, die Einbeziehung von Experten und die Implementierung moderner Sicherheitsprotokolle sind eminent wichtig, um potenzielle Risiken zu minimieren.
Die frühzeitige und kontinuierliche Überprüfung der IT-Sicherheit schützt nicht nur sensible Daten, sondern stärkt auch das Vertrauen der Käufer und gewährleistet einen reibungslosen Übergang.
____________
Möchten Sie wissen, wie gut Ihre IT-Systeme “gehärtet” sind und damit den aktuellen Compliance-Vorgaben entsprechen? Dann machen Sie einen Check mit dem AuditTAP! Das Tool können Sie kostenlos herunterladen und nutzen.
Wollen Sie Ihre Systeme nachhaltig schützen? Wenden Sie sich gerne an uns, wir unterstützen Sie bei der Implementierung einer automatisierten Systemhärtung.
Bild: Freepik