Forescout-Studie: Zunehmende Cybersicherheitsprobleme bei M&A-Transaktionen

Laut einer globalen Umfrage haben 65 Prozent der Befragten eine M&A-Transanktion aufgrund von Cybersicherheitsproblemen bereut

[datensicherheit.de, 24.06.2019] Forescout Technologies, Inc. gibt die Ergebnisse seiner Untersuchung zur Cybersicherheit bei M&A-Transaktionen bekannt. Für diese Studie mit dem Titel The Role of Cybersecurity in M&A Diligence wurden mehr als 2.700 IT- und kaufmännische Entscheider in den USA, Frankreich, Großbritannien, Deutschland, Australien, Singapur und Indien befragt. Dabei ging es darum, die wachsende Besorgnis über Cyberrisiken zu untersuchen und zu klären, wie wichtig Cyber Assessments bei Mergers & Acquisitons (M&A) und den anschließenden Integrationsprozessen sind.

Sicherheitsprobleme bergen oft kostspielige Risiken

In der Umfrage gaben 53 Prozent der Teilnehmer an, dass ihr Unternehmen im Zuge einer M&A-Transaktion auf ein kritisches Cybersicherheitsproblem oder -ereignis gestoßen sind, das den Deal möglicherweise aufs Spiel setzt. Die Sicherheitsprobleme, die nach Abschluss einer Transaktion aufgedeckt werden, bergen oft kostspielige Risiken, die in die Verhandlungen einbezogen worden wären und/oder die Transaktion hätten zunichtemachen können. Nach Abschluss einer Übernahme bereuten 65 Prozent der Käufer die Transaktion aufgrund von Bedenken hinsichtlich der Cybersicherheit.

Bild: PRNewsfoto/Axon

„M&A-Aktivitäten können ein Meilenstein in der Geschichte eines Unternehmens sein. Doch die jüngsten Sicherheitsverletzungen werfen ein Schlaglicht auf die Cybersicherheitsrisiken, die damit einhergehen können. Sie machen eines deutlich: Man erwirbt nicht nur ein Unternehmen, sondern auch dessen Cybersicherheitsstatus und damit ein potenzielles Trojanisches Pferd“, erklärt Julie Cullivan, Chief Technology and People Officer, Forescout. „Bewertungen der Cybersicherheit müssen bei den Due-Diligence-Maßnahmen für M&A-Transaktionen eine größere Rolle spielen, damit man sich keine ‚Sicherheitspanne einkauft‘. Es ist zwar fast unmöglich, vor der Vertragsunterzeichnung jedes einzelne Asset zu bewerten. Wichtig ist jedoch, im Vorfeld einer Akquisition und dann während des gesamten Integrationsprozesses Cyber-Due-Diligence-Prüfungen durchzuführen.“

„Ein Unternehmen ohne angemessene Prüfung der Cybersicherheit zu erwerben ist so, als würde man sich beim Kauf eines Gebrauchtwagens blind auf die Behauptung des Verkäufers verlassen, der Wagen sei in einem guten Zustand“, sagt Joe Cardamone, Senior Information Security Analyst und NA Privacy Officer, Haworth. „Ein Unternehmen sollte nicht automatisch auf die Hygiene der IT-Ressourcen vertrauen. Es ist unerlässlich, vollständige Übersicht über alle Geräte im Netzwerk zu gewinnen und festzustellen, ob sie gepatcht, richtig konfiguriert und frei von Malware sind.“

Die wichtigsten Ergebnisse der Untersuchung:

• Eine korrekte Bewertung der Cybersicherheit braucht Zeit, doch bei Akquisitionen herrscht oft hoher Zeitdruck. Viele Übernahmen müssen schnell über die Bühne gehen. Nur 36 Prozent der Befragten sind sich sicher, dass ihr IT-Team genügend Zeit bekommt, um vor Abschluss einer Akquisition die Cybersicherheitsstandards, -prozesse und -protokolle des Akquisitionskandidaten zu prüfen.
• Die Cybersicherheitsrisiken müssen bei M&A-Aktivitäten stärker in den Fokus rücken. 81 Prozent der Entscheidungsträger und Business Development Manager geben an, dass sie den Cybersicherheitsstatus eines Übernahmeziels stärker als früher in den Blick nehmen. Sie betonen, dass die Cybersicherheit sowohl für die IT- als auch die kaufmännischen Entscheider hohe Priorität hat.
• Vernetzte Geräte und menschliches Versagen bringen Unternehmen in Gefahr. Auf die Frage, was Unternehmen im Hinblick auf die IT-Prozesse am stärksten gefährdet, stachen zwei Antworten heraus: menschliches Versagen und unsichere Konfigurationen (51 Prozent) sowie vernetzte Geräte (50 Prozent). Geräte werden bei der Integration oft übersehen: Mehr als die Hälfte (53 Prozent) der befragten Entscheider gaben an, dass sie nach abgeschlossener Integration einer Akquisition unbekannte Geräte finden, und zwar sowohl IoT- als auch OT-Geräte.
• Cybersicherheitsprobleme haben hohes Gewicht. Über die Hälfte (53 Prozent) der Befragten erklärten, dass ihr Unternehmen während einer M&A-Transaktion auf ein kritisches Cybersicherheitsproblem oder -ereignis gestoßen war, das die Transaktion aufs Spiel setzte. Nicht offenbarte Datenschutzverletzungen sind für die meisten Unternehmen zu einem Dealbreaker geworden, was die potenziellen Folgen von Sicherheitsvorfällen weiter unterstreicht. 73 Prozent der Befragten stimmten zu, dass eine nicht offenbarte Verletzung der Datensicherheit in der M&A-Strategie ihres Unternehmens als sofortiger Dealbreaker gewertet wird.
• Interne IT-Teams sind nicht unbedingt in der Lage, Cybersicherheitsbewertungen durchzuführen. Von den Entscheidern vertreten nur 37 Prozent der Befragten nachdrücklich die Ansicht, dass ihr eigenes IT-Team über die notwendigen Fähigkeiten verfügt, um eine Cybersicherheitsbewertung für eine Akquisition durchzuführen. Ressourcenmangel bewirkt, dass Unternehmen für ihre Cybersicherheitsbewertungen auf externe Ressourcen zurückgreifen müssen und/oder möglicherweise keine zuverlässige Bewertung durchführen können.

Weitere Informationen zum Thema:

Forescout
The Role of Cybersecurity in M&A Diligence

Forescout
Decision makers are focusing more on cyber risks during M&A

datensicherheit.de, 01.05.2016
Mergers and Akquisitions: Vier Grundsatzfragen zur Cyber-Sicherheit