Beim Thema Fusionen und Übernahmen denkt man vielleicht zuerst an die Megadeals der Vergangenheit. Es müssen aber nicht immer Vodafone/Mannesmann oder Bayer/Monsanto sein: Auch im Kleinen finden eine Menge M&A-Transaktionen statt. Für das Jahr 2022 gibt das IMAA (Institute for Mergers, Acquisitions and Alliances) die Zahl der angekündigten M&As in Deutschland mit knapp 2.900 an – das wären mehr als sieben pro Tag. Warum Sie bei der Due Diligence unbedingt auch die IT im Auge haben sollten und wie Sie sich bei Fusionen und Übernahmen weiterhin wirksam schützen, darum geht es in diesem Artikel.

IT bei M&A-Projekten: First to Go, Last to Know?

Ob die Fusion mit dem größten Konkurrenten, eine Übernahme in Milliardenhöhe oder der Kauf eines Startups zur Integration in das eigene Produktportfolio – jedes M&A-Projekt trägt eine Menge potenzieller Risiken in sich. Darum lässt man sich bei der Prüfung idealerweise Zeit und wendet die gebotene Sorgfalt an. Was für den finanziellen Rahmen selbstverständlich ist, wird leider beim Risikomanagement in der IT nicht immer so gewissenhaft umgesetzt.

Dabei sind die Risiken hier potenziell sogar am höchsten: Handelt man sich Malware oder bestimmte Sicherheitslücken ein, kann fast alles passieren – vom Datenleck bis hin zum Totalausfall der unternehmerischen Tätigkeit über einen längeren Zeitraum. Darum sollten während der Due-Diligence-Phase nicht nur Kosten und Komplexität der IT-Architektur beleuchtet werden, sondern auch die Sicherheitsaspekte – und zwar beider Unternehmen, denn erst im Zusammenspiel der Systemlandschaften können alle Risiken vollständig erfasst werden.

Mehr Komplexität, mehr Angriffsfläche

IT ist heute mehr als Werkzeug und Mittel zur Produktivitätssteigerung – sie ist Grundvoraussetzung für jeden unternehmerischen Erfolg. Von der Bäckereifiliale bis zum Automobilriesen: Es geht nichts mehr ohne. Die Zeit der großen Allround-Lösungen ist zwar nicht völlig vorbei, aber die Komplexität in der IT-Landschaft steigt dennoch rasant. Viele Nischenlösungen für bestimmte Anwendungsbereiche werden nicht nur von den Digital Natives in der Belegschaft gefordert.

Immer mehr spezifische Aufgaben können von kleinen, hoch spezialisierten Softwarelösungen übernommen werden. Die Schnittstellen (APIs) sind dabei wichtiger als ein möglichst großer Funktionsumfang; die Integration in verschiedene Layer von Benutzeroberflächen bis hin zum Data Warehouse schafft dabei ganz neue Herausforderungen für die IT. Dennoch sind genau diese Einzellösungen oft nicht nur optionale Spielerei, sondern können einen entscheidenden Wettbewerbsvorteil bedeuten. Unter anderem deswegen wächst mit der Komplexität auch die Geschwindigkeit, mit der neue Tools integriert und alte entfernt werden müssen.

Stoßen jetzt zwei solcher Welten aufeinander, verdoppelt sich die Komplexität nicht nur, sie steigt unter Umständen sogar exponentiell an – und damit natürlich auch die Risiken. Cyber Due Diligence fokussiert sich also auf die Schwachstellen der Netzwerkarchitektur, Sicherheitsrichtlinien, Geschäftsprozesse, externe Schnittstellen sowie den Stellenwert von Datenschutz- und Sicherheitsrichtlinien des Zielunternehmens.

External Attack Surface Management (EASM)

Musste man im Mittelalter eine Burg verteidigen, wusste man zumindest ungefähr, woher der Angriff kommen wird – allein schon aufgrund der Gegebenheiten des Geländes und des Standortes wurden bestimmte Stellen verstärkt und man überlegte sich im Vorfeld die richtige Verteidigungsstrategie.

In der modernen IT-Landschaft kann der Angriff jederzeit und von überall her erfolgen – von außen, aber auch von innen. Ein alter Grundsatz lautet: Nichts ist wirklich sicher, man kann es Angreifern lediglich so schwer wie möglich machen. Je nach Attraktivität des Angriffsziels muss man sich von findigen Hackern oder illoyalen Mitarbeitern über ganze Bot-Armeen bis hin zu einem kompletten “Schurkenstaat” als Angreifer auf alles einstellen. Dabei gilt es, die potenziellen Einfallstellen zu identifizieren und eben möglichst wenig externe Angriffsfläche zu bieten – und das ist gar nicht mal so einfach. Es müssen alle Systeme, Dienste und Anwendungen, die über das Internet erreichbar sind, berücksichtigt werden – zum Beispiel Websites, Webanwendungen, Server, Cloud-Dienste und IoT-Geräte.

Bedenkt man, dass schon komplette Fahrzeuge übernommen wurden, indem man die Bluetooth-Funktion der Reifendrucküberwachung an den Radkappen nutzte, erscheint das Problem der externen Angriffsfläche eines Unternehmens schwer beherrschbar. Nicht umsonst wird deshalb von vielen Unternehmen heute das Zero-Trust-Modell gewählt, in dem es grundsätzlich keine vertrauenswürdigen Instanzen gibt – weder Systeme, Netzwerke oder Geräte noch Benutzer. Um das wirksam umzusetzen, gibt es EASM – External Attack Surface Management, technische Lösungen, die einen stets aktuellen Überblick über sämtliche von außen zugängliche Assets, inklusive möglicher Schwachstellen und Risiken, bieten.

Angriffsfläche von innen: Die menschliche Komponente

Auch den Faktor Mensch sollte man nicht vernachlässigen. Sieht man von willentlichen (und somit strafbaren) Handlungen ab, geht auch so noch ein großes Gefahrenpotenzial von schlichter Unachtsamkeit aus. Während in etablierten Unternehmen Sicherheitsmechanismen ebenso zum Standard gehören wie regelmäßige Schulungen der Belegschaft, wurde im akquirierten Startup vielleicht bisher anders gearbeitet. So müssen bei Fusionen und Übernahmen also nicht nur die Systeme analysiert und angeglichen werden, sondern auch die Sensibilisierung der Belegschaft für wichtige Themen. Vom nach wie vor gebräuchlichen USB-Stick bis zum falschen Umgang mit Sicherheitsstandards bei persönlichen Passwörtern entsteht durch Fehlverhalten einzelner Menschen schnell ein riesiger Schaden für das gesamte Unternehmen. Oftmals wird der eigene Einfluss auf die IT-Sicherheit deutlich unterschätzt.

Fazit: Stringenz ist gefragt

Eine systematische Risikobewertung der gesamten zukünftigen IT-Infrastruktur ist bei M&A-Aktivitäten nicht optional. Am besten orientiert man sich dazu an etablierten Verfahren. Auch Datenschutzgesetze wie die DSGVO, der Branchenstandard ISO 27001 und eventuelle spezifische regulatorische Anforderungen Ihres Handlungsbereiches können hilfreich sein. Folgende Punkte sollten in jedem Fall beachtet werden:

• Sicherheitspolitik und Compliance: Verfügt das hinzukommende Unternehmen über eine eigene Sicherheitspolitik? Werden die relevanten Standards und Gesetze eingehalten?
• Risikomanagement: Wie identifiziert, bewertet und steuert das Unternehmen Risiken? Dazu gehören beispielsweise regelmäßige Sicherheitsaudits und Penetrationstests.
• Netzwerksicherheit: Wie ist die Netzwerkarchitektur und welche Sicherheitsmaßnahmen gibt es? Achten Sie besonders auf Firewalls, Intrusion Detection & Prevention Systems und die Verwaltung von Zugriffsrechten.
• Datensicherheit und Datenschutz: Wie werden sensible und personenbezogene Informationen geschützt? Prüfen Sie Verschlüsselungspraxis, Datenspeicherungspolitik und Verfahren zur Datensicherung bzw. -wiederherstellung.
• Incident Management: Gibt es Prozesse und Pläne für den Umgang mit Sicherheitsvorfällen? Wie gut ist die Reaktionsfähigkeit und wie umfassend sind die kritischen Mitarbeiter geschult?
• Menschlicher Faktor: Wie gut hat das Unternehmen seine Mitarbeiter allgemein in Bezug auf Sicherheitsbewusstsein sensibilisiert?
• Physische Sicherheit: Welche physischen Sicherheitsmaßnahmen, einschließlich Zugangskontrollen, Überwachung und Sicherheit der Rechenzentren, werden genutzt?
• IT-Infrastruktur und -Wartung: Wie ist der Zustand der IT-Infrastruktur, Hardware, Software und Netzwerkkomponenten? Beziehen Sie Wartungsprotokolle und die Aktualität der verwendeten Systeme in Ihre Betrachtung mit ein.
• Lieferanten- und Drittanbieter-Risiken: Welche Risiken sind evtl. mit Lieferanten und Drittanbietern verbunden? Welche Sicherheitsstandards erfüllen genutzte Cloud-Anbieter? Wer hat von extern Zugriff auf sensible Daten oder Systeme des Unternehmens? Wie abhängig ist das Unternehmen von Dienstleistern und wie gut sind deren Sicherheitsmechanismen?
• Vergangene Sicherheitsvorfälle und -verletzungen: Wie ist die Historie des Unternehmens in Bezug auf Sicherheitsvorfälle? Wie hat das Unternehmen in solchen Situationen reagiert und welche Lehren wurden daraus gezogen?

Eine solche Liste abzuarbeiten wird einfacher, wenn man geeignete Werkzeuge nutzt. Professionelles EASM hilft mit automatisierten Scans den Überblick über potenzielle Angriffspunkte zu behalten – vor und nach einer Fusion. Durch den systematischen Ansatz ist sichergestellt, dass Sie keine wichtigen Aspekte unberücksichtigt lassen. Wenn Sie die obigen Punkte beachten und mit der gebotenen Sorgfalt prüfen, stehen die Chancen gut, bei Fusionen und Akquisitionen keine bösen Überraschungen zu erleben. Bei allem Druck, der bei solchen Projekten oft herrscht – hier sollte nicht aus Zeitgründen auf Essenzielles verzichtet werden. Es gilt dasselbe Prinzip wie in der Luftfahrt: Ein Schaden ist am Boden sehr viel leichter zu beheben als in der Luft.

Finden Sie heraus, wie Outpost24 Ihrer IT-Sicherheit helfen kann: