Der Report von Bain & Company aus dem Jahr 2022 beziffert den Wert der weltweiten Firmenverkäufe (in 2021) auf 5,9 Billionen(!) US-Dollar. Der Wert der ermittelten Schäden durch Cyberangriffe im Jahr 2021 beträgt ca. 6 Billionen US-Dollar.
Haben Firmenwert und Cybersecurity möglicherweise eine direkte Beziehung zueinander?
Mit Sicherheit!
Trotzdem ist es noch nicht selbstverständlich, dass Unternehmen entlang des M&A-Prozesses auch eine Due Diligence der Cybersecurity durchführen…. Mit mitunter fatalen Folgen für den Käufer, wenn es nach dem Kauf zu erfolgreichen Attacken kommt, oder aber den Verkäufer, wenn die fehlende Due Diligence den Kaufpreis massiv drückt, um gegebenenfalls verborgene Risiken in den Verkauf mit einzupreisen.
Dabei ist Cybersecurity in mehreren Bereichen des M&A-Transaktionsverlaufs im Spiel.
Stellen wir uns exemplarisch vor, dass ein Hidden-Champion im Segment mittelständischer Unternehmen verkauft werden soll. Ein solides Familienunternehmen in dritter Generation, 500 Mitarbeiter, die Produkte hochwertig und lange am Markt erfolgreich, die Kundenklientel treu. Die Kern-Prozesse leben von dem Wissen und der Erfahrung des geschäftsführenden Inhabers, der keine Nachkommen hat, die an einer Übernahme des Betriebes interessiert sind. Auch für ein Management-Buy-Out finden sich keine geeigneten Mitarbeiter und so ist der potenzielle Kaufinteressent ein multinationaler Konzern, der die besetzte Nische in sein Portefolio eingliedern will. Die Margen in seinen anderen Segmenten werden in erster Linie durch einen hohen Grad an Automatisierung erreicht.
Da prallen da erst einmal zwei Welten aufeinander.
Trotzdem der Verkäufer erfahrene M&A-Berater engagiert hat, geht bei den Verhandlungen die gleiche Augenhöhe schnell verloren. Die Kommunikation erfolgt über verschlüsselte Mails. Mailverschlüsselung ist nicht der Standard des Mittelständlers. Auch die Vertrags-Arbeit in geschützten Räumen gehört nicht zum Tagesgeschäft und die Sicherheit des Datenaustausches in Produktion und Kommunikation liegt in der Hand eines zwar erfahrenen IT‘lers, dessen Kernkompetenz aber weder die Cybersecurity, noch die Integration von Systemen ist. Die Haus-IT besteht im Wesentlichen aus dem Leiter, zwei Administratoren und einem Azubi – da ist klar, dass dem Aufbau und der Pflege von Risikomanagement-Systemen keine umfassende Priorität zugeordnet werden kann.
Während die klassischen Prüfungspunkte des Ziel-Unternehmens bei einem Unternehmenskauf beispielsweise durch Geschäftsprozess-/Marktspezialisten, Steuerprüfer oder Anwälte Due Diligence analysiert und damit fassbarer Bestandteil eines Transaktionsprozesses werden, gilt dies in der Regel nicht gleichsam für Cyberrisiken. Das Problem dabei; es gibt keine rechtlich anerkannten Standards, die nach allseits bekannten Messwerten einen direkt vergleichbaren Wert in Punkto Cybersicherheit bzw. Güte des CyberRisk-Managements liefern. Und ohne Due Diligence der IT-/ bzw Cybersecurity-Systeme erwirbt der Käufer ein gegebenenfalls gegen eine große Bedrohung nicht abgesichertes Unternehmen, der Verkäufer hingegen sieht sich in der Folge Gewährleistungs-, Rücktritts- und Schadenersatzansprüchen des Käufers gegenüber.
„Spiegelbildlich zu diesen Risiken ist ein im Rahmen einer Cyber Due Diligence festgestelltes, schlüssiges und stabiles System zur Abwehr von Cyberrisiken ein echter Wertfaktor, der im Transaktionsprozess geprüft und durch die Parteien beim Kaufpreis hinreichend zu taxieren ist.“ (vgl.: pontinova: Cyber Due Diligence als wertbildender Faktor in M&A-Transaktionen, 12. November 2022)
Im konkreten Fall ist die Folge, dass der Käufer wegen hoher Aufwendungen für die Einführung eines aussagefähigem Risiko-Management-Systems und der Integration von nicht digitalisierten Prozessen einen hohen Abschlag auf den geforderten Kaufpreis fordert, um sein Risiko zu minimieren.
„Im Hinblick auf die stetig wachsende Zahl von Cyberangriffen und die hohen Vermögens- sowie Rufschäden einer solchen Attacke, ist die Cyber-Due Diligence für eine sichere Unternehmenstransaktion unbedingt zu empfehlen“. ( Ausführlich zur Cyber Due Diligence, Grieger WM 2022, 1865 ff.)
Eine starke Cybersicherheit ist ein also Wertfaktor an sich.
SECIRA schafft die Möglichkeit, in angepassten Schritten zu einem ganzheitlichen Risiko-Management-System zu kommen, was schlussendlich jederzeit den aktuellen Risikostatus ermitteln kann.
Eine solide Wertermittlungsbasis für Verkäufer und Käufer.
Das Thema ist top-aktuell. Wenn Sie mehr Informationen benötigen, rufen Sie uns an, schicken Sie eine Mail oder kommen Sie zu den Veranstaltungen, die wir im Rahmen unseres Blogs rechtzeitig ankündigen werden.