Cyber M&A Webcast des Bundesverbandes M&A – Cybersecurity Versicherungen
Im zweiten Termin zum Thema Cyber M&A am 10. Mai 2021 ging es um das Thema Versicherungen. Teilnehmer waren Dr. Sven Erichsen (Geschäftsführer Erichsen GmbH), Ralph Noll (Partner Cyber Risk, Deloitte) und Christian Plath (Partner Operational Transaction Services bei Deloitte). Die Moderation führte Stefan Finkenzeller (PMG Projektraum Management GmbH).
Ralph Noll, der auch das Cyber Response Team bei Deloitte leitet, legte zunächst dar, wie die aktuelle Bedrohungslage im Bereich Cyber aussieht und wie dies im Risikomanagement zu berücksichtigen ist. Vor allem die Lieferketten sind heutzutage immer stärker vernetzt. Hier kommt es immer wieder zu Ausfällen, da einzelne Zulieferer vor allem unter Ransomware-Attacken, in der Regel Verschlüsselungstrojaner, leiden. Des Weiteren führt die Cloud zu einer immer stärkeren Vernetzung. Anwendungen, die früher nur aus dem internen Netzwerk verfügbar waren stehen heute weltweit zur Verfügung. Stark zunehmend ist das Thema CFO-Fraud, also beispielsweise gefälschte Zahlungsanweisungen oder Rechnungen. Dennoch sind Cyber-Versicherungen für viele Unternehmen noch kein Thema, da entweder das Kosten-Nutzen-Verhältnis kritisch betrachtet wird oder aber das Wissen rund um dieses Thema als Bestandteil des Risikomanagements nicht vorhanden ist. Übrigens ist der typisch deutsche Mittelstand mittlerweile ebenso Ziel dieser Attacken und wird im Verhältnis so stärker getroffen, zumal viele Unternehmen sich kein teures Cyber Response Program leisten.
Laut Dr. Erichsen merkt zunächst an, das Ziel von Cyberversicherungen ist vor allem die Deckung der Kosten eines Cyber-Incidents. Die Cyberversicherung, welche heutzutage die Wertigkeit einer Feuerschutzversicherung hat, dient aber auch der Prävention, denn häufig sind die Unternehmen noch nicht ausreichend mit Sicherheitsmaßnahmen ausgestattet. Eine gute Cyberversicherung mahnt die Umsetzung dieser Maßnahmen auch an, gibt ihren Kunden proaktiv Hinweise zu aktuellen Risiken und verfügt über ein Netzwerk von Dienstleistern, z.B. auch Incident Response Dienstleister. Gerade mittelständische Unternehmen, die vor allem Anfang der Digitalisierung stehen, laufen dem Thema leider immer hinterher. Problematisch ist dabei die mangelnde Kommunikation zwischen IT und kaufmännischer Geschäftsführung. Mangels gemeinsamer Sprache dringen die Mahnungen der IT-Sicherheit, z.B. bei der Risikoeinschätzung, nicht immer bis zur Geschäftsleitung durch.
Laut Christian Plath gibt es bereits einige Vorfälle, wo Incidents im Bereich Cybersecurity im Rahmen von M&A Transaktionen zu signifikanten Kaufpreisminderungen geführt hat. Wichtig ist wie immer die Due Diligence, was eben auch bedeutet die Frage nach der Cyberversicherung aber eben auch nach den IT-Sicherheitsmaßnahmen zu stellen. Bei Carve-outs sollte beachtet werden, wie dies im Rahmen der TSAs (Transitional Service Agreements) gehandhabt wird. Da der Käufer erst nach Closing Zugriff auf das Unternehmen hat, ist die Übernahme der Risiken durch den Verkäufer bis zum Ende der TSA-Laufzeit notwendig. Es ist immer gut, wenn das Kaufobjekt über eine Cyberversicherung verfügt. Entscheidender aus Sicht der Due Diligence sind dann doch konkret nachweisbare IT-Sicherheitsmaßnahmen oder Audit-Reports, die zur Verfügung gestellt werden.
Eine spannende Frage aus dem Teilnehmerkreis ist die Versicherung von Schäden, die im Rahmen von Kriegsführung entstehen. Hierzu sagte Ralph Noll: Die Zuordnung der Tätergruppen ist oftmals schwierig und klärt sich meist, wenn die Schäden längst entstanden sind. Sven Erichsen merkte an, dass Kriegsführung tatsächlich häufig ausgeschlossen ist und kontrovers diskutiert wird. Der Versicherer trägt aber hier die Nachweispflicht. Problematisch sind auch Lösegeldforderungen aus Ländern, die internationalen Sanktionen unterliegen. Aber diese Fälle sind bislang sehr selten.
Weiterführende Termine werden wie immer auf der Webseite des Bundesverbandes M&A sowie über Social Media (LinkedIn) bekannt gegeben. Fragen und Anregungen können an stefan.schneider@ma-review.com oder martin.kuegler@parthenon.ey.com gerichtet werden.