DB: Steht ein M&A-Deal an, werden wirtschaftliche, rechtliche, steuerliche und finanzielle Verhältnisse eines Unternehmens genau unter die Lupe genommen. Wie sieht es denn mit der Prüfung der IT-Sicherheit aus?
Grieger: Die Prüfung von Cyberrisiken ist heutzutage leider eine absolute Ausnahme. Wenn überhaupt, wird lediglich das Datenschutzkonzept des Targets geprüft, also die Erfüllung der Vorgaben nach der Datenschutzgrundverordnung. Das ist ein wichtiger Bestandteil einer Cyber Due Diligence. Mit Prüfung der IT-Sicherheit hat das aber wenig zu tun.
DB: Wieso sollte der Prüfung der IT-Sicherheit ebenso große Bedeutung beigemessen werden?
Grieger: Für alle an der M&A-Transaktion beteiligten Parteien erwachsen hieraus immense Risiken. Cyberrisiken sind die mit Abstand größte Bedrohung der heutigen Zeit für Unternehmen. Hacker machen vor keiner Grenze halt. Sie beachten keine Gesetze und sind nicht durch solche gebunden. Sie bieten keine Ratenzahlungen, Fristverlängerungen, Stundungen oder Ähnliches an, geben keine verbindlichen Auskünfte, Stillhalte- oder Rangrücktrittserklärungen ab. Wer in einer stark vernetzten und digitalisierten Welt ein Unternehmen kauft, ohne zuvor eine Cyber-Due-Diligence durchzuführen, kauft daher ein hohes Bestandsrisiko, unter Umständen teure Haftung und ein gegebenenfalls wertloses Target ein.
DB: Das heißt im Umkehrschluss, Cybersicherheit ist ein echter Wertfaktor bei Fusionen und Übernahmen?
Grieger: Absolut. Cybersicherheit ist ein Wert- oder Werterhaltungsversprechen. Wenn Unternehmen ein funktionierendes Cybersecurity-Konzept haben, dokumentiert das, dass die wesentlichen Unternehmenswerte, die Kronjuwelen eines Unternehmens, und der funktionierende Betriebsablauf geschützt wurden und werden und dass das Unternehmen die größte Bedrohung, einen Hackerangriff, adäquat in seinem Compliance-System reflektiert hat. Damit ist das größte nicht kalkulierbare Risiko eingedämmt und handhabbar geworden. Außerdem sind bestimmte kosten- und zeitintensive Prozesse wie die Entwicklung eines Cybersecurity-Risk-Management-Systems bereits abgeschlossen. Das steigert natürlich den Wert des Targets.
DB: Wie kommt es, dass der Aspekt Cybersicherheit im Rahmen der Due Diligence derzeit nicht standardmäßig analysiert wird?
Grieger: Dies liegt an den fehlenden Kenntnissen vom richtigen Vorgehen bei einer Cyber Due Diligence und einem Mangel an Problembewusstsein der Transaktionsparteien. Jeder Unternehmenskäufer möchte Rentabilitätsrisiken sowie die Risiken von Rechtsstreitigkeiten oder Steuernachzahlungen beim avisierten Target vermeiden und prüft das Target auf diese Risiken. Kaum ein Käufer bedenkt, dass beispielsweise das Verschlüsselungsrisiko und damit der totale Funktionsausfall des Targets, aber auch die „Infektion“ des Käuferunternehmens, infolge einer Hackerattacke wesentlich gefährlicher sind. Außerdem scheuen die Transaktionsparteien die Kosten einer Cyber Due Diligence und lassen dabei außer Acht, dass sich die Transaktion bei sich verwirklichenden Cyberrisiken insgesamt als wertlos erweisen kann.
DB: Wieso sind eigentlich gerade KMU so beliebte Angriffsziele?
Grieger: KMU haben, anders als große Konzerne, oft keine Möglichkeiten, Cyberangriffen organisatorisch zu begegnen. Zur Liquiditätsschonung und Ermöglichung von Investitionen und Inventionen wird – gerade bei sehr jungen Unternehmen – auf die Cyberabwehr kein Fokus gelegt. KMU sind zudem oft innovativ und verfügen über Geschäftskonzepte, die unter Umständen zukunftsfähiger sind als die großer Konzerne. Für lange Verhandlungsprozesse mit Cyberkriminellen fehlen ihnen notwendige Rücklagen. Das macht sie gegenüber Erpressern einigungs- bzw. zahlungsgeneigt und auch daher als Ziel sehr attraktiv. Sie haben außerdem nicht die Kopfstärke, um sich im Fall einer Cyberattacke optimal organisieren und verhalten zu können.
DB: Seit dem Krieg gegen die Ukraine ist das Thema Cyberangriffe ja generell mehr in die Öffentlichkeit gerückt. Wirkt sich dieser Bewusstseinswandel jetzt auch auf M&A-Prozesse aus?
Grieger: Der Konflikt in der Ukraine und die damit einhergehende Berichterstattung hat für eine leicht intensivierte Wahrnehmung der Gefahren für Unternehmen durch mangelnde Cybersicherheit geführt. Die Nachfrage nach Cybersecuritylösungen stieg hierdurch leicht an. Auf die Transaktionspraxis hat sich dieser Umstand bislang jedoch noch nicht spürbar durchgeschlagen. Im Gegenteil. Andere Fragen, beispielsweise zu Lieferketten, die Herkunft von Geldern und Investoren, die Standhaftigkeit von international relevanten Abreden beim Target und andere Unsicherheiten haben vielmehr den Raum bei einer Transaktion in Anspruch genommen, den Cybersecurity einnehmen sollte. Richtigerweise sollte diesen „neuen“ Aspekten aber mit mindestens gleicher Aufmerksamkeit wie Fragen zur Cybersicherheit begegnet werden.
DB: Können die M&A-Transaktionen auch selbst Auslöser für Cyber-Attacken sein?
Grieger: Auf jeden Fall! Eine Transaktion ist für Cyberkriminelle oft eine günstige Gelegenheit, um mit einem Angriff zwei lohnende Ziele zu treffen. Stellen Sie sich ein kleines Start-up mit wenig Cyberresilienz und einer in der Zukunft stark umsatztreibenden Geschäftsidee vor, das von einem Konzern gekauft wird. Hacker dringen im Vorfeld der Transaktion in das Start-up ein und verweilen in dessen IT-Infrastruktur. Sie spionieren zunächst dessen Geschäftsgeheimnisse aus und könnten diese zu diesem Zeitpunkt theoretisch schon verwerten. Da keine Cyber Due Diligence durchgeführt wurde, bleibt der Angriff auf das Start-up auch unbemerkt. Nach der Transaktion werden die Strukturen des Start-up in die des Konzerns überführt. Hiernach sind die Konzern-Strukturen ebenfalls infiziert und stehen auch für die Hacker offen. Außerdem steht die innovative Geschäftsidee, deretwegen der Konzern das Start-up gekauft hat, als „Verhandlungsmasse“ für die Hacker gegenüber dem Konzern und dem Start-up zur Verfügung. In diesem Szenario hätte der Konzern mit der Infektion eigener Systeme und der Wertlosigkeit der durchgeführten Transaktion mit allen damit im Zusammenhang stehenden Nebenwirkungen zu tun. Die Verkäufer des nicht hinreichend abgesicherten Targets sähen sich den Schadenersatzansprüchen des Konzerns gegenüberstehen.
DB: Das ist tatsächlich ein erschreckendes Szenario. Welchen Rat haben Sie für Unternehmen, bei denen M&A-Transaktionen demnächst anstehen? Wie entlarvt man Schwachstellen?
Grieger: Für den Käufer: Prüfen Sie sich und das Target intensiv auf Cyberrisiken. Andernfalls laufen Sie Gefahr, sich ein infiziertes, stark im Wert vermindertes Unternehmen und schlimmstenfalls Haftung einzukaufen oder das eingekaufte Geschäftspotenzial bereits kurz nach dem Closing der Transaktion wieder zu verlieren. Der erhoffte Marktvorteil würde dann schnell zum Wettbewerbsnachteil, substanziellem Risiko und für die Unternehmensleitung zum haftungsrechtlichen Bumerang verkommen.
Für den Verkäufer: Prüfen Sie sich intensiv auf Cyberrisiken. Andernfalls werden Sie im Transaktionsprozess nicht den optimalen Preis erzielen, Aufwände haben und im Anschluss einer Transaktion umfänglich in Anspruch genommen, werden jahrelang Prozesse führen und verlieren somit, wenn nicht die wirtschaftliche Existenzgrundlage, Zeit, Geld und Reputation.
Für beide Parteien: Erweitern Sie die Transaktionsteams um einen kompetenten Dienstleister aus dem Bereich Cybersicherheit. Dieser prüft das Target, sichert die Transaktion für die Dauer der Verhandlungen und des Closings ab und findet alle neuralgischen Schwachstellen. Dies tut er beispielsweise mithilfe eines Penetrationstests und dem Einsatz eines Schwachstellenscanners. Thematisieren Sie Cybersecurity frühzeitig und reflektieren Sie das bestehende Cybersecuritylevel beziehungsweise den Soll-Status in den Unternehmenskaufvertrag.
DB: Vielen Dank für das spannende Interview!
Grieger: Sehr gern. Ich danke Ihnen!
