Das Cyberrisiko ist bei allen Unternehmen nahezu identisch. Aber kleinere Unternehmen haben oft nur sehr begrenzte Ressourcen für die Abwehr.
Gerade der Mittelstand unterliegt hier sehr oft einem Trugschluss: Geringere Unternehmensgröße heißt nicht, weniger Cyberrisiko. Vielmehr sind die Angriffsflächen bei allen Unternehmen nahezu identisch, kleinere Unternehmen haben jedoch oft nur sehr begrenzte technische und personelle Ressourcen für die IT-Sicherheit. Die geschwächte Verteidigungsfähigkeit macht KMU sogar zu besonders beliebten Angriffszielen.
Daten sind Kapital und Risiko zugleich
Ein weiterer Basisfaktor für die Risikobewertung sind die Personendaten: Je mehr Mitarbeiter- und Kundendaten verarbeitet werden und je sensibler die zu jeder Person erfassten Informationen sind, desto wichtiger ihr gesetzeskonformer Schutz. Europa hat mit der GDPR (in Deutschland durch die Datenschutz-Grundverordnung, kurz DSGVO, umgesetzt) seit Mitte 2018 sehr hohe Maßstäbe gesetzt und – noch entscheidender – auch sehr empfindliche Strafen bei Verstößen eingeführt. Meldungen über Datenlecks sind allerdings seither keineswegs seltener geworden.
Der Diebstahl nicht personenbezogener Daten hat zwar zunächst keine rechtlichen Konsequenzen, aber wenn sich Unternehmen ihre „Kronjuwelen“ stehlen lassen, sind die Folgen für das betroffene Unternehmen mitunter nicht minder gravierend: Schon oft mussten deutsche Unternehmen erfahren, dass kurz vor der Einführung eines neuen Schlüsselprodukts ein auffällig ähnliches Produkt auf dem Markt auftaucht. Werden Daten aus jahrelanger Forschungs- und Entwicklungsarbeit abgegriffen und schnell zu einem verkaufsfertigen Produkt weiterentwickelt, bleibt der erhoffte Markterfolg aus.
Zusammenprall von Betriebs- und Office-IT
Geht es um die Übernahme eines Produktionsunternehmens, kommen weitere markante Risiken hinzu. In Sachen Cyber geht es hier vor allem um die industriellen Steuerungssysteme (Industrial Control Systems, ICS), die über viele Jahrzehnte getrennt von der Business-IT entwickelt und komplett isoliert betrieben wurden. Heute haben ICS meist irgendwo Verbindungen zum Internet und werden damit angreifbar. Die Aufholjagd für eine adäquate Verteidigung treibt inzwischen ganz neue Marktsegmente, denn vor dem Anschluss an das Internet waren Cybersicherheitsaspekte bei ICS irrelevant und wurden bei ihrer Entwicklung nicht berücksichtigt.
Health Checks decken Schwachstellen in den verschiedenen Phasen der Transaktion auf
Die Analyse von Cyberrisiken ist alles andere als trivial und kann inhouse kaum umfassend umgesetzt werden. Eine möglichst genaue Untersuchung sollte allerdings der Anspruch sowohl für die potenziellen Käufer als auch Verkäufer eines Unternehmens sein, um das Maximum eines Deals herauszuholen. Sogenannte „Health Checks“ der Unternehmensinfrastruktur entlarven in einem ersten Schritt die Schwachstellen in der Abwehr. Besonders wertvoll werden die Erkenntnisse durch unternehmensübergreifende Vergleichsanalysen. Der Einsatz aktueller, relevanter Metriken kann die Ergebnisse der Checks in konkrete Risiken und letztlich monetäre Größen übersetzen. Das hilft dem Käufer, nicht in teure Fallen zu tappen und dem Verkäufer, das Unternehmen nicht leichtfertig unter Wert abzugeben.
Während der konkreten Anbahnung eines Kaufs ist der Wert einer guten Analyse am einfachsten nachzuvollziehen. Schließlich muss das Zielunternehmen in der Due-Diligence-Phase seine Cyberstrategie offenlegen. Aber auch schon bevor die Checks für die Vorbereitung des Deals mit Kenntnis und Einverständnis des Zielunternehmens ablaufen, kann ein genauer Blick auf die Cybersecurity wertvolle Hilfe leisten. Zwei Beispiele verdeutlichen dies für die beiden genannten Transaktionsphasen:
Nach dem Kauf werden Cyberrisiken nicht irrelevant: Gerade auch die Integrationsphase birgt viele Möglichkeiten, folgenschwere Fehler zu begehen. Ein übergeordnetes Security-Management, die Umsetzung eines kontrollierten Day-1-Szenarios, die Beachtung relevanter Gesetze und Regularien und die Einrichtung eines zuverlässigen Incident-Response-Systems – dem Alarmmelder für Einbruchsversuche in die IT – seien hier als kritische Punkte genannt.
Im Rahmen des normalen Tagesgeschäfts schenken Unternehmen Cybersecurity immer mehr Beachtung. Bei Unternehmenstransaktionen spielt sie jedoch noch eine untergeordnete Rolle. Dabei können sich gerade durch die Veränderung von Unternehmensgrenzen neue Einfallstore für Angreifer auftun. Als signifikantes Risiko sollten Cyberfragen auch bei Unternehmensbewertungen durch mögliche Kaufinteressenten unbedingt berücksichtigt werden. Der negative Einfluss von Sicherheitslücken auf den Deal ist real und klar monetär bewertbar. Und wie nicht zuletzt das eingangs erwähnte Beispiel zeigt: Cybersecurity hat das Potenzial zum Deal Maker oder Deal Breaker.
Fazit
Wenn Unternehmen im Rahmen einer Transaktion zusammenfinden, prallen nicht nur unterschiedliche Kulturen aufeinander. Auch in Sachen IT begegnen sich mitunter zwei völlig verschiedene Welten. Schnell führt der Zusammenschluss zu Sicherheitslücken, die Cyberkriminelle gnadenlos nutzen können. Neben den direkten Schäden durch Stillstand und Umsatzausfälle muss das Unternehmen dann oft auch noch hohe Strafen und Reputationsverlust verkraften. Schon im Vorfeld des Deals sollte das Zielunternehmen daher seine Cybersecurity im Sinne aktueller Gesetze auf Vordermann bringen: Entdeckt der Käufer hier Lücken, sinkt der Kaufpreis deutlich.