M&A: Cybervorfälle drücken Deal-Werte nach Firmenübernahmen

Das Risiko endet nicht mit dem Vertrag: Innerhalb von 24 Monaten nach der Übernahme führt mangelnde Vorsorge bei 24 Prozent der Deals zu einem schweren Cyberattacke.

Ein Unternehmen zu kaufen bedeutet heute immer auch den Erwerb seiner digitalen Altlasten. Deswegen wird Cybersicherheit zum entscheidenden Faktor für die Werthaltigkeit einer Transaktion. Die aktuelle Untersuchung „CISO Redefined III“ von FTI Consulting liefert hierfür ernüchternde Belege. Bei 42 Prozent der Unternehmen, die während oder kurz nach einer Übernahme von einem Cyberangriff getroffen wurden, sank der Wert der Transaktion messbar. Wer die IT-Prüfung vernachlässigt, riskiert nicht nur technische Störungen, sondern eine massive Entwertung des mühsam verhandelten Deals.

Das finanzielle Risiko der digitalen Blindheit

Die finanziellen Nachwirkungen mangelnder digitaler Sorgfalt sind weitreichend. Laut der Befragung von 278 Experten, darunter CISOs, M&A-Verantwortliche und General Counsels, konnten 58 Prozent der Betroffenen ihre ursprünglichen finanziellen Ziele nach dem Abschluss der Transaktion nicht erreichen. In jedem fünften Fall führte ein Sicherheitsvorfall dazu, dass der gesamte Prozess verzögert oder sogar vorübergehend pausiert werden musste. Diese Verzögerungen kosten in einem Marktumfeld, das von hoher Volatilität geprägt ist, bares Geld.

Besonders kritisch ist die Lage in Branchen mit hoher Konsolidierungsdynamik. In der DACH-Region stieg die Zahl der Transaktionen im Versicherungssektor im Jahr 2025 um beachtliche 35 Prozent. Im Bereich Healthcare und Life Sciences verzeichnete das Jahr 2024 mit 127 Deals sogar einen historischen Rekord. Gerade in diesen Sektoren, die hochsensible Patientendaten oder Finanzinformationen verarbeiten, wiegen Sicherheitslücken doppelt schwer. Ein Datenleck kurz nach dem Closing kann hier die gesamte Synergieplanung zunichtemachen.

Die Isolation des CISO als strategisches Governance-Defizit

Trotz der offensichtlichen Gefahren für den Transaktionswert bleibt die Einbindung der Sicherheitsexperten in der Praxis lückenhaft. Zwar stufen 67 Prozent der M&A-Verantwortlichen und 76 Prozent der General Counsels die Rolle des Chief Information Security Officer (CISO) als sehr wichtig ein, doch die Realität an den Verhandlungstischen sieht anders aus. Nur 34 Prozent der CISOs gaben an, tatsächlich maßgeblich an den Entscheidungen einer Transaktion beteiligt zu sein.

Dieses Missverhältnis ist kein reines Kommunikationsproblem, sondern ein tiefgreifendes Governance-Defizit. Besonders auffällig ist die unterschiedliche Wahrnehmung der Zusammenarbeit. Während 34 Prozent der General Counsels eine verbesserte Kooperation während der Transaktionsphase registrieren, teilen nur 17 Prozent der CISOs diese Einschätzung. Ein Drittel der Sicherheitsverantwortlichen ist zudem nicht davon überzeugt, eine Transaktion bei zu hohen Cyberrisiken überhaupt stoppen zu können. Der strategische Rat des CISO verhallt zu oft ungehört, wenn der Zeitdruck beim Abschluss steigt. Rund 41 Prozent der Befragten nannten diesen Termindruck als Hauptgrund dafür, dass Cyberrisiken in der Due-Diligence-Phase schlicht zu kurz kommen.

Die Integrationsfalle nach dem Handschlag

Das Risiko für den Investor endet keineswegs mit der Unterschrift unter den Kaufvertrag. Die Daten von FTI Consulting belegen, dass jede vierte Transaktion innerhalb von 24 Monaten nach dem Closing von einem Cybervorfall betroffen war. In zwei Dritteln dieser Fälle handelte es sich um schwerwiegende Ereignisse wie gezielte Erpressung, massiven Datendiebstahl oder Angriffe, die über die Lieferkette und Dienstleister eingeschleust wurden.

Die Phase der Zusammenführung der IT-Systeme erweist sich als größte Schwachstelle. Ganze 84 Prozent der Beteiligten berichten von massiven Schwierigkeiten bei der Integration von Sicherheitsstandards. Die Gründe hierfür liegen oft in unterschiedlichen Risikotoleranzen der beteiligten Unternehmen und dem Management-Druck, Synergien schnell statt sicher zu realisieren. Besonders besorgniserregend ist der Rückgang der Aufmerksamkeit nach dem Closing. Während der laufenden Transaktion steuern noch 50 Prozent der Unternehmen ihre Cyberrisiken vorausschauend, nach dem offiziellen Abschluss sinkt dieser Wert auf nur noch 23 Prozent. In 39 Prozent der Fälle existiert nach dem Closing nicht einmal ein definierter Plan für die sicherheitstechnische Integration.

Regulatorischer Druck: NIS2 und DORA als Haftungsfallen

Für die Geschäftsführung wird das Ignorieren dieser Risiken zunehmend zu einer persönlichen Haftungsfrage. Unter neuen europäischen Rahmenwerken wie der NIS2-Richtlinie und der DORA-Verordnung für den Finanzsektor steigen die Anforderungen an die Cyber-Governance massiv an. Dokumentierte Prozesse zur Risikofrüherkennung und Integration sind nun gesetzliche Pflicht. Wer IT-Systeme ohne ausreichende Prüfung fusioniert, erhöht nicht nur die Angriffsfläche für Hacker, sondern setzt sich auch schärferen Prüfungen durch Aufsichtsbehörden und Investoren aus. Laut Studie befürchten 32 Prozent der CISOs genau diese regulatorischen Konsequenzen nach einem Vorfall.

„Wenn die IT-Systeme zweier Unternehmen zusammengeführt werden, entstehen neue Angriffspunkte – und genau in dieser Phase fehlt es oft an den Grundlagen.”

Hans-Peter Fischer, Senior Managing Director und Leiter Cybersecurity bei FTI Consulting in Deutschland

Ein Cyberangriff im M&A-Kontext verursacht neben den direkten technischen Kosten vor allem indirekte Schäden. 41 Prozent der Befragten sehen den Reputationsschaden als die schwerwiegendste Folge an. Ein Unternehmen, das bereits beim Start der Integration Handlungsunfähigkeit demonstriert, verliert das Vertrauen von Kunden und Märkten.

„Nach dem Closing verlagert sich in vielen Unternehmen der Fokus auf die operative Integration und die Realisierung von Synergien – Cybersicherheit gerät dabei in den Hintergrund, obwohl die Risiken gerade jetzt deutlich steigen“, kommentiert Hans-Peter Fischer, Senior Managing Director und Leiter Cybersecurity bei FTI Consulting in Deutschland, die Ergebnisse „Wenn die IT-Systeme zweier Unternehmen zusammengeführt werden, entstehen neue Angriffspunkte – und genau in dieser Phase fehlt es oft an den Grundlagen: keine vollständige Übersicht aller Systeme, keine klaren Regelungen, wer auf welche Daten zugreifen darf. Unter DORA, der neuen EU-Verordnung für digitale Widerstandsfähigkeit im Finanzsektor, wird das für die Geschäftsführung zunehmend schwer zu verantworten.“

Strategische Checkliste im M&A-Prozess

Frühzeitige Einbindung: Der CISO muss ab der Phase des ersten „Letter of Intent“ (LoI) Teil des Kernteams sein.

Budgetierung der Integration: Sicherheitskosten für die Zusammenführung der Netzwerke müssen bereits im Business Case der Transaktion eingepreist sein.

Risiko-Mapping: Eine vollständige Übersicht aller Systeme und Zugriffsberechtigungen des Zielunternehmens ist zwingende Voraussetzung für das Closing.

Kommunikationsmatrix: Klare Absprachen darüber, wer im Ernstfall die Kommunikation mit Regulatoren und Kunden übernimmt, müssen vorab feststehen.

Fazit

Cybersicherheit darf in der M&A-Strategie nicht länger als nachgelagerter technischer Check-up behandelt werden. Sie ist eine Kernkomponente der finanziellen Bewertung. Für IT-Führungskräfte bedeutet dies, eine aktive Rolle im Investment-Komitee einzufordern. Eine erfolgreiche Transaktion im Jahr 2026 erfordert eine lückenlose Cyber-Due-Diligence, ein klares Veto-Recht des CISO bei untragbaren Risiken und einen detaillierten Integrationsplan, der bereits vor der Vertragsunterzeichnung steht. Nur so lässt sich verhindern, dass der erhoffte Wachstumsschub durch eine Übernahme in einer kostspieligen digitalen Katastrophe endet.