E-Mail-Sicherheit

    Überdenken der M&as in einer Ära des Cyber-Risikos

    Vor der Unterschrift auf der gepunkteten Linie sollte sich ein akquirierendes Unternehmen über die Sicherheitslage des Zielunternehmens informieren. Hier erfahren Sie, was zu beachten ist - und welche Rolle CISOs dabei spielen können.

    by Thom Bailey
    27BLOG_1.jpg

    Wichtige Punkte

    • Die IT eines Zielunternehmens war in der Vergangenheit kein wichtiger Faktor bei den Berechnungen von M&A der Unternehmen. In einer Zeit, in der Cyberangriffe zunehmen, ändert sich das.
    • Erfolgreiche Akquisiteure binden ihre CISOs frühzeitig ein und beginnen bereits am Tag des Geschäftsabschlusses mit unternehmensübergreifenden Verbesserungen.
    • Die Entfremdung, die häufig mit einem Eigentümerwechsel einhergeht, kann das Risiko von Bedrohungen der Cybersicherheit von innen erhöhen.

    Für Unternehmen, die Akquisitionen als Teil ihrer Wachstumsstrategie nutzen, ist die Technologie des Zielunternehmens in der Regel eine späte Überlegung - etwas, das man erst nach der Ankündigung oder dem Abschluss eines Geschäfts in Betracht zieht. Es war zwar nicht ideal, wenn ein Zielland über eine veraltete oder mangelhafte Infrastruktur verfügte, aber es war kein K.O.-Kriterium.

    Doch in Zeiten von Cyberangriffen kann die technologische Infrastruktur genau das sein - ein Geschäftshindernis.

    Schwachstellen in den Sicherheitsvorkehrungen eines Unternehmens, sei es des kaufenden Unternehmens oder des Zielunternehmens, können in jeder Phase einer Transaktion zu kostspieligen Problemen führen. In den letzten Jahren wurden Fusions- und Übernahmegespräche (M&A) sogar durch Cyberangriffe gestört, in einigen Fällen sogar bevor die Verhandlungen öffentlich wurden, so das FBI.[1] Und wenn die Schwachstellen eines übernommenen Unternehmens erst nach Abschluss der Transaktion entdeckt werden, können Sicherheitsprobleme, wie z. B. Malware oder Phishing-E-Mails, schnell zum Problem des Käufers werden. 

    Diese Risiken werden zunehmend in die Kalkulationen der Erwerber einbezogen. Gartner hat vor kurzem erklärt, dass bis 2025 60 % der Unternehmen die Cybersicherheitsresilienz als wesentliches Merkmal eines potenziellen Partners ansehen werden.[2]

    Phasenabhängige Aktionen 

    Ein sicherheitsorientiertes M&A lässt sich am einfachsten erreichen, wenn die Erwerber sozusagen in jeder Phase der Transaktion ihr Radar ausfahren. Hier sind die wichtigsten Überlegungen auf dem Weg dorthin.

    Vor der Akquisition: CISOs werden nicht in frühe strategische M&A-Diskussionen einbezogen. Aber sie können in dieser Anfangsphase dennoch helfen. 

    • Bereitstellung von Beiträgen zur Cybersicherheit für Führungskräfte auf Unternehmensseite. Der CISO oder der Leiter der Informationssicherheit eines Unternehmens kann dem Unternehmensentwicklungsteam erste Ideen für den besten Prozess zur Bewertung des Sicherheitsbetriebsmodells eines Zielunternehmens und für den Zeitpunkt, an dem dieser Prozess beginnen sollte, liefern. Diese Führungskraft kann auch bei der Organisation von Nachforschungen helfen, die erforderlich sind, um eine Liste potenzieller Geschäftspartner zu erstellen, ohne dabei gegen die Vorschriften über Insiderinformationen zu verstoßen. Partnerschaften haben schließlich viele Formen - nicht nur Übernahmen. Das Unternehmen sollte wissen, was in der Öffentlichkeit über die bisherige Sicherheitsleistung eines potenziellen Partners bekannt ist.

    Ankündigung des Geschäfts: Mit der Veröffentlichung des Übernahmeplans entfällt die Notwendigkeit, den Zugang zu Informationen zu beschränken. Die Sicherheitsexperten eines Unternehmens können und sollten ihren Beitrag in Bereichen leisten, in denen ihr Fachwissen wertvoll ist.

    • Führen Sie eine Due-Diligence-Prüfung durch. Die Due-Diligence-Phase umfasst in der Regel eine Prüfung von Verträgen, Gespräche mit Kunden und Finanzprüfungen. Heutzutage sollte sie auch eine Untersuchung der Informationssicherheitssysteme und sicherheitsrelevanten Prozesse des Zielunternehmens umfassen. Die ersten Fragen in diesem Schritt richten sich an den CISO oder den Leiter der Informationssysteme des Zielunternehmens. Die Untersuchung sollte jedoch noch weiter gehen und die Lieferkette des Zielunternehmens einbeziehen. Eine Schwachstelle, die nur ein oder zwei Schritte entfernt ist, könnte schließlich auch die Schwachstelle des Erwerbers sein.
      Tatsächlich könnten Schwachstellen in der Cybersicherheit Teil der Verhandlungen werden und den Preis des Geschäfts beeinflussen. Im Extremfall können solche Schwachstellen für den Erwerber ein Grund sein, sich ganz aus dem Geschäft zurückzuziehen. Tatsächlich gaben 35 % der von IBM befragten Risikomanager an, dass sie sich aufgrund der wahrgenommenen Cybersicherheitsrisiken gegen ein Geschäft entschieden haben.[3]
    • Erstellen Sie einen Fahrplan für die Cybersicherheit. Es ist unwahrscheinlich, dass Technologieintegrationen oder -anpassungen vor Abschluss eines Geschäfts beginnen. Ein Plan, der am Tag des Geschäftsabschlusses in Kraft tritt und einen Zeitplan für das Erreichen verschiedener Meilensteine enthält, kann jedoch im Voraus erstellt werden. Bei einigen Akquisitionen könnte der richtige Plan darin bestehen, vorübergehend einen völlig getrennten Technologiebetrieb aufrechtzuerhalten. In anderen Fällen kann die Integration in bestimmten Infrastrukturbereichen sofort beginnen, während andere Bereiche getrennt bleiben.
      Angesichts des Volumens der ein- und ausgehenden Kommunikation in beiden Unternehmen sollte die E-Mail-Sicherheit eine Priorität auf der M&A Roadmap sein. Aus demselben Grund sollte auch der Umgang mit potenziell gefährdeten Endpunkten relativ früh erfolgen.

    Nach der Akquisition: Sobald die Übernahme abgeschlossen ist und in die Phase der Post-Merger-Integration (PMI) übergeht, geht es bei der effektiven Cybersicherheit um Taktik.

    • Sichern Sie die anfälligsten Systeme des kombinierten Unternehmens durch Technologie. Sowohl aus Gründen der Markenbildung als auch der Produktivität werden viele Kundenbetreuer schnell zu einer einzigen Domain für ihre E-Mails wechseln wollen. Dies erfordert den Einsatz einer einheitlichen E-Mail-Lösung , die fortschrittlichen Schutz vor Malware, Spam und anderen E-Mail-basierten Bedrohungen bietet.
      Es ist auch ein Argument dafür, die Vorteile der Tools für künstliche Intelligenz und maschinelles Lernen zu nutzen, die jetzt Teil einiger führender E-Mail-Sicherheitssysteme sind. Durch den Einsatz dieser neueren Tools verfügen die Akquisiteure über Systeme, die sich ständig verbessern und so eine hohe Rendite für ihre Investitionen bieten. 
    • Planen Sie für Mitarbeiter und Partner, die sich "ausgestoßen" fühlen könnten. In der Ungewissheit einer Übernahme machen sich die Unternehmen möglicherweise Sorgen darüber, ob die Mitarbeiter ihre Arbeit weiterhin gut machen werden. Man sollte sich aber auch Gedanken darüber machen, ob sie zu einer internen Bedrohung werden, entweder für den Ruf des Unternehmens oder für dessen sensible Daten. Geschäftspartner mit Systemzugang könnten ebenfalls ein Risiko darstellen, wenn sie spüren, dass das Geschäft ihnen schaden wird. Der PMI-Fahrplan sollte Taktiken zur Minimierung von Risiken aus dem Unternehmen heraus enthalten.
    • Verdoppeln Sie die Schulungen zum Sicherheitsbewusstsein. Angesichts der Rolle, die menschliches Versagen bei vielen erfolgreichen Cyberangriffen spielt, ist es wichtig, dass die Mitarbeiter eines Unternehmens Teil der Verteidigung sind. Eine gute Schulung ist besonders wichtig bei Veränderungen, sei es, dass Cyberkriminelle eine neue Taktik ausnutzen, sei es, dass unbekannte Produktivitätstools eingeführt werden, deren Schwachstellen den Mitarbeitern möglicherweise nicht klar sind, sei es, dass sich das Personal ändert, was bei einer Übernahme fast immer der Fall ist. Selbst wenn die Mitarbeiter des bestehenden Unternehmens in Bezug auf die verräterischen Anzeichen von Spoofs und Phishing gut geschult sind, verfügen die Mitarbeiter des übernommenen Unternehmens möglicherweise nicht über das gleiche Bewusstsein. Bringen Sie es ihnen bei.    

    Die Quintessenz

    M&A-Aktivitäten setzen die Erwerber einem erhöhten Risiko von Cyberangriffen aus. Irgendwann im Laufe einer Transaktion muss ein Erwerber nicht nur seine eigenen Sicherheitslücken schließen, sondern auch die Schwachstellen des Zielunternehmens. Die Widerstandsfähigkeit des Zielunternehmens - oder deren Fehlen - sollte Teil der Due-Diligence-Prüfung eines Geschäfts sein und die Änderungen nach dem Geschäft bestimmen. Erfahren Sie, wie die umfassende E-Mail-Verwaltungssoftware von Mimecast einen reibungslosen Übergang gewährleisten und das Cyber-Risiko bei einem Unternehmenszusammenschluss minimieren kann."


    [1] "Ransomware-Akteure nutzen bedeutende finanzielle Ereignisse und Aktienbewertungen, um das Anvisieren und Erpressen von Opfern zu erleichtern," FBI

    [2] "Gartner stellt die acht wichtigsten Prognosen zur Cybersicherheit für 2022-23 vor," Gartner

    [3] "Bewertung von Cyberrisiken in M&A," IBM

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang