Die Nachrichtenlage rund um geplante M&A-Deals erleichtert es den Angreifern erheblich, geeignete Ziele zu identifizieren. Vor allem der Verkauf eines Unternehmens, insbesondere ein Carve-out, ist für Kriminelle attraktiv. Mit der Androhung der Veröffentlichung streng vertraulicher oder sensibler Informationen können hohe Summen erpresst werden. Es geht schlicht und einfach um viel Geld und das mögliche Risiko eines Gesichtsverlusts für alle Beteiligten.
Im November 2021 sah sich das FBI genötigt, eine entsprechende Warnung zu veröffentlichen: Sehr wahrscheinlich nutzen Cyberkriminelle finanzielle Ereignisse wie Transaktionen, um Unternehmen gezielt mittels Ransomware anzugreifen.
Ein bekanntes Beispiel ist die 2020 gescheiterte 650-Millionen-Dollar-Übernahme eines Zulieferunternehmens für die Luftfahrtindustrie durch einen Mitbewerber. Nach Bekanntgabe der geplanten Akquisition im Mai 2018 durch den Käufer wurde das Target einen Monat später Opfer eines Ransomware-Angriffs, der unter anderem eine Geschäftsunterbrechung inklusive einer vorübergehenden Schließung der Werke erzwang. Für den Transaktionsprozess bedeutete der Angriff eine erhebliche Verzögerung, hohe Preisabschläge und die Hinterlegung von 40 Millionen US-Dollar auf einem Treuhandkonto. Letztendlich scheiterte der Deal mehr als zwei Jahre später, zumal die Branche mit Auftragseinbrüchen im Zuge der Corona-Pandemie zu kämpfen hatte. Der Zulieferer wurde zwei Jahre später von einem anderen Unternehmen übernommen.
Zusätzliche Risiken im Rahmen eines Carve-outs
Zusätzlich zu bereits vorhandenen Cyberrisiken, die ständig und somit unabhängig von einer Transaktion bestehen, müssen Kontrahentenrisiken und transaktionsbedingte Risiken im Rahmen eines Carve-outs berücksichtigt werden:
Das Kontrahentenrisiko (engl. „counterparty risk“) kennt man eigentlich aus dem Finanz- und Kreditwesen. Man versteht darunter das Risiko, dass ein Kreditnehmer gewährte Kredite nicht oder nur unvollständig zurückzahlt. Im Kontext von Cybersecurity und Carve-outs beschreibt es das Risiko die Situation, dass die Verkaufs- und Übergangsprozesse beim Käufer beginnen und eine der beiden Vertragsparteien nicht bereit beziehungsweise nicht in der Lage ist, bewährte Cybersicherheitspraktiken sowie konkret vereinbarte Anforderungen vor und nach Tag 1 zu erfüllen. Dies gilt vor allem für den Schutz gemeinsam genutzter Technologie, im Besonderen IT und OT. Auf diese Weise entsteht auch für die andere Partei ein Risiko, obwohl sie kaum Kontrolle über das Risiko hat oder es vielleicht nicht einmal kennt. Schon eine unzureichende Vorbereitung des Carve-outs, eine Integration durch ein unerfahrenes und allgemein mit Cybersecurity überfordertes Team oder unnötig lange Transitional Service Agreements bei unzureichendem Schutzniveau können ein Kontrahentenrisiko nach sich ziehen.