Fehlende Cybersecurity kann schlimmstenfalls zum Dealbreaker beim M&A-Deal werden.

Thinkstock / Getty Images

23.07.14
Finanzabteilung

Cybersecurity wird zum Dealbreaker bei M&A-Deals

Das Thema Cybersecurity erfährt bei M&A-Deals eine immer größere Bedeutung. Es ist zu einem der wichtigsten Dealbreaker geworden, wie eine Untersuchung der Kanzlei Freshfields Bruckhaus Deringer zeigt, die FINANCE exklusiv vorliegt.

Cybersecurity wird immer wichtiger: Nicht erst seit der NSA-Affäre und dem angezapften Handy von Angela Merkel ist das Thema auf dem Radar der Öffentlichkeit. Immer mehr Unternehmen werden Opfer der sogenannten Cybercrimes. Phishing, Data Leakage und Co. spielen auch im Bereich M&A eine immer größere Rolle. Durch eine Panne in der Datenhortung kann nicht nur der Ruf, sondern auch Bares verloren gehen.

Die Kanzlei Freshfields Bruckhaus Deringer (FBD) hat in einer Studie, die FINANCE exklusiv vorliegt, weltweit 214 Entscheidungsträger  im M&A-Bereich zu dem Thema befragt. 78 Prozent der Teilnehmer glauben, dass Cybersecurity bei M&A-Deals im Laufe des Due-Diligence-Prozess  nur ungenügend analysiert werde.

64 Prozent geben an, ein Cyber-Vorfall während der Deal-Abwicklung oder das Entdecken eines Datenverstoßes während des Due-Diligence-Prozess könnten einen Effekt auf die Verhandlungen haben. Die wahrscheinlichsten Folgen seien dabei Gewährleistungsansprüche (59 Prozent), eine Änderung der Verträge (55 Prozent) oder eine Reduzierung des Deal-Volumens (45 Prozent).Ganze 80 Prozent glauben sogar, ein Geschäft könne aufgrund einer Sicherheitslücke im IT-Bereich ganz zusammenbrechen.

Cybersecurity: Es drohen empfindliche Strafen

Zwar liegt das Problem aktuell eher darin, dass fast jedes Unternehmen früher oder später Opfer eines Cyberangriffs werden wird, wie der renommierte Sicherheitsexperte Al Lakhani bei FINANCE-TV erklärte.  Aber bei Unternehmenskäufen ist es auch denkbar, dass das potentielle Target selbst in Cyber-Verbrechen verwickelt ist.

Ein neues Gesetz der Europäischen Union sollte CFOs dafür sensibilisieren, sich den im Cyperspace lauernden Risiken anzunehmen. Dem neuen Gesetz zufolge können die Strafen für Cyber-Verbrechen zwischen 2 und 5 Prozent der weltweiten Einnahmen eines Unternehmens liegen. 57 Prozent der von Freshfields Befragten erwarten daher eine wachsende Bedeutung von Cyber-Sicherheit in Due-Diligence-Prozessen in den nächsten 18 Monaten.

Dabei ist das Problem Cybersecurity der FBD-Studie zufolge längst erkannt: 87 Prozent der Teilnehmer geben an, dass Cybersecurity Bestandteil der Überprüfung von IT-Systemen bei einem M&A-Deal sei. Jedoch würden IT-Risiken nicht als eigene Risikokategorie klassifiziert. Auch Günter Degitz, Forensik-Experte vom Beratungsunternehmen AlixPartners, sagte in einem FINANCE-Interview, es sei wichtig, das Thema Cyber-Sicherheit aus der IT auszugliedern und ins Risikomanagement aufzunehmen.

Ein weiteres Problem scheint Zeitdruck zu sein: Zwar nutzen 71 Prozent der Umfrageteilnehmer Cyberspace-Due-Diligence-Experten, wenn das Volumen des M&A-Deals 500 Millionen Dollar übersteige. Dennoch geben 66 Prozent an, es sei aufgrund der zeitlichen Belastung „sehr schwer“, Cyberrisiken ausreichend zu quantifizieren.

So umgeht man Cyberrisiken

Um eine möglichst effektive Due Diligence im Bereich Cybersecurity durchzuführen, empfiehlt FBD zunächst zu beziffern, welche Daten die zu übernehmende Firma besitzt, wie wertvoll diese sind und wie sie am besten geschützt und genutzt werden können. Des Weiteren müsse man die vorhandenen Daten verschlüsseln beziehungsweise Firewalls um sie herum aufbauen, um diese vor dem Zugriff von „Hackern“ zu schützen. Manche Unternehmen beauftragen auch bewusst Hacker mit der Durchführung von Angriffen auf die eigene Infrastruktur, um die Sicherheit ihrer IT-Netze zu testen.

Auch die Verträge mit Drittparteien müssten bei einem M&A-Deal überprüft werden. So können externe Sicherheitslücken ermittelt und behoben werden. Die Budgets für solche Maßnahmen sind aber häufig knapp.

Dabei verlassen sich die Unternehmen hauptsächlich auf zwei Sicherheitsprozeduren. 65 Prozent der europäischen Befragten (USA: 57 Prozent) nutzen Online-Datenräume, 63 Prozent aller Umfrageteilnehmer Projekt-Passwörter. Nur 30 Prozent der europäischen Antwortgeber (USA: 28 Prozent) nutzen demnach die sicherste Methode: Biometrische Identifikation.

Eines der größten Risiken stellen immer noch die Mitarbeiter dar. 33 Prozent der europäischen Teilnehmer der FBD-Umfrage geben an, ihre Deal-Teams speziell zum Thema Cyberrisiken zu schulen. Das Hauptrisiko entstehe laut FBD nicht durch Whistleblower wie Edward Snowden, sondern durch unvorsichtigen Umgang mit den sensiblen Daten. Eine der fehleranfälligsten Komponenten – der Mensch – wird der Studie zufolge weiterhin weitgehend ignoriert.

jakob.eich[at]finance-magazin.de