Die Bedeutung von Cybersecurity bei M&A – Rethink the value
Von unserem Partner und INTERIM EXECUTIVE Dr. Marcus Kind
Trotz der signifikanten Zunahme von Cyberangriffen im Zusammenhang mit Mergers & Acquisitions spielt Cybersecurity bei den verantwortlichen Stakeholdern von Transaktionen oft noch eine untergeordnete Rolle. Die Accenture-Studie „Private Equity – The rising cost of cyberattacks“ aus dem Jahr 2023 kommt zu dem Ergebnis, dass ca. 68 Prozent ihrer Kunden einen Anstieg von Cyberangriffen bereits während des Monats des Deal Closure registrieren und mittelgroße Portfoliounternehmen durchschnittlich 1 Mio. USD an Lösegeld zahlen.
Entsprechende Assessments zur Sicherheitslage während der Transaktionsphase sowie technische, operative und strategische Maßnahmen zur Minimierung von Wertverlusten aufgrund von Cyberrisiken während der Wachstumsphase der Investition werden jedoch oft nur teilweise oder nur unzureichend durchgeführt.
Die Umsetzung von Maßnahmen zur Erhöhung von Cybersicherheit in den verschiedenen Phasen des Investitionslebenszyklus können je nach Geschäftsmodell und Ausgangsvoraussetzungen sehr kostenintensiv sein. Zur Maximierung der Kapitalrendite ist es erforderlich, zu hohe Sicherheitsausgaben zu vermeiden. Gleichwohl müssen zur Cyber-Due-Diligence auch Risiko-Modelle gehören, die Reputationsschäden, den Verlust von Wettbewerbsvorteilen, kostspielige Sanierungsmaßnahmen, jahrelange Rechtstreitigkeiten sowie Strafen und Schadenersatzansprüche aufgrund der Verletzung von geistigem Eigentum oder rechtlich-regulatorischer Compliance-Anforderungen berücksichtigen. Beispielsweise könnten im Falle einer geplanten Integration von KI-Systemen in die IT-Umgebungen bzw. -anwendungen oder in digitale Produkte des Targets neben der KI-VO (Künstliche Intelligenzverordnung) zahlreiche ergänzende regulatorische (Cyber-) Sicherheitsvorgaben zur Gewährleistung der Compliance zu beachten sein. Die Verzahnung der KI-VO mit weiteren EU-Rechtsakten wie dem Cyber Resilience Act oder dem Cybersecurity Act birgt besondere Herausforderungen.
Es ist von grundlegender Bedeutung, die Informations- und Datenschutzrisiken des Targets kontinuierlich entlang seiner Wertschöpfungs- und Lieferketten während des gesamten Investitionslebenszyklus zu identifizieren und zu bewerten. Zwangsläufig kann nicht davon ausgegangen werden, dass sich „Lieferketten selbst gegen Cyberbedrohungen verteidigen“. Die komplexe Risikobewertung sollte aufgrund der hohen Dynamik von Cyberbedrohungen darüber hinaus nicht ausschließlich in Form simpler Checklisten erfolgen. Cybersicherheit ist kein alleiniges IT-Problem, sondern eine unternehmensweite, interdisziplinäre Aufgabe und sollte in Abhängigkeit von der jeweiligen Risikobereitschaft des Unternehmens Bestandteil seiner Strategie und Kultur sein.
Gerade kleine und mittlere Targets verfügen meist nicht über integrierte Cyberrisiko-Programme und Strukturen, um ihre Risikoexposition zu reduzieren. Sie sind selten ausreichend geschützt, da kein Fachpersonal zur Verfügung steht und die technischen und finanziellen Ressourcen zum Aufbau adäquater Schutzmaßnahmen begrenzt sind. Die Cyberrisiken des Übernahmeziels müssen dem Käufer bekannt sein und proaktiv gemanagt werden. So lässt sich die Gefahr des Erwerbs von Beteiligungen über Wert verringern und können weitere Maßnahmen zur Behebung erkannter Schwachstellen während der Wachstumsphase eingeleitet werden. Portfoliounternehmen mit hohem Sicherheitsniveau und interdisziplinären, in die Unternehmensstrategie eingebundenen Cyber-Programmen haben einen höheren Geschäftswert und sind auch beim Exit signifikant attraktiver.
