Merger & Acquisitions Prozess - Betrachtung der Sicherheitsaspekte

Merger & Acquisitions Prozess

Betrachtung der Sicherheitsaspekte

Flavio Gerbino
von Flavio Gerbino
am 17. November 2016
Lesezeit: 13 Minuten

Keypoints

  • Aufkauf und Übernahme von Unternehmen ist Teil einer wirtschaftlichen Entwicklung
  • Cybersicherheit und -risiken werden dabei oft ausser Acht gelassen
  • Eine durchdringende Sicherheitsbetrachtung ist jedoch essentiell
  • Datenschutz und das Need-to-Know Prinzip muss dabei gewahr werden
  • Andernfalls werden Schwächen und Risiken der Bereiche zusammengeführt

Systeme, welche sich nicht kontinuierlich anpassen und verändern, sind dem Untergang geweiht. Was wir aus der Evolution kennen, ist auch für das Biotop der Unternehmen analog gültig. Daher sind Merger and Acquisitions (M&A), welche die Märkte, Börsen und die Wirtschaft derzeit wieder verstärkt treffen, wichtige Faktoren im Wirtschaftskreislauf. Es wäre falsch, Fusionswellen als ein Hazard-Spiel von Aktienspekulanten und Managern zu interpretieren. Es können sich schliesslich nicht alle Start-Ups zu Konzernen weiterentwickeln, und diese wiederum können nicht ohne weiteres zu internationalen Marktführern heranwachsen. Grössere Firmen müssen ebenfalls kontinuierlich Produkte und Know-how zukaufen, damit sie ihre Position behaupten und verteidigen können. Die natürliche Selektion, the struggle for life und das survival of the fittest der Evolution gilt deshalb besonders auch für Unternehmen.

Solche Fusions- und Übernahmewellen werden für die Allgemeinheit meist erst bemerkbar, wenn sie in Form von Multi-Millionen-Transaktionen mediale Schlagzeilen machen – so wie es eben momentan der Fall ist. Doch eine Ebene darunter sind oft seit längerem in verschiedenen Unternehmensbereichen Konsolidierungsprozesse im Gang, die viel stetiger ablaufen. So dementsprechend auch in der Informationssicherheit, die gerade eine Festigung erlebt.

Diese kontinuierlichen Bereinigungen, die wenig beachtet werden, finden seit der Finanzkriese verstärkt statt und haben Restrukturierungen, ein geändertes Geschäftsumfeld und neue regulatorische Massnahmen zur Folge. Diese Anpassungen betreffen auch den erhöhten Stellenwert der Informationssicherheit bzw. der Cybersicherheit im Unternehmen. Diese neue Awareness und Attention für Informations- und Cybersicherheit sowie ihr erhöhter Stellenwert im Unternehmen wiederspiegelt sich aber nur ungenügend bei M&A Aktivitäten.

Gegenwärtige Situation

Im Moment ist die Aktivität im Pharma-, Medtech- und Telekommunikations-Bereich ziemlich gross. Dabei geht es um Akquisitionen, aber auch um Portfoliobereinigungen, sprich Veräusserungen. Aber auch im Finanzbereich geschieht viel. Dies sind jedoch oft kleine Transaktionen, wie der Verkauf von Bereichen oder Teams, die diskret und unter dem Radar der Öffentlichkeit stattfinden. Auch Aktionärsaktivisten treten vermehrt in Aktion, wobei man als aussenstehender oft gar nicht erkennt, aus welchem Grund ein Management sein Unternehmen umgestalten will, Teile abstosst und andere zukauft.

Während die Due Dilligence erforderliche Sorgfalt bei M&A-Aktivitäten einen extrem hohen Stellenwert geniesst, wenn es um die Beurteilung der finanziellen Kapazität eines potentiellen Übernahmekandidaten geht, besteht bezüglich der Beurteilung der Informations- und Cybersicherheit und der dadurch implizierten Risiken ein gravierender Rückstand.

Im Kontrast zur bisher meist dominierenden Meinung zu M&A könnte man auch davon ausgehen, dass nicht Kostensynergien als alleiniger Erfolgsfaktor für M&A primär Vordergrund stehen, sondern dass durch Kauf oder Fusion zukünftig Kernkompetenzen optimal genutzt bzw. gestärkt werden können. Dies sollte vor allem auch die Informations- und Cybersicherheits Fähigkeiten und Kompetenzen betreffen.

So gesehen sollte sich der Erfolg bei Firmenübernahmen als grösser erweisen, wenn die erworbenen Einheiten Kernkompetenzen des kaufenden Unternehmens stärken und nicht nur ergänzen. Dies gilt wohl besonders auch für die Informationssicherheit.

Initiale Ansatzpunkte der Risikobetrachtung

An welcher Stelle eines M&A Prozesses bzw. der Due-Diligence-Aktivitäten sollten Erwägungen und Überprüfungen der Risiken und der Informationssicherheit nun ansetzen?

Primär sollte beachtet werden, dass Kauf und Verkauf von Unternehmen per se schon zwei bedeutende Angriffsvektoren für Wirtschaftsspionage und Cyber-Kriminelle einschliessen. Dieser Umstand wird in gängigen M&A-Aktivitäten nur ungenügend berücksichtigt. Dabei ist es evident, dass gerade diese zwei Risikospots im Überprüfungsverfahren bzw. Bewertungsprozess der Informationssicherheit und deren Risiken, detailliert und akkurat betrachtet werden müssen, genauso wie im Due Dilligence-Prozess Marktpotential, finanzielle Verbindlichkeiten, Unternehmensentwicklung oder technologische Maturität etc. bewertet werden.

Es ist für Käufer heute eigentlich zwingend, bei der Risikoprüfung des zu kaufenden Unternehmens das Thema Cybersicherheit nunmehr mit Bestimmtheit zu einem signifikanten Schlüssel-Element zu avancieren. Da sich dieser Faktor in Zukunft mit Sicherheit zunehmend und ausgeprägt auf die Unternehmensbewertung und schliesslich den Kaufpreis auswirken wird.

Obwohl es allen klar sein dürfte, dass Cyber-Risiken den Kaufwert frappant reduzieren können (wie es auch einige öffentliche Beispiele in jüngster Zeit zeigen) und obwohl durch Angriffe aus dem Cyberspace innert kurzer Zeit beträchtliche Vermögenswerte vernichtet werden können, wird Cybersicherheit dennoch nicht eingehend, systematisch und detailliert in der Due Diligence (autonom oder als Teil davon) untersucht!

Eine optimierte und mit Risikoaspekten der Informations- und Cybersicherheit bereicherte Perspektive sollte daher über die Due Diligence hinaus, während des gesamten M&A-Prozesses eingenommen und aufrecht erhalten werden – Besonders aber auch bevor Übernahmeaktivitäten publik werden. Es ist absolut denkbar, dass Cyberkriminelle, Hacker oder frustrierte Mitarbeitende durch unangemessene Geheimhaltungs- bzw. Sicherheitsvorkehrungen oder durch vorsätzliches Auskundschaften des Unternehmensnetzwerks M&A-Indizien aufzuspüren versuchen, um einen persönlichen finanziellen Gewinn zu erzielen, bevor eine Übernahme de facto publik wird.

Die Konsequenzen solcher Aktivitäten könnten – nebst extrem negativer Publicity – erheblich sein. Daher ist es zwingend, dass der Käufer und der Übernahmekandidat gemeinsam dafür Sorge tragen, dass effektive Sicherheitsmassnahmen implementiert werden, um potentielle Datenlecks durch undichte Stellen, seien diese nun technischer oder organisatorischer Art, in der eigenen Organisation, im jeweiligen Netzwerk und im Infrastrukturkontext gezielt zu unterbinden.

Datenschutz kommt bei Überprüfung im M&A zu kurz

Bei M&A Aktivitäten werden unterschiedlichsten Beteiligten geschäftskritische und sensible Informationen und Daten zur Verfügung gestellt. Im Transaktionsprozess involvierte Unternehmen, die in einem Konkurrenzverhältnis zueinander stehen bzw. ganz andere Interessenslagen vertreten, können dadurch auch an vertrauliche Unterlagen gelangen. Daher ist hier im Umgang mit Informationen und Daten besondere Sorgfalt von Nöten.

Was daher gefordert ist, ist die Beschränkung der Datenzugriffe auf das für den Zweck der Unternehmensprüfung notwendige Mass. Die Interessen der betroffenen Mitarbeiter, Kunden und Lieferanten müssen gewahrt werden. Dies erfordert ein gutes Ausbalancieren der Need-to-know Anforderungen.

Die Unternehmensprüfung, besonders die für die IT-Systeme und Datenbestände des zu erwerbenden Unternehmens, darf nicht ungeregelt geschehen. Vielmehr muss vorab genau überlegt werden, welche Datenzugriffe wirklich erforderlich sind und welche Daten nicht offenbart werden müssen.

Die Assessments finden bei einem M&A-Projekt oft vor Ort statt. Dennoch ist regelmässig ein umfangreicher Datenaustausch zu erwarten. Gerade vor dem Beginn des eigentlichen Projektes werden intensiv Daten ausgetauscht, um eine adäquate Sondierung zu ermöglichen. Ausserdem werden diverse Beteiligte einbezogen, die dann ebenfalls Daten zur Prüfung erhalten.

Ein unkontrollierter, freier Zugang der Prüfer auf Systeme und Daten des angebotenen Unternehmens muss verunmöglicht werden. Entscheidend sind dabei die Prinzipien der Datensparsamkeit, des Datenschutzes und der Beschränkung auf die wirklich erforderlichen Daten. Sowie auch ein sicherer Datenaustausch über abgesicherte Kanäle (Verschlüsselung), und eine systematische Löschung der Daten nach deren Zweckerfüllung.

Indikatoren für angemessene Sicherheit und Risiken

Die folgende Auflistung zeigt beispielhaft einige der Kernpunkte, die als Grundlage für die Risikobeurteilung, systematisch betrachtet werden sollten:

Konkret müssen also folgende Fragen beantwortet werden:

Phasen eines M&A-Prozesses

Phase 1: vom Screening zur Verhandlung
Screening Suche nach geeigneten Zielunternehmen.
Targeting Zielunternehmen wurde identifiziert und festgelegt.
Preparation Strategischer Detailinformationen sammeln oder sogar schon erste Kaufaktivität von Aktien, um bereits einen Anteil zu halten.
Contact & NDA Owner und Managament (Non-Disclosure-Agreement).
Negotiation Erste Verhandlungen, Gemeinsame Vision oder feindlichen Übernahme (Hostile Takeover).
Phase 2: Letter of Intent bis Deal-Design
Letter of Intent / Memorandum of Understanding Unterzeichnung eine rechtlich nicht bindende Grundsatzvereinbarung, in der der Interessent oder im Fall des “Memorandum of Understanding” beide Partner der zukünftigen Transaktion ihre Absicht dokumentieren.
Due-Diligence Mit dem Ziel, alle kritischen Einflussfaktoren auf den wirklichen Wert des Unternehmens zu ermitteln. Dazu sollten heute auch die akkurate Überprüfung der Cyber-Risiken und IT-Risiken, gehören: Identifizieren der Untersuchungsgebiete, Zuweisung von IT-Funktionen zur Überprüfung der Due Diligence-Dokumentation, IT-Anforderungen identifizieren, IT-Kostenfaktoren und Werte bestimmen (Menschen, Prozesse, Anwendungen, Infrastruktur).
Deal Design Auf der Grundlage der Due Dillingance Resultate inklusive Kaufpreis und Anteilsverhältnisse der Eigentümer.
Phase 3: Signing Day – Geschäftsabschluss
Tag-1 Dies ist der Tag, an dem die Verträge unterschrieben wurden, rechtskräftig geworden sind und die Durchführung der erforderlichen Transaktionsaktivitäten beginnt.
Post-Merger Integration Integration für Akquisitionen oder Separation für Veräusserungen: Integrations- bzw. Trennplan definieren, Governance einrichten, Definieren der Baseline Integrations- bzw. Separations-Anforderungen, IT-Strategie und Planung, Datensegregation und Anwendungs-Dispositionsplanung, IT-Integration bzw. Trennung Projektmanagement. Blueprint Ausführung, IT-Transaction-Ausführung und Management, Überwachung und Controlling und Berichtwesen, Übertragung von Drittverträgen, Vermögenswerten und Lizenzen.

Post-Merger Integration bestimmt Erfolg

Die Integrationsbestrebungen müssen sich primär um die Verzahnung des operativen Geschäfts kümmern. Dazu zählen insbesondere die Zusammenführung von Geschäftsprozessen und komplexen IT-Systemen – hierbei darf eben auch eine solide Sicherheitskonzipierung nicht vernachlässigt werden.

Die betroffenen Unternehmen sollten während der Integration des Tagesgeschäfts das operative Management kontinuierlich begleiten und unterstützen. In der Zusammenführung des operativen Tagesgeschäfts auf Grundlage optimierter Geschäftsprozesse sowie permanenter Unterstützung durch das Integrationsmanagement liegt ein zentraler Schlüssel zur echten Verwirklichung der beabsichtigten Synergien. Diese operative Integration muss als klar definierter und systematisch strukturierter Prozess geführt werden. Dies ermöglicht eine durchgängige Integration der unterstützenden Systeme und der vielfältigen Sicherheitsthemen.

Eine zu hohe Integrationsgeschwindigkeit kann den Erfolg ebenfalls nachhaltig beeinträchtigen. Dabei ist die Frustration, Demotivation und Überforderung der Mitarbeiter nur einer von vielen gravierenden Nachteilen. Denn wer mit überhöhter Geschwindigkeit integriert, riskiert, dass bedeutende Prozesse und Tasks nur im Ansatz, zu oberflächlich bzw. gar nicht durchgeführt werden. Als Folge nimmt auch das hohe Risiko von Fehlentscheidungen zu, wenn man besonders die Informationssicherheit betreffend, ohne klare Leitlinien und überstürzt agiert.

Die Verzahnung der Managements und der Schlüsselrollen ist für Unternehmen, die bei M&A Vorhaben Erfolge erzielen wollen, weit mehr als das Zusammenschieben von Organigrammen. Auch hier müssen Sicherheitsverantwortliche auf Level des Top-Managements mitreden können, damit Sicherheitsziele und Risiken nicht vernachlässigt werden.

Fazit

Der Kerngedanke von M&A ist die Schaffung von Synergien, d.h. die Schaffung eines Wertes, der grösser ist als die Summe der Teile der kombinierenden Unternehmen. Dabei spielt Konvergenz eine wichtige Rolle.

Konvergenz bezeichnet im Allgemeinen das sich-aufeinander-zu-entwickeln von zwei oder mehreren an sich divergierende Ausgangszuständen. So gesehen sollte Konvergenz auch für alle M&A-Aktivitäten charakteristisch sein. Doch wenn nun die Risiken zweier Unternehmen im M&A-Prozess kombiniert werden, erhöht sich das Risiko für beide. Nicht nur die Schwachstellen und Sicherheitslücken sind in jedem Unternehmen verschieden, sondern auch die Prioritäten bezüglich möglicher Sicherheitsstrategien. Bei einer Fusion müssen diese daher in Einklang gebracht werden und genau das wird hier unter Konvergenz verstanden und bildet wohl die grösste Herausforderung im Rahmen der Sicherheitsbetrachtungen.

Gelingt dies nicht, ist zu befürchten, dass eigentlich erkannte Probleme noch lange vor sich hergeschoben werden. Das passt zur Signatur von komplexen M&A-Prozessen, bei denen Sicherheit keinen entsprechenden Stellenwert einnimmt. Das Vertagen und Aufschieben von Problemen wird mit ihrer Lösung verwechselt. Man kauft sich Zeit, man tut so, als gewinne man Spielräume, aber man nutzt sie nicht – unterdessen türmen sich die Berge ungelöster Probleme am Horizont immer höher auf und mit ihnen auch die Risiken.

Über den Autor

Flavio Gerbino

Flavio Gerbino ist seit Ende der 1990er Jahre im Bereich der Informationssicherheit tätig. Seine Schwerpunkte liegen im Bereich der strategischen Ausrichtung und des Managements der Sicherheit eines Unternehmens.

Links

Herausforderung Datenschutz-Grundverordnung DSGVO?

Unsere Spezialisten kontaktieren Sie gern!

×
Crypto-Malware

Crypto-Malware

Ahmet Hrnjadovic

TIBER-EU Framework

TIBER-EU Framework

Dominik Altermatt

Vertrauen und KI

Vertrauen und KI

Marisa Tschopp

Datenverschlüsselung in der Cloud

Datenverschlüsselung in der Cloud

Tomaso Vasella

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv