Digitale Due Diligence: Eine Anleitung für Fusionen und Übernahmen

Anzeige

Illustration: Absmeier, 12019

 

Fusionen und Übernahmen (Mergers & Acquisitions, M&As) bieten Unternehmen bedeutende Möglichkeiten, ein schnelles Wachstum zu erzielen oder Wettbewerbsvorteile zu erlangen. Diese reichen von der Bündelung von Ressourcen über die Diversifizierung des Produkt- und Dienstleistungsportfolios, die Erschließung neuer Märkte bis hin zum Erwerb neuer Technologien oder Fachkenntnisse.

Jede M&A-Transaktion ist mit einer komplexen und detaillierten Due-Diligence-Prüfung verbunden, also einer sorgfältigen Überprüfung des gesamten Unternehmens. Auf Grundlage der Erkenntnisse daraus kann abgeschätzt werden, wie aufwändig sich die Zusammenführung mit den bestehenden Geschäftsstrukturen gestalten wird. Je reibungsloser die Integrationsprozesse ablaufen, desto größer ist letztlich der Erfolg der Transaktion. Traditionell konzentriert sich die M&A-Prüfung in erster Linie auf die Bereiche Finanzen, Recht, Geschäftsbetrieb und Personalwesen. Mit zunehmend digitalen Geschäftsprozessen zeigt sich, dass Due Diligence auch im Bereich der Cybersicherheit erfolgen sollte.

Ein Weckruf in dieser Hinsicht ist der Marriott-Datenskandal aus dem Jahr 2018, der die potenziell schwerwiegenden Auswirkungen einer fehlgeschlagenen Cybersicherheits-Due-Diligence-Prüfung eindrucksvoll vor Augen führt. Durch die Übernahme von Starwood Hotels & Resorts durch Marriott im Jahr 2016 entstand eine der größten Hotelketten der Welt. Das Angebot für Marriott- und Starwood-Kunden wuchs damit auf über 5.500 Hotels in 100 Ländern. Marriott hatte zu diesem Zeitpunkt allerdings keine Kenntnis davon, dass die IT-Systeme von Starwood bereits 2014 kompromittiert worden waren. Erst im November 2018 stellte Marriott schließlich fest, dass Unbekannte bereits seit Jahren über die betroffene Reservierungsdatenbank von Starwood Zugriff auf die persönlichen Daten von etwa 339 Millionen Gästen weltweit hatten.

Die britische Datenschutzaufsichtsbehörde ICO stellte in ihrem Ermittlungsbericht fest, dass Marriott beim Kauf von Starwood nicht genügend Sorgfalt walten ließ und mehr hätte tun müssen, um seine Systeme zu sichern. Weiterhin verkündete sie dazu vor einem Jahr die Absicht, die Hotelkette für diesen Verstoß gegen die DSGVO mit einer Strafzahlung von 99 Millionen Pfund belegen zu wollen.

 

Erfordernis einer digitalen Due Diligence

Heutzutage sind Unternehmen jeder Größe in wachsendem Maße auf Cloud-basierte Tools, IoT und digitale Verbindungsservices angewiesen, um ihre Kunden zu betreuen und Geschäftsprozesse abzuwickeln. Folglich eröffnet die verstärkte Konnektivität Cyberkriminellen mehr Möglichkeiten, böswillige Angriffe zu starten, Daten zu stehlen oder zu versuchen, den Geschäftsbetrieb zu stören. Daher ist die Durchführung einer detaillierten Prüfung und Bewertung der Cybersicherheit von entscheidender Bedeutung, um kritische Schwachstellen aufzudecken, die sich als Dealbreaker erweisen könnten. Ratsam ist dabei eine Vorgehensweise, die unmittelbar bei den Daten ansetzt und ausgehend davon die damit verbundenen Strukturen und Prozesse bewertet:

  1. Kenntnis der eigenen Systeme

Zunächst benötigen Organisationen, die sich an M&A-Aktivitäten beteiligen, völlige Transparenz über ihre eigenen IT-Systeme, bevor sie eine belastbare Einschätzung anderer vornehmen können. So können übergreifende Sicherheitsrichtlinien für beide Strukturen geschaffen werden. Dies bildet die Grundlage für eine Integrationsstrategie, die die Entstehung neuer Schwachstellen ausschließt, wenn Plattformen, Lösungen und Dienstleistungen zusammengeführt werden. Zu einem sicheren IT-Ökosystem zählen die Durchsetzung granularer Sicherheitsrichtlinien, die Verschlüsselung von Daten, Echtzeitschutz vor Datenverlusten, Benutzerzugriffskontrollen sowie kontinuierliche Überwachung.

  1. Inventur der Datenbestände

Eine Bestandsaufnahme aller Daten ist der erforderliche erste Schritt, um zu verstehen, welche Daten gesammelt werden, wie und wo sie gespeichert werden und wie lange sie aufbewahrt werden, bevor sie entsorgt werden. Daran lassen sich vor allem bei internationalen Unternehmen Einblicke in lokal gültige Gesetzesvorgaben und interne Regelungen gewinnen. Dabei helfen DLP-Funktionen (Data Loss Prevention) bei der Identifizierung von sensiblen und regulatorischen Datenmustern, die potenziell gefährdet sind. Ebenso hilfreich sind Aktivitätsprotokolle, die alle Benutzer-, Anwendungs- und Dateiaktivitäten detailliert aufzeichnen.

Um möglichen, bislang nicht offengelegten Datenschutzverletzungen auf den Grund gehen zu können, sollten sämtliche interne und externe Audits und Beurteilungen zur Cybersicherheit herangezogen werden. Sie können ein Licht auf die möglichen Schwächen der bestehenden Sicherheitsmaßnahmen werfen und helfen so bei der Einschätzung des Risikopotenzials.

  1. Entwicklung einer integrativen Security-Strategie

Nachdem festgestellt wurde, welche Daten geschützt werden müssen und wo sie gespeichert sind, besteht die nächste Herausforderung darin zu verstehen, wer Zugriff auf die Daten hat, was mit ihnen geschieht und welche Geräte für den Zugriff verwendet werden. Effektive Cybersicherheit hängt davon ab, alle sensiblen Daten innerhalb jeder Anwendung, auf jedem Gerät und überall schützen zu können. Damit verbunden ist eine angemessene Sichtbarkeit aller Endpoints, Webdestinationen, Geräte und Anwendungen – zusammen mit Zugriffsrichtlinien, die sicherstellen, dass nur autorisierte Benutzer Zugang zu sensiblen Daten erhalten.

Die detaillierte Evaluation aller IT-Systeme und Netzwerk-Endpoints im Unternehmen ist notwendig, um planen zu können, wie beide Einheiten ihre IT-Systeme und Prozesse kombinieren und nach der Integration einen reibungslosen Geschäftsablauf gewährleisten können. Beispielsweise muss ermittelt werden, wieviel Aufwand nötig ist, um bestehende Schwachstellen in der Sicherheitsarchitektur auszubessern und die zusammengeführte Infrastruktur resilient gegen Risiken zu machen.

 

Zuverlässige IT-Verwaltung als Erfolgsfaktor

Eine gut organisierte IT-Verwaltung vereinfacht letztendlich Due-Diligence-Verfahren für alle Beteiligten und bildet somit einen Erfolgsfaktor unternehmerischen Handelns. Um geeignete Bewertungsmaßstäbe für Sicherheit und Datenschutz entwickeln zu können, ist es eine wichtige Voraussetzung, dass Unternehmen auch bei ihren eigenen Systemen hohen Standards genügen. Andernfalls besteht die Gefahr, dass sie eigene Versäumnisse in noch größere Strukturen integrieren und schwerwiegende Schäden entstehen. Eine zuverlässig verwaltete IT-Landschaft ist also im Interesse aller Unternehmen – sowohl denjenigen, die expandieren wollen als auch denen, die geeignete Käufer anziehen wollen.

Anurag Kahol, CTO, Bitglass

 

22 Artikel zu „Due Diligence“

Sicherheit und Datenschutz: IT-Prognosen für das Jahr 2020

Der Aufstieg der verwundbaren Maschinen Im Jahr 2020 wird die Robotik-Prozessautomatisierung (RPA) ihren umwälzenden Aufstieg weiter fortsetzen und sich noch stärker in unserem Alltag verankern. Bis Ende 2019 prognostiziert Gartner, dass der Umsatz mit der Robotik-Prozessautomatisierung die 1,3 Milliarden US-Dollar-Marke knacken wird. Für das neue Jahr wird sogar ein noch stärkeres Wachstum erwartet. Allerdings gibt…

Beitrag zur Wahrung des Vertragsfriedens: Benchmarking-Klauseln – Wettbewerbsfähigkeit langfristig absichern

In Verträgen sind immer häufiger Benchmarking-Klauseln verankert, die einen gegenseitigen Vertrauensvorschuss in eine gute Zusammenarbeit der Vertragspartner darstellen sollen. Sie eröffnen den Vertragspartnern die Möglichkeit, Anpassungen an technische Entwicklungen, marktübliche Leistungsumfänge und Preisentwicklungen vornehmen zu können.

7 Fragen für einen effizienten CISO: Die Datenschutzresolution 2019

Wir schreiben das Jahr 2019. Daten sind omnipräsent und allein mit unseren Fingerspitzen agieren wir hochgradig transformativ. Das ändert, wie wir unsere Geschäftstätigkeit betrachten, macht uns produktiver und vereinfacht an vielen Stellen unser Leben. Sei es, dass wir sicher nach Hause finden, Lebensmittel online bestellen können oder entscheiden, was wir wann auf welchem Gerät ansehen.…

Blick in die Sicherheits-Kristallkugel für 2019

  Der Schutz von Kundendaten sollte an oberster Stelle stehen. Händler müssen grundlegende Sicherheitsmaßnahmen, wie Verschlüsselung an jedem Kontaktpunkt einsetzen, innerhalb der gesamten Lieferkette, am Einkaufsort und am Bestimmungsort. Für Unternehmen ist es unerlässlich, sich auf Kryptographie-Ansätze für das Zeitalter der Quantenrechner und die Post-Quantum-Welt zu vorzubereiten. 2019 könnte der Höhepunkt im Hype-Zyklus um Blockchain…

M&A: Pragmatische Bestimmung der IT-Carve-out-Kosten – effektiv, zügig und hinreichend präzise

Zu Beginn der Ausgliederung eines Unternehmensbereichs steht neben allgemeinen Leitlinien und der übergeordneten Programmstruktur eine Kostenabschätzung im Fokus. Die Trennung der IT (ein sogenannter IT-Carve-out) spielt dabei eine entscheidende Rolle, da die IT in den meisten Unternehmen das Rückgrat der Geschäftstätigkeiten ist und typischerweise in einem Carve-out die höchsten Trennungskosten im Vergleich zu allen anderen…

Überraschungen vermeiden – Startklar für die IT-Transition

Eine IT-Transition, das heißt der Übergang von IT-Services vom Bestandsdienstleister zu einem neuen IT-Dienstleister, ist nicht selten die erste Zerreißprobe für die neue Partnerschaft. Eng getaktete Migrations- und Projektpläne geben wenig Spielraum für Überraschungen. Um diese von vornherein zu vermeiden, ist eine frühzeitige und konsequente Analyse der Transition-Fähigkeit des Auftraggebers notwendig.

Anti-Korruption: mehr als nur Oben den richtigen Ton angeben

Die wachsende Anzahl und die Komplexität von Anti-Korruptionsmaßnahmen erhöht den Druck auf Unternehmen, die Vorschriften einzuhalten. Anti-Korruptionrichtlinien, -prozesse und -verfahren müssen nicht nur im Unternehmen implementiert werden, sondern in der gesamten Supply Chain. Unternehmen können kaum darauf hoffen, das alles mit manuellen Prozessen und Siloanwendungen zu erreichen. Eine aktuelle Umfrage zeigt, dass es durchaus Raum…

Viele Unternehmen setzen IT-Sicherheits-Ausgaben fälschlicherweise mit dem Reifegrad ihrer IT-Security gleich

Chief Information Security Officers (CISO) müssen Risiken bewerten und den »realen« Sicherheitsetat identifizieren. Laut den aktuellen IT-Key-Metrics-Daten des IT-Research und Beratungsunternehmens Gartner haben Unternehmen durchschnittlich 5,6 Prozent des gesamten IT-Budgets für IT-Sicherheits- und Risikomanagement ausgegeben. Die Ausgaben der Unternehmen für IT-Sicherheit bewegen sich im Bereich von 1 bis 13 Prozent des IT-Etats und stellen damit…

Maximale Risikominimierung: Cybersicherheit bei Mergers und Akquisitionen

IT-Sicherheitsexperten raten zu einer gründlichen Überprüfung der Sicherheitsarchitektur, -prozesse und -richtlinien bei jedem M&A-Prozess. »Mergers and Acquisitions, sprich Fusionen und Firmenübernahmen, sind nichts Ungewöhnliches in der Wirtschaft. Während die Due Dilligence, also »gebotene Sorgfalt« angelegt wird, wenn es um die Beurteilung der finanziellen Leistungsfähigkeit eines anderen Unternehmens geht, besteht in Sachen Cybersicherheit Nachholbedarf«, erklärt Thorsten…

Korruption ist schlecht fürs Geschäft

In regelmäßigen Abständen erschüttern Korruptionsskandale die Öffentlichkeit und beschädigen das Image mancher Unternehmen und der Wirtschaft als Ganzes. Aber nicht nur die Reputation leidet – in vielen Unternehmen beeinträchtigen Korruptionsrisiken die Geschäftsentwicklung und lassen auch M&A-Transaktionen scheitern. Das belegen die Ergebnisse einer weltweiten Umfrage des Beratungsunternehmens AlixPartners zum Thema Anti-Korruption [1]: 90 % der befragten…

KI-Augmentierung macht den Arbeitsplatz effizienter

Eine Enterprise-Search-Lösung hilft Unternehmen, Informationssilos aufzubrechen und allen Mitarbeitern einen schnellen und ganzheitlichen Zugang zu den benötigten Daten zu verschaffen. Ein Spezialist im Bereich Enterprise Search- und KI-Software, nennt fünf typische Anwendungsbeispiele für KI-Augmentierung [1]. Augmentierung wird im Softwarebereich immer wichtiger: Künstliche Intelligenz erweitert dabei die menschliche Intelligenz. KI-Verfahren wie Machine Learning und fortgeschrittene Textverständnis-Methoden…

KI-Umsatz: Künstliche Intelligenz rechnet sich

Ist künstliche Intelligenz (KI) die Zukunft? Darauf gibt es zwei Antworten: ja, vielleicht, wenn damit echtes intelligentes Verhalten gemeint ist und ja, ganz bestimmt, wenn damit Advanced Analytics und Machine Learning gemeint sind. Im letzteren Sinne beeinflussen KI-Anwendungen schon heute die Entwicklung von Industrien und Branchen. Das geht aus einer Analyse des Startups Appanion hervor…

Rohde & Schwarz Cybersecurity und Utimaco bieten hardwaregestützte Sicherheit in der Cloud

Mit der Kombination von R&S Trusted Gate des IT-Sicherheitsexperten Rohde & Schwarz Cybersecurity und dem High-Security-Modul von Utimaco bieten die beiden Unternehmen jetzt auch hardwaregestützte Sicherheit in der Cloud. Kryptografisches Material kann separat in einem Hardware-Sicherheitsmodul generiert werden. Somit steht den Kunden zukünftig auch eine zusätzliche Hardwareoption zur Einhaltung höchster Sicherheitsanforderungen mittels R&S Trusted Gate…

Quantencomputing-Effekte einfach nutzen – Digital Annealing revolutioniert Problemlösungen

Quantencomputer haben zweifellos das Potenzial, die IT-Welt nachhaltig zu verändern. Denn sie bieten eine vielfach höhere Rechenleistung als konventionelle Rechner. Doch bislang sind Quantenrechner wegen ihrer komplexen Technologie meist nur in Forschungslaboren anzutreffen. Lösungen wie der Quantencomputing-inspirierte Digital Annealer machen diese Quantencomputing-Effekte für Unternehmen einfach nutzbar.

Supercomputer: Rechner »Summit« hat die Power von 78.000 Playstations

Die weltweit leistungsfähigsten Rechnersysteme werden als Supercomputer bezeichnet. Die meisten dieser digitalen Giganten finden ihren Einsatz in der Industrie. Hier berechnen sie u.a. komplexe Simulationen. Die Infografik zeigt die Rechenleistung der leistungsstärksten Supercomputer weltweit im November 2018. Der Rechner »Summit« vom Hersteller IBM erzielt eine Leistung von rund 143.500 TeraFLOPS (21,23 Billiarden FLOPS). FLOPS steht…

Über kurz oder lang braucht jedes Unternehmen ein Service Mesh

Der Status Quo beim Service Mesh. Das Istio-Projekt geht als Pionier voran. Cloudbasierte Anwendungen sind heutzutage keine monolithischen Gebilde mehr, sondern bestehen aus Microservices und Containern. Die in viele kleine Teile, sogenannte Microservices, zerlegten Anwendungen sind, jeweils in einer eigenen schlanken und sehr portablen virtuellen Umgebung untergebracht, dem Container. Dies bietet technologisch einen großen Mehrwert,…

Sicherheitskultur als unternehmerischer Ansatz

Vorhersagen sind ein schwieriges Unterfangen, gerade in der zuweilen chaotisch anmutenden Welt der Cybersicherheit. Die Bedrohungslandschaft weitet sich aus. Offensive und defensive Technologien entwickeln sich weiter, und auch nationalstaatlich initiierte Angriffe werden nicht nur mehr, sondern auch raffinierter. Dieser Beitrag beschäftigt sich damit, wie Firmen eine Sicherheitskultur als unternehmerischen Ansatz etablieren und stärken können. Was…

Digitalisierung erobert den Aufsichtsrat

Kommunikation über sichere Board-Portale inzwischen weit verbreitet. Wie digital und sicher kommunizieren Aufsichtsräte und Vorstände? Diese Frage untersucht die europaweit durchgeführte Studie »Boardkommunikation und -digitalisierung« von EY (ehemals Ernst & Young), Brainloop, der HHL Leipzig Graduate School of Management und der Philipps-Universität Marburg. Befragt wurden 2.800 Unternehmen in BeNeLux, DACH, Frankreich, Skandinavien, UK und Irland.…

»Implementierung von IoT-Lösungen: Planung ist alles«

»Das Internet der Dinge (Internet of Things, IoT) verspricht, Milliarden von Geräten unkompliziert mit dem Internet zu verbinden. Die meisten zugrundeliegenden Technologien wie Mobilfunk, WLAN, Bluetooth, Datenverwaltung, Speichermedien und natürlich IT-Sicherheitssoftware gibt es seit mehr als einem Jahrzehnt. IoT sollte daher eigentlich ein simples Thema darstellen. Der Teufel steckt allerdings immer im Detail. 75 Prozent…

90 Prozent aller Industriezweige sind von Patientendaten-Verletzungen betroffen

Das Problem gestohlener medizinischer Informationen ist weiter verbreitet als zunächst angenommen: 18 von 20 untersuchten Industriezweigen sind laut »2015 Protected Health Information Data Breach Report« davon betroffen [1]. Dabei ist den wenigsten Organisationen außerhalb des Gesundheitssektors überhaupt bewusst, dass sich derartige Daten in ihrem Besitz befinden. Verbreitete Quellen für Gesundheitsinformationen sind Mitarbeiterdatensätze (die unter anderem…