Umgang mit Cyber Security im Rahmen von Unternehmenskäufen
Nahezu täglich wird in den Medien über schwerwiegende Cyberangriffe, etwa in Form von Infektionen von IT-Systemen mit Schadsoftware, digitaler Erpressungen oder Unternehmensspionage, berichtet. Diese Angriffe betreffen zunehmend auch mittelständische Unternehmen. Während im Jahr 2015 nach Angaben von Statista 10 % der mittelständischen Unternehmen in Deutschland solchen Angriffen ausgesetzt waren, waren ein Jahr später mit 19 % bereits knapp ein Fünftel der mittelständischen Unternehmen Opfer von Cyberangriffen.
Schäden durch Cyberangriffe
Cyberangriffe ziehen teilweise gravierende Schäden nach sich. Diese können nicht nur im Datendiebstahl und der ungewollten Veröffentlichung von Daten oder Geschäftsgeheimnissen, etwa im Darknet, bestehen. Vielmehr haben betroffene Unternehmen auch Folgeschäden zu befürchten, wie etwa Image- und Reputationsschäden, Beratungs- und andere Folgekosten oder Geldbußen durch Datenschutzbehörden. Es wundert nicht, dass die Gefahr von Cyberangriffen aufgrund dessen immer stärker in das Bewusstsein der Unternehmen rückt.
In der Praxis werden darüber hinaus bereits Phishing-Angriffe von Cyber-Kriminellen während M&A-Aktivitäten festgestellt. Angreifer versuchen dabei neu ernannte C-Level-Manager, Finanzfunktionen oder IT-Teams zu überraschen und erweitern geschickt ihre Angriffspläne, wenn die IT-Systeme aus den Netzwerken von Käufern und Verkäufern integriert werden.
Beachte | Trotz dieser Bedrohungslage, die mit zunehmender Digitalisierung weiter steigt, und des erheblichen Schadenspotentials für die betroffenen Unternehmen werden indessen in der derzeitigen Praxis des Unternehmenskaufes Cyberrisiken von den Beteiligten nur stiefmütterlich behandelt. Dies sollte sich schleunigst ändern. Denn das kaufende Unternehmen läuft ansonsten Gefahr, ein Unternehmen zu erwerben, das erhebliche Cyberrisiken ausgesetzt ist und dessen wesentliche Daten und Informationen, insbesondere Geschäfts- und Betriebsgeheimnisse, schlimmstenfalls bereits „abgezogen“ worden sind. Offensichtlich kann dies eine nachhaltige Entwertung des Investments des kaufenden Unternehmens nach sich ziehen.
Cyber-Security-Diligence, Freistellungen und Garantien
Im Rahmen der Unternehmensprüfung, der sog. „Due Diligence“, sollte das kaufende Unternehmen das zu erwerbende Zielunternehmen einer eingehenden „Cyber-Due Diligence“ unterziehen. Dieses sollte etwa prüfen, ob das Zielunternehmen aufgrund seines sachlichen und geographischen Tätigkeitsbereichs einem besonderen Risk Exposure ausgesetzt ist und zudem über hinreichende technische und organisatorische Risikomanagementsysteme verfügt. Auch sollte das kaufende Unternehmen ggf. durch spezialisierte IT-Experten überprüfen lassen, ob das Zielunternehmen in der Vergangenheit bereits Opfer von Cyberangriffen war und derzeit gar unbemerkten Cyberangriffen ausgesetzt ist. Des Weiteren sollten zum Schutz des kaufenden Unternehmens identifizierte Risiken durch entsprechende Regelungen in dem Unternehmenskaufvertrag, etwa durch Freistellungen oder Garantien, abgedeckt werden.
Hinweis | Ebenso sollten unmittelbar nach Erwerb des Zielunternehmens festgestellte Sicherheitslücken technisch geschlossen und die Risikomanagementprozesse des Zielunternehmens überarbeitet werden.
Fazit und Ausblick | Unternehmen, die diese Vorkehrungen außer Acht lassen, gefährden künftig den erfolgreichen Abschluss eines M&A-Prozesses. Vorstände und Geschäftsführer des kaufenden Unternehmens sollten die Vorkehrungen nicht nur dringlich treffen, um nach dem Erwerb des Zielunternehmens unliebsame Überraschungen zu vermeiden. Vielmehr sollte das Management dies auch umsetzen, um den gesetzlichen Anforderungen an verantwortungsvoll handelnde Geschäftsleiter nachzukommen.