Drooms
Menü

Datensicherheit gewährleisten – eine zwingende Notwendigkeit bei M&A-Transaktionen

06. August 2015

Vor einigen Jahren schrieb die renommierte Harvard Business Review: „Deal making is glamorous, due diligence is not.“ Dazu ließe sich heute noch hinzufügen: „Cyber security is even less so.”


Die Informationen, die bei M&A-Transaktionen ausgetauscht werden, sind nämlich höchst vertraulich und erfordern somit ein maximales Maß an Sicherheit. Dabei sind Unternehmen vor dem Hintergrund der Digitalisierung heute mehr denn je der Gefahr von Industriespionage und Cyberangriffen ausgesetzt. Auch wenn sich Dealmaker mittlerweile über die Sicherheitsrisiken bei M&A-Transaktionen klar geworden sind, muss doch festgestellt werden, dass sich die Art und Weise, wie Due-Diligence-Vorgänge abgewickelt werden, konkret kaum verändert hat. In einem schnell anziehenden M&A-Markt (das 1. Quartal 2015 hatte das höchste Transaktionsvolumen seit 2008*) ist es somit unerlässlicher denn je, Best Practices einzurichten, die die Vertraulichkeit der ausgetauschten Daten garantieren.

 

Cybersicherheit bei M&A-Transaktionen: Zeit zu Handeln

Transaktionen, bei denen große Mengen an vertraulichen Daten ausgetauscht und geprüft werden müssen, bilden seit jeher Angriffsziele für Industriespione. Ausschreibungen, die bei Übernahmeangeboten offen gelegt werden, enthalten Kernelemente für die Entscheidungsfällung bei Finanztransaktionen. Dazu gehören z.B. Bau- und Entwicklungspläne für die Produktion von Maschinen oder Produkten sowie Verkaufsstrategien oder Forschungsergebnisse bei Life Sciences Unternehmen.

Doch obwohl zahlreiche Umfragen und Studien von einem steigenden Bewusstsein für die Cyberbedrohung berichten**, hat die Sensibilisierung bislang noch nicht zu erheblichen Veränderungen bei M&A-Prozessen geführt. Die Ergebnisse einer von Freshfields Bruckhaus Deringer durchgeführten Studie zeigen, dass 78 % von Dealmakern der Meinung sind, die Cybersicherheit werde im Due-Diligence-Prozess bei M&A-Transaktionen nicht ausreichend analysiert und quantifiziert. Des Weiteren meinen 83 %, eine Transaktion könne bei Sicherheitslücken abgebrochen werden. Und 90 % sind der Auffassung, derartige Verstöße könnten den Wert einer Vereinbarung senken.

Woher kommt diese Diskrepanz?

Im M&A-Bereich ist eine schnelle Transaktionsabwicklung für Dealmaker von größter Bedeutung. So zeigte eine vor kurzem vom Software-Haus Drooms durchgeführte Studie, dass Schnelligkeit für 77,8 % der Befragten das wichtigste Kriterium einer Software bei der Begleitung eines Deal ist. An zweiter Stelle folgte erst die Datensicherheit (67,6 %).

In den letzten Jahrzehnten haben sich die M&A-Prozesse verändert: Während noch vor zehn Jahren die Nutzung physischer Datenräume weit verbreitet war, hat der Aufschwung des virtuellen Datenraums und der Mobilität heute zu einem erheblichen Wandel der Lage geführt. Die Bedrohung ist vom Dokumentendiebstahl aus einem physischen Raum auf Hacking in der Cloud übergegangen, wobei die Identifizierung der Hacker sich immer schwieriger gestaltet.

Warum Unternehmen sich wirksam vor Angriffen schützen müssen

Manche Cyberkriminelle dringen gezielt in die Netzwerke von Anwaltskanzleien und Beratungsfirmen ein, um nach sensiblen Informationen über laufende Deals zu suchen. So können mit einem Angriff schnell bis zu fünf verschiedene Organisationen gehackt werden. In allein über zwei Dritteln der Fälle betreffen diese Cyberangriffe die Pharmaindustrie, die gerade in Hinblick auf ihr geistiges Eigentum besonders anfällig ist***.

Um die eigenen Daten nachhaltig zu schützen, müssen sich die an einer M&A-Transaktion beteiligten Unternehmen an bestimmte Regeln halten, u. a.:

  • Auf die richtige Technik setzen: Dem Freshfields-Bericht zufolge werden zum Schutz von Daten bei Transaktionen am häufigsten virtuelle Datenräume als Softwarelösung genutzt (65% der Befragten in Europa, 57 % der Befragten in den USA). 63 % der Befragten geben an, dass Sie durch die Einrichtung von Projektpasswörtern Ihre Daten schützen.
  • Den Faktor Mensch nicht unterschätzen: Die Projektbeteiligten stellen ein größeres Risiko für die Datensicherheit dar als der beste Hacker. Eine M&A-Transaktion kann durch einen einzigen fahrlässigen, zerstreuten oder schlecht informierten Mitarbeiter gefährdet werden. Die letzte e-crime-Studie von PwC zeigt, dass bei 56 % aller Cyberangriffe die Schwachstelle im Unternehmen selbst lag. Um die Risiken zu reduzieren, muss der Zugriff auf die Daten sowie die Anzahl der implizierten Personen beschränkt werden. Eine Schulung der Mitarbeiter in Punkto Datensicherheit sollte eine Selbstverständlichkeit sein.
  • In Cybersicherheit investieren: Trotz eines gewissen Anstiegs in den letzten Jahren gaben 43 % der von E&Y befragten Unternehmen an, ihr Sicherheitsbudget habe 2014 nicht weiter zugelegt. Dabei wäre das Bekämpfen der Cyberkriminalität finanziell durchaus sinnvoll, da diese Angriffe negative wirtschaftliche Auswirkungen haben können.
  • Ein Expertenteam einsetzen: Nur 5 % der befragten Unternehmen verfügen über ein spezielles Team, das sich mit Cyberangriffen befasst. Darüber hinaus sollten sich Unternehmen auch juristisch beraten lassen, vor allem bezüglich des Ortes der Datenspeicherung, um den Schutz strategischer Daten zu garantieren. Da die Gesetzgebung für geistiges Eigentum an Informationen zum Beispiel in den USA weniger streng gehandhabt wird, ist europäischen Unternehmen zu empfehlen, sich an europäische Cloud-Service-Anbieter zu wenden, deren Server sich innerhalb der EU befinden.

Mit der digitalen Revolution, der zunehmenden Mobilität und dem vermehrten Datenaustausch mit externen Parteien sind immer neue Risikozonen entstanden, die Unternehmen bei M&A-Transaktionen berücksichtigen müssen. Heute geht es weniger darum, eventuelle Cyberangriffe zu verhindern, als vielmehr auf diese Angriffe vorbereitet zu sein und deren Folgen zu begrenzen.

*Towers Watson „Quarterly Deal Performance Monitor“- 1. Quartal 2015.
** „Cyber Security in M&A“, Kanzlei Freshfields Bruckhaus Deringer, 2014.
*** Quelle: FireEye