Wir erleben derzeit eine enorme Welle an Fusionen und Übernahmen bei Unternehmen jeglicher Größe. In der ersten Jahreshälfte 2021 wurde weltweit eine „epische“ [1] Anzahl von Übernahmen abgeschlossen, gefolgt von einem „rasanten Sommer“ [2] mit zahlreichen M&A-Aktivitäten. Aus den im September veröffentlichten Zahlen [3] geht hervor, dass die Summe der weltweiten Fusionen und Übernahmen auf ein Rekordhoch von 3,9 Billionen Dollar gestiegen ist. Diese scheinbar positiven Wirtschaftsnachrichten haben jedoch einen technologischen Haken: Fusionen und Übernahmen können aus Sicht der Cybersicherheit extrem gefährlich sein. Unternehmen kaufen nicht nur einfach ein anderes Unternehmen, sondern übernehmen auch dessen Security-Probleme, Schwachstellen und Risikoprofile. Entsprechend ist es nicht unwahrscheinlich, dass zahlreiche Unternehmen derzeit auf tickenden Zeitbomben sitzen. Sicherheitsteams und CISOs müssen deshalb proaktiv handeln, um Probleme schon im Vorfeld zu beseitigen.

Die Datenrisiken bei Fusionen

Wenn ein Unternehmen ein anderes kauft, beinhalten die Prozesse fast immer die Integration von Systemen und den Transfer von Daten. Viele Unternehmen führen bei der Fusion zweier Unternehmen ein „Lift and Shift“-Verfahren durch, bei dem die Daten einfach auf die eigenen Server übertragen werden. Leider werden diese Daten nicht immer angemessen geprüft und sind oft unstrukturiert sowie nicht klassifiziert, was viele Risiken birgt. Einige der Daten könnten beispielsweise Mitarbeitern und Auftragnehmern zugänglich gemacht werden, die keinen Zugang haben sollten, wodurch die Gefahr von Insider-Bedrohungen steigt. Bedenkt man, dass es bei es bei Fusionen häufig auch zu Umstrukturierungen kommt, wird das Risiko deutlich: Verfügen Mitarbeiter, die z. B. vor einer Freistellung stehen, über umfangreiche Zugriffsrechte, könnten sie versucht sein, diese auszunutzen und Daten zu entwenden oder zu kompromittieren.

Eine weitere Herausforderung sind Dateien, deren Berechtigungen im Zuge des Übernahmeprozesses gebrochen und damit ungültig werden. In der Folge können Administratoren oder Anwender über zu viel Zugriff verfügen, während andere Mitarbeiter nicht auf notwendige Daten zugreifen können. Letzteres stellt zwar kein besonderes Sicherheitsrisiko dar, beeinträchtigt aber deutlich die Produktivität. Problematisch sind in diesem Zusammenhang auch Schattenadministratoren, die sich ohne Wissen des Sicherheitsteams unbefugt privilegierten Zugriff verschafft haben. Diese Konten können Änderungen auf Administratorebene vornehmen und so enormen Schaden anrichten. Dies macht sie zu einem beliebten Ziel für externe Angreifer.

Auch inaktive Benutzerkonten können ein Risiko darstellen. Wenn ein Unternehmen mittels Lift & Shift Daten und Konten überträgt, werden dabei häufig auch viele Konten ehemaliger Mitarbeiter übertragen, teilweise auch privilegierte Benutzeraccounts. Auch diese sind bevorzugte Ziele für Hacker: Gelingt es ihnen nur eines dieser Konten zu kompromittieren, verfügen sie über umfangreiche Zugriffsrechte – ohne dass es jemandem auffällt.

Die Migration von Daten, die unzureichend oder falsch kategorisiert wurden, stellt ein sehr hohes Risiko dar. Bei Fusionen und Übernahmen werden oft Tausende, wenn nicht gar Millionen von Dokumenten übertragen und freigegeben. Ohne eine Möglichkeit, deren Inhalt automatisch zu kategorisieren, ist es unmöglich zu wissen, welche Dokumente sensitiv sind und geschützte oder vertrauliche Informationen enthalten. Hierdurch drohen Unternehmen gemäß der Datenschutz-Grundverordnung (DSGVO) Geldstrafen, wenn sie Dokumente mit sensiblen personenbezogenen Daten offenlegen.

Schließlich besteht zusätzlich das Risiko, dass ein Unternehmen, das einer Datenmigration unterzogen wird, bereits kompromittiert wurde. Der neue Eigentümer lädt dadurch Angreifer förmlich in sein Allerheiligstes (seine Infrastruktur) ein. Einige der prominentesten Datenschutzverletzungen der letzten Jahre sind genau hierauf zurückzuführen. So befanden sich die Angreifer bereits seit 2014 in den Systemen von Starwood, bevor 2016 Marriott das Unternehmen übernahm und damit den Angriff importierte. Mit verheerenden Folgen: So wurden nicht nur mehrere hundert Millionen Datensätze offengelegt und der Ruf des Unternehmens nachhaltig beschädigt, auch musste Marriott ein Bußgeld in Höhe von 20,4 Millionen Euro [4] wegen Verstößen gegen die DSGVO zahlen.  

Wie die (Daten-)Fusion sicher gelingen kann

Gartner beschreibt Fusionen und Übernahmen als eine „herausfordernde Transformation für ein Unternehmen“: „Die Unfähigkeit, die Integration von Cybersicherheitspraktiken zu managen, birgt ihre eigenen Risiken“, stellen die Analysten fest. „Die Verantwortlichen für Sicherheit und Risikomanagement müssen eine angemessene Due-Diligence-Prüfung sicherstellen und die Auswirkungen auf die Cybersicherheit während des gesamten Prozesses berücksichtigen.“

Der erste Schritt für einen CISO bei einer Fusion ist die Erstellung eines M&A-Playbooks, das immer wieder verwendet werden kann. Dieses Playbook sollte klare Anweisungen enthalten, wie bei der Überprüfung und Migration von Daten vorzugehen ist, um so die Kosten und Risiken von Fusionen und Übernahmen zu verringern.

Im Idealfall sollten CISOs bereits in der Frühphase der Due-Diligence-Prüfung involviert werden. So können sie beurteilen, ob die Fusionen und Übernahmen zu einer Sicherheitsverletzung führen und zugleich mögliche Probleme erkennen, bevor sie sich zu größeren Krisen auswachsen.

Vor der Migration sollten bereits allgemeine Prüfungen durchgeführt werden: Arbeitet das Unternehmen beispielsweise bereits nach dem Zero-Trust-Modell? Oder anders ausgedrückt sollte die Frage gestellt werden, ob ein Least-Privilege-Ansatz besteht? Wie viele personenbezogene Daten werden bei der Datenübertragung wahrscheinlich transferiert?

Die „übernommenen“ Daten sollten klassifiziert werden, insbesondere wenn sie in unstrukturierten Speichern wie E-Mail, Cloud-Speichern und NAS-Geräten gespeichert sind. Der Klassifizierungsprozess gibt Aufschluss darüber, ob das Unternehmen sensitive Informationen angemessen verwaltet. Er verdeutlicht zudem das Risiko einer Datenverletzung und kann zudem aufzeigen, ob bereits eine Sicherheitsverletzung stattgefunden hat.

Sämtliche Benutzerkonten müssen identifiziert werden, um solche zu ermitteln, die ein Hacker zum Datendiebstahl nutzen könnte. Dies gilt insbesondere für Konten von Führungskräften, Serviceaccounts und andere privilegierte Konten. Außerdem sollte die Ordnerstruktur von Datenspeichern analysiert werden, um die Berechtigungen für jeden Ordner zu prüfen, bevor zu weit gefasste Berechtigungen entfernt und übermäßig exponierte Daten ermittelt werden können. Wenn möglich, sollten die Daten vor Beginn der Migration mit Hilfe einer im M&A-Playbook dargelegten Audit-Strategie gesperrt werden.

Auch nach der Migration sollten die Sicherheitsverantwortlichen die neuen Daten weiter überwachen und hierbei insbesondere privilegierte Konten genau im Auge behalten. Die Übernahme einer großen Menge neuer Daten in die Systeme eines Unternehmens kann den Explosionsradius eines Ransomware-Angriffs dramatisch vergrößern und so für verheerende Schäden sorgen. Auf diese Weise können Unternehmensübernahmen schnell wesentlich teurer werden – von Reputationsschäden einmal ganz abgesehen. Deshalb sollte die Beseitigung von Datenrisiken so schnell wie möglich ein wesentlicher Bestandteil jedes M&A-Prozesses sein.

Quellen und Referenzen:

[1] https://www.bloomberg.com/news/articles/2021-07-01/m-a-boom-shows-no-sign-of-stopping-after-epic-first-half

[2] https://www.ft.com/content/4b955a75-55a4-4e13-b785-638b88bbfb0b

[3] https://www.reuters.com/business/finance/boom-banks-ma-pandemic-boost-corporate-fx-needs-2021-09-16/

[4] https://www.ecolaw.de/marriott-urteil-gemindert-strafe-von-204-mio-euro-zu-zahlen-statt-110-390-200-euro/