Mergers and Akquisitions: Vier Grundsatzfragen zur Cyber-Sicherheit

Palo Alto Networks Empfehlungen setzen auf Risikominimierung

[datensicherheit.de, 01.05.2016[ IT-Sicherheitsexperten von Palo Alto Networks raten zu einer gründlichen Überprüfung der Sicherheitsarchitektur, -prozesse und -richtlinien bei allen „Mergers and Akquisitions“ (M&A).

IT-Sicherheit ebenso wichtig wie finanzielle Leistungsfähigkeit

„Mergers and Acquisitions“, sprich Fusionen und Firmenübernahmen, seien nichts Ungewöhnliches in der Wirtschaft. Während die „Due Dilligence“, also die „gebotene Sorgfalt“ angelegt werde, wenn es um die Beurteilung der finanziellen Leistungsfähigkeit eines anderen Unternehmens gehe, bestehe in Sachen Cyber-Sicherheit Nachholbedarf, erklärt Thorsten Henning, „Senior Systems Engineering Manager Central & Eastern Europe“ bei Palo Alto Networks.
Es sei an der Zeit, dass Unternehmen das gleiche Maß an Kontrolle bezüglich der IT-Sicherheit eines möglichen Übernahmekandidaten anwendeten.

Angemessene Investitionen in die Cyber-Sicherheit

Es stelle sich die Frage, wo der „Due-Diligence“-Prozess für IT-Sicherheit beginnen sollte. Das an einer Übernahme interessierte Unternehmen müsse sich vom anderen Unternehmen bestätigen lassen, dass in der Vergangenheit dem Wachstum des Unternehmens angemessene Investitionen in die Cyber-Sicherheit getätigt worden seien.

Entscheidend seien dabei folgende Fragen:

• Wurden grundlegende Investitionen nicht nur für erkennungsorientierte Überwachung, sondern auch für proaktive und präventive Maßnahmen zum Schutz der Daten getätigt?
• Gab es Investitionen, um sicherzustellen, dass Personal für Informationssicherheit bereitsteht, um das IT-Risikomanagement zu unterstützen?
• Haben Nicht-IT-Mitarbeiter ein Cyber-Sicherheitstraining absolviert?
• Kann der Käufer das Vertrauen gewinnen, dass das zu übernehmende Unternehmen nicht bereits einen Sicherheitsvorfall erlitten hat?

„Due Diligence“ als Daueraufgabe

Die „Due Diligence“ sollte während des gesamten M&A-Prozesses beibehalten werden, insbesondere vor Veröffentlichung der Übernahmeaktivitäten. Es sei nicht unrealistisch, dass Hacker oder skrupellose Mitarbeiter ein Unternehmensnetzwerk auf der Suche nach Informationen ausspionierten, um ihren eigenen finanziellen Gewinn vor Bekanntgabe der Übernahme zu erzielen.
Die Auswirkungen solcher Aktivitäten könnten erheblich sein. Daher sei es wichtig, dass der Käufer und der Übernahmekandidat dafür sorgten, effektive Sicherheitsmaßnahmen zu implementieren, um Datenlecks durch „undichte Stellen“ im jeweils eigenen Netzwerk zu verhindern.