Cyberangriffe bei Unternehmensfusionen: Bedrohungslage und Abwehr

bei

 / 29. January. 2021

Cyberattacken auf Unternehmen sind zunehmend verbreitet und ein lukratives Geschäft für die Angreifer. Im Schatten der aktuellen Cyber-Diskussion und weit unterschätzt von den Unternehmern sind Angriffe, die im Zuge von M&A stattfinden.

Rund 60.000 Cyber-Angriffe richten russische Hacker täglich auf deutsche Ziele. Die weltweit zu zählenden Attacken, die aus allen Regionen kommen, gehen hochgerechnet in den zweistelligen Millionenbereich. Mit stark steigender Tendenz. Denn dieses Geschäft ist für die Angreifer höchst lukrativ – und mit relativ geringen Risiken behaftet, denn sie greifen geschützt aus dem Darknet an und lassen sich mit Kryptowährungen bezahlen. Mittlerweile hat sich eine ganze Cyber-Industrie gebildet. Das „Marktvolumen“, d.h. die Summe der Zahlungen durch Cyber-Erpressung, liegt bei 6 Mrd. US-Dollar. Die Angreifer kommen aus allen Weltregionen, aus den Industrieländern, aus Schwellenländern, aus dem Inland – und gelegentlich auch aus dem eigenen Unternehmen. Große Angriffe lassen sich grob zurückverfolgen. Eine deutlich konzentrierte Angreifer-Gemeinschaft ist ansässig in Russland, in China und in Nordkorea. Diese Regionen sind sogar geprägt von speziellen Industriestrukturen, teils staatlicherseits betrieben, etwa aus Devisenmangel, zur Finanzierung besonderer Programme (etwa der Nuklearaufrüstung Nordkoreas) oder in Verbindung mit Industriespionage und gezielten Angriffen auf sensible Branchen der Industrieländer.

Organisierte Cyber-Kriminalität

Die „Gemeinschaften“ sind hochprofessionell organisiert, etwa in Form von Franchising-Strukturen mit einem zentralen Treiber, der die Ziele auskundschaftet, also quasi Marktforschung, Kandidatenscreening, Priorisierung, Angriffe und Verfahren vorgibt. Dieser ist vernetzt mit externen „Methodikern“, den eigentlichen Hackern, sofern er sie nicht schon an Bord hat: IT-Freaks, IT-Spezialisten, und High-Tech-Angreifern aus Spezialinstituten, die sich im Dunstkreis von Regierungen, Ministerien und Geheimdiensten befinden. Spitzenangriffe waren spektakulär, etwa die Ausschaltung der Zentrifugen-Steuerungen für die nukleare Brennstoffanreicherung im Iran. Die Angreifer kamen aus dem Geheimdienst der USA. Zuvor wurden die Ziele genau evaluiert: nämlich die Siemens-SPS-Steuerungen. Deren Architekturen und Sicherheitslücken musste man sich beschaffen. Es liegt nahe, auf welchen Wegen und unter wessen Druck auf wen.

Der Cyber-Krieg

Dies sind keine Verschwörungstheorien. Die Bedrohung ist real. Vorstände aus der IT-Branche der USA sprechen zunehmend von einem Cyber-Krieg, der immer weiter eskaliert. Dabei wird auch systematisch ausgetestet, inwieweit Industrienationen durch Angriffe auf ihre systemrelevanten Branchen geschwächt werden können. Die Spitzen-Angriffe auf Konzerne erfordern Spitzenkenntnisse und breit gefächerte Kompetenzen, also Teams und Ressourcen, wie sie nur von Geheimdiensten und Fachministerien unter Initiative und Finanzierung von Regierungen bereitgestellt werden können. Die großen Konzerne stellen ihrerseits große Ressourcen zur Cyber-Abwehr bereit. Selbst Grundlagenforschung, etwa zur Weiterentwicklung von Instrumenten, die der sogenannten künstlichen Intelligenz zuzurechnen sind, wird zur Entwicklung von Cyber-Angriffs-Verfahren betrieben. Mittlerweile hat sich ein Wettbewerb zwischen „guter KI“ und „böser KI“ entwickelt, der die Leistungen immer weiter in die Höhe schraubt – aus dem Wissen der „guten Verteidiger“, dass sie nur gewinnen können, wenn sie die Nase vorn haben. Vielleicht mit nur einem Jahr Vorsprung.

Häufigste Angriffsformen

Die Angriffsformen sind äußerst vielfältig. Am verbreitetsten sind Attacken mithilfe von Betrugs-Software (Betrug, engl.: Ransom). Ransomware-Angriffe können äußerst unangenehme Folgen für Unternehmen haben. Bei Ransomware handelt es sich um polymorphe Viren wie Locky, Tesla oder Petya, die den Rechner oder ein ganzes Netzwerk durch Verschlüsselung der lokal gespeicherten Dateien lahmlegen. Bekannteste Spezies davon sind Kryptotrojaner, die bereits Firmen in ihrer Existenz bedrohen oder sogar in die Insolvenz getrieben haben. Ein „Worst-Case-Szenario“ eines Ransomware-Angriffs beginnt typischerweise bei einem Mitarbeiter eines Unternehmens, der sich auf dem Dienstrechner einen Kryptotrojaner einfängt. Anschließend dauert es nicht lange, bis sich der Schädling über das gesamte Firmennetzwerk ausgebreitet hat. Ransom-Schäden können den Unternehmer vor unlösbare Probleme stellen. So ist er bereit, den Erpressern für die Freigabe der blockierten IT-Bereiche hohe Geldsummen zu bezahlen: „Easy money“ für die Angreifer.

Enormer Schaden bei der Reederei Maersk

Mit einem solchen Fall hatte die weltweit größte Reederei A. P. Møller Maersk zu kämpfen. Das Unternehmen musste im Juni 2017 einen massiven und globalen Ausfall der IT-Systeme hinnehmen. Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) handelte es sich bei der eingesetzten Schadsoftware hier um den Kryptotrojaner Petya. A. P. Møller Maersk reagierte prompt mit der Teilabschaltung von ganzen Systemen. Somit konnte zwar ein Worst-Case wie die Gefährdung der Steuerungssysteme der Container-Schiffe unterbunden werden, jedoch kam es noch wochenlang zu Unterbrechungen in ihrer Flotte. Nicht ohne finanzielle Folgen für A. P. Møller Maersk. Man geht davon aus, dass der Hackerangriff dem Unternehmen insgesamt 200 bis 300 Millionen Euro gekostet hat.

Zahlreiche Angriffe kamen den Opfern teuer zu stehen

Der französische Baumaterialhändler Saint Gobain musste 2017nach einem Cyber-Angriff seine Computer vollkommen vom Netz nehmen, um Daten zu retten. Der US-Pharmariese Merck hatte nach einem Angriff Probleme, seine Daten zu retten.  Der britische Konsumguthersteller Benckiser berichtete, dass er nach einem Cyber-Angriff Mühe hatte, seine Fertigung wieder hochzufahren und die Distribution wieder zu aktivieren. Das kostete dem Unternehmen 130 Millionen US-Dollar an Umsatz.

Die vorgenannten Fälle gingen auf das Konto der NotPetya-Malware, die zehntausende von Systemen in mehr als 65 Ländern traf. Neben den genannten Unternehmen waren darunter Großorganisationen wie Rosneft, FedEx, Mondelez International und Nuance Communication. Viele der weiteren Opfer befanden sich in der Ukraine, der Heimat einer Steuersoftwarefirma, deren Produkt zu den Attacken verwendet wurde.

Hohe durchschnittliche Schäden

Experten beziffern die durchschnittliche Ausfallzeit, die mit einem Angriff durch Kryptotrojaner einhergeht, mit 9 bis 16 Stunden. Typischerweise laufen Kosten aus mehreren Einzelschäden auf, die bei der Wiederherstellung des Betriebs und der Entfernung des Kryptotrojaners zusammenspielen. Dazu zählt auch der Verlust von Datensätzen, der entsteht, wenn das betroffene Unternehmen in der Vergangenheit nicht regelmäßig oder gar keine Backups durchgeführt hat. Für jeden verlorenen Datensatz rechnen die Herausgeber der Studie „Cost of Data Breach” [1] mit umgerechnet durchschnittlich 325 Euro. Wenn man bedenkt, dass hier schnell einige tausend verlorene Datensätze zusammenkommen, dann kann man den Kostenumfang leicht hochrechnen, den ein Datenverlust mit sich ziehen kann. Hinzu kommen Kosten für die Analyse über das Ausmaß des Angriffs. Hierbei ist insbesondere zu überprüfen, welche Geräte und Daten verschlüsselt wurden und um welche Art von Kryptotrojaner es sich handelt. Nicht selten ziehen Unternehmen hierzu IT-Expertenteams zurate, die durchaus mehrere Tage für solch eine aufwendige Untersuchung benötigen können. Kosten, die hierfür entstehen, können dann schnell in den fünfstelligen Bereich schießen. Zudem können weitere Aufwendungen hinzukommen – so etwa für Anwälte und Gerichte, die Benachrichtigung der Öffentlichkeit, die Datenrettung, zu zahlende Strafen an Regulierungsinstitutionen sowie Überstunden für Angestellte.

Große Angriffe führen häufig zu Insolvenzen

Ein Fünftel aller Unternehmen meldet bereits nach einer ersten großen Kryptotrojaner-Attacke Insolvenz an. Ein Angriff durch Ransomware kann für Unternehmen die unterschiedlichsten Konsequenzen haben. Die meisten Firmen folgen den Tipps von Experten, das geforderte Lösegeld nicht zu bezahlen. Allerdings treten auch bei Nichtzahlung erhebliche negative Konsequenzen ein. Nach Expertenschätzungen müssen insgesamt 20 Prozent aller Unternehmen, die Opfer eines Kryptotrojaners wurden, den Betrieb vorläufig komplett einstellen. Weitere 15 Prozent mussten erhebliche Umsatzverluste hinnehmen. Auch waren 25 Prozent der Unternehmen nicht in der Lage, das Einfallstor zu identifizieren. Dies führte dazu, dass sich der Schädling ungehindert im Netzwerk ausbreitet. Sind Schädlinge wie Kryptotrojaner erst einmal in das Firmennetzwerk eingedrungen, wird es nicht nur aufwändig, sondern auch teuer, die verseuchten Systeme wiederherzurichten. Nur mit den richtigen Präventivmaßnahmen lassen sich negative Folgen eines Ransomware-Befalls abwenden.

Der Mittelstand wird zum wichtigsten Angriffsziel

Angesichts hoher Verteidigungsmauern der Großkonzerne hat sich die „Masse“ der Cyber-Angreifer auf die darunter liegende Schicht größerer mittelständischer Unternehmen konzentriert. Hier sind die Hürden nicht ganz so hoch, die Aufmerksamkeit geringer. Und die Potenziale, um ertragreiche Erpressungen durchzuführen, sind größer. Denn der Aufwand für groß angelegte Angriffe ist nicht unbeträchtlich. Deshalb müssen die Angriffsziele gut gewählt sein. Kleinere Mittelständler sind (noch?) nicht das Ziel, denn sie verfügen nicht um die Geldmittel, die man erpressen kann und mit denen sich ein Angriff lohnt.

Deshalb richtet sich die Breite der Angriffe in zunehmendem Maße auf große Mittelständler – und davon hat Deutschland mehr als alle anderen Länder der Welt: allein 6.000 Unternehmen mit einem Umsatz von über 50 Millionen Euro sowie 1.000 Weltmarktführer.

Geringes Cyber-Risikobewusstsein gefährdet M&A

Obwohl die Aufmerksamkeit bei Konzernen und dem größeren Mittelstand auf die Beherrschung und Abwehr von Cyber-Angriffen durchaus gegeben ist, bleibt das Feld der Cyber-Sicherheit vor, während und nach M&A-Transaktionen auf merkwürdige Weise weitgehend unbeachtet. Nur wenige Unternehmen haben dies auf ihrem Radar. Konkrete Nachfragen wurden von unserer Seite wurden meist nicht oder ausweichend beantwortet – teilweise verständlich, um potenziellen Angreifern keine Lücken im Verteidigungsring anzubieten, wie beschrieben.

Angreifer haben M&A bereits als besonders günstige Gelegenheiten für Cyber-Attacken ausgemacht, insbesondere weil der Zeitdruck im Projekt, die Kommunikation, die Übergänge und Überführungen von unternehmerischen Aktivitäten viele Angriffsmöglichkeiten bieten – die sich bei genauerer Analyse von außen auch gut lokalisieren lassen.

Deutliche Schwächen bei M&A werden sichtbar

Die faktische Schwäche und das Übersehen von Risiken werden aber im Zuge von konkreten Verhandlungen über M&A-Beratungen und die Vergabepraxis überdeutlich, etwa zur IT Due Diligence im Allgemeinen und speziell zu einer Cyber Security Due Diligence. Dabei ist die Bewältigung und die Abwehr von Cyber-Angriffen im Zuge von M&A nicht nur in der Prüfungsphase relevant, sondern über den gesamten M&A-Prozess, beginnend mit ersten Vorsignalen des Vorstandes in der Presse zu M&A-Absichten und mehr noch wenn ein Deal bzw. die namentliche Nennung von Kandidaten angekündigt werden. Das Thema Cyber-Management bei M&A endet auch nicht mit dem Closing oder mit dem Abschluss der formalen Implementierung, sei es im Stand-alone-Fall  – bei reinen Übernahmen ohne Integrationen, etwa für Private Equity – oder bei Integrationen des operativen Geschäfts.

Zeitwahl und Angriffspunkte bei M&A identifizieren

Die Praxis hat gezeigt, dass die Angreifer ein potenzielles Ziel, das im Zuge von M&A angegriffen werden soll, sehr frühzeitig identifizieren und dann systematisch durchleuchten, mit den Fragen (a) ob sich ein Angriff lohnen könnte und (b) wann der optimale Zeitpunkt für einen Angriff gegeben ist. Das kann, wie Beispiele zeigen, auch Jahre nach der Übernahme sein. Dies bezeugt, dass die Angreifer zunächst strategische und operative Untersuchungen anstellen, bevor sie ihre teuren und fachlich herausfordernden Angriffe starten. Da geht es knallhart um die Maximierung von Erträgen, Risikobewertungen und Investitionsentscheidungen. Der finanzielle, der personelle und organisatorische Aufwand für die Einsätze der treibenden Einheit und der einzuschaltenden Subunternehmer muss vorab analysiert werden – vor allem der technischen Erforschung und Durchführung der Angriffe. Eine große Einzelaktion bindet alle Ressourcen und schließt damit andere Ziele für die Zeit der Angriffe weitgehend aus.

Selbstverständnis und Selbstbewusstsein der Angreifer nutzen

Wie aus Verhandlungen mit Angreifern deutlich wurde, sehen und betreiben sie ihr Geschäft professionell und mit der Überzeugung, einer Branche anzugehören, die in dem Ökosystem einer offenen Wirtschaftswelt eine Daseinsberechtigung hat. Die meist jungen Hacker und auch die IT-geschulten älteren Profis sind überzeugt oder glauben, einer Elite anzugehören, die den unterlegenen Targets in einem ungleichen Kampf das Management ihres Geschäftes bzw. ihrer (M&A-) Prozesse aus der Hand nehmen darf, frei nach dem Motto „das Recht des Stärkeren ist immer das bessere“. Die Kriminalität ihres Handelns blenden sie aus. Das Darknet verleiht ihnen Sicherheit. Selbst die Geldübergabe ist, dank virtueller Währungen, kein Risiko. Neben der finanziellen Attraktivität des Cyber-Geschäftes sind Angriffe auch ein sportliches Erlebnis. Die öffentliche Aufmerksamkeit der Fälle, ohne dass die Angreifer sich zu erkennen geben, ist dabei ein besonderer Kick.

Daraus ergeben sich Schlüsse zur Verhandlungsführung

Erkenntnisse über die Motivationslagen der Angreifer geben Hinweise, wie Verhandlungen zwischen Verteidigern und Angreifern psychologisch geführt werden müssen. Erfahrungen aus solchen Fällen und ein gewisser neutraler Anstrich externer Gesprächspartner implizieren, dass ein angegriffenes Unternehmen erfahrene externe Verhandler einsetzen sollte. Die Angreifer vermuten zurecht, dass ein Externer am ehesten eine Brücke zwischen den ungleichen „Partnern“ in diesem aufgezwungenen „Deal“ bauen kann.

Wie ist bei Cyber-M&A-Projekten vorzugehen, nach Standards oder „Kür“?

Als Grundlage sind die nationalstaatlichen Regularien zu beachten, etwa die Datenschutz-Grundverordnung in Deutschland und die EU-weit gültigen Regeln der General Data Protection Regulation. Darauf baut der deutsche BSI-Standard auf, als Methodik zur Herstellung eines soliden Informationssicherheitsmanagements, kurz ISMS. Die BSI-Standards sind ein elementarer Bestandteil der IT-Grundschutz-Methodik. Sie enthalten Empfehlungen zu Methoden, Prozessen und Verfahren sowie Vorgehensweisen und Maßnahmen zu unterschiedlichen Aspekten der Informationssicherheit. BSI ist aber ein reiner Sicherheitsstandard und kein Projektleitfaden. Wichtiger für die Projektarbeit auch hierzulande sind die internationalen NIS-(Network and Information Security-) Standards, die als ein Rahmenwerk zum prozeduralen Vorgehen in Cyber-Risiko-Projekten zu verstehen sind. Dieser „Rahmen“ gibt nur die zu bearbeitenden Felder vor und die prozedurale Einbindung.

Geschäftsspezifische Vorgehensweisen sind zu entwickeln

Konkret heißt dies, dass für den speziellen M&A-Fall die jeweils probaten Mittel und Pfade gesucht und angewendet werden müssen. Dies setzt natürlich die fachlichen IT-Kenntnisse voraus sowie Erfahrungswissen über Cyber-Angriffe und -Verteidigung. Wichtigste Weichenstellung für die Projektführung ist die Definition des Geschäftes, um das es geht, insbesondere die Branchen, die bearbeiteten Wertschöpfungsstufen und die Regionalitäten der Beteiligten. Die besondere Herausforderung bei einem Cyber-M&A-Projekt liegt darin, die Vorgehensweisen bei komplementär angesiedelten Geschäften festzulegen, etwa unterschiedliche Geschäftsdefinitionen und verschiedene Länder.

Cyber Due Diligence bei M&A sollte zur Regel werden

Eine zentrale Rolle bei M&A spielt die Unternehmensprüfung, also die Due Diligence, die der Verkäufer im Vorfeld zur Absicherung von Daten und Fakten über das zur Disposition stehende Unternehmen oder Unternehmensteile durchführen kann („Vendor Due Diligence“), um damit Informationsproblemen bei den späteren Verhandlungen zuvor zu kommen. Breite Verwendung spielt die vom Käfer zu fordernde „Purchaser Due Diligence“. Beide sollten nach heutiger Erkenntnis eine IT Due Diligence und insbesondere Einsätze zum Thema Cyber-Risiko-Management beinhalten. Der Ansatz der Cyber Due Diligence sollte genau der strategischen Positionierung und der zukünftigen Ausrichtung der kombinierten bzw. integrierten Geschäfte folgen. Präventive und defensive Aspekte des Cyber-Schutzes sind herauszuarbeiten. Auch der Integrationstypus muss Berücksichtigung finden.

Cyber Due Diligence Scans durchführen

Zu einer quasi „flächendeckenden“ Prüfung innerhalb einer Due Diligence gehören auch sogenannte (rapid) Scans, die auf spezifische Themen ausgerichtet sein können. Innerhalb einer Cyber Due Diligence bieten sich verschiedene Scans an. Diese dienen der Klärung des Sicherheitsprofils. Zu unterscheiden sind unternehmensintern ausgerichtete Scans und extern orientierte, etwa auf die Angreiferlandschaft und die zu erwartenden Angriffe und Methodiken. Für die Scans sollten auch Dritte beaufschlagt werden, so etwa sogenannte Intrusive Scans durch professionelle Hacker, also Versuche, in die Netze der M&A-Partner und die Aktivitäten der M&A-Teams einzudringen. Dafür sind entsprechende Genehmigungen einzuholen.

Zu den externen Scans, die keiner Genehmigung bedürfen, gehören Internet-Recherchen. Nötigenfalls Versuche im Dark Net – die aber juristisch abgesichert und den Aufsichtsbehörden gemeldet werden sollten. Grundsätzlich sollten kombinierte Scans der Hard- und Software-Infrastruktur vorgenommen werden. Dabei geht es um den Einsatz jüngster Technologien, Schutzeinrichtungen wie HW, SW und Sicherstellung, dass die letztbekannten Sicherheitslücken durch „Security Patches“ zeitnah geschlossen werden. Bei IT-nahen Geschäften sind z.B. Security Scans der Server des Targets vorzunehmen. Besondere Risiken eröffnen sich durch Open Source-Software-Produkte. Zur Sicherheitsprüfung bieten sich externe Fachspezialisten an.

Cyber-Security bei M&A als Mensch-Maschine-System implementieren

Die Prüfungen sollten „systemische“ Betrachtungen einschließen, also neben der technischen Seite auch den Humanfaktor. Probleme können nämlich auch durch menschliches Fehlverhalten entstehen, wobei unwissentliches und böswilliges Verhaltenswesen einzuschließen sind. Fehler, Lücken und Probleme können auf Nachlässigkeit, Frustration, Abwehr und kriminelle Energie zurückgeführt werden. Gefährder sind Frustrierte, Verlierer und Gegner des Deals. Insbesondere die Phasen der Unsicherheit, Ängste vor Veränderungen und Furcht vor Jobverlust können bei M&A unerwartete Handlungen hervorbringen, auch Sabotage und Spionage von innen.

Systematische Personaluntersuchungen können Risikoquellen aufdecken. Dies muss unter Beachtung der DSGV erfolgen, Mitarbeiter müssen darüber informiert werden, und Maßnahmen sollten schnellstens gezogen werden. Mit Sensibilität im personellen Umgang und einem psychologisch hinterlegten kulturellen Change Management können potenzielle Gefahrenherde im Innen- und Umgebungsbereich der M&A-Parteien eingedämmt werden. Summa summarum: „Inside Protection“ ist genauso wichtig wie „Outside Protection“ bei einem Deal.

Cyber-Schutzmaßnahmen nach dem Closing

Die klassischen Due Diligences wie Vendor und Purchaser Due Diligences, werden vor dem Closing durchgeführt. Darüber hinaus sind nach dem Closing – wenn der Käufer erstmals vollen Zugang zu allen Ressourcen hat – weitere Prüfungen durchzuführen, nun durch direkten Zugriff im realen Objekt. Für eine solche Untersuchung hat sich der Begriff „Post Closing Due Diligence“ eingeprägt, die der neue Eigentümer macht. Im Zuge eines Cyber-Risiko-Assessments können nun diejenigen Aktivitäten nachgeholt werden, die sich vor dem Closing rechtlich verbieten. So können sogenannte „White hat hatches“ angeheuert werden, mit der Aufgabe, Netzwerke und Produkte zu „hacken“ und „spots“ zu entdecken, an denen Angreifer in das unternehmensinterne Netz eindringen können. Über die unmittelbar daraus abzuleitenden Maßnahmen hinaus sollten danach –insbesondere bei IT-getriebenen Geschäften – kontinuierlich durchzuführende Aktivitäten zur Entwicklung und Installation neuer und immer sicherer Software eingerichtet werden. Nota bene: Der technologische Wettlauf mit den Angreifern geht immer weiter…

Notoperationen vornehmen

Wann auch immer vor, während oder nach M&A können Notmaßnahmen erforderlich werden. Darauf sollte man sich grundsätzlich einstellen und Notfallpläne und Ressourcen für „Feuerwehreinsätze“ vorhalten. Sensoriken in der Technik und Aufmerksamkeit der Mitarbeiter sind entscheidend. Das Erkennen früher Signale ermöglicht schnelle Aktionen. Geschwindigkeit im Handeln rettet Daten und verhindert die Ausbreitung der Schäden. Im Extremfall kann es sinnvoll sein, Teile des Firmennetzes oder das ganze Unternehmen vom Internet temporär abzukoppeln. Der damit zweifellos entstehende Schaden durch das Abschalten von Prozessen, sogar in der Fertigung, kann wesentlich größere Schäden durch externe Angriffe vermeiden. Die Analogie zu großen Waldbränden bietet sich an: Schneisen schlagen, damit die Brände nicht überspringen. Mit einem großen Unterschied: Bei IT kann es sich um Millisekunden handeln.

Sichere Strukturen präventiv aufbauen

Präventiv sollen Strukturen mit intern trennenden Firewalls geschaffen werden, sodass Bereiche notfalls separiert werden können. Hochsicherheitsbereiche sind zu identifizieren und entsprechend auszustatten. Die Anzahl der Zugänge vom Internet in das interne Unternehmensnetz sind zahlenmäßig möglichst gering zu halten und gut kontrollierbar zu gestalten. Angriffe über die Unternehmensperipherie sind beliebt, weil meist weniger geschützt. Hier bietet sich eine Reihe von Möglichkeiten zum Schutz an, sie etwa außerhalb einer Firmen-Firewall anzusiedeln, die Datenzugänge zu regeln und automatisiert zu sichern, etwa über limitierte Datenraten, Filter und Sicherheits-Scans.

Sicherheit kostet Zeit

Zeitdruck und Hektik im M&A-Prozess generieren besondere Cyber-Risiken. Deshalb kann es nötig werden, die Geschwindigkeiten einzelner M&A-Prozesse temporär herabzufahren, eventuell sogar ein „Time-out“ zu vereinbaren, um Sicherheitslücken zu schließen. Das Ziel muss dabei sein, das Target auf ein höheres Sicherheitsniveau zu bringen. Projekterfahrungen zeigen, dass dies durchaus auch über ein halbes Jahr laufen kann, bis die entsprechenden Maßnahmen in der IT, personell und in der Organisation etabliert und geprüft sind. Auch dies muss für große und professionell zu führende M&A-Projekte als Möglichkeit vorgesehen werden.

Für den immer zeitkritischen Ablauf eines M&A-Projektes heißt dies, dass derartige „Schleifen“ oder „Auskopplungen“ so zu gestalten sind, dass nicht das Gesamtprojekt behindert oder gefährdet wird. Auch hierzu bieten sich Lösungen an, beispielsweise über Sonderverträge, die das Nachlaufen von bestimmten Aktivitäten erlauben, etwa über das Closing hinaus. Das kann dazu führen, dass IT-Security-Sonderteams geschaffen werden, in denen Mitarbeiter (als Delegates) beim Target verbleiben, bis das Problem gelöst ist. Die Kosten dafür können geteilt oder verrechnet werden. Höhere Sicherheit kostet gut investiertes Geld. Beschleunigungen machen solche Prozesse noch teurer.

Die Cyber-Risiken bei M&A gehen über die Projektlaufzeit hinaus

Beobachtungen von Angriffen haben ergeben, dass professionelle Hacker systematisch Schwachpunkte beim (schwächeren) Target suchen, sich dort also einnisten. Sie schlagen erst dann los, wenn die Integration formell abgeschlossen ist. Dann hoffen sie, dass die IT-Systeme noch nicht harmonisiert sind und sie so durch die schwächeren Sicherungsfenster des bisherigen Targets in das neue integrierte Unternehmen eindringen können. Sie treffen dann die (bisher besser geschützte) IT des wertvolleren und damit zahlungskräftigeren Übernehmers. Der Schaden kann dort viel größer sein, und die Forderung bemisst sich nach der Schadenhöhe, die das angegriffene Unternehmen durch „Lösegeldzahlung“ vermeiden kann. Somit kann der späte Angriff viel lukrativer sein als der frühere.

Cyber-Schwachstellenanalysen zum M&A-Prozess empfehlen sich

Nachfolgend einige Orientierungspunkte für Schwachstellenanalysen, aus denen dann Abhilfe- und Abwehrmaßnahmen zu entwickeln sind:

  • Prozessorientiert
  • Instabilitäten im Vorfeld: Informations-Lecks, Spionage, Brüche von Geheimvereinbarungen, Fakes als Ergebnisse aus Kandidaten-Screenings.
  • Risiken nach dem Signing: Eindringlinge in Datenräume, Störungen und Defizite bei der Due Diligence,
  • Brüche im Prozess: Stabübergaben, etwa am „Day One“ nach dem Closing
  • Datenreste und Spuren nach dem formalen Projektabschluss
  • Mitarbeiterorientiert
    • Wer sind die Verlierer? Wer bangt um seinen Job?
    • Wer ist frustriert?
    • Geringes Engagement: nur temporäres Interesse, Absprungwillige
    • Spionage im Auftrag Externer
  • Stakeholder-betrieben
  • Wettbewerber greifen über Cyber an
  • Kunden der beiden M&A-Parteien starten Gegenoffensiven
  • Spionage von verschiedensten Seiten
  • Gesteuerte (Fake-) Nachrichten
  • Nachrichtendienste, „Beifang“ über M&A im Zuge breiterer Ermittlungen
  • Gezielte Insider-Informationen an Wettbewerber
  • Gezielte Schädigung der Wirtschaft durch konkurrierende Länder
  • Infrastrukturorientiert
  • IT-Arbeitsplätze
  • Software
  • Netz-Infrastruktur, Sicherheitsnetz: Verbindungspunkte nach außen
  • Dezentrale Angriffe: multi-regional, Standorte, Landesgesellschaften

 

Ratschläge an Unternehmer

Trotz der Vielfalt an Einfallstoren, der zahlreichen Angriffspfade und -technologien kann sich ein Unternehmer, der sich auf einen M&A-Fall vorbereitet – sei es als Käufer oder Verkäufer – einige wenige und einprägsame Regeln zu eigen machen:

Regel 1: Sichern Sie Ihr Investment

Der Wert des bei zur Disposition stehenden Unternehmens(-teils) kann durch Cyber-Angriffe schnell zunichte gemacht werden. Der Deal kann damit platzen. Dieses Risikobewusstsein sollte Sie zum Nachdenken führen, wo in Ihrem speziellen Fall die Angriffsrisiken liegen. Systematische Analysen, unter Einbezug interner und externer Fachleute können Schaden abwenden.

Regel 2: Cyber-Sicherheit bei M&A ist gut investiertes Geld

Glauben Sie nicht an das Märchen, dass Cyber-Abwehr bei M&A unverhältnismäßig teuer und der Einsatz von Fachleuten unklar und unüberschaubar sind – nur weil der sogenannte „Sense of urgency“ in der Breite der Unternehmen noch nicht angekommen ist. Die nach Cyber-Risiken fachlich gut geführten Projekte haben gezeigt, dass der „Return on security“ günstig ist und dass sich zahlreiche Methoden anbieten, aus denen ein Erfahrungsträger in diesem Geschäft das speziell für Ihren Fall passende und wirtschaftlich adäquate Leistungsmodell herausarbeiten kann. Cyber Security Managementbei M&A muss nicht teuer sein. Es muss so kompetent sein, dass es den Kompetenzen der Angreifer überlegen ist. Fehlende Kompetenzen sind von außen einzukaufen.

Regel 3: Ein guter Feldherr sieht vor der Schlacht in alle Richtungen

Ein M&A-Projekt läuft in der heißen Phase wie eine Schlacht ab. Ein guter Feldherr hat vorgesorgt, alle Angriffspunkte von außen und von innen lokalisiert und gesichert. Das muss vor dem M&A-Projekt erfolgt sein, während der Schlacht ist es zu spät. Ein für Cyber-Risiken gut aufgestelltes Unternehmen hat vor M&A zunächst einmal für größtmögliche Sicherheit im Vorfeld von M&A gesorgt, der „Stand-alone“-Position, so etwa auch nach dem Carve-Out einer zur Disposition stehenden Unternehmenseinheit, die im Niveau ihrer Sicherheitsaufstellung nicht gegenüber der (hoffentlich vorbildlichen) Aufstellung der Muttergesellschaft abfallen sollte.

Regel 4: Halten Sie die Verteidigungsmauern hoch

Angreifer loten Ihre IT nach Alter der Komponenten und den damit verbundenen (meist von den Anbietern publizierten) Schwachstellen aus. Sie wissen von den Lücken, die bei der Zusammenführung von Systemen entstehen. Sorgen Sie dafür, dass bereits vor der Fusion die Systeme beider Seiten dem jüngsten Sicherheitsstandard entsprechen.

Regel 5: Klären Sie das spezifische Cyber-Risiko-Profil Ihres M&A-Falles und handeln Sie entsprechend

Die Risikoprofile laufen nach den klassischen Dimensionen: Branche – Wertschöpfungsstufe – Regionalität: Was ist Ihnen bekannt? Was ist neu? Was ist denkbar? Je unterschiedlicher die M&A-Kandidaten, desto höher die Risiken. Diese sind zu lokalisieren und vertiefend zu analysieren. Dementsprechend sind im Projekt adäquate Kapazitäten und Kompetenzen bereit zu stellen.

Regel 6: Aufmerksamkeitsdefizite nicht zulassen – schnell agieren

Gehen Sie davon aus, dass die Angreifer systematisch die Schwachpunkte in einem M&A-Fall analysieren. Sie nutzen dazu öffentliche Daten, Firmeninformationen und Verlautbarungen über den M&A-Prozess. Setzen Sie eine spezielle Cyber Security Task Force für Ihr M&A-Projekt auf – bestehend aus Fachleuten beider Seiten (etwa nach dem bekannten Modell eines „Clean Teams“) unter Einbezug externer Kompetenzträger auf Feldern, die Ihnen fehlen.

Quellen und Referenzen:

[1] https://www.ibm.com/security/data-breach

 

 

Über den Autor / die Autorin:


Prof. Dr.-Ing. Kai Lucks ist Gründer und Vorsitzender des Bundesverbandes Mergers & Acquisitions e.V. Er war v.a. bei Siemens und seinen Joint Ventures im Medizin- und Energiebereich weltweit tätig und in der Zentrale für Kooperationen, Konzernstrategien und als Head of M&A-Integration verantwortlich.