Das M&A-Sicherheitshandbuch: 11 Fragen zur Bewältigung der Cybersicherheit bei Fusionen und Übernahmen

Bei Fusionen und Übernahmen ist jedes Szenario anders – einige sind relativ unkompliziert, andere komplex und benötigen Jahre der Vorbereitung. Aber selbst in den einfachsten Fällen ist eine sorgfältige Prüfung der Sicherheits- und IT-Praktiken unerlässlich, um den Erfolg sicherzustellen.

Das „Cyber-Delta“, also die Lücke zwischen der wahrgenommenen und der tatsächlichen Sicherheitslage fusionierender Unternehmen, ist eines der größten versteckten Risiken bei modernen M&A-Transaktionen. Das Management von Cybersicherheitsrisiken bietet den strategischen Rahmen, der erforderlich ist, um diese Diskrepanzen zu identifizieren, zu bewerten und zu beheben, bevor sie sich zu kostspieligen Überraschungen nach der Fusion entwickeln.

Da Cyber-Bedrohungen immer raffinierter werden und immer größere Auswirkungen haben, ist die Fähigkeit, Sicherheitsrisiken effektiv zu managen, nicht nur eine technische Notwendigkeit, sondern ein grundlegender Faktor für die Wertschöpfung und Risikominderung bei Fusionen und Übernahmen. Mit geeigneten Exposure-Management-Praktiken können Sie potenzielle Sicherheitslücken in Chancen für eine verbesserte Integration, optimierte Compliance und eine stärkere digitale Widerstandsfähigkeit verwandeln.

In diesem Blogbeitrag werde ich Ihnen 11 wichtige Fragen vorstellen, die als Grundlage für die Implementierung robuster Risikomanagementpraktiken während des gesamten M&A-Lebenszyklus dienen. Diese Fragen sollen Sicherheitsteams dabei helfen, frühzeitig im Prozess Transparenz zu gewinnen, Prioritäten zu setzen und sicherzustellen, dass Cybersicherheitsaspekte einen wichtigen Platz am Verhandlungstisch einnehmen. Durch die proaktive Auseinandersetzung mit diesen Fragen können Sie dazu beitragen, die Cyber-Lücke zu schließen und den Erfolg Ihrer Transaktion zu steigern.

1. Wie hilft Exposure Management konkret dabei, Risiken während der Due-Diligence-Phase von Fusionen und Übernahmen zu identifizieren und zu quantifizieren?

Während der Due Diligence haben Sicherheitsteams in der Regel keinen Zugriff auf die interne Umgebung des zu übernehmenden oder fusionierenden Unternehmens. Exposure Management – insbesondere External Attack Surface Management – ermöglicht ihnen an dieser Stelle, sich einen wertvollen Überblick über die externe Situation zu verschaffen: mit dem Internet verbundene Assets, Altsysteme, nicht unterstützte Anwendungen, Fehlkonfigurationen und Anzeichen für technische Schulden.

Ich vergleiche das mit dem Kauf eines Hauses. Vor dem Kauf führt man eine Begutachtung durch, aber nach dem Einzug stellt man möglicherweise fest, dass die Elektrik komplett kaputt ist. Das möchte man natürlich vorher wissen, damit man den Preis anpassen oder die Arbeiten planen kann. Genauso verhält es sich hier. Wenn ein Unternehmen auf Software angewiesen ist, die nicht gepatcht werden kann, oder auf Systeme, die nicht mehr unterstützt werden, wird das nach Abschluss der Transaktion zu Ihrem Problem.

2. Was sind die häufigsten Arten von Risiken, die Unternehmen bei Fusionen und Übernahmen nicht richtig einschätzen?

Einige Dinge tauchen immer wieder auf. Ein großes Problem sind Legacy-Anwendungen – Systeme, die nicht gepatcht werden können oder nicht mehr unterstützt werden. Außerdem gibt es Umgebungen mit veralteten Remediation-Prozessen oder unklaren Zuständigkeiten. Das führt zu Verwirrung, wenn etwas repariert werden muss.

Ein weiteres Problem ist die unterschiedliche Reife. Ein Unternehmen verfügt möglicherweise über einen strukturierten, priorisierten Ansatz für das Exposure Management, während das andere noch auf jede CVE reagiert, als wäre sie gleich wichtig. Wenn diese beiden Teams zusammenkommen, werden die Lücken offensichtlich. Wenn Sie das bei der Integrationsplanung nicht erkennen, kommt es zu Verzögerungen, Missverständnissen und Risiken, die nicht richtig angegangen werden.

Das sind nicht nur technische Probleme. Es sind Prozessprobleme – und die tauchen nicht in einer Tabelle auf. Das Exposure Management hilft dabei, sie ans Licht zu bringen.

3. Wie können Exposure-Management-Tools dabei helfen, die Informationslücke zwischen Käufer und Zielunternehmen zu schließen?

Vor Abschluss einer Transaktion ist der Zugriff begrenzt. Wie bereits erwähnt, müssen Sicherheitsteams oft mit den Informationen arbeiten, die ihnen von außen zur Verfügung stehen. Exposure-Management-Tools machen dies möglich. Sie helfen dabei, mit dem Internet verbundene Assets, Altsysteme, abgelaufene Zertifikate und veraltete Software zu identifizieren – ohne dass ein interner Zugriff erforderlich ist.

Diese Art von Transparenz ist in der Anfangsphase einer Fusion oder Übernahme oft die einzige Möglichkeit. Sie gibt Sicherheitsteams die Möglichkeit, ein Risikoprofil zu erstellen und Anzeichen für technische Schulden oder vernachlässigte Systeme zu erkennen. Diese Erkenntnisse ermöglichen eine bessere Planung und präzisere Fragen, selbst wenn die Transaktion noch nicht abgeschlossen ist.

Das Ziel ist es, zu verstehen, was sichtbar ist, was veraltet ist und was später Probleme verursachen könnte. Das reicht aus, um frühzeitig Prioritäten zu setzen und sich auf die nächsten Schritte vorzubereiten.

4. Welche Rolle spielt das Exposure Management bei der Integration nach einer Fusion und wie unterscheidet es sich von der Bewertung des Risikos vor einer Übernahme?

Wie bereits erwähnt, kann man vor Abschluss der Transaktion nur von außen schauen. Aber sobald die Übernahme abgeschlossen ist, ändert sich alles. Jetzt haben Sie Zugriff. Sie können Tools einsetzen, interne Scans durchführen und das tatsächliche Risiko erfassen. Sie stellen keine Vermutungen mehr an, sondern bereinigen, konsolidieren und versuchen herauszufinden, was zuerst behoben werden muss.

An diesem Punkt wechselt das Exposure Management von der externen Erfassung zur internen Validierung. Sie können laterale Bewegungspfade verfolgen, Identitäts- und Berechtigungsprüfungen durchführen und die gesamte Infrastruktur und alle Endpunkte auf Fehlkonfigurationen scannen. Es geht nicht mehr nur um Transparenz, sondern um Auswirkungen.

Ich teile diese Phase in drei Teile ein: Verstehen, was Sie gekauft haben, schnelles Stabilisieren und dann herausfinden, wie alles miteinander verbunden ist. Hier zeigt sich der wahre Wert des Exposure Managements.

5. Welche Metriken oder KPIs sollten Unternehmen verfolgen, um ein effektives Exposure Management während des gesamten M&A-Prozesses sicherzustellen?

Das hängt vom Unternehmen ab. Ein großes Unternehmen, das ein viel kleineres kauft, hat ein ganz anderes Risikoprofil, sodass man nicht immer Parität anstreben sollte. Aber auch wenn Sie nicht alle Technologien vereinheitlichen, benötigen Sie dennoch eine einheitliche Sicht auf die Risiken.

Ich empfehle immer, eine Basislinie für beide Seiten festzulegen. So können Sie Fortschritte messen und die größten Lücken erkennen. Sie können vielleicht nicht alles auf einer einzigen Plattform zusammenführen, aber Sie können sich darauf einigen, was „gut“ ist – was verbessert werden muss und wo die Prioritäten liegen.

Sicherheitsbewertungen oder gemeinsame Risikoindizes können dabei helfen, insbesondere wenn Sie zwei unterschiedlich funktionierende Umgebungen vergleichen möchten. Es geht weniger darum, einen perfekten KPI zu haben, sondern vielmehr darum, zu wissen, was Sie haben, was Sie benötigen, um es zu sichern, und wie Sie dies im Laufe der Zeit verfolgen können.

6. Wie beschleunigt Technologie, insbesondere Exposure-Management-Plattformen, den M&A-Zeitplan?

Jede M&A verläuft in ihrem eigenen Tempo, aber herauszufinden, was Sie tatsächlich gekauft haben, kann viel länger dauern, als Sie vielleicht gehofft haben. Ich habe Teams gesehen, die sich in der Jagd nach Asset-Listen, dem Durchforsten alter Systeme oder dem Versuch, die größten Risiken zu erraten, festgefahren haben. Mit den richtigen Exposure-Management-Tools können Sie all das überspringen. Sie zeigen Ihnen, was exponiert ist, was veraltet ist und was gerade Ihre Aufmerksamkeit erfordert.

Diese Klarheit bedeutet weniger Chaos. Sie können sich auf die wichtigen Aufgaben konzentrieren – Sanierung, Konsolidierung, Bereinigung – ohne sich in Nebensächlichkeiten zu verlieren.

Das sage nicht nur ich. Laut EY integrieren Unternehmen, die ihre Sicherheits- und Infrastrukturteams frühzeitig zusammenbringen, schneller und erzielen schneller Ergebnisse.

7. Wie sollten Unternehmen ihre Exposure-Management-Strategien auf ihre allgemeinen M&A-Ziele ausrichten?

Letztendlich kommt es darauf an, zu wissen, was mit der Transaktion erreicht werden soll. Wenn eine vollständige Integration geplant ist, sollte das Exposure Management Ihnen dabei helfen, die größten Risiken zu ermitteln, zu entscheiden, welche Systeme zusammengeführt werden können und was bereinigt werden muss. Wenn die Unternehmen parallel weiterlaufen sollen, verschiebt sich das Ziel: Jetzt geht es darum, wie sie miteinander verbunden sind und wie diese Verbindungspunkte gesichert werden können.

Sie müssen nicht alles gleich behandeln. Sie brauchen lediglich ein klares Bild davon, womit Sie arbeiten, damit Ihre Sicherheitsentscheidungen tatsächlich den Geschäftsplan unterstützen. Dafür ist das Risikomanagement da – es verschafft Ihnen die nötige Transparenz, um sich auf das Wesentliche zu konzentrieren, anstatt auf jedes Problem gleich zu reagieren.

8. Was sind die besten Vorgehensweisen für die Schaffung eines einheitlichen Rahmens für das Expositionsmanagement, wenn zwei unterschiedliche Unternehmenskulturen zusammengeführt werden?

Wenn zwei Unternehmen fusionieren, wird das Expositionsmanagement zu einer kniffligen Angelegenheit. Sie haben es nicht nur mit unterschiedlichen Tools zu tun, sondern auch mit unterschiedlichen Denkweisen in Bezug auf Risiken. Das eine Team verfügt möglicherweise über einen soliden Prozess zur Verfolgung und Priorisierung von Problemen. Das andere Team befindet sich möglicherweise in einem ständigen Feuerwehreinsatz und versucht nur, Schritt zu halten.

Der Versuch, alle sofort in ein einziges Framework zu zwängen, funktioniert in der Regel nicht. Besser ist es, mit einer gemeinsamen Sichtbarkeit zu beginnen. Sorgen Sie dafür, dass beide Seiten die gleichen Daten sehen und beim Thema Risiko die gleiche Sprache sprechen. (Möchten Sie mehr über die Schaffung einer gemeinsamen Sprache für Risiken erfahren? Lesen Sie diesen Blogbeitrag, den der großartige Gali Rahamim und ich darüber geschrieben haben, wie man Teams auf einen Nenner bringt.

Konzentrieren Sie sich dann auf die Bereiche, in denen sich die beiden Umgebungen tatsächlich berühren – beispielsweise Identität, Zugriff und gemeinsame Infrastruktur. Dort verursacht eine mangelnde Abstimmung die meisten Probleme.

Sie müssen nicht alles am ersten Tag klären. Es reicht, wenn alle das gleiche Bild vor Augen haben und bereit sind, gemeinsam daran zu arbeiten.

9. Kann Exposure Management bei der Einhaltung gesetzlicher Vorschriften während M&A-Transaktionen helfen?

Auf jeden Fall. Bei Fusionen und Übernahmen müssen Sie sich nicht nur um Schwachstellen kümmern, sondern auch die Compliance-Situation des anderen Unternehmens übernehmen. Mit Exposure Management können Sie Probleme erkennen, die zu Schwierigkeiten führen könnten, wie veraltete Verschlüsselung, falsch konfigurierte Systeme oder sensible Daten, die am falschen Ort gespeichert sind.

Es geht nicht nur um Sicherheit. Es geht darum, zu zeigen, dass Sie die Kontrolle über die Umgebung haben. Exposure Management kann Ihnen beispielsweise bei automatisierten Audits, der Risikobewertung und der Aufdeckung von Lücken helfen, sodass Sie nicht im Nachhinein mühsam die Einhaltung von Vorschriften nachweisen müssen.

10. Wie sollten Unternehmen bei technologieorientierten Übernahmen mit Cyberrisiken umgehen?

Technologieübernahmen sind mit einem anderen Risiko verbunden. Sie übernehmen nicht nur ein paar Systeme, sondern auch Cloud-Infrastrukturen, APIs, Fernzugriffstools und vielleicht sogar einige IoT-Komponenten. Das ist eine große Fläche und es gibt viele Stellen, an denen etwas schiefgehen kann.

Der erste Schritt ist immer die Transparenz. Sie möchten sich ein klares Bild davon machen, was Sie übernehmen – wie die Cloud-Umgebung eingerichtet ist, wer Zugriff hat, ob MFA implementiert ist und ob noch externe Anbieter Zugang haben. Es ist auch hilfreich, einen Blick auf die Vorfälle in der Vergangenheit zu werfen. Gab es Sicherheitsverletzungen? Gab es Beinaheunfälle?

Und das Timing ist entscheidend. Ein Experte weist darauf hin, dass Angreifer oft Unternehmen während Verhandlungen ins Visier nehmen, wenn sich vieles im Wandel befindet. Umso wichtiger ist es, Lücken frühzeitig zu schließen. Mit Exposure Management erhalten Sie die Informationen, die Sie benötigen, um kluge Entscheidungen zu treffen, bevor Probleme auf Sie zukommen.

11. Was sind die neuen Trends im Exposure Management für grenzüberschreitende M&A-Transaktionen?

Bei grenzüberschreitenden Transaktionen wird es wirklich kompliziert. Sie übernehmen nicht nur neue Systeme, sondern betreten auch das rechtliche Terrain eines anderen Unternehmens. Jedes Land hat seine eigenen Regeln, seine eigene Definition von „sicher“ und seine eigene Vorgehensweise. Sie können nicht davon ausgehen, dass das, was an einem Ort funktioniert, auch an einem anderen Ort funktioniert.

Anstatt zu versuchen, alles gleich zu behandeln, erstellen die erfolgreichen Teams, die ich gesehen habe, Risikoprofile, die auf den lokalen Kontext zugeschnitten sind. Was in einem Land riskant ist, kann in einem anderen völlig normal sein. Einige Tools ermöglichen es mittlerweile sogar, Risiken nach Regionen zu filtern, was dabei hilft, Störfaktoren zu reduzieren und den Fokus klar zu halten.

Und das ist nicht nur Theorie. PwC weist darauf hin, dass immer mehr Unternehmen lokale Komplexitäten im Voraus planen, indem sie regionale Risiken durchdenken und ihre Sicherheits- und Compliance-Pläne anpassen, bevor ein Geschäft abgeschlossen wird.

Das Fazit: Cyberrisiken in M&A-Vorteile verwandeln

Das „Cyber-Delta“ bei Fusionen und Übernahmen ist sowohl eine Herausforderung als auch eine Chance. Während Sicherheitslücken zwischen Unternehmen erhebliche Risiken mit sich bringen können, verwandelt ein effektives Exposure Management diese potenziellen Schwachstellen in strategische Vorteile.

Durch die Beantwortung der 11 von mir behandelten Fragen können Sicherheitsteams sich von einem Hindernis für Transaktionen zu wertvollen strategischen Partnern im M&A-Prozess entwickeln. Exposure Management bietet die Transparenz, um Risiken frühzeitig zu erkennen, den Kontext für eine effektive Priorisierung und den Rahmen für systematische Abhilfemaßnahmen – allesamt entscheidende Fähigkeiten vor, während und nach der Transaktion.

Denken Sie daran, dass es beim Exposure Management nicht nur darum geht, Schwachstellen zu finden, sondern auch darum, die nötige Klarheit zu schaffen, um während des gesamten M&A-Lebenszyklus fundierte Geschäftsentscheidungen zu treffen. Durch die Schließung der Cyber-Lücke mithilfe systematischer Exposure-Management-Praktiken verdienen sich Sicherheitsteams ihren rechtmäßigen Platz am M&A-Verhandlungstisch und tragen direkt zum langfristigen Erfolg der Transaktion bei.