Security Testing
Tomaso Vasella
Merger & Acquisitions Prozess
Betrachtung der Sicherheitsaspekte
Lesezeit: 13 Minuten
Keypoints
- Aufkauf und Übernahme von Unternehmen ist Teil einer wirtschaftlichen Entwicklung
- Cybersicherheit und -risiken werden dabei oft ausser Acht gelassen
- Eine durchdringende Sicherheitsbetrachtung ist jedoch essentiell
- Datenschutz und das Need-to-Know Prinzip muss dabei gewahr werden
- Andernfalls werden Schwächen und Risiken der Bereiche zusammengeführt
Systeme, welche sich nicht kontinuierlich anpassen und verändern, sind dem Untergang geweiht. Was wir aus der Evolution kennen, ist auch für das Biotop der Unternehmen analog gültig. Daher sind Merger and Acquisitions (M&A), welche die Märkte, Börsen und die Wirtschaft derzeit wieder verstärkt treffen, wichtige Faktoren im Wirtschaftskreislauf. Es wäre falsch, Fusionswellen als ein Hazard-Spiel von Aktienspekulanten und Managern zu interpretieren. Es können sich schliesslich nicht alle Start-Ups zu Konzernen weiterentwickeln, und diese wiederum können nicht ohne weiteres zu internationalen Marktführern heranwachsen. Grössere Firmen müssen ebenfalls kontinuierlich Produkte und Know-how zukaufen, damit sie ihre Position behaupten und verteidigen können. Die natürliche Selektion, the struggle for life und das survival of the fittest der Evolution gilt deshalb besonders auch für Unternehmen.
Solche Fusions- und Übernahmewellen werden für die Allgemeinheit meist erst bemerkbar, wenn sie in Form von Multi-Millionen-Transaktionen mediale Schlagzeilen machen – so wie es eben momentan der Fall ist. Doch eine Ebene darunter sind oft seit längerem in verschiedenen Unternehmensbereichen Konsolidierungsprozesse im Gang, die viel stetiger ablaufen. So dementsprechend auch in der Informationssicherheit, die gerade eine Festigung erlebt.
Diese kontinuierlichen Bereinigungen, die wenig beachtet werden, finden seit der Finanzkriese verstärkt statt und haben Restrukturierungen, ein geändertes Geschäftsumfeld und neue regulatorische Massnahmen zur Folge. Diese Anpassungen betreffen auch den erhöhten Stellenwert der Informationssicherheit bzw. der Cybersicherheit im Unternehmen. Diese neue Awareness und Attention für Informations- und Cybersicherheit sowie ihr erhöhter Stellenwert im Unternehmen wiederspiegelt sich aber nur ungenügend bei M&A Aktivitäten.
Gegenwärtige Situation
Im Moment ist die Aktivität im Pharma-, Medtech- und Telekommunikations-Bereich ziemlich gross. Dabei geht es um Akquisitionen, aber auch um Portfoliobereinigungen, sprich Veräusserungen. Aber auch im Finanzbereich geschieht viel. Dies sind jedoch oft kleine Transaktionen, wie der Verkauf von Bereichen oder Teams, die diskret und unter dem Radar der Öffentlichkeit stattfinden. Auch Aktionärsaktivisten treten vermehrt in Aktion, wobei man als aussenstehender oft gar nicht erkennt, aus welchem Grund ein Management sein Unternehmen umgestalten will, Teile abstosst und andere zukauft.
Während die Due Dilligence erforderliche Sorgfalt bei M&A-Aktivitäten einen extrem hohen Stellenwert geniesst, wenn es um die Beurteilung der finanziellen Kapazität eines potentiellen Übernahmekandidaten geht, besteht bezüglich der Beurteilung der Informations- und Cybersicherheit und der dadurch implizierten Risiken ein gravierender Rückstand.
Im Kontrast zur bisher meist dominierenden Meinung zu M&A könnte man auch davon ausgehen, dass nicht Kostensynergien als alleiniger Erfolgsfaktor für M&A primär Vordergrund stehen, sondern dass durch Kauf oder Fusion zukünftig Kernkompetenzen optimal genutzt bzw. gestärkt werden können. Dies sollte vor allem auch die Informations- und Cybersicherheits Fähigkeiten und Kompetenzen betreffen.
So gesehen sollte sich der Erfolg bei Firmenübernahmen als grösser erweisen, wenn die erworbenen Einheiten Kernkompetenzen des kaufenden Unternehmens stärken und nicht nur ergänzen. Dies gilt wohl besonders auch für die Informationssicherheit.
Initiale Ansatzpunkte der Risikobetrachtung
An welcher Stelle eines M&A Prozesses bzw. der Due-Diligence-Aktivitäten sollten Erwägungen und Überprüfungen der Risiken und der Informationssicherheit nun ansetzen?
Primär sollte beachtet werden, dass Kauf und Verkauf von Unternehmen per se schon zwei bedeutende Angriffsvektoren für Wirtschaftsspionage und Cyber-Kriminelle einschliessen. Dieser Umstand wird in gängigen M&A-Aktivitäten nur ungenügend berücksichtigt. Dabei ist es evident, dass gerade diese zwei Risikospots im Überprüfungsverfahren bzw. Bewertungsprozess der Informationssicherheit und deren Risiken, detailliert und akkurat betrachtet werden müssen, genauso wie im Due Dilligence-Prozess Marktpotential, finanzielle Verbindlichkeiten, Unternehmensentwicklung oder technologische Maturität etc. bewertet werden.
Es ist für Käufer heute eigentlich zwingend, bei der Risikoprüfung des zu kaufenden Unternehmens das Thema Cybersicherheit nunmehr mit Bestimmtheit zu einem signifikanten Schlüssel-Element zu avancieren. Da sich dieser Faktor in Zukunft mit Sicherheit zunehmend und ausgeprägt auf die Unternehmensbewertung und schliesslich den Kaufpreis auswirken wird.
Obwohl es allen klar sein dürfte, dass Cyber-Risiken den Kaufwert frappant reduzieren können (wie es auch einige öffentliche Beispiele in jüngster Zeit zeigen) und obwohl durch Angriffe aus dem Cyberspace innert kurzer Zeit beträchtliche Vermögenswerte vernichtet werden können, wird Cybersicherheit dennoch nicht eingehend, systematisch und detailliert in der Due Diligence (autonom oder als Teil davon) untersucht!
Eine optimierte und mit Risikoaspekten der Informations- und Cybersicherheit bereicherte Perspektive sollte daher über die Due Diligence hinaus, während des gesamten M&A-Prozesses eingenommen und aufrecht erhalten werden – Besonders aber auch bevor Übernahmeaktivitäten publik werden. Es ist absolut denkbar, dass Cyberkriminelle, Hacker oder frustrierte Mitarbeitende durch unangemessene Geheimhaltungs- bzw. Sicherheitsvorkehrungen oder durch vorsätzliches Auskundschaften des Unternehmensnetzwerks M&A-Indizien aufzuspüren versuchen, um einen persönlichen finanziellen Gewinn zu erzielen, bevor eine Übernahme de facto publik wird.
Die Konsequenzen solcher Aktivitäten könnten – nebst extrem negativer Publicity – erheblich sein. Daher ist es zwingend, dass der Käufer und der Übernahmekandidat gemeinsam dafür Sorge tragen, dass effektive Sicherheitsmassnahmen implementiert werden, um potentielle Datenlecks durch undichte Stellen, seien diese nun technischer oder organisatorischer Art, in der eigenen Organisation, im jeweiligen Netzwerk und im Infrastrukturkontext gezielt zu unterbinden.
Datenschutz kommt bei Überprüfung im M&A zu kurz
Bei M&A Aktivitäten werden unterschiedlichsten Beteiligten geschäftskritische und sensible Informationen und Daten zur Verfügung gestellt. Im Transaktionsprozess involvierte Unternehmen, die in einem Konkurrenzverhältnis zueinander stehen bzw. ganz andere Interessenslagen vertreten, können dadurch auch an vertrauliche Unterlagen gelangen. Daher ist hier im Umgang mit Informationen und Daten besondere Sorgfalt von Nöten.
Was daher gefordert ist, ist die Beschränkung der Datenzugriffe auf das für den Zweck der Unternehmensprüfung notwendige Mass. Die Interessen der betroffenen Mitarbeiter, Kunden und Lieferanten müssen gewahrt werden. Dies erfordert ein gutes Ausbalancieren der Need-to-know Anforderungen.
Die Unternehmensprüfung, besonders die für die IT-Systeme und Datenbestände des zu erwerbenden Unternehmens, darf nicht ungeregelt geschehen. Vielmehr muss vorab genau überlegt werden, welche Datenzugriffe wirklich erforderlich sind und welche Daten nicht offenbart werden müssen.
Die Assessments finden bei einem M&A-Projekt oft vor Ort statt. Dennoch ist regelmässig ein umfangreicher Datenaustausch zu erwarten. Gerade vor dem Beginn des eigentlichen Projektes werden intensiv Daten ausgetauscht, um eine adäquate Sondierung zu ermöglichen. Ausserdem werden diverse Beteiligte einbezogen, die dann ebenfalls Daten zur Prüfung erhalten.
Ein unkontrollierter, freier Zugang der Prüfer auf Systeme und Daten des angebotenen Unternehmens muss verunmöglicht werden. Entscheidend sind dabei die Prinzipien der Datensparsamkeit, des Datenschutzes und der Beschränkung auf die wirklich erforderlichen Daten. Sowie auch ein sicherer Datenaustausch über abgesicherte Kanäle (Verschlüsselung), und eine systematische Löschung der Daten nach deren Zweckerfüllung.
Indikatoren für angemessene Sicherheit und Risiken
Die folgende Auflistung zeigt beispielhaft einige der Kernpunkte, die als Grundlage für die Risikobeurteilung, systematisch betrachtet werden sollten:
- Datensicherheit: Um zu identifizieren, ob die etablierte Identifizierung und Klassifizierung sensibler Daten, geistigen Eigentums und Unternehmenswerten zur Sicherheit beitragen.
- Access Control: Um sicherzustellen, dass Richtlinien und Prozesse das Risiko eines unerlaubten Zugriffs auf sensitive Daten tatsächlich minimieren.
- Bedrohungserkennung und -abwehr: Um zu prüfen, wie das Sicherheitsdispositiv moderne, komplexe Angriffe erkennen, analysieren, eskalieren, abwehren und eindämmen kann.
- Infrastruktursicherheit: Um einen Überblick über die Verwaltung des Netzwerks und der Systeme und Zusammenhänge der Dienstleistungen zu erhalten und das Risiko einer Kompromittierung zu mindern.
Konkret müssen also folgende Fragen beantwortet werden:
- Kennt das Unternehmen ihre wesentlichen Assets? Prominente Vorfälle von Cyberevents demonstrieren deutlich, dass Unternehmen ihre Daten gar nicht klassifizieren, so dass Sie ausserstande sind, zu deklarieren was ihnen wichtig ist. Meist erfährt man pauschal, dass eben alles sehr wichtig sei. Selbstverständlich ist es von grosser Bedeutung die wesentliche Assets genauestens zu kennen und zu schützen. Deshlab sollte den Überprüfungen der Sicherheitsvorkehrungen und der Massnahmen in diesem Kontext besondere Aufmerksamkeit gewidmet werden.
- Ist ein adäquates Risk Management vorhanden und gibt es daraus abgeleitet ein realistisches Bild der möglichen (branchenspezifischen) Bedrohungen? Leider sind sich nicht alle Unternehmen bewusst, welchen Cyber-Risiken sie ausgesetzt sein könnten. Fehlt eine klare Disposition, kann davon ausgegangen werden, dass auch die bestehende Sicherheitsmassnahmen nicht die benötigte Wirksamkeit entfalten können, oder nicht ausreichend beziehungsweise nicht konsistent aufeinander abgestimmt sind, um eben realen Bedrohungen entgegenzuwirken.
- Existieren elementare Sicherheitsprozesse? Technische Sicherheit genügt bei weitem nicht. Gelebte und erprobte Sicherheitsprozesse entscheiden mitunter direkt über das Risiko, einen hohen finanzielle Schaden zu erleiden. Vor allem der souveräne Umgang mit akuten Cyberevents und Incidents ist ein Schlüsselkriterium bei der Bewertung der Cyberkompetenz eines Unternehmens. Ein weitere zuverlässiger Indikator für gute Sicherheitsprozesse ist der Umgang mit Identity- und Access Management, besonders bzgl. privilegierter Accounts.
- Wie ist der Implementierungsgrad technischer Schutzmassnahmen? Wie ist die Sicherheits-Technologie ausgelegt? Dazu gehört die Betrachtung der IT-Strategie bis hin zur Architektur, zum Netzwerk, zu den Zonierungen, Development, Malware Protection, Intrusion Prevention etc. sind wichtige Ansatzpunkte. Entscheidend ist dabei auch, dass die meisten technischen Schutzvorkehrungen heute umgegangen werden können, muss der Fokus besonders darauf gelegt werden, ob ein Unternehmen Lösungen etabliert hat, mit denen Intrusions und ungewollte Aktivitäten schnellstmöglich detektiert werden können. Denn die Zeit von der Erkennung bis zur Beseitigung eines Cyberevents wird in Zukunft über die Höhe des potentiellen Schadens entscheiden.
- Mit welchen Sicherheitsvorfällen war das Unternehmen seiner bisherigen Geschichte konfrontiert? Da es auch gut geschützte Unternehmen nicht erspart bleibt von Sicherheitsvorfällen betroffen zu sein, stellt die Analyse und Nachbearbeitung vergangener Vorfälle, einen weiteren aussagekräftigen Indikator dar, wie es um die Sicherheitsqualität in einem Unternehmen steht. Welche Vorfälle sind wann erfolgt und vor allem, wie hat das Unternehmen darauf reagiert? Konnte die Reputation wiederhergestellt werden, wurde rechtliche und regulatorischer Requirements und die Kommunikation nach aussen adäquat gemeistert? Wurde aus den Vorfällen entsprechende Lehren gezogen, die zur Verbesserung des Sicherheitsdispositives geführt haben?
Phasen eines M&A-Prozesses
| Phase 1: vom Screening zur Verhandlung | |
|---|---|
| Screening | Suche nach geeigneten Zielunternehmen. |
| Targeting | Zielunternehmen wurde identifiziert und festgelegt. |
| Preparation | Strategischer Detailinformationen sammeln oder sogar schon erste Kaufaktivität von Aktien, um bereits einen Anteil zu halten. |
| Contact & NDA | Owner und Managament (Non-Disclosure-Agreement). |
| Negotiation | Erste Verhandlungen, Gemeinsame Vision oder feindlichen Übernahme (Hostile Takeover). |
| Phase 2: Letter of Intent bis Deal-Design | |
| Letter of Intent / Memorandum of Understanding | Unterzeichnung eine rechtlich nicht bindende Grundsatzvereinbarung, in der der Interessent oder im Fall des “Memorandum of Understanding” beide Partner der zukünftigen Transaktion ihre Absicht dokumentieren. |
| Due-Diligence | Mit dem Ziel, alle kritischen Einflussfaktoren auf den wirklichen Wert des Unternehmens zu ermitteln. Dazu sollten heute auch die akkurate Überprüfung der Cyber-Risiken und IT-Risiken, gehören: Identifizieren der Untersuchungsgebiete, Zuweisung von IT-Funktionen zur Überprüfung der Due Diligence-Dokumentation, IT-Anforderungen identifizieren, IT-Kostenfaktoren und Werte bestimmen (Menschen, Prozesse, Anwendungen, Infrastruktur). |
| Deal Design | Auf der Grundlage der Due Dillingance Resultate inklusive Kaufpreis und Anteilsverhältnisse der Eigentümer. |
| Phase 3: Signing Day – Geschäftsabschluss | |
| Tag-1 | Dies ist der Tag, an dem die Verträge unterschrieben wurden, rechtskräftig geworden sind und die Durchführung der erforderlichen Transaktionsaktivitäten beginnt. |
| Post-Merger Integration | Integration für Akquisitionen oder Separation für Veräusserungen: Integrations- bzw. Trennplan definieren, Governance einrichten, Definieren der Baseline Integrations- bzw. Separations-Anforderungen, IT-Strategie und Planung, Datensegregation und Anwendungs-Dispositionsplanung, IT-Integration bzw. Trennung Projektmanagement. Blueprint Ausführung, IT-Transaction-Ausführung und Management, Überwachung und Controlling und Berichtwesen, Übertragung von Drittverträgen, Vermögenswerten und Lizenzen. |
Post-Merger Integration bestimmt Erfolg
Die Integrationsbestrebungen müssen sich primär um die Verzahnung des operativen Geschäfts kümmern. Dazu zählen insbesondere die Zusammenführung von Geschäftsprozessen und komplexen IT-Systemen – hierbei darf eben auch eine solide Sicherheitskonzipierung nicht vernachlässigt werden.
Die betroffenen Unternehmen sollten während der Integration des Tagesgeschäfts das operative Management kontinuierlich begleiten und unterstützen. In der Zusammenführung des operativen Tagesgeschäfts auf Grundlage optimierter Geschäftsprozesse sowie permanenter Unterstützung durch das Integrationsmanagement liegt ein zentraler Schlüssel zur echten Verwirklichung der beabsichtigten Synergien. Diese operative Integration muss als klar definierter und systematisch strukturierter Prozess geführt werden. Dies ermöglicht eine durchgängige Integration der unterstützenden Systeme und der vielfältigen Sicherheitsthemen.
Eine zu hohe Integrationsgeschwindigkeit kann den Erfolg ebenfalls nachhaltig beeinträchtigen. Dabei ist die Frustration, Demotivation und Überforderung der Mitarbeiter nur einer von vielen gravierenden Nachteilen. Denn wer mit überhöhter Geschwindigkeit integriert, riskiert, dass bedeutende Prozesse und Tasks nur im Ansatz, zu oberflächlich bzw. gar nicht durchgeführt werden. Als Folge nimmt auch das hohe Risiko von Fehlentscheidungen zu, wenn man besonders die Informationssicherheit betreffend, ohne klare Leitlinien und überstürzt agiert.
Die Verzahnung der Managements und der Schlüsselrollen ist für Unternehmen, die bei M&A Vorhaben Erfolge erzielen wollen, weit mehr als das Zusammenschieben von Organigrammen. Auch hier müssen Sicherheitsverantwortliche auf Level des Top-Managements mitreden können, damit Sicherheitsziele und Risiken nicht vernachlässigt werden.
Fazit
Der Kerngedanke von M&A ist die Schaffung von Synergien, d.h. die Schaffung eines Wertes, der grösser ist als die Summe der Teile der kombinierenden Unternehmen. Dabei spielt Konvergenz eine wichtige Rolle.
Konvergenz bezeichnet im Allgemeinen das sich-aufeinander-zu-entwickeln von zwei oder mehreren an sich divergierende Ausgangszuständen. So gesehen sollte Konvergenz auch für alle M&A-Aktivitäten charakteristisch sein. Doch wenn nun die Risiken zweier Unternehmen im M&A-Prozess kombiniert werden, erhöht sich das Risiko für beide. Nicht nur die Schwachstellen und Sicherheitslücken sind in jedem Unternehmen verschieden, sondern auch die Prioritäten bezüglich möglicher Sicherheitsstrategien. Bei einer Fusion müssen diese daher in Einklang gebracht werden und genau das wird hier unter Konvergenz verstanden und bildet wohl die grösste Herausforderung im Rahmen der Sicherheitsbetrachtungen.
Gelingt dies nicht, ist zu befürchten, dass eigentlich erkannte Probleme noch lange vor sich hergeschoben werden. Das passt zur Signatur von komplexen M&A-Prozessen, bei denen Sicherheit keinen entsprechenden Stellenwert einnimmt. Das Vertagen und Aufschieben von Problemen wird mit ihrer Lösung verwechselt. Man kauft sich Zeit, man tut so, als gewinne man Spielräume, aber man nutzt sie nicht – unterdessen türmen sich die Berge ungelöster Probleme am Horizont immer höher auf und mit ihnen auch die Risiken.
Über den Autor
Links
Herausforderung Datenschutz-Grundverordnung DSGVO?
Unsere Spezialisten kontaktieren Sie gern!
×
Active Directory-Zertifikatsdienste
Eric Maurer
Fremde Workloadidentitäten
Marius Elmiger
Active Directory-Zertifikatsdienste
Eric Maurer
Sie brauchen Unterstützung bei einem solchen Projekt?
Unsere Spezialisten kontaktieren Sie gern!