Vom Risiko zur Chance: Steigerung des Unternehmenswertes durch Due-Diligence im Bereich Cyber

Lesezeit: 7 Minuten

Der Verzicht auf eine Due-Diligence-Prüfung im Bereich Cybersicherheit kann bei strategischen Transaktionen wie Fusionen und Übernahmen den Wert eines Unternehmens erheblich beeinträchtigen. Die Durchführung von Cyber-Due-Diligence-Prüfungen hilft, das Risiko zu verringern und die Unternehmensbewertung zu verbessern.

6 Gründe für eine Due-Diligence-Prüfung

  1. Die Due-Diligence-Prüfung der Cybersicherheit ist bei Fusionen und Übernahmen von entscheidender Bedeutung. Der Verzicht auf diese Prüfung kann das Risiko erhöhen und zu einer Abwertung des Zielunternehmens führen.
  2. Unternehmen, die eine Sicherheitsverletzung erlitten haben, können sich ein genaues Bild von den Sicherheitslücken machen und erfahren, wie sie ihre Vermögenswerte schützen können. Der Nachweis proaktiver Sicherheitsmaßnahmen kann die Attraktivität solcher Unternehmen bei Fusionen und Übernahmen erhöhen.
  3. Unternehmen können Cyberrisiken in Chancen umwandeln, indem sie bekannte Risiken identifizieren und Abhilfemaßnahmen dokumentieren, um sie in Zukunft zu vermeiden und ihren Ruf durch Vorsorge zu schützen.
  4. Wie die Schlagzeilen der letzten Jahre gezeigt haben, kann ein Cybervorfall einen Deal platzen lassen. Im Jahr 2017 senkte Verizon sein ursprüngliches Angebot für Yahoo Inc. um 350 Millionen US-Dollar, nachdem zwei massive Cyberangriffe drei Milliarden Nutzerkonten des Unternehmens betrafen. Darüber hinaus wurde der 13,6 Milliarden US-Dollar schwere Deal zwischen Marriott International und Starwood Hotels zur Schaffung des weltgrößten Hotelbetreibers gefährdet, nachdem das Reservierungssystem von Starwood gehackt worden war. Der Zugriff auf das Reservierungssystem war das Ergebnis eines vier Jahre andauernden Angriffs und scheint der zweitgrößte in der Geschichte zu sein.
  5. Die Folgen solcher Angriffe können zudem weit über den unmittelbaren finanziellen Verlust hinaus reichen. In Fällen, in denen Kundendaten nach außen dringen, geht das Vertrauen in ein Unternehmen leicht verloren und lässt sich nur schwer wiederherstellen.
  6. Reputationskrisen von Unternehmen in den letzten vier Jahrzehnten haben in über 12 Prozent der Fälle mehr als 50 Prozent des Wertes vernichtet und über einen Zeitraum von 40 Jahren 1,2 Billionen Dollar an Aktionärswert. Weitere Belege zeigen, dass Aktionäre im Jahr nach einer größeren Reputationskrise durchschnittlich 26 Prozent ihres Wertes verlieren können.

Was ist der wahre Wert der Reputation?

Die heutigen Risiken einer Rufschädigung werden durch die Vernetzung, die sozialen Medien und einen 24/7-Nachrichtenzyklus noch verstärkt. Doch oft ist es die Art und Weise, wie Unternehmen auf Reputationsrisiken reagieren, die noch größere Auswirkungen hat als die ursprüngliche Bedrohung.

Die Art und Weise, wie Führungskräfte auf ein Reputationsrisiko wie einen Cyberangriff reagieren, kann ein Schlüsselindikator für die Stärke der Führung sein und etwas über den Wert des zugrundeliegenden Unternehmens aussagen. Dies wiederum hat deutliche Auswirkungen auf den Shareholder Value und sollte bei M&A-Transaktionen berücksichtigt werden.

Auf der Grundlage von Untersuchungen, die Aon zu 340 Ereignissen mit Reputationsrisiko in den letzten 40 Jahren durchgeführt hat, betrug die durchschnittliche Auswirkung auf den Unternehmenswert 7 Prozent im Jahr nach dem Ereignis, mit Verlusten in Höhe von rund 830 Milliarden US-Dollar. Lesen Sie mehr über die Forschung und Praxis von Aon zur Analyse von Reputationsrisiken.

Vom Dealbreaker zum Dealmaker: Bedrohungen in Chancen verwandeln

Unternehmen können Cyberrisiken durch Sicherheitsmaßnahmen und vorbereitete Krisenpläne in Chancen umwandeln, sodass sowohl die Zielunternehmen als auch potenzielle Käufer das größere strategische Bild sehen können.

So erlebte ein Anbieter für Geschäftsreisen beispielsweise einen Phishing-Angriff, der zu einer Datenverletzung führte. Er verfügte jedoch über einen robusten Reaktionsplan, der es dem Unternehmen ermöglichte, den Vorfall schnell einzudämmen und die Auswirkungen zu minimieren. Der Plan ermöglichte es dem Unternehmen aber auch, die Geschichte darzustellen und zu dokumentieren, sodass bei einer Übernahme ein positiver Diskussionspunkt entstand. So wurden nach dem Vorfall eine Reihe von Kundenbriefings durchgeführt, um die Kunden des Geschäftsreiseunternehmens einzubinden. Das Unternehmen wurde während des gesamten Prozesses von der Bewertung über die Schadensminimierung bis hin zum Risikotransfer bzw. der Beseitigung des Cybervorfalls positiv bewertet.

Das Cyber Loop-Modell von Aon für nachhaltige Cyberresilienz zielt darauf ab, Erkenntnisse für eine verbesserte zukünftige Entscheidungsfindung zu quantifizieren. Durch die Entwicklung relevanter quantifizierter Risikoszenarien und die Bewertung der Wirksamkeit von Kontrollen anhand dieser Verlustmodelle können Unternehmen schnell entscheiden, wie sie ihr Budget am besten einsetzen, um die Widerstandsfähigkeit zu maximieren.

„Der Aufbau einer Cyberresilienz-Strategie, die sich auf das Management der wichtigsten Risiken für den Shareholder-Value konzentriert, ist nicht nur ein gutes Risikomanagement, sondern demonstriert potenziellen Übernehmern, Aufsichtsbehörden und beteiligten Finanzmarktteilnehmern auch eine solide Führung und Risiko-Governance.“

Ulf Cramer, Head of M&A and Transaction Solutions bei Aon

Das Unternehmen konnte dem potenziellen Käufer die proaktiven Maßnahmen zur Verbesserung der Cybersicherheit, einschließlich der Multi-Faktor-Authentifizierung und regelmäßiger Bewertungen durch Dritte, vor Augen führen. Dies steigerte die Attraktivität des Unternehmens während des M&A-Deals und führte letztlich zu einer höheren Bewertung.

Cyberbereitschaft in Aktion

Cyberverletzungen sind heute keine Frage des „ob“, sondern vielmehr des „wann“. Solche Ereignisse können jedoch ein Katalysator für die Verbesserung der Cybersicherheit und den Aufbau von Widerstandsfähigkeit sein – was langfristig einen Mehrwert darstellt. Unternehmen, die eine Sicherheitsverletzung erlitten haben, erfahren (meist schmerzhaft) aus erster Hand, wo Sicherheitslücken bestehen und wie sie Maßnahmen zum Schutz ihrer Vermögenswerte ergreifen können. Im Gegensatz dazu können Unternehmen, die einfach davon ausgehen, dass sie sicher sind, als nicht markterfahren gelten oder eine falsche Einstellung zum Risikomanagement haben.

Haben Unternehmen den Prozess eines größeren Cybervorfalls durchlaufen, bei dem sie Experten hinzugezogen, das zugrundeliegende Problem gelöst und ihre Cybersicherheit verbessert haben, wird dies durchaus auch als positiv angesehen. Indem sie erkannte Risiken identifizieren und Schritte dokumentieren, um sie in Zukunft zu vermeiden, können die Zielunternehmen Vertrauen bei den Kunden aufbauen und ihren Wert für potenzielle Erwerber auf eine Weise beweisen, die vor dem Auftreten der Bedrohungen nicht möglich gewesen wäre.

M&A Cyber Security Bereitschafts-Checkliste für Unternehmen:

  1. Bewertung
    Stellen Sie sicher, dass ein solider und dokumentierter Prozess existiert, um potenziellen Erwerbern ein gutes Risikomanagement zu demonstrieren: Haben Sie Cyber-Bedrohungen bewertet und festgestellt, wie sich Sicherheitskontrollen direkt auf das Risiko in der Bilanz auswirken?
  2. Risikominderung
    Due-Diligence-Prüfung in den Bereichen Technologie oder Cyber ist ein wichtiger Arbeitsschritt bei jeder M&A-Transaktion: Haben Sie Sicherheitskontrollen auf der Grundlage von Industriestandards eingesetzt, um die finanziellen Auswirkungen von Cyberrisiken zu minimieren?
  3. Risikotransfer
    Schutz vor finanziellen Schwankungen, die sich auf den Unternehmenswert auswirken können, ist eine wichtige Komponente des Risikomanagements bei Fusionen und Übernahmen: Haben Sie angemessene Risikotransferstrategien für Cyber- und Transaktionsrisiken eingeführt, um die Bewertung zu sichern?
  4. Fortführung
    Cybervorfälle können in heiklen Phasen der M&A-Transaktion auftreten: Haben Sie Protokolle zur Überwachung von Bedrohungen und Sicherheit, zur Geschäftskontinuität und zur Reaktion auf Vorfälle eingeführt, um die Wiederaufnahme des Geschäftsbetriebs zu beschleunigen?

Fazit:

Unabhängig von den Erfahrungen des Unternehmens mit Sicherheitsverletzungen sollte die Cybersicherheit bei der Vorbereitung von Fusionen und Übernahmen immer eine Priorität sein. So können Unternehmen ihre proaktiven Sicherheitsmaßnahmen unter Beweis stellen und das Reputationsrisiko durch gute Vorbereitung abfedern. Nachdem sie sich von einem Cybervorfall erholt haben, können sie ihre Attraktivität also steigern und dennoch oder erst recht einen positiven Geschäftsabschluss erzielen.

Lesetipp:

Erfahren Sie mehr über die Auswirkungen auf den Unternehmenswert nach einem ungelösten Cybervorfall im Aon’s 2023 Cyber Resilience Report

Beitrag teilen

Kontakt aufnehmen

Ulf Cramer
Head of M&A and Transaction Solutions DACH
+49 69 29727-1372

Kommentar verfassen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

7 + 10 =