Die Notwendigkeit einer Cyber-Due-Diligence bei einer Fusion oder Übernahme eines Unternehmens ist aktueller denn je.
Am 9. Juli 2019 erklärte das britische Information Commissioner’s Office (ICO), dass es Marriot International eine Geldstrafe von 99 Millionen Pfund wegen Verstoßes gegen das europäische Datenschutzrecht gemäß der Europäischen Datenschutzverordnung (GDPR) ausstellen werde. Die Geldbuße steht im Zusammenhang mit einem Verstoß der Starwood Hotels, eine der jüngsten Übernahmen von Marriot International. Betroffen waren möglicherweise über 500 Millionen ihrer Gäste. In dem Bericht des ICO heisst es „Marriot hat es versäumt, bei der Übernahme von Starwood eine ausreichende Sorgfaltspflicht auszuüben und hätte mehr für die Sicherung seiner Systeme sorgen müssen“. Dieses Scheitern unterstreicht die Notwendigkeit für Muttergesellschaften und Wertpapierfirmen, ihr Management der Sicherheits- und Datenschutzrisiken bei ihren Übernahmen und Tochtergesellschaften zu verbessern und mit entsprechenden Sanktionen zu rechnen.
Fusionen und Übernahmen bergen zwangsläufig immer finanzielle, rechtliche und Reputationsrisiken. Der Fall Marriott ist eines von vielen Beispielen für Probleme, die nach einer Transaktion identifiziert wurden, die mit einer besseren Sorgfaltspflicht hätten behandelt werden können. Und in der heutigen globalen Datenwirtschaft muss die Cyber-Due-Diligence ein integraler Bestandteil jeder Unternehmensinvestition sein, ebenso wie die üblichen Due-Diligence-Praktiken heute zum Standardverfahren gehören. Kundendaten werden sowohl von Unternehmen als auch von Regulierungsbehörden weltweit als leistungsstarke Ware anerkannt. Für eine erfolgreiche Verhandlung und den Abschluss eines Geschäfts ist es daher unerlässlich, dass das übernehmende Unternehmen die Cyberrisiken versteht, die es vor und nach einer Investition erben könnte.
Die Einbeziehung von Cyber Security in die Standardpraxis der Bewertung von Reputation, finanzieller und rechtlicher Sorgfaltspflicht beinhaltet alle potenziellen regulatorischen Risiken eines Geschäfts – und schützt den Anleger so auch davor, einen möglicherweise überhöhten Preis zu zahlen oder vor dem Risiko später eine hohe Geldstrafe zahlen zu müssen. Die Nutzung dieser Informationen während der Verhandlungsphase kann Unternehmen helfen, die Kosten für die Behebung festgestellter Schwachstellen zu ermitteln und diese – insbesondere wenn die Kosten für die Behebung erheblich sind – in Preisverhandlungen zu verwenden.
Wie kann also die Cyber Due Diligence eine Verhandlung beeinflussen und welche Schritte müssen unternommen werden, um sie richtig zu gestalten?
Die Cyber-Due Diligence sollte nun genauso integral sein wie andere Arten der Due Diligence, die einst als wesentlicher Vorteil bei einer Transaktion angesehen wurden. So wurde beispielsweise vor dem UK Bribery Act (UKBA) oder dem Foreign Corrupt Practices Act (FCPA) die Anti-Korruptionsprüfung nicht systematisch im Rahmen des Transaktionsverhandlungsprozesses durchgeführt. Und die Unternehmen, die dies versäumt haben, taten dies auf eigene Gefahr. Nach den gewonnenen Erkenntnissen ist die Korruptionsbekämpfung – heute eine Standardkomponente der Fusions- und Akquisitionsprüfung. Da GDPR und Chinas Cyber Security-Gesetz sowie andere globale Datenregelungen inzwischen fest etabliert sind und beginnen ihre Wirksamkeit zu entfalten, kann gleichermaßen argumentiert werden, wenn es darum geht, heute Cyber Due Diligence durchzuführen.
Worin besteht also das Hindernis für die Durchführung der Cyber-Due-Diligence?
Das Problem ist, dass es oft als „Problem eines anderen“ wahrgenommen wird, etwas, das nach der Transaktion gelöst werden kann, oder dass es unter dem Radar der Aufsichtsbehörden oder der Öffentlichkeit gelöst werden kann, um hoffentlich jede reputationsschädigende Offenlegung zu vermeiden. Wenn das nur der Fall wäre!
Um zu vermeiden, dass ein Unternehmen, das in ein anderes Unternehmen investiert oder es erwirbt, gegen die Aufsichtsbehörden verstößt, muss es in der Lage sein, nachzuweisen, dass es vor der Transaktion eine Cyber-Due Diligence gegenüber den Aufsichtsbehörden durchgeführt hat, sollte später ein Verstoß entdeckt werden.
Positive Lehren können aus Beispielen gezogen werden, wie z.B. 2016, als Verizon, ein großes US-amerikanisches Telekommunikationsunternehmen, die Erkenntnisse aus seiner Cyber-Due-Diligence bei zwei Datenschutzverletzungen bei Yahoo! nutzte. Sie verhandelten einen Deal, bei dem Yahoo! weiterhin für Verbindlichkeiten aus Aktionärsklagen und Ermittlungen nach dem Erwerb verantwortlich sein sollte.
Cyber Due Diligence zur Information der Verhandlungen nutzen
Eine Cyber Due Diligence, wenn sie als Vorsichtsmaßnahme vor der Transaktion durchgeführt wird, kann ein wichtiges Verhandlungsinstrument sein. Die sorgfältige Due Diligence-Prüfung vor der Transaktion ermöglichte es Verizon, 281 Millionen Pfund vom Kaufpreis für Yahoo! als Gegenleistung für einen massiven Datenverstoß zu beanspruchen. Die Cyber Due Diligence dient daher als Verhandlungsinstrument, wenn Akquisitionsentscheider rote Fahnen aus dem Due Diligence-Prozess identifizieren.
Die Ergebnisse der Cyber Due Diligence können auch für das Benchmarking anderer Akquisitionen genutzt werden – dies ist hilfreich für Unternehmen, die ihr Portfolio schnell erweitern. Diese Daten können auf andere Ziele in einem Portfolio angewendet werden, um Bereiche mit hohem Risiko zu identifizieren. Die Standardisierung der Ergebnisse der Cyber-Due-Diligence mit den Ergebnissen der traditionellen Due-Diligence-Praktiken ermöglicht es den Anlegern, eine ganzheitliche Sicht auf die Risiken über ein gesamtes Portfolio zu erhalten. Die Daten können auch von Deal-Teams genutzt werden, um den Investor in die bestmögliche Position zu bringen, um den Preis und die Konditionen einer Akquisition zu verhandeln.
Was sollten Investoren tun?
Die Cyber-Due Diligence vor der Transaktion muss von Spezialisten durchgeführt werden, die über Erfahrung in der Cyber-Bedrohungsanalyse verfügen. Dies könnte die Bewertung der externen Cyber-Bedrohungen und der internen Reife eines Zielunternehmens und/oder die Ermittlung der Kosten für die Behebung identifizierter Sicherheitsschwachstellen beinhalten. Die Ergebnisse dieser Bewertungen sollten mit den Deal-Teams geteilt werden, die kalkulierte Risiken aus der Übernahme eingehen und letztendlich die Investitionsentscheidung beeinflussen können. Um die Cyberrisiken für das Portfolio eines Investors weiterhin zu managen, dient die Post-Transaction Due Diligence als wertvolles Instrument zur Aufrechterhaltung eines „Health Check“ für Investitionen. Es kann auch helfen, Probleme zu identifizieren, die sich wahrscheinlich aus der sich entwickelnden Regulierungslandschaft ergeben werden.
Derzeit bewirken Datenschutzbestimmungen wie GDPR eine Änderung der Sorgfaltspflicht von Unternehmen während einer Transaktion. Sie beschränken sich jedoch auf die Offenlegung von Rechtsvorschriften, sobald der Verstoß eingetreten ist, und nur dann, wenn er sich auf personenbezogene Daten von EU-Bürgern auswirkt. Da sich die Sicherheits- und Datenschutzbestimmungen weiter entwickeln, ist zu erwarten, dass Unternehmen, die genaue Informationen über den Zustand ihrer Systeme liefern müssen, proaktiv und nicht reaktiv nach der Feststellung eines Verstoßes handeln. Zielunternehmen sollten dies ebenfalls berücksichtigen und ihre Systeme vor den Verhandlungen im Rahmen ihrer gesamten Verkaufsvorbereitung bewerten. Die Klarheit darüber, wie sich die identifizierten Schwachstellen auf die Akquisition oder Investition auswirken könnten und welche Maßnahmen zu ihrer Behebung ergriffen werden, vermeidet auch einen Stillstand des Transaktionsprozesses und garantiert den bestmöglichen Preis für das Unternehmen.
Aber natürlich ist es selbstverständlich, dass Unternehmen nicht auf einen Fusions- oder Übernahmevorgang warten sollten, um eine Überprüfung ihrer Cybersicherheit vorzunehmen. Da sich die Vorschriften für Cyber-Sicherheit weltweit immer weiter entwickeln und verstärken, sind nur wenige Unternehmen heutzutage immun gegen die potenziell erheblichen Reputations- und finanziellen Auswirkungen, die eine Datenschutzverletzung haben kann. Eine regelmäßige, mindestens jährliche Bewertung Ihrer Datenverarbeitungsprozesse und Cybersicherheitsmaßnahmen durchzuführen gehört heute zu jedem gut geführten Unternehmen.
Wenn Cyber Security sich nicht um einen regelmäßigen Diskussionspunkt in Ihren Managementgesprächen handelt, dann lassen Sie sich die Erfahrungen von Marriott eine Lehre sein. Ob M&A-Transaktion oder nicht, es ist Zeit, Ihre Cybersicherheit in den Griff zu bekommen.
Wir unterstützen Sie dabei!