Hacker in schwarzen Handschuhen hackt das System.

Wie Cyberkriminelle den Verkauf von Unternehmen gefährden

Mit gezielten Sicherheitsmaßnahmen zunehmenden Bedrohungen durch Cyberkriminalität bei Unternehmenstranskationen entgegentreten.


Überblick

  • Cyberangriffe während oder unmittelbar nach einer Transaktion sind kein Zufall.
  • Bei einem Carve-out sind zusätzlich Kontrahentenrisiken sowie Risiken durch geringere Aufmerksamkeit des Managements und der Mitarbeitenden zu beachten.
  • Unter anderem können ein Cybersecurity-Separationsplan, ein Awareness-Training und eine Data Governance die Risiken deutlich reduzieren.

Angesichts von 493 Millionen versuchten Ransomware-Angriffen im Jahr 2022  herrscht für Cyberkriminelle nach wie vor Hochkonjunktur, während dies für die betroffenen Unternehmen existenzgefährdend wird. Vor allem die Betriebsunterbrechung, im Durchschnitt 24 Tage bei einem erfolgreichen Angriff , kostet viel Geld und kann mitunter existenzbedrohend sein. Aber was hat das Ganze mit einer Transaktion zu tun?

Hochkonjunktur
versuchte Ransomwareangriffe gab es 2022.

Die Nachrichtenlage rund um geplante M&A-Deals erleichtert es den Angreifern erheblich, geeignete Ziele zu identifizieren. Vor allem der Verkauf eines Unternehmens, insbesondere ein Carve-out, ist für Kriminelle attraktiv. Mit der Androhung der Veröffentlichung streng vertraulicher oder sensibler Informationen können hohe Summen erpresst werden. Es geht schlicht und einfach um viel Geld und das mögliche Risiko eines Gesichtsverlusts für alle Beteiligten.

Im November 2021 sah sich das FBI genötigt, eine entsprechende Warnung zu veröffentlichen: Sehr wahrscheinlich nutzen Cyberkriminelle finanzielle Ereignisse wie Transaktionen, um Unternehmen gezielt mittels Ransomware anzugreifen.

Ein bekanntes Beispiel ist die 2020 gescheiterte 650-Millionen-Dollar-Übernahme eines Zulieferunternehmens für die Luftfahrtindustrie durch einen Mitbewerber. Nach Bekanntgabe der geplanten Akquisition im Mai 2018 durch den Käufer wurde das Target einen Monat später Opfer eines Ransomware-Angriffs, der unter anderem eine Geschäftsunterbrechung inklusive einer vorübergehenden Schließung der Werke erzwang. Für den Transaktionsprozess bedeutete der Angriff eine erhebliche Verzögerung, hohe Preisabschläge und die Hinterlegung von 40 Millionen US-Dollar auf einem Treuhandkonto. Letztendlich scheiterte der Deal mehr als zwei Jahre später, zumal die Branche mit Auftragseinbrüchen im Zuge der Corona-Pandemie zu kämpfen hatte. Der Zulieferer wurde zwei Jahre später von einem anderen Unternehmen übernommen.

Zusätzliche Risiken im Rahmen eines Carve-outs

Zusätzlich zu bereits vorhandenen Cyberrisiken, die ständig und somit unabhängig von einer Transaktion bestehen, müssen Kontrahentenrisiken und transaktionsbedingte Risiken im Rahmen eines Carve-outs berücksichtigt werden:

Das Kontrahentenrisiko (engl. „counterparty risk“) kennt man eigentlich aus dem Finanz- und Kreditwesen. Man versteht darunter das Risiko, dass ein Kreditnehmer gewährte Kredite nicht oder nur unvollständig zurückzahlt. Im Kontext von Cybersecurity und Carve-outs beschreibt es das Risiko die Situation, dass die Verkaufs- und Übergangsprozesse beim Käufer beginnen und eine der beiden Vertragsparteien nicht bereit beziehungsweise nicht in der Lage ist, bewährte Cybersicherheitspraktiken sowie konkret vereinbarte Anforderungen vor und nach Tag 1 zu erfüllen. Dies gilt vor allem für den Schutz gemeinsam genutzter Technologie, im Besonderen IT und OT. Auf diese Weise entsteht auch für die andere Partei ein Risiko, obwohl sie kaum Kontrolle über das Risiko hat oder es vielleicht nicht einmal kennt. Schon eine unzureichende Vorbereitung des Carve-outs, eine Integration durch ein unerfahrenes und allgemein mit Cybersecurity überfordertes Team oder unnötig lange Transitional Service Agreements bei unzureichendem Schutzniveau können ein Kontrahentenrisiko nach sich ziehen.

Existenzbedrohend
dauerte im Durchschnitt eine Betriebsunterbrechung bei einem erfolgreichen Angriff.

Unnötig lange Transitional Service Agreements bei unzureichendem Schutzniveau können ein Kontrahentenrisiko nach sich ziehen.


Transaktionsbedingte Risiken entstehen einerseits, wie bereits anfänglich beschrieben, durch die bloße Ankündigung einer Transaktion. Besonders betroffen sind Unternehmen mittlerer Größe, deren Schutzniveau oft weit entfernt von dem eines Großunternehmens ist. Kriminelle sehen genügend finanziellem Spielraum zur Zahlung eines Lösegeldes im Bereich von 1 Million Euro oder höher. Dass ein Cyberangriff negative Auswirkungen auf die Verhandlungen hat, nehmen die Kriminellen nicht nur billigend in Kauf, es ist auch Teil des Kalküls in Erwartung höherer Zahlungsbereitschaft.

Weitere transaktionsbedingte Risiken haben vor allem mit Veränderungen durch den Verkauf zu tun. Bereits mit der Ankündigung einer Transaktion beginnt für viele Beschäftigte eine Phase der Unsicherheit in Kombination mit zusätzlichen Aufgaben und jeder Menge Ablenkung durch die Kommunikation im Zuge des Verkaufs. Parallel konzentriert sich das Management auf den Abschluss der Transaktion und die Trennung. Phishing-Tests, die EY während einer solchen Phase durchgeführt hat, haben ein um 50 Prozent erhöhtes Risiko ergeben, dass Mitarbeitende Opfer eines solchen Angriffs werden , der meist der Vorbereitung der eigentlichen Cyberattacke dient. Bei unzureichendem Schutzniveau genügt es, wenn bereits ein Mitarbeiter sein Passwort unwissentlich an die Angreifer weitergibt oder eine mit Malware infizierte Datei anklickt. Hinzu kommt: Unzufriedene Mitarbeitende könnten vertrauliche Informationen an ihren nächsten Arbeitgeber oder an Dritte weitergeben („insider threat“) oder aus Protest sogar destruktive Handlungen (zum Beispiel Revenge Wipe) begehen.

Die Defensive gewinnt Meisterschaften

Dieser häufig zitierte Satz aus der Sportwelt trifft es auf den Punkt: Eine gute Abwehr trägt viel dazu bei, die Wahrscheinlichkeit eines „erfolgreichen“ Angriffs zu verringern oder dessen Schadenspotenzial zu begrenzen. Dabei ist es wichtig, mehr präventiv und weniger ad hoc zu handeln. Vor allem sollte zwischen allgemeinen Cybersicherheitsmaßnahmen und spezifischen Aspekten im Kontext der Transaktion unterschieden werden. Präventive Sicherheitsmaßnahmen zur Abwehr von Cyberangriffen sollten immer in einem ausreichenden Maße implementiert sein, unabhängig davon, ob eine Transaktion geplant ist oder nicht.

Die vier im Zusammenhang mit dem Carve-out spezifischen Aspekte lauten wie folgt:

Mehr zum Thema

    Fazit

    Das Risiko, während einer Transaktion Opfer eines Cyberangriffs zu werden, ist erheblich höher als sonst. Zusätzliche Cyberrisiken entstehen im Zuge eines Carve-outs (Kontrahentenrisiken) und durch die deutlich verringerte Aufmerksamkeit von Mitarbeitenden und Führungskräften während des Übergangs von einem zum nächsten Eigentümer. Abgesehen von generellen Sicherheitsmaßnahmen sollte ein Carve-out von transaktionsspezifischen Maßnahmen wie einem Cybersecurity Operating Model oder einem Awareness-Programm flankiert werden.

    Über diesen Artikel

    Autoren