Hacker in schwarzen Handschuhen hackt das System.

Wie Cyberkriminelle den Verkauf von Unternehmen gefährden

Mit gezielten Sicherheitsmaßnahmen zunehmenden Bedrohungen durch Cyberkriminalität bei Unternehmenstranskationen entgegentreten.


Überblick

  • Cyberangriffe während oder unmittelbar nach einer Transaktion sind kein Zufall.
  • Bei einem Carve-out sind zusätzlich Kontrahentenrisiken sowie Risiken durch geringere Aufmerksamkeit des Managements und der Mitarbeitenden zu beachten.
  • Unter anderem können ein Cybersecurity-Separationsplan, ein Awareness-Training und eine Data Governance die Risiken deutlich reduzieren.

Angesichts von 493 Millionen versuchten Ransomware-Angriffen im Jahr 2022  herrscht für Cyberkriminelle nach wie vor Hochkonjunktur, während dies für die betroffenen Unternehmen existenzgefährdend wird. Vor allem die Betriebsunterbrechung, im Durchschnitt 24 Tage bei einem erfolgreichen Angriff , kostet viel Geld und kann mitunter existenzbedrohend sein. Aber was hat das Ganze mit einer Transaktion zu tun?

Hochkonjunktur
versuchte Ransomwareangriffe gab es 2022.

Die Nachrichtenlage rund um geplante M&A-Deals erleichtert es den Angreifern erheblich, geeignete Ziele zu identifizieren. Vor allem der Verkauf eines Unternehmens, insbesondere ein Carve-out, ist für Kriminelle attraktiv. Mit der Androhung der Veröffentlichung streng vertraulicher oder sensibler Informationen können hohe Summen erpresst werden. Es geht schlicht und einfach um viel Geld und das mögliche Risiko eines Gesichtsverlusts für alle Beteiligten.

Im November 2021 sah sich das FBI genötigt, eine entsprechende Warnung zu veröffentlichen: Sehr wahrscheinlich nutzen Cyberkriminelle finanzielle Ereignisse wie Transaktionen, um Unternehmen gezielt mittels Ransomware anzugreifen.

Ein bekanntes Beispiel ist die 2020 gescheiterte 650-Millionen-Dollar-Übernahme eines Zulieferunternehmens für die Luftfahrtindustrie durch einen Mitbewerber. Nach Bekanntgabe der geplanten Akquisition im Mai 2018 durch den Käufer wurde das Target einen Monat später Opfer eines Ransomware-Angriffs, der unter anderem eine Geschäftsunterbrechung inklusive einer vorübergehenden Schließung der Werke erzwang. Für den Transaktionsprozess bedeutete der Angriff eine erhebliche Verzögerung, hohe Preisabschläge und die Hinterlegung von 40 Millionen US-Dollar auf einem Treuhandkonto. Letztendlich scheiterte der Deal mehr als zwei Jahre später, zumal die Branche mit Auftragseinbrüchen im Zuge der Corona-Pandemie zu kämpfen hatte. Der Zulieferer wurde zwei Jahre später von einem anderen Unternehmen übernommen.

Zusätzliche Risiken im Rahmen eines Carve-outs

Zusätzlich zu bereits vorhandenen Cyberrisiken, die ständig und somit unabhängig von einer Transaktion bestehen, müssen Kontrahentenrisiken und transaktionsbedingte Risiken im Rahmen eines Carve-outs berücksichtigt werden:

Das Kontrahentenrisiko (engl. „counterparty risk“) kennt man eigentlich aus dem Finanz- und Kreditwesen. Man versteht darunter das Risiko, dass ein Kreditnehmer gewährte Kredite nicht oder nur unvollständig zurückzahlt. Im Kontext von Cybersecurity und Carve-outs beschreibt es das Risiko die Situation, dass die Verkaufs- und Übergangsprozesse beim Käufer beginnen und eine der beiden Vertragsparteien nicht bereit beziehungsweise nicht in der Lage ist, bewährte Cybersicherheitspraktiken sowie konkret vereinbarte Anforderungen vor und nach Tag 1 zu erfüllen. Dies gilt vor allem für den Schutz gemeinsam genutzter Technologie, im Besonderen IT und OT. Auf diese Weise entsteht auch für die andere Partei ein Risiko, obwohl sie kaum Kontrolle über das Risiko hat oder es vielleicht nicht einmal kennt. Schon eine unzureichende Vorbereitung des Carve-outs, eine Integration durch ein unerfahrenes und allgemein mit Cybersecurity überfordertes Team oder unnötig lange Transitional Service Agreements bei unzureichendem Schutzniveau können ein Kontrahentenrisiko nach sich ziehen.

Existenzbedrohend
dauerte im Durchschnitt eine Betriebsunterbrechung bei einem erfolgreichen Angriff.

Unnötig lange Transitional Service Agreements bei unzureichendem Schutzniveau können ein Kontrahentenrisiko nach sich ziehen.


Transaktionsbedingte Risiken entstehen einerseits, wie bereits anfänglich beschrieben, durch die bloße Ankündigung einer Transaktion. Besonders betroffen sind Unternehmen mittlerer Größe, deren Schutzniveau oft weit entfernt von dem eines Großunternehmens ist. Kriminelle sehen genügend finanziellem Spielraum zur Zahlung eines Lösegeldes im Bereich von 1 Million Euro oder höher. Dass ein Cyberangriff negative Auswirkungen auf die Verhandlungen hat, nehmen die Kriminellen nicht nur billigend in Kauf, es ist auch Teil des Kalküls in Erwartung höherer Zahlungsbereitschaft.

Weitere transaktionsbedingte Risiken haben vor allem mit Veränderungen durch den Verkauf zu tun. Bereits mit der Ankündigung einer Transaktion beginnt für viele Beschäftigte eine Phase der Unsicherheit in Kombination mit zusätzlichen Aufgaben und jeder Menge Ablenkung durch die Kommunikation im Zuge des Verkaufs. Parallel konzentriert sich das Management auf den Abschluss der Transaktion und die Trennung. Phishing-Tests, die EY während einer solchen Phase durchgeführt hat, haben ein um 50 Prozent erhöhtes Risiko ergeben, dass Mitarbeitende Opfer eines solchen Angriffs werden , der meist der Vorbereitung der eigentlichen Cyberattacke dient. Bei unzureichendem Schutzniveau genügt es, wenn bereits ein Mitarbeiter sein Passwort unwissentlich an die Angreifer weitergibt oder eine mit Malware infizierte Datei anklickt. Hinzu kommt: Unzufriedene Mitarbeitende könnten vertrauliche Informationen an ihren nächsten Arbeitgeber oder an Dritte weitergeben („insider threat“) oder aus Protest sogar destruktive Handlungen (zum Beispiel Revenge Wipe) begehen.

Die Defensive gewinnt Meisterschaften

Dieser häufig zitierte Satz aus der Sportwelt trifft es auf den Punkt: Eine gute Abwehr trägt viel dazu bei, die Wahrscheinlichkeit eines „erfolgreichen“ Angriffs zu verringern oder dessen Schadenspotenzial zu begrenzen. Dabei ist es wichtig, mehr präventiv und weniger ad hoc zu handeln. Vor allem sollte zwischen allgemeinen Cybersicherheitsmaßnahmen und spezifischen Aspekten im Kontext der Transaktion unterschieden werden. Präventive Sicherheitsmaßnahmen zur Abwehr von Cyberangriffen sollten immer in einem ausreichenden Maße implementiert sein, unabhängig davon, ob eine Transaktion geplant ist oder nicht.

Die vier im Zusammenhang mit dem Carve-out spezifischen Aspekte lauten wie folgt:

Mehr zum Thema

Batteriespeicher: Der Schlüssel zur Energiewende?

Entdecken Sie, wie Batteriespeichersysteme die Energiewende vorantreiben und neue Investitionschancen bieten. Jetzt mehr über die Potenziale erfahren!

12 März 2025 Dominika Ermitsch +1

Interim Executive Management

Interim Executive Management: wenn Lücken im Management gefüllt werden müssen

27 Okt. 2024 Andreas Warner +2

Wie Verkäufer mit einer ESG-Organisation punkten

Bei Firmenverkäufen ist eine funktionierende ESG-Organisation bares Geld wert. Lesen Sie hier, wie Unternehmen vorgehen, um das Maximum herauszuholen.

10 Okt. 2024 Andrea Weinberger +2

KI-Einsatz im Unternehmen

KI-Einsatz im Unternehmen: Welche Rolle spielt die Compliance-Funktion?

19 Apr. 2024 Andreas Pyrcek

KI-Auswirkungen auf Investigations

Zukunftsprognose: potenzielle Entwicklungen in der KI-gestützten internen Untersuchung

19 Apr. 2024 Tim Ahrens

eIDAS 2.0: Neuerungen und Potenziale

Die Zukunft der digitalen Identität: Erfahren Sie hier, wie eIDAS 2.0 die Nutzung elektronischer Signaturen und Vertrauensdienste in Europa revolutioniert.

16 Apr. 2024 Stefan Wannmacher +1

Ransomware-Attacke: Zahlen oder nicht?

Wenn Unternehmen nach Cyberangriffen vor Lösegeldforderungen stehen, bringt das auch rechtliche Probleme mit sich. Was dann zu tun ist, lesen Sie hier.

02 Apr. 2024 Thomas Koch

Post-Quantum Security: neue Sicherheitsstandards

Bei der Einführung von Post-Quantum-Security-Maßnahmen sollten Unternehmen umgehend handeln. Was jetzt zu tun ist, lesen Sie hier.

06 Feb. 2024 Dr. Jan Rosam

Cybersicherheit bei Kapitalmarktpflichten

Das Thema Cybersicherheit wird immer präsenter und die Bedrohungslage hat sich deutlich verschärft. Mehr über die Gründe erfahren Sie hier.

31 Jan. 2024 Dr. Martin Steinbach +1

EU AI Act – ein Fahrplan

Der EU AI Act kommt. Was das für Ihr Unternehmen heißt und welche Schritte Sie jetzt einleiten sollten, lesen Sie hier bei EY.

24 Jan. 2024 Felix Kraft +1

Cyberresilienz und Cyber Response: Warum NIS2 eine Chance ist

EU-NIS2-Richtlinie zur Cyberresilienz: Erfahren Sie, wie die Verordnung im Kontext der aktuellen Sicherheits- und Bedrohungslage einzuordnen ist.

29 Nov. 2023 Bodo Meseke

Warum eine Cyberversicherung nur ein Teil des Risikomanagements ist

Cyberversicherung: kein Schutz vor Cyberattacken, aber Absicherung der Folgen. Ein Interview mit Bodo Meseke, Thomas Koch und Jens Krickhahn (Allianz Commercial).

06 Nov. 2023 Bodo Meseke +1

SoD-Risikoüberwachung

Lesen Sie hier, wie Sie die Auswirkungen von SoD-Risiken auf Ihre Geschäftsprozesse einfacher überwachen können.

02 Aug. 2023 Heiko Gminder +1

Wie das UmRUG mehr Sicherheit bei grenzüberschreitenden Umwandlungen schafft

Deutschland setzt die EU-Richtlinie um, die mehr Sicherheit bei Spaltungen und Formwechseln schaffen soll.

14 Juli 2023 Tax & Law Magazine

Datenschutzaudit: Aufgabe der Unternehmens-Compliance

Lesen Sie hier, warum ein Datenschutzaudit als Maßnahme für einen unabhängigen Blick auf den Reifegrad der betrieblichen Datenschutz-Compliance wichtig ist.

04 Juli 2023 EY Deutschland

Gesetzliche Herausforderungen beim Produktdatenschutz

Lesen Sie hier, wie Unternehmen den regulatorischen Anforderungen bei der Herstellung und Nutzung von IoT-Devices gerecht werden können.

22 Juni 2023 EY Deutschland

Cyberkriminalität: Gefahren für Private Equity Portfoliounternehmen

Besonders für Portfoliounternehmen wächst das Risiko durch Cyberangriffe. Lesen sie hier, warum eine eigene Due Diligence im Cyberbereich wichtig ist.

20 Juni 2023 Wolfgang Eidt +1

Hinweisgeberschutz: Neue Pflichten für Unternehmen

In Kürze tritt das neue Gesetz zum Schutz von Whistleblowern in Kraft. Erfahren Sie hier, warum Unternehmen nun handeln müssen.

14 Juni 2023 Steve Drescher

Datenklaustudie 2023: Gefahr steigert Risikobewußtsein

Die EY Datenklaustudie 2023 zeigt, dass Cybercrime für Unternehmen eine reale Gefahr ist. Erfahren Sie hier mehr über die aktuelle Bedrohungslage.

16 Mai 2023 EY Deutschland +1

Die neuen EBA-Leitlinien und der Geldwäschebeauftragte

Wie sich die EBA-Leitlinien auf die Erstellung des Tätigkeitsberichts des Geldwäschebeauftragten auswirken.

04 Mai 2023 Steve Drescher

    Fazit

    Das Risiko, während einer Transaktion Opfer eines Cyberangriffs zu werden, ist erheblich höher als sonst. Zusätzliche Cyberrisiken entstehen im Zuge eines Carve-outs (Kontrahentenrisiken) und durch die deutlich verringerte Aufmerksamkeit von Mitarbeitenden und Führungskräften während des Übergangs von einem zum nächsten Eigentümer. Abgesehen von generellen Sicherheitsmaßnahmen sollte ein Carve-out von transaktionsspezifischen Maßnahmen wie einem Cybersecurity Operating Model oder einem Awareness-Programm flankiert werden.

    Über diesen Artikel

    Autoren

    You are visiting EY deu-aut (de)
    deu-aut de