Auch für das Jahr 2021 sind wieder Webcasts der Arbeitsgruppe Digitalisierung des Bundesverbandes M&A geplant, wobei der Schwerpunkt auf den Themen Cybersecurity und Software liegen wird. Der erste Termin am 25. März bildete den Auftakt mit der zentralen Fragestellung, wann und warum Cyberrsecurity im Transaktionskontext besonders wichtig ist. Die Teilnehmer waren Stefan Finkenzeller (PMG Projektraum Management GmbH), Stefan Marquart (INVENSITY) und Nadine Müller (EY). Die Moderation erfolgte durch Martin Kuegler (EY).

Stefan Finkenzeller, der vor seiner aktuellen Tätigkeit auch CISO (Chief Information Security Officer) einer Landesbank war, setzte den ersten wichtigen Punkt: Bei vielen Transaktionen werden Cyber-Assessments in der Due-Diligence-Phase immer wichtiger oder sind sogar essenziell. Vor allem muss ein grundlegendes Verständnis zu den Fähigkeiten der Organisation vorliegen, wie mit Security in der Vergangenheit umgegangen worden ist und aktuell umgegangen wird. Dies fängt bei der Verantwortlichkeit für Security an und hört bei den sogenannten Security Controls auf, also welche konkreten technischen Maßnahmen implementiert wurden, um die IT-Systeme zu schützen.

Stefan Marquart verwies darauf, dass in der Fertigungsindustrie immer komplexere Produkte entstehen, die mit immer mehr Hardware und Software ausgestattet werden, den sogenannten Embedded Systems. Dies erfordert komplexe Strategien und Testprozeduren, schließlich muss der Betrieb der Anlagen oder Produkte sicher sein. Dies erfordert auch regelmäßige Updates. Wenn die über Internet of Things vernetzte Kaffeemaschine das Softwareupdate nicht rechtzeitig bekommt und streikt, kann das sehr ärgerlich sein. Wenn das autonome Fahrzeug keine Updates bekommen kann, gefährdet dies im Zweifelsfall die Sicherheit der Insassen.

Ebenso stehen immer mehr datenzentrierte Geschäftsmodelle im Fokus von Transaktionen. Geht es darüber hinaus um personenbezogene Daten, ist eine Prüfung der technisch-organisatorischen Maßnahmen unumgänglich. Der Gesetzgeber lässt dabei wenig Spielraum, so Nadine Müller. Vor allem Firmen, die im großen Stil personenbezogene Daten verarbeiten, müssen dies DGSVO-konform tun. Im Transaktionskontext kommt hinzu, dass bei einem Vergehen der Umsatz der gesamten Unternehmensgruppe die Bemessungsgrundlage für die Strafe ist – und das kann bei einem Merger sehr teuer werden, auch wenn nur der deutlich kleinere Teil des Unternehmens betroffen ist.

Eine Folge sind immer größere Budgets für Cybersecurity mit einer Spannweite von rund 200 USD pro Mitarbeiter und Jahr im Handel bis zum Zehnfachen, also 2.000 USD pro Mitarbeiter, für Banken. Mittlerweile machen vor allem große Unternehmen in der Fertigungindustrie umfangreiche Maßnahmen im Bereich Security zu Bedingungen für ihre Lieferanten, und dies treibt natürlich auch die Budgets nach oben, so Stefan Marquart. Auf der anderen Seite sind die finanziellen Auswirkungen einer Cyberattacke, die zu Produktions ausfall führt, ungleich größer. Noch problematischer ist es, wenn der entstandene Reputationsschaden zum Verlust von Kunden und damit Umsatz führt.

Viele Missverständnisse existieren rund um Zertifizierungen und Information Security Management Systeme wie ISO27001. Eine ISO-Zertifizierung ist grundsätzlich positiv und schafft vor allem ein gewisses Vertrauen, so die Meinung aller Diskussionsteilnehmer. Bei der Frage nach der Implementierung von technischen Sicherheitsmaßnahmen ist eine Orientierung am sogenannten NIST-Framework (National Institute of Standards and Technology) deutlich sinnvoller.

Die kommenden Termine werden wie immer unter Veranstaltungen sowie über Social Media (LinkedIn) bekannt gegeben. Geplant sind unter anderem die Themen Cyberversicherungen sowie Source Code Reviews bei Softwareprodukten im Rahmen von Transaktionen.