Maximale Risikominimierung: Cybersicherheit bei Mergers und Akquisitionen

foto cc0 pixabay geralt händeschütteln handschlag

IT-Sicherheitsexperten raten zu einer gründlichen Überprüfung der Sicherheitsarchitektur, -prozesse und -richtlinien bei jedem M&A-Prozess.

»Mergers and Acquisitions, sprich Fusionen und Firmenübernahmen, sind nichts Ungewöhnliches in der Wirtschaft. Während die Due Dilligence, also »gebotene Sorgfalt« angelegt wird, wenn es um die Beurteilung der finanziellen Leistungsfähigkeit eines anderen Unternehmens geht, besteht in Sachen Cybersicherheit Nachholbedarf«, erklärt Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks. »Es ist an der Zeit, dass Unternehmen das gleiche Maß an Kontrolle bezüglich der IT-Sicherheit eines möglichen Übernahmekandidaten anwenden.«

Aber wo sollte der Due-Diligence-Prozess für IT-Sicherheit beginnen? Das an einer Übernahme interessierte Unternehmen muss sich vom anderen Unternehmen bestätigen lassen, dass in der Vergangenheit Investitionen in die Cybersicherheit getätigt wurden, die dem Wachstum des Unternehmens angemessen waren. Entscheidend sind dabei diese Fragen:

  • Wurden grundlegende Investitionen nicht nur für erkennungsorientierte Überwachung, sondern auch für proaktive und präventive Maßnahmen zum Schutz der Daten getätigt?
  • Gab es Investitionen, um sicherzustellen, dass Personal für Informationssicherheit bereitsteht, um das IT-Risikomanagement zu unterstützen?
  • Haben Nicht-IT-Mitarbeiter ein Cybersicherheitstraining absolviert?
  • Kann der Käufer das Vertrauen gewinnen, dass das zu übernehmende Unternehmen nicht bereits einen Sicherheitsvorfall erlitten hat?

Die Due Diligence sollte während des gesamten M&A-Prozesses beibehalten werden, insbesondere, bevor Informationen über die Übernahmeaktivitäten an die Öffentlichkeit gehen. Es ist nicht unrealistisch, dass Hacker oder skrupellose Mitarbeiter ein Unternehmensnetzwerk auf der Suche nach Informationen ausspionieren, um ihren eigenen finanziellen Gewinn zu erzielen, bevor die Übernahme öffentlich verkündet wird. Die Auswirkungen solcher Aktivitäten können erheblich sein. Daher ist es wichtig, dass der Käufer und der Übernahmekandidat dafür sorgen, dass effektive Sicherheitsmaßnahmen implementiert sind, um Datenlecks durch »undichte Stellen« im jeweils eigenen Netzwerk zu verhindern.

Die Häufung von Berichten über Sicherheitsverletzungen in den Nachrichten ist der Geschäftsführungsebene und Vorstandsetage sicher nicht entgangen. Jetzt sind die CSOs (Chief Security Officer) und CISOs (Chief Information Security Officer) gefragt, um Risiken zu minimieren, wenn größere Übernahmeprojekte anstehen. CSOs, CISOs und andere Führungskräfte, die nach Leitlinien und Empfehlungen zur Umsetzung der Cybersicherheit Ausschau halten, sollten sich bei SecurityRoundtable.org umschauen. Die Interessengemeinschaft wurde gegründet, um Best Practices, Anwendungsfälle und kompetente Beratung zu teilen, damit Führungskräfte Cyberrisiken besser managen können.