Unnötig lange Transitional Service Agreements bei unzureichendem Schutzniveau können ein Kontrahentenrisiko nach sich ziehen.
Transaktionsbedingte Risiken entstehen einerseits, wie bereits anfänglich beschrieben, durch die bloße Ankündigung einer Transaktion. Besonders betroffen sind Unternehmen mittlerer Größe, deren Schutzniveau oft weit entfernt von dem eines Großunternehmens ist. Kriminelle sehen genügend finanziellem Spielraum zur Zahlung eines Lösegeldes im Bereich von 1 Million Euro oder höher. Dass ein Cyberangriff negative Auswirkungen auf die Verhandlungen hat, nehmen die Kriminellen nicht nur billigend in Kauf, es ist auch Teil des Kalküls in Erwartung höherer Zahlungsbereitschaft.
Weitere transaktionsbedingte Risiken haben vor allem mit Veränderungen durch den Verkauf zu tun. Bereits mit der Ankündigung einer Transaktion beginnt für viele Beschäftigte eine Phase der Unsicherheit in Kombination mit zusätzlichen Aufgaben und jeder Menge Ablenkung durch die Kommunikation im Zuge des Verkaufs. Parallel konzentriert sich das Management auf den Abschluss der Transaktion und die Trennung. Phishing-Tests, die EY während einer solchen Phase durchgeführt hat, haben ein um 50 Prozent erhöhtes Risiko ergeben, dass Mitarbeitende Opfer eines solchen Angriffs werden , der meist der Vorbereitung der eigentlichen Cyberattacke dient. Bei unzureichendem Schutzniveau genügt es, wenn bereits ein Mitarbeiter sein Passwort unwissentlich an die Angreifer weitergibt oder eine mit Malware infizierte Datei anklickt. Hinzu kommt: Unzufriedene Mitarbeitende könnten vertrauliche Informationen an ihren nächsten Arbeitgeber oder an Dritte weitergeben („insider threat“) oder aus Protest sogar destruktive Handlungen (zum Beispiel Revenge Wipe) begehen.
Die Defensive gewinnt Meisterschaften
Dieser häufig zitierte Satz aus der Sportwelt trifft es auf den Punkt: Eine gute Abwehr trägt viel dazu bei, die Wahrscheinlichkeit eines „erfolgreichen“ Angriffs zu verringern oder dessen Schadenspotenzial zu begrenzen. Dabei ist es wichtig, mehr präventiv und weniger ad hoc zu handeln. Vor allem sollte zwischen allgemeinen Cybersicherheitsmaßnahmen und spezifischen Aspekten im Kontext der Transaktion unterschieden werden. Präventive Sicherheitsmaßnahmen zur Abwehr von Cyberangriffen sollten immer in einem ausreichenden Maße implementiert sein, unabhängig davon, ob eine Transaktion geplant ist oder nicht.
Die vier im Zusammenhang mit dem Carve-out spezifischen Aspekte lauten wie folgt:
Fazit
Das Risiko, während einer Transaktion Opfer eines Cyberangriffs zu werden, ist erheblich höher als sonst. Zusätzliche Cyberrisiken entstehen im Zuge eines Carve-outs (Kontrahentenrisiken) und durch die deutlich verringerte Aufmerksamkeit von Mitarbeitenden und Führungskräften während des Übergangs von einem zum nächsten Eigentümer. Abgesehen von generellen Sicherheitsmaßnahmen sollte ein Carve-out von transaktionsspezifischen Maßnahmen wie einem Cybersecurity Operating Model oder einem Awareness-Programm flankiert werden.