6 Minuten Lesezeit 11 März 2024
Cyberkriminalität mit Laptop und Tablet

Wie Cyberkriminelle den Verkauf von Unternehmen gefährden

Autoren
Martin Hampel

Director Strategy and Transactions, EY Strategy & Transactions GmbH | Deutschland

Martin Hampel ist gebürtiger Leipziger mit großer Leidenschaft für Software, Cybersecurity und Transaktionen. Er findet seinen Ausgleich vor allem beim Fahrradfahren und in den Bergen.

Wolfgang Eidt

Director Technology Consulting | Cybersecurity, EY Consulting GmbH | Deutschland

Director im Bereich Technology Consulting Cybersecurity; Fachgebiete: Sicherheitsstrategie, Cybersecurity in Transaktionen und Risikomanagement

6 Minuten Lesezeit 11 März 2024
Verwandte Themen Cybersecurity Forensic & Integrity Services Mergers and Acquisitions
Gefällt mir

Weitere Materialien

Mit gezielten Sicherheitsmaßnahmen zunehmenden Bedrohungen durch Cyberkriminalität bei Unternehmenstranskationen entgegentreten. 

Überblick

  • Cyberangriffe während oder unmittelbar nach einer Transaktion sind kein Zufall.
  • Bei einem Carve-out sind zusätzlich Kontrahentenrisiken sowie Risiken durch geringere Aufmerksamkeit des Managements und der Mitarbeitenden zu beachten.
  • Unter anderem können ein Cybersecurity-Separationsplan, ein Awareness-Training und eine Data Governance die Risiken deutlich reduzieren.

Angesichts von 493 Millionen versuchten Ransomware-Angriffen im Jahr 2022  herrscht für Cyberkriminelle nach wie vor Hochkonjunktur, während dies für die betroffenen Unternehmen existenzgefährdend wird. Vor allem die Betriebsunterbrechung, im Durchschnitt 24 Tage bei einem erfolgreichen Angriff , kostet viel Geld und kann mitunter existenzbedrohend sein. Aber was hat das Ganze mit einer Transaktion zu tun?

Hochkonjunktur

493 Mio.

versuchte Ransomwareangriffe gab es 2022.

Die Nachrichtenlage rund um geplante M&A-Deals erleichtert es den Angreifern erheblich, geeignete Ziele zu identifizieren. Vor allem der Verkauf eines Unternehmens, insbesondere ein Carve-out, ist für Kriminelle attraktiv. Mit der Androhung der Veröffentlichung streng vertraulicher oder sensibler Informationen können hohe Summen erpresst werden. Es geht schlicht und einfach um viel Geld und das mögliche Risiko eines Gesichtsverlusts für alle Beteiligten.

Im November 2021 sah sich das FBI genötigt, eine entsprechende Warnung zu veröffentlichen: Sehr wahrscheinlich nutzen Cyberkriminelle finanzielle Ereignisse wie Transaktionen, um Unternehmen gezielt mittels Ransomware anzugreifen. 

Ein bekanntes Beispiel ist die 2020 gescheiterte 650-Millionen-Dollar-Übernahme eines Zulieferunternehmens für die Luftfahrtindustrie durch einen Mitbewerber. Nach Bekanntgabe der geplanten Akquisition im Mai 2018 durch den Käufer wurde das Target einen Monat später Opfer eines Ransomware-Angriffs, der unter anderem eine Geschäftsunterbrechung inklusive einer vorübergehenden Schließung der Werke erzwang. Für den Transaktionsprozess bedeutete der Angriff eine erhebliche Verzögerung, hohe Preisabschläge und die Hinterlegung von 40 Millionen US-Dollar auf einem Treuhandkonto. Letztendlich scheiterte der Deal mehr als zwei Jahre später, zumal die Branche mit Auftragseinbrüchen im Zuge der Corona-Pandemie zu kämpfen hatte. Der Zulieferer wurde zwei Jahre später von einem anderen Unternehmen übernommen.

Zusätzliche Risiken im Rahmen eines Carve-outs

Zusätzlich zu bereits vorhandenen Cyberrisiken, die ständig und somit unabhängig von einer Transaktion bestehen, müssen Kontrahentenrisiken und transaktionsbedingte Risiken im Rahmen eines Carve-outs berücksichtigt werden:

Das Kontrahentenrisiko (engl. „counterparty risk“) kennt man eigentlich aus dem Finanz- und Kreditwesen. Man versteht darunter das Risiko, dass ein Kreditnehmer gewährte Kredite nicht oder nur unvollständig zurückzahlt. Im Kontext von Cybersecurity und Carve-outs beschreibt es das Risiko die Situation, dass die Verkaufs- und Übergangsprozesse beim Käufer beginnen und eine der beiden Vertragsparteien nicht bereit beziehungsweise nicht in der Lage ist, bewährte Cybersicherheitspraktiken sowie konkret vereinbarte Anforderungen vor und nach Tag 1 zu erfüllen. Dies gilt vor allem für den Schutz gemeinsam genutzter Technologie, im Besonderen IT und OT. Auf diese Weise entsteht auch für die andere Partei ein Risiko, obwohl sie kaum Kontrolle über das Risiko hat oder es vielleicht nicht einmal kennt. Schon eine unzureichende Vorbereitung des Carve-outs, eine Integration durch ein unerfahrenes und allgemein mit Cybersecurity überfordertes Team oder unnötig lange Transitional Service Agreements bei unzureichendem Schutzniveau können ein Kontrahentenrisiko nach sich ziehen.

Existenzbedrohend

24 Tage

dauerte im Durchschnitt eine Betriebsunterbrechung bei einem erfolgreichen Angriff.

Unnötig lange Transitional Service Agreements bei unzureichendem Schutzniveau können ein Kontrahentenrisiko nach sich ziehen.

Transaktionsbedingte Risiken entstehen einerseits, wie bereits anfänglich beschrieben, durch die bloße Ankündigung einer Transaktion. Besonders betroffen sind Unternehmen mittlerer Größe, deren Schutzniveau oft weit entfernt von dem eines Großunternehmens ist. Kriminelle sehen genügend finanziellem Spielraum zur Zahlung eines Lösegeldes im Bereich von 1 Million Euro oder höher. Dass ein Cyberangriff negative Auswirkungen auf die Verhandlungen hat, nehmen die Kriminellen nicht nur billigend in Kauf, es ist auch Teil des Kalküls in Erwartung höherer Zahlungsbereitschaft.

Weitere transaktionsbedingte Risiken haben vor allem mit Veränderungen durch den Verkauf zu tun. Bereits mit der Ankündigung einer Transaktion beginnt für viele Beschäftigte eine Phase der Unsicherheit in Kombination mit zusätzlichen Aufgaben und jeder Menge Ablenkung durch die Kommunikation im Zuge des Verkaufs. Parallel konzentriert sich das Management auf den Abschluss der Transaktion und die Trennung. Phishing-Tests, die EY während einer solchen Phase durchgeführt hat, haben ein um 50 Prozent erhöhtes Risiko ergeben, dass Mitarbeitende Opfer eines solchen Angriffs werden , der meist der Vorbereitung der eigentlichen Cyberattacke dient. Bei unzureichendem Schutzniveau genügt es, wenn bereits ein Mitarbeiter sein Passwort unwissentlich an die Angreifer weitergibt oder eine mit Malware infizierte Datei anklickt. Hinzu kommt: Unzufriedene Mitarbeitende könnten vertrauliche Informationen an ihren nächsten Arbeitgeber oder an Dritte weitergeben („insider threat“) oder aus Protest sogar destruktive Handlungen (zum Beispiel Revenge Wipe) begehen.

Die Defensive gewinnt Meisterschaften

Dieser häufig zitierte Satz aus der Sportwelt trifft es auf den Punkt: Eine gute Abwehr trägt viel dazu bei, die Wahrscheinlichkeit eines „erfolgreichen“ Angriffs zu verringern oder dessen Schadenspotenzial zu begrenzen. Dabei ist es wichtig, mehr präventiv und weniger ad hoc zu handeln. Vor allem sollte zwischen allgemeinen Cybersicherheitsmaßnahmen und spezifischen Aspekten im Kontext der Transaktion unterschieden werden. Präventive Sicherheitsmaßnahmen zur Abwehr von Cyberangriffen sollten immer in einem ausreichenden Maße implementiert sein, unabhängig davon, ob eine Transaktion geplant ist oder nicht.

Die vier im Zusammenhang mit dem Carve-out spezifischen Aspekte lauten wie folgt:

  • Cybersecurity Operating Model

    Darunter versteht man die Blaupause, um eine Informationssicherheitsstrategie, die im Idealfall den gesamten Zyklus der Transaktion und deren Prozesse umfasst, in konkrete Maßnahmen umzusetzen. Wesentliche Elemente sind die Festlegung bestimmter Sicherheitsmaßnahmen sowie die konkrete Benennung von Verantwortlichkeiten, was auch Dritte, zum Beispiel den IT-Dienstleister des Verkäufers, einbezieht. Ausgangspunkt sollte immer ein umfassender Risikomanagementprozess sein. Im Idealfall wird das Operating Model im Rahmen der Due-Diligence-Phase entwickelt, in der der Verkäufer den zu verkaufenden Vermögenswert analysiert, um mögliche Risiken während des Verkaufs zu verstehen.

  • Separationsplan

    Ein solcher Plan inklusive entsprechender TSAs (Transitional Service Agreements, Nebenvereinbarungen über Dienstleistungen des Verkäufers für das Target während der Übergangsphase) und entsprechender Vorbereitung des Day One sind Voraussetzung, um Sicherheitsmaßnahmen und die vertraglichen Anforderungen festlegen zu können. Immerhin bewegen sich beide Parteien ab Eigentumsübergang automatisch in einer „halb vertrauenswürdigen“ Umgebung, in der das Target immer noch auf die IT-Systeme des Verkäufers zugreifen kann, jedoch rechtlich bereits unter Kontrolle des neuen Eigentümers steht. Daher braucht es eine effektive logische Trennung in Form entsprechender Benutzerkonten zum Erhalt der Datenintegrität, solange die physische Trennung noch nicht vollzogen ist.

  • Security Awareness

    Es sollten frühzeitig im Transaktionsprozess Überlegungen getroffen werden, welche Mitarbeitenden mit welchen Fähigkeiten einschließlich des notwendigen Fachwissens im Bereich Cybersecurity benötigt werden, um den reibungslosen Betrieb während und nach der Übergangsphase, also ab Tag 1, sicherzustellen. Ebenso braucht es Change-Management- und Kommunikationsprogramme, einschließlich Schulungen zu Cybersicherheit sowie Phishing-Simulationen, um das Bewusstsein der Mitarbeitenden für Bedrohungen zu schärfen. Funktionsübergreifende Schulungen und Koordinationsübungen für den Fall eines Cyberangriffs sind ein besonders wirksames Instrument. Ebenso empfiehlt EY-Parthenon entsprechende Workshops, um Schwachstellen, Abhängigkeiten und Zeitpläne zu verstehen, die Teil der rechtlichen Trennung sind.

  • Daten und regulatorische Anforderungen

    Ein Data-Governance-Modell sowie klare Verantwortlichkeiten und Prozesse helfen, das Risiko des potenziellen Verlusts der Vertraulichkeit von Daten während einer Transaktion und der anschließenden Übergangsphase zu reduzieren. Dazu braucht es jedoch erst einmal ein Verständnis dafür, welche Daten mit welchen rechtlich-regulatorischen Anforderungen (zum Beispiel Sozialgesetzbuch, DSGVO) an deren Schutzniveau überhaupt verarbeitet werden. Letztendlich lässt sich nur das schützen, was man kennt. Hinzu kommen neue Anforderungen wie die EU-NIS2-Richtlinie, die von Oktober 2024 an gelten wird. Dadurch werden in Deutschland 29.000 Unternehmen von zusätzlichen regulatorischen Anforderungen an Cybersicherheit betroffen sein. 

Fazit

Das Risiko, während einer Transaktion Opfer eines Cyberangriffs zu werden, ist erheblich höher als sonst. Zusätzliche Cyberrisiken entstehen im Zuge eines Carve-outs (Kontrahentenrisiken) und durch die deutlich verringerte Aufmerksamkeit von Mitarbeitenden und Führungskräften während des Übergangs von einem zum nächsten Eigentümer. Abgesehen von generellen Sicherheitsmaßnahmen sollte ein Carve-out von transaktionsspezifischen Maßnahmen wie einem Cybersecurity Operating Model oder einem Awareness-Programm flankiert werden.

Über diesen Artikel

Autoren
Martin Hampel

Director Strategy and Transactions, EY Strategy & Transactions GmbH | Deutschland

Martin Hampel ist gebürtiger Leipziger mit großer Leidenschaft für Software, Cybersecurity und Transaktionen. Er findet seinen Ausgleich vor allem beim Fahrradfahren und in den Bergen.

Wolfgang Eidt

Director Technology Consulting | Cybersecurity, EY Consulting GmbH | Deutschland

Director im Bereich Technology Consulting Cybersecurity; Fachgebiete: Sicherheitsstrategie, Cybersecurity in Transaktionen und Risikomanagement

Verwandte Themen Cybersecurity Forensic & Integrity Services Mergers and Acquisitions
Gefällt mir