Anzeige

Fusion

Fusionen und Übernahmen (Mergers & Acquisitions, M&As) bieten Unternehmen bedeutende Möglichkeiten, ein schnelles Wachstum zu erzielen oder Wettbewerbsvorteile zu erlangen. Diese reichen von der Bündelung von Ressourcen über die Diversifizierung des Produkt- und Dienstleistungsportfolios, die Erschließung neuer Märkte bis hin zum Erwerb neuer Technologien oder Fachkenntnisse.

Jede M&A-Transaktion ist mit einer komplexen und detaillierten Due-Diligence-Prüfung verbunden, also einer sorgfältigen Überprüfung des gesamten Unternehmens. Auf Grundlage der Erkenntnisse daraus kann abgeschätzt werden, wie aufwändig sich die Zusammenführung mit den bestehenden Geschäftsstrukturen gestalten wird. Je reibungsloser die Integrationsprozesse ablaufen, desto größer ist letztlich der Erfolg der Transaktion. Traditionell konzentriert sich die M&A-Prüfung in erster Linie auf die Bereiche Finanzen, Recht, Geschäftsbetrieb und Personalwesen. Mit zunehmend digitalen Geschäftsprozessen zeigt sich, dass Due Diligence auch im Bereich der Cybersicherheit erfolgen sollte.

Ein Weckruf in dieser Hinsicht ist der Marriott-Datenskandal aus dem Jahr 2018, der die potenziell schwerwiegenden Auswirkungen einer fehlgeschlagenen Cybersicherheits-Due-Diligence-Prüfung eindrucksvoll vor Augen führt. Durch die Übernahme von Starwood Hotels & Resorts durch Marriott im Jahr 2016 entstand eine der größten Hotelketten der Welt. Das Angebot für Marriott- und Starwood-Kunden wuchs damit auf über 5.500 Hotels in 100 Ländern. Marriott hatte zu diesem Zeitpunkt allerdings keine Kenntnis davon, dass die IT-Systeme von Starwood bereits 2014 kompromittiert worden waren. Erst im November 2018 stellte Marriott schließlich fest, dass Unbekannte bereits seit Jahren über die betroffene Reservierungsdatenbank von Starwood Zugriff auf die persönlichen Daten von etwa 339 Millionen Gästen weltweit hatten.

Die britische Datenschutzaufsichtsbehörde ICO stellte in ihrem Ermittlungsbericht fest, dass Marriott beim Kauf von Starwood nicht genügend Sorgfalt walten ließ und mehr hätte tun müssen, um seine Systeme zu sichern. Weiterhin verkündete sie dazu vor einem Jahr die Absicht, die Hotelkette für diesen Verstoß gegen die DSGVO mit einer Strafzahlung von 99 Millionen Pfund belegen zu wollen.

Erfordernis einer digitalen Due Diligence

Heutzutage sind Unternehmen jeder Größe in wachsendem Maße auf Cloud-basierte Tools, IoT und digitale Verbindungsservices angewiesen, um ihre Kunden zu betreuen und Geschäftsprozesse abzuwickeln. Folglich eröffnet die verstärkte Konnektivität Cyberkriminellen mehr Möglichkeiten, böswillige Angriffe zu starten, Daten zu stehlen oder zu versuchen, den Geschäftsbetrieb zu stören. Daher ist die Durchführung einer detaillierten Prüfung und Bewertung der Cybersicherheit von entscheidender Bedeutung, um kritische Schwachstellen aufzudecken, die sich als Dealbreaker erweisen könnten. Ratsam ist dabei eine Vorgehensweise, die unmittelbar bei den Daten ansetzt und ausgehend davon die damit verbundenen Strukturen und Prozesse bewertet:

1. Kenntnis der eigenen Systeme

Zunächst benötigen Organisationen, die sich an M&A-Aktivitäten beteiligen, völlige Transparenz über ihre eigenen IT-Systeme, bevor sie eine belastbare Einschätzung anderer vornehmen können. So können übergreifende Sicherheitsrichtlinien für beide Strukturen geschaffen werden. Dies bildet die Grundlage für eine Integrationsstrategie, die die Entstehung neuer Schwachstellen ausschließt, wenn Plattformen, Lösungen und Dienstleistungen zusammengeführt werden. Zu einem sicheren IT-Ökosystem zählen die Durchsetzung granularer Sicherheitsrichtlinien, die Verschlüsselung von Daten, Echtzeit-Schutz vor Datenverlusten, Benutzerzugriffskontrollen sowie kontinuierliche Überwachung.

2. Inventur der Datenbestände

Eine Bestandsaufnahme aller Daten ist der erforderliche erste Schritt, um zu verstehen, welche Daten gesammelt werden, wie und wo sie gespeichert werden und wie lange sie aufbewahrt werden, bevor sie entsorgt werden. Daran lassen sich vor allem bei internationalen Unternehmen Einblicke in lokal gültige Gesetzesvorgaben und interne Regelungen gewinnen. Dabei helfen DLP-Funktionen (Data Loss Prevention) bei der Identifizierung von sensiblen und regulatorischen Datenmustern, die potenziell gefährdet sind. Ebenso hilfreich sind Aktivitätsprotokolle, die alle Benutzer-, Anwendungs- und Dateiaktivitäten detailliert aufzeichnen. 

Um möglichen, bislang nicht offengelegten Datenschutzverletzungen auf den Grund gehen zu können, sollten sämtliche interne und externe Audits und Beurteilungen zur Cybersicherheit herangezogen werden. Sie können ein Licht auf die möglichen Schwächen der bestehenden Sicherheitsmaßnahmen werfen und helfen so bei der Einschätzung des Risikopotentials.

3. Entwicklung einer integrativen Security-Strategie

Nachdem festgestellt wurde, welche Daten geschützt werden müssen und wo sie gespeichert sind, besteht die nächste Herausforderung darin zu verstehen, wer Zugriff auf die Daten hat, was mit ihnen geschieht und welche Geräte für den Zugriff verwendet werden. Effektive Cybersicherheit hängt davon ab, alle sensiblen Daten innerhalb jeder Anwendung, auf jedem Gerät und überall schützen zu können. Damit verbunden ist eine angemessene Sichtbarkeit aller Endpoints, Webdestinationen, Geräte und Anwendungen - zusammen mit Zugriffsrichtlinien, die sicherstellen, dass nur autorisierte Benutzer Zugang zu sensiblen Daten erhalten.

Die detaillierte Evaluation aller IT-Systeme und Netzwerk-Endpoints im Unternehmen ist notwendig, um planen zu können, wie beide Einheiten ihre IT-Systeme und Prozesse kombinieren und nach der Integration einen reibungslosen Geschäftsablauf gewährleisten können. Beispielsweise muss ermittelt werden, wieviel Aufwand nötig ist, um bestehende Schwachstellen in der Sicherheitsarchitektur auszubessern und die zusammengeführte Infrastruktur resilient gegen Risiken zu machen.

Zuverlässige IT-Verwaltung als Erfolgsfaktor

Eine gut organisierte IT-Verwaltung vereinfacht letztendlich Due Diligence-Verfahren für alle Beteiligten und bildet somit einen Erfolgsfaktor unternehmerischen Handelns. Um geeignete Bewertungsmaßstäbe für Sicherheit und Datenschutz entwickeln zu können, ist es eine wichtige Voraussetzung, dass Unternehmen auch bei ihren eigenen Systemen hohen Standards genügen. Andernfalls besteht die Gefahr, dass sie eigene Versäumnisse in noch größere Strukturen integrieren und schwerwiegende Schäden entstehen. Eine zuverlässig verwaltete IT-Landschaft ist also im Interesse aller Unternehmen – sowohl denjenigen, die expandieren wollen als auch denen, die geeignete Käufer anziehen wollen.

Anurag Kahol, CTO
Anurag Kahol
CTO, Bitglass

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Datensicherheit
Aug 06, 2020

Datensicherheit und Vertrauensinfrastruktur mit Remote-IT

Unternehmen jeder Größe, vom kleinsten Privatunternehmen bis zum größten öffentlichen…
Corona Hacker
Jul 01, 2020

Herausforderung: Cybersicherheit während der Corona-Pandemie

Veronym sieht die Herausforderungen in Sachen Cybersicherheit – gerade für KMU – während…
merger and acquisition
Feb 19, 2020

Fintech mit Megafinanzierungen und gigantischen M&A-Deals

Im Fintech-Umfeld gab es 2019 eine Verschiebung hin zu Mammut-M&A-Transaktionen,…

Weitere Artikel

Sicherheit Steuerung

Hacken per Klimaanlage, Aufzug im freien Fall?

Der Aufzug in freien Fall gehört zweifelsohne in die Welt der Hollywood-Filme, aber ein digitalisierter Aufzug ist so smart wie angreifbar. Und schon vor mehreren Jahren spielte das Magazin Wired.com durch, wie man mittels Klimaanlage ein Stromnetz hackt.
Security

Lösungen für 4 oft übersehene Sicherheitsprobleme

Sämtliche Internetzugriffe des Unternehmens werden über Black- und Whitelists geschleust. Das betriebseigene WLAN nur für die Privatgeräte der Mitarbeiter ist auch physisch vom Firmennetzwerk völlig abgetrennt. Jeder neue Kollege im Haus bekommt durch die IT…
Cyber Attacke

TeamTNT nutzt legitimes Tool gegen Docker und Kubernetes

Bei einem jüngst erfolgten Angriff nutzten die Cyberkriminellen der TeamTNT-Gruppe ein legitimes Werkzeug, um die Verbreitung von bösartigem Code auf einer kompromittierten Cloud-Infrastruktur zu vermeiden und diese dennoch gut im Griff zu haben. Sie…
Cyber Security

Kosten-Explosion durch Cyber-Angriffe

Die Ergebnisse des Hiscox Cyber Readiness Reports 2020 zeigen eine positive Tendenz: Vielen Unternehmen ist mittlerweile bewusst, wie wichtig Cyber-Sicherheit ist. Die Zahl der gut vorbereiteten „Cyber-Experten“ steigt zum ersten Mal deutlich an…
Netzwerk-Sicherheit

Remote-Arbeit verschärft Herausforderungen für die Unternehmenssicherheit

Juniper Networks, ein Anbieter von sicheren, KI-gesteuerten Netzwerken, präsentiert die ersten Ergebnisse eines internationalen Marktforschungsprojektes. Diese zeigen, dass traditionelle Ansätze zum Schutz des Netzwerks die Herausforderungen angesichts von…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!