Fusionen und technische Due-Diligence

M&A und die Frage der IT-Sicherheit

| Autor / Redakteur: Nick Pointon / Peter Schmitz

Eine technische Due-Diligence-Prüfung im Vorfeld geplanter M&A-Prozesse erhöht die Attraktivität bindungswilliger Partner und sichert eine reibungslose Firmenverschmelzung.
Eine technische Due-Diligence-Prüfung im Vorfeld geplanter M&A-Prozesse erhöht die Attraktivität bindungswilliger Partner und sichert eine reibungslose Firmenverschmelzung. (Bild: Pixabay / CC0)

Bei einer Fusion werden rechtliche selbstständige Unternehmen zu einer wirtschaftlichen und rechtlichen Einheit verbunden. In Zeiten der Digitalisierung drängt sich die Frage auf, wie die IT-Infrastrukturen der fusionierten Firmen ebenfalls vereinheitlicht werden können – ohne dass es zu qualitativen Einbußen und Sicherheitsrisiken kommt.

Im Jahr 2014 nahm ein US-Sicherheitsunternehmen die Aktivitäten der Hackergruppe FIN4 unter die Lupe. Diese wurde verdächtigt, E-Mail-Konten von rund 100 börsennotierten Unternehmen ausspioniert zu haben, um so an Informationen über bevorstehende Fusionen und Übernahmen (M&A) zu gelangen und diese gewinnbringend zu verwerten. Tatsächlich suchen Hacker ständig nach Möglichkeiten, die Schwachstellen von IT-Systemen gerade in Zusammenhang mit M&A-Prozessen auszunutzen. Auch in Deutschland: Insgesamt entsteht nach Experten-Schätzungen der deutschen Wirtschaft jährlich ein Schaden von 51 Milliarden Euro durch Hacker.

Ein Jahr später wurde die amerikanische Starwood-Gruppe - mit Marken wie Sheraton, Westin und Le Meridien eines der weltweit größten Hotel- und Freizeitunternehmen - Opfer eines Datendiebstahls. Dabei wurde Malware über Kassenterminals eingeschleust, kurz nachdem die geplante Übernahme durch die Marriot Corporation bekannt wurde. Die Hacker verschafften sich Zugriff auf die Namen von Kunden einiger Hotels in Nordamerika sowie auf deren Kreditkartendaten. Zu spät wurde damals die berechtigte Frage gestellt, ob die IT-Systeme von Starwood angemessen geprüft worden sind, bevor die Übernahme öffentlich gemacht wurde.

Der M&A-Prozess ist komplex und IT-Systeme werden dabei gerne vergessen. Dann entstehen Schwachstellen, über die Cyberkriminelle an vertrauliche Daten gelangen können. IT-Abteilungen müssen also stärker als bisher darauf achten, ihre Systeme abzusichern, noch bevor überhaupt an Fusionen oder Übernahmen gedacht wird.

M&A beginnt mit technischer Due-Diligence

Die gebotene technische Due-Diligence (sorgfältige Prüfung) umfasst die Inspektion und Begutachtung der IT-Systeme in Hinblick auf mögliche Schwachstellen. Diese muss durchgeführt werden, bevor sich Unternehmen auf die Suche nach möglichen M&A-Partnern begeben. Mit der internen Due-Diligence stellt das übernahmewillige Unternehmen die Robustheit, Sicherheit und Angemessenheit seiner Systeme unter Beweis, während der potenzielle Käufer die Sicherheit bekommt, bereits im Vorfeld Hürden ausgeräumt zu haben, die später das Geschäft gefährden könnten. Eine technische Due-Diligence-Prüfung im Vorfeld geplanter M&A-Prozesse erhöht die Attraktivität bindungswilliger Partner und sichert eine reibungslose Firmenverschmelzung.

Yahoo bekam im Vorfeld der Übernahme durch Verizon zu spüren, was es heißt, wenn IT-Systeme vernachlässigt werden. Als 2016 bekannt wurde, das bereits Jahre zuvor Milliarden Accounts bei Yahoo! gehackt wurden , gab Verizon bekannt, die Vertragsbedingungen erneut prüfen zu wollen, da man Yahoo vorwarf nicht vollständig transparent über diesen Fall informiert zu haben. Letztlich hat Verizon wohl tatsächlich für die Übernahme 350 Millionen Dollar weniger bezahlt als ursprünglich vorgesehen. Der Fall ist ein Paradebeispiel dafür, wie mangelnde technische Due-Diligence und daraus resultierende schwerwiegende Probleme in der Schlussphase des M&A-Prozesses deutliche Auswirkungen auf den Kaufpreis haben können.

Hürden im Vorfeld erkennen

Erzielen die Vertragspartner eine prinzipielle Einigung über ihre M&A-Absicht, müssen sie entscheiden, welche Systeme sie beibehalten wollen und welche nicht mehr benötigt werden. Die Umsetzung dieser Auswahl sollte immer in der Hand eines erfahrenen Projektleiters liegen. Er muss sicherstellen, dass rechtzeitig die richtigen Entscheidungen für einen problemlosen Übernahmeprozess getroffen werden.

Leider unterschätzen Unternehmen oft den mit der Steuerung der M&A verbunden Aufwand. Dies kann dazu führen, dass ein Projektleiter ausgewählt wird, der nicht die nötige Erfahrung hat, um den Prozess effizient durchzuziehen. Viel zu oft trifft man ferner auf den Irrglauben, M&A betreffe nur Finanz- und Rechtsabteilungen. Dabei sind alle Abteilungen in den M&A-Prozess involviert. Der verantwortliche Projektleiter muss also in der Lage sein, mit allen Abteilungen und über alle Ebenen im Unternehmen hinweg zu kommunizieren.

Nach der Übernahme erfolgt der Feinschliff

Ein M&A-Prozess ist auch nach erfolgtem Zukauf und Übernahme der Mitarbeiter noch lange nicht beendet. Vielmehr ist die jetzt anstehende Integration beider Partner ein neues, eigenes Projekt, das auch das Engagement der M&A-Verantwortlichen erfordert. Die firmenübergreifende Zusammenführung von IT-Systemen kann sich sehr wohl auf das Tagesgeschäft auswirken: etwa wenn neue Schwachstellen auftauchen, die das ganze System lahmlegen. Hier können externe M&A-erfahrene Berater Unternehmen unterstützen. Sie stellen sicher, dass es vor und nach der Übernahme keine bösen Überraschungen gibt. Sie prüfen, welche IT-Systeme wie weitergeführt werden und gewährleisten die Sicherheit vertraulicher Daten.

Abschließend lässt sich sagen: Fusionen und Übernahmen sind unabhängig von der Größe der beteiligten Firmen immer mit massiven Umbrüchen verbunden. Damit die Unternehmen ihr Geschäft vorher und nachher weiterführen können, muss die komplette Integration in jedem Fall sorgfältig geplant und effektiv vollzogen werden. Die Planung beginnt mit der sorgfältigen Due-Diligence der verwendeten Technologien und Systeme. Es folgt die Umsetzung des Integrationsprozesses unter einem erfahrenen Projektleiter. Er muss auf die Unterstützung durch die M&A-Verantwortlichen zählen können. Begleitet wird der M&A-Prozess außerdem von geeigneten Kommunikationsmaßnahmen, und zwar auf allen Ebenen der neuen Organisation und über alle Abteilungen hinweg.

Über den Autor: Nick Pointon ist Head of M&A von SQS.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45040070 / Risk Management)