Die internationale EY-Organisation besteht aus den Mitgliedsunternehmen von Ernst & Young Global Limited (EYG). Jedes EYG-Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig und haftet nicht für das Handeln und Unterlassen der jeweils anderen Mitgliedsunternehmen. Ernst & Young Global Limited ist eine Gesellschaft mit beschränkter Haftung nach englischem Recht und erbringt keine Leistungen für Mandanten.
Alle Ergebnisse anzeigen für
'
'
Keine Ergebnisse gefunden
Allgemein
Alle anzeigenPeople
Alle anzeigenSelect your location
Local sites
Mit gezielten Sicherheitsmaßnahmen zunehmenden Bedrohungen durch Cyberkriminalität bei Unternehmenstranskationen entgegentreten.
Überblick
- Cyberangriffe während oder unmittelbar nach einer Transaktion sind kein Zufall.
- Bei einem Carve-out sind zusätzlich Kontrahentenrisiken sowie Risiken durch geringere Aufmerksamkeit des Managements und der Mitarbeitenden zu beachten.
- Unter anderem können ein Cybersecurity-Separationsplan, ein Awareness-Training und eine Data Governance die Risiken deutlich reduzieren.
Angesichts von 493 Millionen versuchten Ransomware-Angriffen im Jahr 2022 herrscht für Cyberkriminelle nach wie vor Hochkonjunktur, während dies für die betroffenen Unternehmen existenzgefährdend wird. Vor allem die Betriebsunterbrechung, im Durchschnitt 24 Tage bei einem erfolgreichen Angriff , kostet viel Geld und kann mitunter existenzbedrohend sein. Aber was hat das Ganze mit einer Transaktion zu tun?
Hochkonjunktur
versuchte Ransomwareangriffe gab es 2022.
Die Nachrichtenlage rund um geplante M&A-Deals erleichtert es den Angreifern erheblich, geeignete Ziele zu identifizieren. Vor allem der Verkauf eines Unternehmens, insbesondere ein Carve-out, ist für Kriminelle attraktiv. Mit der Androhung der Veröffentlichung streng vertraulicher oder sensibler Informationen können hohe Summen erpresst werden. Es geht schlicht und einfach um viel Geld und das mögliche Risiko eines Gesichtsverlusts für alle Beteiligten.
Im November 2021 sah sich das FBI genötigt, eine entsprechende Warnung zu veröffentlichen: Sehr wahrscheinlich nutzen Cyberkriminelle finanzielle Ereignisse wie Transaktionen, um Unternehmen gezielt mittels Ransomware anzugreifen.
Ein bekanntes Beispiel ist die 2020 gescheiterte 650-Millionen-Dollar-Übernahme eines Zulieferunternehmens für die Luftfahrtindustrie durch einen Mitbewerber. Nach Bekanntgabe der geplanten Akquisition im Mai 2018 durch den Käufer wurde das Target einen Monat später Opfer eines Ransomware-Angriffs, der unter anderem eine Geschäftsunterbrechung inklusive einer vorübergehenden Schließung der Werke erzwang. Für den Transaktionsprozess bedeutete der Angriff eine erhebliche Verzögerung, hohe Preisabschläge und die Hinterlegung von 40 Millionen US-Dollar auf einem Treuhandkonto. Letztendlich scheiterte der Deal mehr als zwei Jahre später, zumal die Branche mit Auftragseinbrüchen im Zuge der Corona-Pandemie zu kämpfen hatte. Der Zulieferer wurde zwei Jahre später von einem anderen Unternehmen übernommen.
Zusätzliche Risiken im Rahmen eines Carve-outs
Zusätzlich zu bereits vorhandenen Cyberrisiken, die ständig und somit unabhängig von einer Transaktion bestehen, müssen Kontrahentenrisiken und transaktionsbedingte Risiken im Rahmen eines Carve-outs berücksichtigt werden:
Das Kontrahentenrisiko (engl. „counterparty risk“) kennt man eigentlich aus dem Finanz- und Kreditwesen. Man versteht darunter das Risiko, dass ein Kreditnehmer gewährte Kredite nicht oder nur unvollständig zurückzahlt. Im Kontext von Cybersecurity und Carve-outs beschreibt es das Risiko die Situation, dass die Verkaufs- und Übergangsprozesse beim Käufer beginnen und eine der beiden Vertragsparteien nicht bereit beziehungsweise nicht in der Lage ist, bewährte Cybersicherheitspraktiken sowie konkret vereinbarte Anforderungen vor und nach Tag 1 zu erfüllen. Dies gilt vor allem für den Schutz gemeinsam genutzter Technologie, im Besonderen IT und OT. Auf diese Weise entsteht auch für die andere Partei ein Risiko, obwohl sie kaum Kontrolle über das Risiko hat oder es vielleicht nicht einmal kennt. Schon eine unzureichende Vorbereitung des Carve-outs, eine Integration durch ein unerfahrenes und allgemein mit Cybersecurity überfordertes Team oder unnötig lange Transitional Service Agreements bei unzureichendem Schutzniveau können ein Kontrahentenrisiko nach sich ziehen.
Existenzbedrohend
dauerte im Durchschnitt eine Betriebsunterbrechung bei einem erfolgreichen Angriff.
Unnötig lange Transitional Service Agreements bei unzureichendem Schutzniveau können ein Kontrahentenrisiko nach sich ziehen.
Transaktionsbedingte Risiken entstehen einerseits, wie bereits anfänglich beschrieben, durch die bloße Ankündigung einer Transaktion. Besonders betroffen sind Unternehmen mittlerer Größe, deren Schutzniveau oft weit entfernt von dem eines Großunternehmens ist. Kriminelle sehen genügend finanziellem Spielraum zur Zahlung eines Lösegeldes im Bereich von 1 Million Euro oder höher. Dass ein Cyberangriff negative Auswirkungen auf die Verhandlungen hat, nehmen die Kriminellen nicht nur billigend in Kauf, es ist auch Teil des Kalküls in Erwartung höherer Zahlungsbereitschaft.
Weitere transaktionsbedingte Risiken haben vor allem mit Veränderungen durch den Verkauf zu tun. Bereits mit der Ankündigung einer Transaktion beginnt für viele Beschäftigte eine Phase der Unsicherheit in Kombination mit zusätzlichen Aufgaben und jeder Menge Ablenkung durch die Kommunikation im Zuge des Verkaufs. Parallel konzentriert sich das Management auf den Abschluss der Transaktion und die Trennung. Phishing-Tests, die EY während einer solchen Phase durchgeführt hat, haben ein um 50 Prozent erhöhtes Risiko ergeben, dass Mitarbeitende Opfer eines solchen Angriffs werden , der meist der Vorbereitung der eigentlichen Cyberattacke dient. Bei unzureichendem Schutzniveau genügt es, wenn bereits ein Mitarbeiter sein Passwort unwissentlich an die Angreifer weitergibt oder eine mit Malware infizierte Datei anklickt. Hinzu kommt: Unzufriedene Mitarbeitende könnten vertrauliche Informationen an ihren nächsten Arbeitgeber oder an Dritte weitergeben („insider threat“) oder aus Protest sogar destruktive Handlungen (zum Beispiel Revenge Wipe) begehen.
Die Defensive gewinnt Meisterschaften
Dieser häufig zitierte Satz aus der Sportwelt trifft es auf den Punkt: Eine gute Abwehr trägt viel dazu bei, die Wahrscheinlichkeit eines „erfolgreichen“ Angriffs zu verringern oder dessen Schadenspotenzial zu begrenzen. Dabei ist es wichtig, mehr präventiv und weniger ad hoc zu handeln. Vor allem sollte zwischen allgemeinen Cybersicherheitsmaßnahmen und spezifischen Aspekten im Kontext der Transaktion unterschieden werden. Präventive Sicherheitsmaßnahmen zur Abwehr von Cyberangriffen sollten immer in einem ausreichenden Maße implementiert sein, unabhängig davon, ob eine Transaktion geplant ist oder nicht.
Die vier im Zusammenhang mit dem Carve-out spezifischen Aspekte lauten wie folgt:
Batteriespeicher: Der Schlüssel zur Energiewende?
Entdecken Sie, wie Batteriespeichersysteme die Energiewende vorantreiben und neue Investitionschancen bieten. Jetzt mehr über die Potenziale erfahren!
12 März 2025
Dominika Ermitsch
Interim Executive Management: wenn Lücken im Management gefüllt werden müssen
27 Okt. 2024
Andreas Warner
Wie Verkäufer mit einer ESG-Organisation punkten
Bei Firmenverkäufen ist eine funktionierende ESG-Organisation bares Geld wert. Lesen Sie hier, wie Unternehmen vorgehen, um das Maximum herauszuholen.
10 Okt. 2024
Andrea Weinberger
KI-Einsatz im Unternehmen: Welche Rolle spielt die Compliance-Funktion?
19 Apr. 2024
Andreas Pyrcek
KI-Auswirkungen auf Investigations
Zukunftsprognose: potenzielle Entwicklungen in der KI-gestützten internen Untersuchung
19 Apr. 2024
Tim Ahrens
eIDAS 2.0: Neuerungen und Potenziale
Die Zukunft der digitalen Identität: Erfahren Sie hier, wie eIDAS 2.0 die Nutzung elektronischer Signaturen und Vertrauensdienste in Europa revolutioniert.
16 Apr. 2024
Stefan Wannmacher
Ransomware-Attacke: Zahlen oder nicht?
Wenn Unternehmen nach Cyberangriffen vor Lösegeldforderungen stehen, bringt das auch rechtliche Probleme mit sich. Was dann zu tun ist, lesen Sie hier.
02 Apr. 2024
Thomas Koch
Post-Quantum Security: neue Sicherheitsstandards
Bei der Einführung von Post-Quantum-Security-Maßnahmen sollten Unternehmen umgehend handeln. Was jetzt zu tun ist, lesen Sie hier.
06 Feb. 2024
Dr. Jan Rosam
Cybersicherheit bei Kapitalmarktpflichten
Das Thema Cybersicherheit wird immer präsenter und die Bedrohungslage hat sich deutlich verschärft. Mehr über die Gründe erfahren Sie hier.
31 Jan. 2024
Dr. Martin Steinbach
Der EU AI Act kommt. Was das für Ihr Unternehmen heißt und welche Schritte Sie jetzt einleiten sollten, lesen Sie hier bei EY.
24 Jan. 2024
Felix Kraft
Cyberresilienz und Cyber Response: Warum NIS2 eine Chance ist
EU-NIS2-Richtlinie zur Cyberresilienz: Erfahren Sie, wie die Verordnung im Kontext der aktuellen Sicherheits- und Bedrohungslage einzuordnen ist.
29 Nov. 2023
Bodo Meseke
Warum eine Cyberversicherung nur ein Teil des Risikomanagements ist
Cyberversicherung: kein Schutz vor Cyberattacken, aber Absicherung der Folgen. Ein Interview mit Bodo Meseke, Thomas Koch und Jens Krickhahn (Allianz Commercial).
06 Nov. 2023
Bodo Meseke
Lesen Sie hier, wie Sie die Auswirkungen von SoD-Risiken auf Ihre Geschäftsprozesse einfacher überwachen können.
02 Aug. 2023
Heiko Gminder
Wie das UmRUG mehr Sicherheit bei grenzüberschreitenden Umwandlungen schafft
Deutschland setzt die EU-Richtlinie um, die mehr Sicherheit bei Spaltungen und Formwechseln schaffen soll.
14 Juli 2023
Tax & Law Magazine
Datenschutzaudit: Aufgabe der Unternehmens-Compliance
Lesen Sie hier, warum ein Datenschutzaudit als Maßnahme für einen unabhängigen Blick auf den Reifegrad der betrieblichen Datenschutz-Compliance wichtig ist.
04 Juli 2023
EY Deutschland
Gesetzliche Herausforderungen beim Produktdatenschutz
Lesen Sie hier, wie Unternehmen den regulatorischen Anforderungen bei der Herstellung und Nutzung von IoT-Devices gerecht werden können.
22 Juni 2023
EY Deutschland
Cyberkriminalität: Gefahren für Private Equity Portfoliounternehmen
Besonders für Portfoliounternehmen wächst das Risiko durch Cyberangriffe. Lesen sie hier, warum eine eigene Due Diligence im Cyberbereich wichtig ist.
20 Juni 2023
Wolfgang Eidt
Hinweisgeberschutz: Neue Pflichten für Unternehmen
In Kürze tritt das neue Gesetz zum Schutz von Whistleblowern in Kraft. Erfahren Sie hier, warum Unternehmen nun handeln müssen.
14 Juni 2023
Steve Drescher
Datenklaustudie 2023: Gefahr steigert Risikobewußtsein
Die EY Datenklaustudie 2023 zeigt, dass Cybercrime für Unternehmen eine reale Gefahr ist. Erfahren Sie hier mehr über die aktuelle Bedrohungslage.
16 Mai 2023
EY Deutschland
Die neuen EBA-Leitlinien und der Geldwäschebeauftragte
Wie sich die EBA-Leitlinien auf die Erstellung des Tätigkeitsberichts des Geldwäschebeauftragten auswirken.
04 Mai 2023
Steve Drescher
Fazit
Das Risiko, während einer Transaktion Opfer eines Cyberangriffs zu werden, ist erheblich höher als sonst. Zusätzliche Cyberrisiken entstehen im Zuge eines Carve-outs (Kontrahentenrisiken) und durch die deutlich verringerte Aufmerksamkeit von Mitarbeitenden und Führungskräften während des Übergangs von einem zum nächsten Eigentümer. Abgesehen von generellen Sicherheitsmaßnahmen sollte ein Carve-out von transaktionsspezifischen Maßnahmen wie einem Cybersecurity Operating Model oder einem Awareness-Programm flankiert werden.