Wir veröffentlichen regelmäßig neue Blogs zu den neuesten Themen und Trends, wie Sie Ihre Innovationen und Investitionen schützen können.

Vaultinum hält Sie auf dem neuesten Stand der aktuellsten Neuigkeiten und Entwicklungen, wie sie Ihre Innovationen und Investitionen schützen können.

Blog über Softwareschutz und Auditing | Vaultinum

Fusionen und Übernahmen sind ein fruchtbarer Boden für Cyber-Kriminelle, der ihnen sowohl kurz- als auch langfristige Möglichkeiten bietet. 

Kurzfristig sind die Daten in der Übergangsphase des Geschäftsbetriebs anfälliger und einem höheren Angriff-Risiko ausgesetzt.  Mehr als eine von drei von IBM befragten Führungskräften gab an, dass sie von Datenverletzungen betroffen waren, die auf Fusionen und Übernahmen während der Integration zurückgeführt werden können. [2]

Langfristig gesehen bieten Fusionen und Übernahmen eine hervorragende Gelegenheit, in die Netzwerke des fusionierten oder übernommenen Unternehmens einzudringen, häufig unter Einsatz von ‘Advanced Persistent Threats’ (APT; deutsch „fortgeschrittene andauernde Bedrohung“), um sich über einen längeren Zeitraum Zugang zur Umgebung und zu den Informationen des Zielunternehmens zu verschaffen.

Schockierenderweise warten mehr als 50 Prozent der von IBM befragten Unternehmen, bis die Due-Diligence-Prüfung abgeschlossen ist, bevor sie eine technische Bewertung von M&A-Transaktionen vornehmen.[3] Die Cyber-Bedrohungen, denen diese Transaktionen ausgesetzt sind, machen deutlich, wie wichtig es ist, bereits vor der Übernahme eine Software-Due-Diligence-Prüfung durchzuführen, um versteckte Schwachstellen aufzudecken.

Ein Unternehmen kann zwar über modernste Cybersicherheit verfügen, doch wenn es ein anderes Unternehmen mit schwacher Sicherheit oder bestehenden Schwachstellen erwirbt, könnte es für Schäden aus Vorfällen haften, die sich vor der Fusion ereignet haben, wie die Datenschutzverletzung bei der Hotelgruppe Marriott zeigt. 

Obwohl die Datenschutzverletzung erst 2018 entdeckt wurde, wurde sie auf einen Cyberangriff zurückgeführt, der 2014 bei der 2016 übernommenen Hotelgruppe Starwood stattfand [4]. Hätte Marriot vor der Übernahme eine Software-Due-Diligence-Prüfung durchgeführt, hätte diese Schwachstelle entdeckt werden können und/oder es hätten Maßnahmen ergriffen werden können, die mit einer geänderten Bewertung einhergegangen wären.  Außerdem kann die Übernahme eines Unternehmens, das möglicherweise Schwachstellen aufweist, der Integration eines trojanischen Pferdes gleichkommen.

Von Europa über die USA bis hin zur ganzen Welt sind die Datenschutzbestimmungen und die Gesetze zur Offenlegung von Sicherheitsverletzungen sehr unterschiedlich, so dass eine marktübergreifende Due-Diligence-Prüfung für Unternehmen und insbesondere für multinationale Konzerne unerlässlich ist.  Die Hotelgruppe Marriott war Gegenstand zahlreicher Gerichtsverfahren und behördlicher Maßnahmen in mehreren Ländern, wobei Marriott allein im Vereinigten Königreich wegen des Datenschutzverstoßes mit einer Geldstrafe in Höhe von 130 Millionen Dollar rechnen muss [5].  

Die Umsetzung der Datenschutz-Grundverordnung in Europa hat zu einem Anstieg der Schadensmeldungen geführt. Nach Angaben der Anwaltskanzlei Pinsent Manson wurden zwischen März 2019 und Mai 2020 von den europäischen Datenschutzbehörden insgesamt 190 DSGVO-Bußgelder im Wert von fast 500 Millionen US-Dollar verhängt [6]. Zu den bemerkenswert hohen Bußgeldern für Verstöße gehören 57 Millionen US-Dollar für Google in Frankreich und 41 Millionen US-Dollar für H&M in Deutschland [7].

In den USA nimmt die Zahl der Rechtsstreitigkeiten wegen Datenschutzverletzungen zu, da Anwaltskanzleien und Rechtsfinanzierungsunternehmen aktiv versuchen, Sammelklagen einzureichen, was durch jüngste Gerichtsentscheidungen wie das Urteil zum Datenschutzverstoß bei Capital One begünstigt wurde, bei dem ein nach einem Datenschutzverstoß erstellter forensischer Bericht verwendet wurde, um das Unternehmen haftbar zu machen.  Diese Berichte sind für ein geschädigtes Unternehmen hilfreich, ja sogar notwendig, um zu verstehen, was schief gelaufen ist,  und gleichzeitig bedeutet dieses Urteil, dass auch andere, z. B. Kunden oder Nutzer, auf einen solchen Bericht zugreifen können, um Unternehmen für Datenschutzverletzungen haftbar zu machen.

3. Besitz geistigen Eigentums und Skalierbarkeit

Die Bedeutung von Rechten des geistigen Eigentums für die Gesamtbewertung von Unternehmen gewinnt weltweit immer mehr Anerkennung.  Im Jahr 1975 machten immaterielle Vermögenswerte des geistigen Eigentums nur etwa 17 % des Marktwerts der S&P-500-Unternehmen aus, 2015 waren es bereits 87 %, und einer Analyse aus dem Jahr 2019 zufolge erwirtschaften Branchen, die Rechte des geistigen Eigentums intensiv nutzen, rund 45 % des BIP in der EU (6,6 Mio. EUR).[8]

Wenn Sie ein Unternehmen erwerben oder in ein Unternehmen investieren, das Software vertreibt, müssen Sie unbedingt überprüfen, ob das Unternehmen tatsächlich Eigentümer der Software ist.  Software wird in rasantem Tempo erstellt, aber selten ist diese Software zu 100 % Eigentum des Erstellers. Bei kommerzieller Software wird es immer üblicher, Teile von Software-Code aus anderen Programmen zu integrieren.

Die Verwendung von fremdem Code, ob kommerziell oder Open Source, spart zwar Zeit und senkt die Kosten, schafft aber auch potentielle Probleme, die die Freiheit der Vermarktung des Endprodukts einschränken können. Diese Einschränkungen können ein Softwareunternehmen daran hindern, den vollen Nutzen aus seinen eigenen Entwicklungen zu ziehen.  Darüber hinaus kann die missbräuchliche Verwendung von Drittanbieter-Software oder eine zu große Abhängigkeit von dieser das Wachstum eines Unternehmens behindern und sogar sein Überleben gefährden.

Auch wenn das Zielunternehmen keine Software vertreibt, kann es bei der Verwendung von Software, die Drittanbieter-Software integriert, zu ernsthaften Problemen mit der Skalierbarkeit und Wartbarkeit kommen.   Solche Software wird in Form von herunterladbaren Programmen für Maschinen oder Dienste oder als gehosteter Dienst bereitgestellt und wird in der Regel an Unternehmen lizenziert und nicht verkauft. Mit anderen Worten: Die Unternehmen sind auf Software angewiesen, die sie nicht besitzen, sondern mieten. 

Dies hat mehrere Auswirkungen, die die Vorteile der Nutzung der Software zunichte machen können. 

1) Dies bedeutet, dass für die Nutzung und den Einsatz der Software Beschränkungen gelten. 

2) Es erzeugt Abhängigkeiten zwischen dem Unternehmen und seinem Softwareanbieter und wirft die Frage auf, was passiert, wenn der Anbieter in Konkurs geht oder die Software einstellt.

3) Es erzeugt Sicherheitsrisiken.  Der fehlende Zugriff auf den Quellcode oder die fehlende Möglichkeit, ihn auf Fehler oder Probleme zu überprüfen, stellt ein inhärentes Risiko für den Betrieb des Unternehmens dar, welches die Software einsetzt.

Die Technologie oder Software eines Unternehmens besteht ebenso wie Finanzunterlagen oder juristische Verträge aus verschiedenen Komponenten, die einzeln und in ihrer Gesamtheit betrachtet ihre Robustheit gegenüber einer Vielzahl von Risiken zeigen werden. 

Da sich immer mehr Unternehmen auf Software verlassen, sei es für den Betrieb oder als Endprodukt, reicht es für einen potentiellen Investor nicht aus, die rechtlichen, finanziellen und strategischen Überlegungen zu analysieren.  Die technologische Due Diligence ist eine systematische Methode zur Bewertung und Abschwächung technischer Risiken aus der Geschäfts- oder Investitionsperspektive. 

Ein umfassender Tech-Due-Diligence-Bericht sollte Einblicke in die Stärken eines Unternehmens, umsetzbare Empfehlungen für Verbesserungen und Anleitungen zur Bewältigung allgemeiner Risiken bieten.

Ob es darum geht, den Verkauf eines Unternehmens vorzubereiten, Investitionen zu tätigen, neue Kunden zu gewinnen oder die betrieblichen Strukturen zu verbessern - das Ziel der Know-Your-Software-Lösungsreihe ist es, Unternehmen und Investoren die Werkzeuge an die Hand zu geben, mit denen sie kritisches Wissen über die Technologie eines Unternehmens erlangen, Risiken mindern und das Wachstum erleichtern können.

Die Know Your Software-Lösung von Vaultinum ist ein mehrgleisiger Ansatz für Software-Audits.  Auf einer Ebene bewerten die Online-Selbsteinschätzung-Fragebögen von Know-Your-Software die Verwaltung, den Betrieb und die Nutzung von Software und decken potentielle Probleme in Bezug auf geistiges Eigentum, Cybersicherheit, Skalierbarkeit und Wartbarkeit auf.  Auf der nächsten Stufe überprüft Know-Your-Software den Quellcode auf gängige Bedrohungen und Schwachstellen. 

Zusammengenommen liefert Know-Your-Software ein vollständiges Bild der Software und der Technologie-Managementprozesse des Unternehmens.

[1] Institute for Mergers, Acquisitions and Alliances (IMAA), https://imaa-institute.org/m-and-a-by-industries/

[2] Benchmark Insights (2020) Assessing cyber risk in M&A. IBM Corporation.

[4] Brewster, T. “Revealed: Marriott's 500 Million Hack Came After A String Of Security Breaches”. Forbes, 3 Dec. 2018, https://www.forbes.com/sites/thomasbrewster/2018/12/03/revealed-marriotts-500-million-hack-came-after-a-string-of-security-breaches/

[5] Dobie, G., Whitehead, J. (2020). Managing the impact of increasing interconnectivity: Trends in Cyber Risk. Allianz Global Corporate & Specialty.

[6] Dobie, G., Whitehead, J. (2020). Managing the impact of increasing interconnectivity: Trends in Cyber Risk. Allianz Global Corporate & Specialty.

[8] International Chamber of Commerce (ICC). “The ICC Intellectual Property Roadmap”, 14th edition, 2020.

Philippe ist der CEO von Vaultinum. Als Experte für neue Technologien und Hochfinanz und nach 20 Jahren in der internationalen Fintech-Branche leitet Philippe nun Vaultinum.

Philippe Thomas

Nach Angaben des ‘Institute for Mergers, Acquisitions and Alliances (IMAA)’ rangieren Fusionen und Übernahmen im Hightech-Bereich seit 1985 an zweiter Stelle der gesamten Fusionen und Übernahmen mit einem Gesamtwert von fast 5 Billionen USD. [i] Der kontinuierliche Anstieg der Investitionen und Übernahmen von Hightech-Unternehmen hat die mit diesen Geschäften verbundenen Risiken und die Notwendigkeit, die Due-Diligence-Vorgänge um umfassende, automatisierte Software-Audits zu erweitern, in den Fokus gerückt. 

Dieser Artikel wirft einen Blick auf die drei größten Risiken, die potentielle Investoren und Übernehmer bei diesen Geschäften beachten müssen, und zeigt auf, wie sie diese Risiken mindern können.

Erfahren Sie mehr über Die 3 größten Risiken bei Fusions- und Übernahmegeschäften im High-Tech-Sektor

Die 3 Grössten Risiken Bei M&A-Transaktionen Im Tech-Bereich

Die 3 Grössten Risiken Bei M&A-Transaktionen Im High-Tech-Bereich

Digitale Technologien - von künstlicher Intelligenz und dem Internet der Dinge (IoT) bis hin zu Datenverfügbarkeit und Blockchain - entwickeln sich weiterhin in rasantem Tempo.  Um nicht überholt zu werden, entwickeln sich die Cyberrisiken noch schneller.  Die weltweiten Kosten der Cyberkriminalität beliefen sich im Jahr 2020 auf 945 Milliarden US-Dollar, fast doppelt so viel wie im Jahr 2016.[1] Laut der Forschungsorganisation Cybersecurity Ventures werden die weltweiten Kosten voraussichtlich jährlich um 15 % steigen und bis 2025 10,5 Billionen US-Dollar erreichen.[2]

Unternehmen müssen sich auf die neuen Herausforderungen vorbereiten, die durch die sich entwickelnden Ziele, Techniken und Auswirkungen der Cyberkriminalität entstehen. Dieser Artikel befasst sich mit den wachsenden Risiken im Zusammenhang mit: der Zunahme von Ransomware-Vorfällen, der Aussicht auf störendere und teurere Geschäftsunterbrechungen, den Folgen strengerer Vorschriften und Prozessrisiken, dem allgegenwärtigen Diebstahl geistigen Eigentums sowie neuen Hindernissen für erfolgreiche Fusionen und Übernahmen.

Das Ausmaß und der Umfang von Ransomware-Angriffen nehmen in einem noch nie dagewesenen Tempo zu.  Dies ist auf eine Kombination von Faktoren zurückzuführen, die Ransomware noch profitabler gemacht haben, darunter die rasante Zunahme der Digitalisierung, die zunehmende Verwendung von Kryptowährungen, verstärkte geopolitische Spannungen, das durch die Pandemie geschaffene außergewöhnliche Umfeld und verbesserte Systeme. 

Ransomware ist eine Malware, die Computergeräte infiziert und den Zugang zu ganzen Computernetzwerken sperren kann, wodurch ein Unternehmen effektiv als Geisel gehalten wird, bis ein Lösegeld (ransom) gezahlt wird. 

Die Malware infiltriert die Server eines Systems häufig über eine harmlose E-Mail ("Phishing"), die an einen Mitarbeiter des Zielunternehmens geschickt wird. Die menschliche Ebene ist oft das schwächste Glied in der Cyberabwehr und daher ein ideales Ziel für Cyberkriminelle.  Es wird geschätzt, dass zwischen 50 und 90 % der Datenschutzverletzungen von Mitarbeitern verursacht oder unterstützt werden[3]. 

Mit der zunehmenden Verbreitung von Ransomware steigt auch der Preis für das Lösegeld.  Das durchschnittliche Lösegeld, das von Unternehmen in Europa, den USA und Kanada gezahlt wird, hat sich innerhalb eines Jahres von 115.123 US-Dollar auf 312.493 US-Dollar fast verdreifacht.[4] Dieser Anstieg ist zum Teil auf neue Taktiken der Cyber-Hacker zurückzuführen, die die Entführung von Daten mit der Drohung kombinieren, die Daten auf öffentlichen Websites zu veröffentlichen - eine doppelte Bedrohung, die den Unternehmen wenig bis gar keine andere Wahl lässt, als das Lösegeld zu zahlen.[5]

Dies ist zum Teil auch darauf zurückzuführen, dass sich die Ziele verlagern. Cyberkriminelle haben es nicht mehr nur auf einzelne Computer abgesehen, sondern zielen auf öffentliche und private Organisationen unterschiedlicher Größe ab, wodurch sowohl die Höhe des geforderten Lösegelds als auch die Wahrscheinlichkeit einer erfolgreichen Zahlung steigt[6].

Es wird prognostiziert, dass die Bedrohung durch einen Ransomware-Angriff mit der zunehmenden Nutzung des "Franchise"-Modells durch Cyberkriminelle nur noch schlimmer wird, bei dem Malware im Darknet an so genannte Partner in einem Ransomware-as-a-Service-Schema vermietet wird, wobei die Vermieter eine Lizenzgebühr erhalten, wodurch ausgefeilte Ransomware immer weiter verbreitet und profitabel wird.[7]

Unabhängig davon, ob ein Cybervorfall zu einer Lösegeldzahlung führt oder nicht, übersteigen die mit einer daraus resultierenden Betriebsunterbrechung verbundenen Kosten den geforderten Betrag bei weitem.  Tatsächlich können diese Kosten fünf- bis 100-mal höher sein als die Kosten des Lösegelds selbst, was Unternehmen oft dazu veranlasst, das Lösegeld zu zahlen, nur um die Kosten der Unterbrechung zu vermeiden.[8]

Eine Betriebsunterbrechung ist der Einkommensverlust, der entsteht, wenn eine Ressource nicht genutzt oder eine Dienstleistung nicht erbracht werden kann, was zu Umsatzeinbußen, verminderter Effizienz, erhöhten Ausgaben im Zusammenhang mit dem Cybervorfall (Wiederherstellung von IT-Systemen, Schadensersatzzahlungen an Kunden usw.) und Reputationsschäden führt. 

Während größere Unternehmen in der Regel besser in der Lage sind, die durch eine Betriebsunterbrechung verursachten Verluste zu verkraften, sind es die kleinen und mittleren Unternehmen (KMU), die unverhältnismäßig stark betroffen sind, wenn sie Opfer eines Cyberangriffs werden. 

Schätzungen zufolge zielen 45 % der Online-Angriffe auf KMUs ab.[9] Im Gegensatz zu größeren Unternehmen verfügen KMUs nur über begrenzte oder sogar gar keine Cyberabwehr oder -hygiene.  Für Unternehmen aller Größenordnungen belaufen sich die durchschnittlichen Kosten einer Unterbrechung auf etwa 200.000 US-Dollar; für KMUs können diese Kosten unüberwindbar sein, denn 60 % der KMUs müssen nach einem Angriff ihre Geschäftstätigkeit aufgeben [10].

Was die Zahlung eines Lösegelds zur Vermeidung von Betriebsunterbrechungen betrifft, so garantiert die Zahlung keine vollständige Wiederherstellung und beseitigt sicherlich nicht alle Kosten für Betriebsunterbrechungen, die damit zusammenhängen sicherzustellen, dass jeder Rechner frei von Infektionen ist. Außerdem garantiert die Zahlung des Lösegelds nicht, dass die Daten eines Unternehmens vollständig wiederhergestellt werden.  Das Cybersicherheitsunternehmen Sophos fand heraus, dass Lösegeldzahler im Durchschnitt nur 65 % der verschlüsselten Daten zurückerhielten, wobei mehr als ein Drittel der Daten unzugänglich blieb.[11] Und selbst wenn die Daten zurückgegeben werden, gibt es keine Garantie, dass sie nicht für die künftige Verwendung, den Verkauf und/oder Erpressung kopiert wurden.

Während sich viele Unternehmen auf Betriebsunterbrechungs- und Sachversicherungen verlassen, um die Kosten von Cybervorfällen auszugleichen, verlassen sich die Versicherungsunternehmen zunehmend auf die Klauseln zur "Kriegshandlung", um sich vor Auszahlungen zu schützen.  Der viel beachtete NotPetya-Ransomware-Angriff und die daraus resultierende Klage gegen die Zurich American Insurance wegen der Verweigerung der Deckung unter ihrer Ausschlussklausel für "Kriegshandlungen" zeigt, dass eine Cyberversicherung nicht als Ersatz für Cybersicherheit angesehen werden kann.[12]

Neben den Risiken im Zusammenhang mit Betriebsunterbrechungen und Lösegeldzahlungen sehen sich Unternehmen auch mit einer zunehmenden potenziellen Haftung konfrontiert, wenn festgestellt wird, dass sie die in den Ländern, in denen sie tätig sind, geltenden Gesetze und Vorschriften nicht eingehalten haben, oder wenn sie fahrlässig gehandelt haben, indem sie nicht die gebotene Sorgfalt walten ließen, um Cyberrisiken zu begrenzen. 

In Europa sieht die Allgemeine Datenschutzverordnung (DSGVO) Geldstrafen für Unternehmen vor, wenn sie die Datenschutzrichtlinien oder die Meldevorschriften für Datenschutzverletzungen nicht einhalten.  Bei Verstößen gegen die Verordnung drohen Unternehmen Geldstrafen in Höhe von bis zu 4 % ihres weltweiten Jahresumsatzes oder 20 Millionen Euro, je nachdem, welcher Betrag höher ist[13]. 

Die Umsetzung der Datenschutz-Grundverordnung hat bereits zu einem Anstieg der Schadensmeldungen geführt. Nach Angaben der Anwaltskanzlei Pinsent Manson wurden zwischen März 2019 und Mai 2020 von den europäischen Datenschutzbehörden insgesamt 190 DSGVO-Bußgelder im Wert von fast 500 Millionen US-Dollar verhängt.[14] Zu den bemerkenswert hohen Bußgeldern für Verstöße gehören 57 Millionen US-Dollar für Google in Frankreich und 41 Millionen US-Dollar für H&M in Deutschland.[15]

Von Europa über die USA bis hin zur ganzen Welt gibt es große Unterschiede bei den Datenschutzbestimmungen und den Gesetzen zur Offenlegung von Datenschutzverletzungen, so dass eine rechtliche Due-Diligence-Prüfung für Unternehmen, insbesondere für multinationale Konzerne, in allen Märkten unerlässlich ist.  Die Hotelgruppe Marriott und die Kreditauskunftei Equifax erlitten 2018 bzw. 2017 öffentlichkeitswirksame Datenschutzverletzungen und waren Gegenstand zahlreicher Gerichtsverfahren und behördlicher Maßnahmen in verschiedenen Rechtsordnungen, wobei Marriott allein im Vereinigten Königreich eine Geldstrafe in Höhe von 130 Millionen US-Dollar für die Datenschutzverletzung zahlen muss.[16]  

In Anbetracht der Häufigkeit von Datenschutzverletzungen werden diese von den Unternehmen mehr und mehr als weitere Kosten der Geschäftstätigkeit betrachtet.  Dies gilt jedoch ganz und gar nicht für den Datendiebstahl im Zusammenhang mit geistigem Eigentum (IP), der als eine der größten Bedrohungen für Unternehmen angesehen wird. 

Den Diebstahl von geistigem Eigentum gibt es zwar schon so lange wie das geistige Eigentum selbst, aber die jüngsten Entwicklungen im Bereich der Cyberspionage und des Diebstahls sollten die Unternehmen beunruhigen.

Cyber-Hacker setzen zunehmend auf Advanced Persistent Threats (APTs), bei denen der Zugriff auf ein System über einen längeren Zeitraum unentdeckt bleiben kann, und die zum Ziel haben, Daten zu stehlen oder in ein Netzwerk einzudringen.  APT-Angriffe zielen häufig darauf ab, sensibles geistiges Eigentum oder Daten zu stehlen, um daraus politische oder wirtschaftliche Vorteile zu ziehen[17].

In den ersten Monaten der Pandemie griffen Hacker die Weltgesundheitsorganisation an, indem sie mit der als "Dark Hotel" bekannten APT in ihre Netzwerke eindrangen, um sensible Informationen bezüglich Covid-19 zu stehlen.[18] Die Gesundheitsbranche und in jüngerer Zeit auch die Impfstoffforschung sind besonders gefährdet, da ihr geistiges Eigentum einen hohen Wert hat.

In einigen Fällen soll der Diebstahl von geistigem Eigentum jedoch dazu dienen, einen Wettbewerbsvorteil zu erlangen, neue Technologien und Geschäftsgeheimnisse zu entwenden und den Verlust von Hunderte Millionen Dollar an FuE-Investitionen zu verursachen.  Dies war der Fall beim Chiphersteller AMD, wo Angreifer den Quellcode der Xbox Series X-Grafikkarten gestohlen und weitergegeben haben.

In allen Fällen können die Auswirkungen des Diebstahls von geistigem Eigentum durch Cyberangriffe auf die Einnahmeströme zu einer Verringerung der FuE-Anstrengungen und einem Anstieg der Kapitalkosten führen, wenn das geistige Eigentum von den Investoren als nicht ausreichend geschützt angesehen wird[19]. 

Fusionen und Übernahmen (M&A) sind ein fruchtbarer Boden für Cyber-Kriminelle und bieten ihnen sowohl kurz- als auch langfristige Möglichkeiten. 

Kurzfristig sind die Daten durch die Umstellung der Geschäftsabläufe anfälliger und das Risiko, dass sie angegriffen werden, ist größer.  Langfristig bieten Fusionen und Übernahmen eine hervorragende Gelegenheit, in die Netzwerke des fusionierten oder übernommenen Unternehmens einzudringen, oft unter Einsatz von APTs, um sich über einen längeren Zeitraum Zugang zur Umgebung und zu den Informationen des Zielunternehmens zu verschaffen.

Die Bedrohungen, mit denen Fusionen und Übernahmen konfrontiert sind, machen deutlich, wie wichtig es ist, bereits in der Phase vor der Akquisition eine Cyber-Due-Diligence-Prüfung durchzuführen.  In der Tat warten mehr als 50 Prozent der von IBM befragten Unternehmen, bis die Due-Diligence-Prüfung abgeschlossen ist, bevor sie eine Bewertung der Cybersicherheit von M&A-Transaktionen durchführen.[20] 

Auch wenn ein Unternehmen über modernste Cybersicherheit verfügt, kann es, wenn es ein Unternehmen mit schwachen Sicherheitsvorkehrungen oder bestehenden Schwachstellen erwirbt, für Schäden aus Vorfällen haftbar gemacht werden, die vor dem Zusammenschluss aufgetreten sind, wie die Datenpanne bei der Hotelgruppe Marriott gezeigt hat. 2018 wurde die Datenpanne entdeckt, aber auf einen Cyberangriff zurückgeführt, der 2014 bei der 2016 übernommenen Hotelgruppe Starwood stattfand. Hätte Marriot vor der Übernahme eine Cyber-Due-Diligence-Prüfung durchgeführt, hätte diese Schwachstelle entdeckt werden können und/oder es hätten Maßnahmen ergriffen werden können, die mit einer geänderten Bewertung einhergegangen wären.Darüber hinaus kann die Übernahme eines Unternehmens, das möglicherweise Schwachstellen aufweist, der Integration eines trojanischen Pferdes gleichkommen

AUFBAU VON CYBER-RESILIENZ: KNOW YOUR SOFTWARE (Kennen Sie Ihre Software)

Trotz dieser Herausforderungen und der Tatsache, dass es eher eine Frage des Wann als des Ob ist, Opfer von Internetkriminalität zu werden, verfügen die meisten Unternehmen nicht über einen Plan zur Verhinderun von und Reaktion auf Sicherheitsverletzungen im Internet[22]. 

 Anteil der Unternehmen, die einen Plan zur Prävention und Reaktion auf IT-Sicherheitsvorfälle haben.

Abbildung 1. Anteil der Unternehmen, die über einen Plan zur Vorbeugung und Reaktion auf IT-Sicherheitsvorfälle verfügen. Quelle:  McAfee, "Die versteckten Kosten der Internetkriminalität"

Die Bedeutung eines soliden Programms für Cybe-Risiko-Management darf nicht unterschätzt werden. Jeden Tag werden neue technische und sicherheitsrelevante Verstöße entdeckt. Jede geschäftliche Veränderung kann unbeabsichtigte Schwachstellen schaffen.  Jeder neue Mitarbeiter, Berater oder Auftragnehmer stellt ein neues Risiko dar, das es zu bewältigen gilt. Ein Hacker muss nur einmal erfolgreich sein, während die Sicherheitsmaßnahmen eines Unternehmens zu  jeder Zeit100 % erfolgreich sein müssen - in einer sich ständig verändernden Bedrohungslandschaft.  Die regelmäßige Durchführung von Cybersicherheits-Audits, die Auswertung der Audit-Ergebnisse und die Erforschung und Umsetzung von Verbesserungen stellen daher einen wesentlichen und nie endenden Prozess dar, der von allen Organisationen übernommen werden sollte, die Cyberrisiken ernst nehmen. 

Vaultinum, ein in der Schweiz ansässiges Unternehmen für digitale Lösungen, hat ein intelligentes Audit-Tool entwickelt, welches Unternehmen in die Lage versetzt, ihre eigene Due Diligence im Bereich der Cybersicherheit zu erfüllen, indem es das Sicherheitsrisikomanagementprogramm eines Unternehmens, die Datenschutzverfahren, die Sicherheitszertifizierungen sowie die Schutzmaßnahmen für Büros, Geräte und Infrastrukturen überprüft.  Bei der Know-Your-Software-Lösung handelt es sich um einen Fragebogen zur Selbstbewertung, der von führenden Experten für Cybersicherheit mit dem Ziel entwickelt wurde, Unternehmen dabei zu helfen, ihr Bewusstsein für Cybersicherheit zu verbessern, Risiken zu mindern und empfohlene Richtlinien und Verfahren auf der Grundlage von Industriestandards einzuführen, um das Auftreten von Cybervorfällen zu verhindern und die Widerstandsfähigkeit im Falle eines Vorfalls zu erhöhen.

[1] Smith, Z.M., Lostra, E., Lewis, J.A. (2020). The Hidden Costs of Cybercrime. McAfee.

[2] Morgan, Steve. “Cybercrime To Cost The World $10.5 Trillion Annually By 2025”. Cybercrime Magazine, 13 Nov. 2020

[3] Dobie, G., Whitehead, J. (2020). Managing the impact of increasing interconnectivity: Trends in Cyber Risk. Allianz Global Corporate & Specialty.

[4] Sroxton, Alex. “Average ransomware cost triples, says report”. Computer Weekly.com, 17 Mar. 2021

[5] Singleton, C. (2021). X Force Threat Intelligence Index 2021. IBM Corporation.

[6] (2020). Internet Organized Crime Threat Assessment 2020. Europol. 

[7] Morgan, Steve. “Cybercrime To Cost The World $10.5 Trillion Annually By 2025”. Cybercrime Magazine, 13 Nov. 2020

[8] Riley, Tonya. “The Cybersecurity 202: Global losses from cybercrime skyrocketed to nearly $1 trillion in 2020, new report finds”. Washington Post, 7 Dec. 2020

[9] Steinberg, Scott. “Cyberattacks now cost companies $200,000 on average, putting many out of business”. CNBC, 13 Oct. 2019

[10] Steinberg, Scott. “Cyberattacks now cost companies $200,000 on average, putting many out of business”. CNBC, 13 Oct. 2019 

[11] Bajak, Frank. “Ransomware gets paid off as officials struggle for fix”. Associated Press, 22 June 2021 

[12] Garrie, Daniel; Rosen, Peter. “'Act Of War' Questions In Cyberattack Insurance Case”. Law 360, 23 April 2019

[13] EU General Data Protection Regulation (GDPR): Article 83, Section 6. 

[14] Dobie, G., Whitehead, J. (2020). Managing the impact of increasing interconnectivity: Trends in Cyber Risk. Allianz Global Corporate & Specialty.

[16] Dobie, G., Whitehead, J. (2020). Managing the impact of increasing interconnectivity: Trends in Cyber Risk. Allianz Global Corporate & Specialty.

[17] Adam, M. “Cyber Risk in a new era: insurers can be part of the solution”. S&P Global Ratings, 2 Sep 2020

[18] Seals, T. “Hackers amp up Covid-19 IP Theft Attacks”. Threat Post, 28 Dec 2020 

[19] Smith, Z.M., Lostra, E., Lewis, J.A. (2020). The Hidden Costs of Cybercrime. Center for Strategic and International Studies.

[21] Brewster, T. “Revealed: Marriott's 500 Million Hack Came After A String Of Security Breaches”. Forbes, 3 Dec. 2018

[22] Smith, Z.M., Lostra, E., Lewis, J.A. (2020). The Hidden Costs of Cybercrime. McAfee.

Kristin ist Juristin bei Vaultinum. Sie hat in der Hightech-Branche gearbeitet und internationale Erfahrung im Bereich des geistigen Eigentumsrechts gesammelt.

Kristin A.

Obwohl die Folgen von Cyber-Risiken weltweit immer deutlicher erkannt werden, haben viele Organisationen nicht die notwendigen Schritte unternommen, um ihre Cybersicherheitsstrategien angesichts dieser neuen Bedrohungen zu entwickeln und anzupassen.

Erfahren Sie mehr über die Bedeutung von Audits der Cybersicherheit zum Schutz Ihres Unternehmens

Globale Trends bei Cyberrisiken | Vaultinum

Während wir uns immer weiter von der traditionellen, stationären Wirtschaft entfernen und uns der virtuellen Realität annähern, sehen sich Unternehmen mit neuen und aufkommenden Bedrohungen konfrontiert, wie z. B. Softwarefehler, Datenschutzverletzungen, Streitigkeiten über den Schutz der Privatsphäre, Fragen des geistigen Eigentums an Open-Source-Software, Cyber-Bedrohungen, Nachhaltigkeit und viele mehr. In dieser neuen digitalen Landschaft kommt der Sicherheit und dem Schutz digitaler Werte eine ganz neue Bedeutung zu. Daher ist es für Sie als Investor oder potentieller Käufer wichtiger denn je zu wissen, dass das Unternehmen, an dem Sie interessiert sind, nach den besten Praktiken arbeitet und die richtigen Grundlagen für ein solides Wachstum geschaffen hat.

Wir haben in diesem Artikel die 4 Hauptbereiche - geistiges Eigentum, Software von Dritten, technologische Leistung und Cybersicherheit - und die wichtigsten Fragen, die bei der Due-Diligence-Prüfung von Technologien zu stellen sind, umrissen.

Die Verwaltung von geistigem Eigentum ist eine entscheidende Komponente für das Wachstum und den Erfolg eines Unternehmens. Darüber hinaus gewinnnen die Rechte an geistigem Eigentum für die Gesamtbewertung von Unternehmen weltweit immer mehr an Bedeutung. Immaterielle Vermögenswerte des geistigen Eigentums machten 1975 nur etwa 17 % des Marktwerts der S&P-500-Unternehmen aus, 2015 waren es bereits 87 %, und einer Analyse für 2019 zufolge erwirtschaften Branchen, die geistiges Eigentumsrecht intensiv nutzen, rund 45 % des BIP in der EU (6,6 Billion EUR).

Hat das Zielunternehmen die Rechte des geistigen Eigentums an seinem Software-Quellcode geschützt, indem es den Quellcode bei einer vertrauenswürdigen dritten Partei oder einem Urheberrechtsamt hinterlegt hat?
Software ist ebenso wie Kunstwerke oder Literatur durch das Urheberrecht geschützt.  Um dieses Recht geltend zu machen, müssen der Quellcode und alle Aktualisierungen bei einer vertrauenswürdigen dritten Partei oder einem Urheberrechtsamt hinterlegt werden.  Eine Hinterlegung ist der Beweis für das Eigentum an dem Quellcode zu einem bestimmten Zeitpunkt.


Gibt es Vereinbarungen zur Übertragung von geistigem Eigentum mit allen Beratern und Mitarbeitern, die an der Entwicklung der Software gearbeitet haben oder arbeiten?
In einigen Ländern kann die Übertragung von geistigem Eigentum in Arbeitgeber-Arbeitnehmer-Beziehungen automatisch erfolgen, aber das ist nicht immer der Fall und schon gar nicht in Bezug auf Berater. Dies birgt ein potentielles Prozessrisiko und kann wiederum finanzielle und rufschädigende Auswirkungen auf das Unternehmen haben.


Besitzt das Unternehmen alle erforderlichen Rechte, um seine aktuellen und geplanten Produkte herzustellen, zu verwenden, zu verkaufen oder zum Verkauf anzubieten?
Die Verwendung von risikoreichen Lizenzen Dritter (Copyleft, urheberrechtlich geschützt oder proprietär) und das Fehlen eines effektiven IP-Management-Prozesses, der diese Lizenzen und andere IP-Rechte identifiziert und verwaltet, schafft potentielle Probleme, die die Freiheit für Vermarktung des Endprodukts einschränken können.


Unternehmen verlassen sich immer mehr auf die Software von Drittanbietern, um ihren Betrieb zu führen und/oder ihr Softwareprodukt zu entwickeln. Software von Drittanbietern kann als Open-Source-Software oder in kommerzieller Form lizenziert sein, und in beiden Fällen gibt es in der Regel Lizenzen, die ihre Verwendung bedingen. Die missbräuchliche Verwendung von Drittanbietersoftware oder eine zu große Abhängigkeit von dieser kann das Wachstum eines Unternehmens behindern und sogar sein Überleben gefährden.

Wichtige Fragen, die bei Software von Drittanbietern zu beachten sind

Wurden Escrow-Vereinbarungen getroffen, die den Zugriff auf den Quellcode der Software, die sie für ihren Betrieb benötigen, ermöglichen, z. B. im Falle eines Lieferantenausfalls oder -konkurses (oder eines Serverausfalls, wenn die Software im SaaS-Modus läuft)? 
Abhängigkeiten von Dirttanieter-Software bedeuten, dass das Unternehmen dem Risiko ausgesetzt ist, dass diese Software veraltet, nicht gewartet, nicht unterstützt oder sogar außer Betrieb genommen wird.  Eine Escrow-Vereinbarung ist unerlässlich, um den Betrieb aufrechtzuerhalten und die Verpflichtungen des Kunden zu erfüllen.


 Ist das Unternehmen in der Lage, die gesamte Open-Source-Software zu identifizieren, die im Endprodukt verwendet wird?
Die Integration von Open-Source-Software in das Endprodukt kann die Fähigkeit des Unternehmens einschränken, das Produkt zu vermarkten und in vollem Umfang zu nutzen, aufgrund von nicht eingehaltenen Lizenzbedingungen oder Verletzungen der Rechte an geistigem Eigentum.


Verfügt das Unternehmen über ein Verfahren zur Prüfung, ob es regelmäßige Updates für die von ihm verwendete Open-Source-Software gibt?
Durch Updates können Schwachstellen behoben werden, so dass die Software weiterhin erwartungsgemäß funktioniert und das Risiko für die Endnutzer begrenzt wird. Eine unterlassene Aktualisierung kann je nach Lizenz auch die Nutzung des Softwareprodukts durch ein Unternehmen einschränken.


ENTDECKEN SIE DIE TECH-DUE-DILIGENCE-LÖSUNGEN VON VAULTINUM

Software wird zwar immer mehr zum Rückgrat vieler Unternehmen, doch eine erschreckend große Zahl von Softwareprojekten erfüllt immer noch nicht die Erwartungen des Unternehmens in Bezug auf Leistung, Skalierbarkeit, Wartbarkeit, Kosten oder Liefertermin.  Dabei spielen mehrere Faktoren eine Rolle, die sich in unterschiedlichem Maße auf die erfolgreiche Bereitstellung, Leistung und den Ruf des Softwareprodukts auswirken.

Wichtige Fragen zur technologischen Leistung:

Wurde von den Entwicklern, die an den ersten Phasen der Produktentwicklung beteiligt waren, ein angemessener Wissenstransfer durchgeführt? 
Das Management des Wissenstransfers muss während des gesamten Lebenszyklus der Softwareentwicklung und -nutzung erfolgen.  Fehlender Zugang zu den anfänglichen Entwicklungsstadien kann sich negativ auf die Wartbarkeit und Skalierbarkeit des Endprodukts auswirken.


Ist die technologische Infrastruktur derzeit in der Lage, im Falle eines raschen Wachstums des Kundenstamms ohne weitere Entwicklung zu skalieren?
Wenn die technologische Infrastruktur bei schnellem Wachstum nicht skalierbar ist, kann es zu kritischen Systemausfällen oder Funktionsproblemen kommen, die zu finanziellen Verlusten und Rufschädigung führen.


Gibt es organisatorische Aspekte des Entwicklungsteams, die sich direkt auf die Fähigkeit auswirken, erfolgreich zu arbeiten?
Ein gut organisiertes, reibungslos funktionierendes Entwicklungsteam ist entscheidend für den Erfolg des Produkts.  Einige Schlüsselelemente, die es zu beachten gilt, sind der Standort und die Verteilung des Teams (nicht über zu viele Zeitzonen oder Büros verstreut) und die regelmäßige Berichterstattung an das Management (um sicherzustellen, dass die Strategien aufeinander abgestimmt sind).

Die weltweiten Kosten der Cyberkriminalität beliefen sich im Jahr 2020 auf 945 Milliarden Dollar, und es wird erwartet, dass sie jährlich um 15 % steigen und bis 2025 10,5 Billionen Dollar erreichen werden. Jeden Tag werden neue technische und sicherheitsrelevante Lücken entdeckt.  Jede geschäftliche Veränderung kann zu unbeabsichtigten Schwachstellen führen.  Jeder neue Mitarbeiter, Berater oder Auftragnehmer stellt ein neues Risiko dar, das es zu bewältigen gilt. Ein Hacker muss nur einmal erfolgreich sein, während die Sicherheitsmaßnahmen eines Unternehmens zu 100 % der Zeit erfolgreich sein müssen - in einer sich ständig verändernden Bedrohungslandschaft.  Daher darf die Bedeutung eines soliden Cyber-Risikomanagementprogramms nicht unterschätzt werden. 

Werden Kundendaten in einer Offshore-Umgebung (in einem anderen Land als dem, in dem sie die Kundendaten erhalten) gespeichert, per Zugriff abgerufen oder über die Offshore-Umgebung übertragen?
Die Datenschutzbestimmungen und die Gesetze zur Offenlegung von Datenschutzverletzungen sind weltweit sehr unterschiedlich, so dass es für Unternehmen, insbesondere für multinationale Unternehmen, von größter Bedeutung ist, die erforderliche rechtliche Due-Diligence-Prüfung in allen Märkten durchzuführen, um die Einhaltung der Vorschriften zu gewährleisten. Außerdem ist die internationale Kommunikation nicht unbedingt sicher und birgt größere Risiken.


Setzt das Unternehmen zum Schutz der Daten Verschlüsselung ein?    
Durch die Verschlüsselung werden Daten unbrauchbar und unleserlich für jeden, der nicht im Besitz des Entschlüsselungscodes ist. Durch die Verschlüsselung wird sichergestellt, dass die Daten selbst im Falle einer Verletzung des Datenschutzes und eines anschließenden Diebstahls oder Kopierens nur in sehr geringem Maße nutzbar sind.  Es ist sehr schwierig, die Verschlüsselung zu knacken, was sie zu einer der besten Sicherheitsmaßnahmen zum Schutz von Daten macht.


Gibt es vollständige Aufzeichnungen über alle Geräte des Unternehmens, einschließlich Computer, Tablets, Handys, Laptops usw., die aufbewahrt und gepflegt werden? 
Eine ordnungsgemäße Dokumentation ermöglicht es einer Organisation, den Überblick über alle Unternehmensgeräte zu behalten.  Dies ist eine wichtige Maßnahme zur Risikominderung, da sie dazu beiträgt, Verlusten vorzubeugen, und im Falle eines Vorfalls eine schnelle Reaktion ermöglicht, z. B. die Fernsperrung verlorener oder gestohlener Geräte.  Ein unauffindbares Gerät stellt ein Sicherheitsrisiko dar, da es potenziell gehackt werden kann, was einem Angriff auf die Systeme und Netzwerke des Unternehmens Tür und Tor öffnet. 

LADEN SIE UNSERE ‘TECH-DUE-DILIGENCE-CHECKLISTE’ HERUNTER

Die technische Due-Diligence-Prüfung ist zweifellos einer der wichtigsten Aspekte jeder modernen Unternehmenstransaktion, und es ist von entscheidender Bedeutung zu wissen, welche Elemente zu berücksichtigen sind, bevor der nächste Schritt erfolgt. Dies erfordert jedoch Fachwissen, Erfahrung und Erkenntnisse, die am besten von einem unabhängigen Dritten gewonnen werden.

Im Gegensatz zu herkömmlichen Ansätzen der technischen Due-Diligence-Prüfung bietet Vaultinum ein Online-Tool für die Software-Due-Diligence-Prüfung, ‘Know-Your-Software’. Durch eine gründliche Überprüfung des Quellcodes, die von einem IT-Experten durchgeführt wird, analysiert die Know-Your-Software-Lösung die Risiken in Bezug auf geistiges Eigentum, Cybersicherheit, Skalierbarkeit und Drittanbieter.  Die Ergebnisse werden in einem detaillierten Bericht mitgeteilt, der eine Bewertung, Empfehlungen und Korrekturen enthält.

Mit 40 Jahren Erfahrung in den Bereichen IT und Recht wurde jeder Schritt der Know-Your-Software-Lösung von Vaultinum in Zusammenarbeit mit führenden Experten in den Bereichen Cybersicherheit, geistiges Eigentum, Softwareentwicklung und Compliance entwickelt, um Nutzern eine umfassende, zuverlässige Risikoanalyse zu bieten.

Gehen Sie mit Zuversicht in Ihre Investitionen, mit der Gewissheit, dass die Tech-Due-Diligence-Lösungen von Vaultinum maßgeschneidert sind auf die digitale Welt von heute.

Als Investor oder potenzieller Käufer ist es wichtiger denn je, sich zu vergewissern, dass das Unternehmen, für das man sich interessiert, nach den besten Praktiken arbeitet und die richtigen Grundlagen für ein solides Wachstum geschaffen hat. In diesem Beitrag haben wir die vier Hauptbereiche - geistiges Eigentum, Software von Drittanbietern, technologische Leistung und Cybersicherheit - und die wichtigsten Fragen in jedem Bereich, die bei der Due-Diligence-Prüfung von Technologien zu stellen sind, beschrieben.

Sind Sie bereit zu investieren? Diese Schlüsselfragen sollten Sie bei Ihrer technologischen Due-Diligence-Prüfung nicht außer Acht lassen.

Tech due diligence checkliste | Vaultinum

Fusionen und Übernahmen (M&A) sind zu einem festen Bestandteil der modernen Unternehmenslandschaft geworden. Mit den großen Internetgiganten, die Einhörner (unicorn companies) aufkaufen, und den großen Konglomeraten, die sich andere Unternehmen einverleiben, um ihren Markt zu vergrößern, sind M&A zum Schlagwort des Tages geworden.  Auch Private-Equity-Firmen haben, angetrieben durch die Aktienmärkte und die hohe Liquidität, aktiv Unternehmen in ihre Portfolios aufgenommen. 

Aber genauso wie man Blindflüge vermeiden soll, ist es wichtig, dass man die erforderliche Due-Diligence-Prüfung durchführt, bevor man die gepunktete Linie für eine M&A-Transaktion unterschreibt. Bei jeder M&A-Transaktion trägt die Due-Diligence-Prüfung dazu bei, sowohl dem Käufer als auch dem Verkäufer ein Gefühl der Sicherheit zu vermitteln.

Anhand der Informationen, die während der Due-Diligence-Prüfung gesammelt werden, kann sich der Käufer ein besseres Bild von den verschiedenen Aspekten des Unternehmens machen, in das er investieren möchte. Dies ermöglicht es, den Geschäftsdeal mit größerem Vertrauen und größerer Sicherheit abzuschließen.

WAS IST EINE AKQUISITIONS-DUE-DILIGENCE-PRÜFUNG BEI ÜBERNAHMEN?

Einfach zusammengefasst bezieht sich die Akquisitions-Due-Diligence auf eine Untersuchung eines Unternehmens, welches ein anderes Unternehmen zu übernehmen gedenkt. Sie wird durchgeführt, um alle Fakten und Zahlen zu bestätigen, die den Entscheidungsprozess des Käufers über die Fortführung des Geschäfts beeinflussen könnten.  Natürlich gelten die für die Due-Diligence-Prüfung bei Übernahmen festgelegten Grundsätze auch für die Due-Diligence-Prüfung bei Investoren, wenn ein Investor oder Risikokapitalgeber eine Beteiligung an einem neu gegründeten oder einem reiferen Unternehmen erwerben möchte. 

Im Rahmen der Due Diligence werden gründliche Recherchen und Untersuchungen durchgeführt, um alle finanziellen und rechtlichen Aspekte des untersuchten Unternehmens aufzudecken. Dies ist ein wesentlicher Schritt, der vor dem Abschluss einer M&A-Transaktion mit der anderen Partei durchgeführt werden muss.

Beim Erwerb eines Unternehmens muss die Due-Diligence-Prüfung Vermögenswerte und Verbindlichkeiten, rechtliche und finanzielle Verpflichtungen sowie die Marktposition des Unternehmens vollständig bewerten. Kurz gesagt, der gesamte Vorgang zielt darauf ab, die Durchführbarkeit einer M&A-Transaktion zu ermitteln, bevor sie abgeschlossen wird.

WARUM IST EINE DUE-DILIGENCE-PRÜFUNG BEI ÜBERNAHMEN WICHTIG?

Es ist allgemein bekannt, dass genau so wie die Menschen, die Unternehmen führen, keine zwei Unternehmen genau gleich sind, auch wenn sie ähnliche Strukturen haben und denselben Geschäftsmodellen folgen. Jedes Unternehmen hat seine eigenen individuellen Produkte und Dienstleistungen, Prozesse, Risiken, Probleme, Verpflichtungen und Investitionsstrukturen. Daher sollten beim Kauf eines Unternehmens von vornherein nur wenige Annahmen getroffen werden.

Denken Sie einmal darüber nach: Wenn Sie das nächste Auto, das nächste Haus, den nächsten Computer oder das nächste Mobiltelefon kaufen, führen Sie dann nicht eine umfangreiche Markt- und Produktforschung durch, bevor Sie sich für das richtige Modell entscheiden? Jeder tut dies, um sicherzustellen, dass seine Investition nicht umsonst war.

Die Due-Diligence-Prüfung bei einer Akquisition ist einfach eine komplexere Version dieser Art von Forschung. Sie zielt nicht wirklich darauf ab, die Bewertung eines Unternehmens zu ermitteln. Vielmehr geht es darum, sich ein klares Bild davon zu machen, ob das Geschäft für beide Parteien rentabel ist.

An dieser Stelle ist es wichtig, einem weit verbreiteten Missverständnis in Bezug auf die Due Diligence entgegenzutreten, nämlich der Vorstellung, dass sie nur dem Käufer hilft. Das stimmt einfach nicht, denn die Due-Diligence-Prüfung ist für beide Parteien bei einer M&A-Transaktion gleichermaßen wichtig.  So wie die Bilanz eines Unternehmens eine Momentaufnahme seiner finanziellen Situation ermöglicht, liefert eine vollständige Due Diligence ein Bild der gesamten Funktionsweise des Unternehmens, welches Stärken und Schwächen aufzeigt und der Unternehmensleitung eine bessere Zukunftsplanung ermöglicht.

Für den Käufer gibt die Durchführung einer ordnungsgemäßen Due-Diligence-Prüfung die Gewissheit, dass es sich um den richtigen Geschäftsabschluss handelt. Außerdem erhält er alle erforderlichen Informationen, um mehr über den Kundenstamm des Unternehmens und die Partnerschaften mit bestehenden Teilhabern zu erfahren und Möglichkeiten für größere Synergien zu entdecken.

Gleichzeitig hilft die Due-Diligence-Prüfung, alle Annahmen zu bestätigen, die Sie vor dem Abschluss des Geschäfts gemacht haben. Sie kann auch finanzielle oder rechtliche Unregelmäßigkeiten aufdecken, die sich im weiteren Verlauf auf das betreffende Unternehmen auswirken könnten.  Da Cybersicherheit, Geldwäsche, Datenschutz und ökologische Nachhaltigkeit mit erheblichen finanziellen, rechtlichen und Reputations-Risiken verbunden sind, hat die Investition in ein Unternehmen bzw. die Übernahme oder Fusion mit einem Unternehmen direkte Auswirkungen auf das Ansehen des Investors/Erwerbers auf dem Markt.  Kein Investor möchte mit einem Unternehmen in Verbindung gebracht werden, das mit einem der oben genannten Probleme behaftet ist oder sein könnte.

Auch für den Verkäufer ist die Due-Diligence-Prüfung von ausreichender Bedeutung und von Nutzen. Sie ermöglicht es dem Unternehmensverkäufer, interessante Einblicke in die Funktionsweise seines Unternehmens zu gewinnen. Sie ist ein wenig wie eine medizinische Untersuchung.  Sie bereitet ein Unternehmen auch auf die Suche nach Kapital von Investoren oder einem potenziellen Erwerber vor. Sie hilft dem Verkäufer, den Marktwert des Unternehmens besser zu verstehen und einen angemessenen Preis für den Abschluss des Geschäfts zu fordern.

Der springende Punkt ist, dass ohne eine ordnungsgemäße Due-Diligence-Prüfung kein Geschäftsabschluss Aussicht auf Erfolg haben kann. Eine Fusion oder Übernahme ohne Due-Diligence-Prüfung ist so, als würden Sie Ihr Geld einem Fremden überlassen, den Sie gerade auf der Straße getroffen haben.

ARTEN DER DUE-DILIGENCE-PRÜFUNG BEI ÜBERNAHMEN

Jetzt wissen wir also, was eine Due-Diligence-Prüfung ist und warum sie sowohl für Käufer als auch für Verkäufer wichtig ist. Allerdings ist dieser Prozess nicht so einfach, wie man auf den ersten Blick meinen könnte. Tatsächlich gibt es mehrere Perspektiven, aus denen eine Due-Diligence-Prüfung bei Übernahmen durchgeführt werden kann. Auf dieser Grundlage kann die Due Diligence in die folgenden Arten unterteilt werden.

Hierbei handelt es sich um Aspekte der Due Diligence, die sich mit administrativen Aspekten befassen, wie z. B. dem Belegungsgrad, dem Gebäudemanagement und den erforderlichen Arbeitsplätzen, um nur einige zu nennen. Hier besteht der Hauptzweck der Due Diligence darin, die im Besitz des Verkäufers befindlichen Einrichtungen zu bewerten und festzustellen, ob alle Aspekte der Betriebskosten in den Jahresabschlüssen berücksichtigt sind. Sie liefert auch eine Prognose der zu erwartenden Verwaltungskosten, die der Käufer zu tragen hat, falls er sich für die Fusion entscheidet.

Dies ist vielleicht die wichtigste Art der Due Diligence, da sie dazu beiträgt, zu entscheiden, ob das betreffende Geschäft finanziell tragfähig ist oder nicht. Dabei wird überprüft, ob die finanziellen Angaben des Verkäufers korrekt sind und den Tatsachen entsprechen.

Durch die finanzielle Due Diligence will der Käufer ein Verständnis aller Aspekte der Unternehmensfinanzen des Verkäufers erreichen, z. B. Prüfungsberichte, ungeprüfte Finanzunterlagen, Wachstumsprognosen, Bestands- und Ausgabenpläne sowie die Liste der Aktiva und Passiva.

Im Rahmen der finanziellen Due-Diligence-Prüfung kann der Käufer auch die Konten der wichtigsten Kunden prüfen. Er sollte auch eine detaillierte Analyse der variablen und festen Kosten, der Gewinnspannen und der internen Kontrollverfahren vornehmen. Ein weiterer Teil der finanziellen Due-Diligence-Prüfung besteht darin, die Auftragsbücher des Verkäufers sowie die Vertriebs-Pipeline zu prüfen, um gezielte Prognosen zu erstellen.

Traditionell ist dies ein Teil der finanziellen Due Diligence, kann aber auch als separate Kategorie eingestuft werden. Bei der Asset Due Diligence wird eine Liste der festen und variablen Vermögenswerte des Verkäufers sowie dessen Standorte erstellt. Dazu gehören unter anderem Maschinen-Leasing-Verträge, Verkaufs- und Kaufpläne für Investitionsgüter und Immobilienunterlagen.

Der wichtigste Vermögenswert eines jeden Unternehmens sind die damit verbundenen Personalressourcen / Humanressourcen (HR). Dies gilt insbesondere für Software- und High-Tech-Unternehmen.  Bevor der Käufer also entscheiden kann, ob er das Unternehmen tatsächlich kaufen will, muss er eine Bestandsaufnahme der Personalressourcen vornehmen.

Dazu gehören die Analyse der Mitarbeiter und der Arbeitsverträge, die Kosten des Unternehmens für Gehälter und Boni sowie alle personalpolitischen Maßnahmen wie Krankheitsurlaub, Jahresurlaub und sogar die Streitbeilegung im Falle einer willkürlichen Situation.

5. Environmental Due Diligence / Umwelt-Due-Diligence

In Anbetracht des heutigen Klimawandels ist die ‘Environmental Due Diligence’ ein wesentlicher Bestandteil jeder M&A-Transaktion im 21. Jahrhundert. Denn wenn das gekaufte Unternehmen gegen lokale oder globale Umweltvorschriften verstossen hat oder verstößt, erhöht sich das Risiko von Rechtsstreitigkeiten.

Traditionell umfasst die ‘Environmental Due Diligence’ eine sorgfältige Prüfung von Umweltlizenzen und -genehmigungen. Außerdem sollten alle Bekanntmachungen und Mitteilungen der lokalen Behörden, die sich mit Umweltvorschriften befassen, geprüft werden.

Heutzutage geht die ‘Environmental Due Diligence’ jedoch viel weiter.  In Anbetracht des Klimawandels wird von den Unternehmen verlangt, dass sie positive Maßnahmen zur Verringerung ihres CO2-Fußabdrucks ergreifen und von ihren Zulieferern verlangen, dass sie sich ebenfalls an Nachhaltigkeitsziele halten.  Die ökologische Sorgfaltspflicht ist Teil eines umfassenderen Ziels der Nachhaltigkeit.  Unternehmen müssen über Richtlinien und Verfahren verfügen, die sicherstellen, dass ihre Handlungen oder Unterlassungen von vornherein nachhaltig sind.  Nachhaltigkeit umfasst soziale und ökologische Auswirkungen.

Dieser Punkt ist ziemlich selbsterklärend und beinhaltet die Bewertung aller IT-Assets des Unternehmens des Verkäufers. Dazu gehören sowohl Hardware- als auch Softwaresysteme, geschäftskritische Daten sowie die Mitarbeiter, die täglich mit diesen Daten arbeiten.

Die IT-Due-Diligence kann auch Sicherheitsrisiko-Bewertungen, eine Due-Diligence-Prüfung der Schwachstellen und eine Bewertung der Cybersicherheit umfassen. Sie hilft bei der Erstellung einer Software-Checkliste, die sich in Zukunft als nützlich erweisen könnte.

7. IP Due Diligence / Due-Diligence-Prüfung des geistigen Eigentums

Alle Unternehmen verfügen über geistiges Eigentum (IP; intellectual property), das für ihre Geschäftstätigkeit und Rentabilität von entscheidender Bedeutung ist. Meistens handelt es sich dabei um immaterielle Vermögenswerte wie Patente, Software-Algorithmen und sogar Markennamen, Warenzeichen und Urheberrechte; die IP-Due-Diligence zielt darauf ab, eine Bestandsaufnahme dieser Gegenstände vorzunehmen.

Gleichzeitig ist diese Form der Due-Diligence-Prüfung auch wichtig, um festzustellen, ob das Unternehmen derzeit in irgendwelche rechtlichen Verwicklungen im Zusammenhang mit Verletzungen des geistigen Eigentumrechts verwickelt ist. Dies kann also auch als Teil der rechtlichen Due Diligence betrachtet werden.

Heutzutage besitzen viele Unternehmen Technologien und entwickeln neue Produkte oder Dienstleistungen.  Vor allem Softwareunternehmen haben als wichtigsten Vermögenswert ihre Software und ihre talentierten Entwickler.  Es ist schwierig, den Wert eines Softwareprogramms einzuschätzen, insbesondere bei Start-ups, da der Quellcode des Programms geheim gehalten wird, um zu verhindern, dass andere ihn kopieren.  Infolgedessen ist es für Investoren oft unmöglich, das Produkt, in das sie investieren, aus technologischer Sicht wirklich zu bewerten.  Vaultinum hat eine Reihe von Tools entwickelt, die eine Technologie-Due-Diligence ermöglichen. 

Die letzte Art der Akquisitions-Due-Diligence, die wir uns ansehen werden, betrifft die Lebensader eines jeden Unternehmens: die Kunden. Wenn Sie als Käufer ein Unternehmen übernehmen wollen, möchten Sie sich unbedingt einen Überblick über den bestehenden und potenziellen Kundenstamm verschaffen. Sie möchten sich auch ein Bild von der Kundenzufriedenheit des Unternehmens machen. Genau dabei kann die Customer Due Diligence helfen.

An dieser Stelle muss erwähnt werden, dass es nicht nur die oben genannten Arten der Due Diligence gibt. Je nach Art des Unternehmens und der Sichtweise des Käufers kann es viele verschiedene Arten von Due-Diligence-Prüfungen für Übernahmen geben.

SCHRITTE DER DUE-DILIGENCE-PRÜFUNG BEI ÜBERNAHMEN

Wie jeder Leser nach der Lektüre der bisherigen Ausführungen verstehen kann, ist die Due-Diligence-Prüfung bei Übernahmen ein komplexer und komplizierter Vorgang, der mehrere Ebenen umfasst. Jeder Fusions- und Akquisitionsvorgang hat andere Anforderungen, und es sollten verschiedene Schritte und Methoden befolgt werden, um eine Due-Diligence-Prüfung durchzuführen, die den besonderen Anforderungen des Geschäftsdeals gerecht wird.

Dennoch gibt es einige allgemeine Schritte, die jedes Unternehmen befolgen kann, um eine qualitativ hochwertige Due-Diligence-Prüfung bei Übernahmen durchzuführen. In diesem Abschnitt werden wir einen kurzen Blick auf jeden dieser Schritte werfen.

Wie bei jedem Projekt beginnt auch die Due-Diligence-Prüfung bei Akquisitionen damit, dass Sie sich überlegen, was genau Sie mit dem Projekt erreichen wollen. Die Bestimmung der Unternehmensziele, die dem Vorgang zugrunde liegen, ist für seinen Erfolg entscheidend.

Wenn Sie sich über Ihre Ziele im Klaren sind, besteht der nächste Schritt darin, eine Analyse der Finanzen des Verkäufers vorzunehmen. Dazu gehört die Prüfung aller Finanzunterlagen wie Bilanzen, Steuerunterlagen und Prognosen für das Unternehmenswachstum.

Dieser Schritt erfolgt in der Regel in Form eines ausführlichen Gesprächs zwischen den am M&A-Vorgang beteiligten Parteien. Hier fordert der Käufer alle relevanten Unterlagen zur Prüfung an, führt ausführliche Gespräche mit dem Verkäufer und kann auch Besuche vor Ort durchführen. In diesem Schritt ist es wichtig, dass der Verkäufer sehr entgegenkommend ist, um sicherzustellen, dass das Geschäft zustande kommt.

4. Analyse von Geschäftsplänen und Modellen

Als Nächstes analysiert der Käufer die vom Zielunternehmen verwendeten Geschäftspläne und -modelle. Dies ist wichtig, um zu verstehen, ob die Akquisition zu den Geschäftszielen des Käufers passt.

In diesem Schritt muss der Käufer das Zielunternehmen aus einem ganzheitlichen Blickwinkel betrachten und alle Risiken bewerten, die mit dem Geschäft verbunden sein könnten.

Abschließend werden die Informationen aus allen oben genannten Schritten von den Experten kombiniert und zusammengestellt, um die korrekte Bewertung des Zielunternehmens zu ermitteln. Dies ist entscheidend für die Erstellung einer Schätzung des endgültigen Angebotsbetrags.

Wenn es um Fusionen und Übernahmen geht, ist die Due-Diligence-Prüfung ein wichtiger Schritt, der nicht übersehen werden sollte. Die Due-Diligence-Prüfung bei Fusionen und Übernahmen trägt dazu bei, dass das Geschäft sowohl für den Käufer als auch für den Verkäufer fair abläuft und dass mögliche Fallstricke leicht vermieden werden können.

In dieser Hinsicht kann Vaultinum der perfekte Partner sein, um Ihnen zu helfen. Wir bieten Due-Diligence-Werkzeuge, die viele Risiken abdecken. Mit unserer ausgewiesenen Expertise im Bereich der Due-Diligence-Prüfung bei Akquisitionen können wir Ihnen helfen, Ihre Fusionen und Übernahmen reibungslos durchzuführen.

Wir bieten überdies ein komplettes Software-Audit-Tool an, das den Quellcode nach Problemen durchsucht und für die Durchführung von Due-Diligence-Prüfungen verwendet werden kann. Mit diesem Tool wird der Due-Diligence-Prozess objektiver und hilft den Entscheidungsträgern, Risiken zu minimieren und wichtige Informationen über das geplante Geschäft zu erhalten.

Warten Sie also nicht und verlassen Sie sich nicht nur auf Ihr Bauchgefühl, sondern kontaktieren Sie uns bei Vaultinum noch heute.

Fusionen und Übernahmen (M&A) sind zu einem festen Bestandteil der modernen Unternehmenslandschaft geworden. Mit den großen Internetgiganten, die Einhörner (unicorn companies) aufkaufen, und den großen Konglomeraten, die sich andere Unternehmen einverleiben, um ihren Markt zu vergrößern, sind M&A zum Schlagwort des Tages geworden.

Erfahren Sie mehr über die Bedeutung einer investigativen Prüfung eines Unternehmens vor der Übernahme.

Mehr über die Due Diligence einer Firma vor der Übernahme

Was Ist Eine Due-Diligence Prüfung Bei Übernahmen?

Man kann eine Cybersicherheitsprüfung als sorgfältige Inspektion des Informationssystems eines Unternehmens in seiner Gesamtheit und in seinen Details definieren. Ziel ist es, die Integrität der physischen und softwarebasierten Infrastruktur angesichts verschiedener Bedrohungen zu überprüfen und zu testen.

Die Analyse dient auch dazu, die Nutzung der verschiedenen Tools und deren Wartung zu überprüfen. Am Ende der Prüfung werden Empfehlungen ausgesprochen, um aufgedeckte Lücken zu schließen und riskante Verhaltensweisen der Nutzer zu korrigieren.

Welche Unternehmen sollten eine IT-Sicherheitsprüfung durchführen

Alle Strukturen, die mit dem Internet verbunden sind, sind Cyberangriffen ausgesetzt. Diese Angriffe können eine Vielzahl von Formen annehmen, wie Denial-of-Service-Angriffe (DoS), Phishing oder auch Ransomware, die das gesamte System einfrieren und so ein Unternehmen lahmlegen können. Diese Angriffe nutzen Software- oder menschliche Schwachstellen, wie z. B. schlechte Nutzungsgewohnheiten von Mitarbeitern, aus, um in Informationssysteme einzudringen. Da weltweit alle elf Sekunden ein Unternehmen angegriffen wird, ist jedes Unternehmen, unabhängig von seiner Größe, ein potenzielles Ziel und muss sicherstellen, dass sein Sicherheitssystem robust ist. Eine IT-Sicherheitsprüfung hilft, dies sicherzustellen.

Seit dem Inkrafttreten der EU-Verordnung am 25. Mai 2018 müssen alle Unternehmen die Anforderungen der Datenschutzgrundverordnung (DSGVO) erfüllen. De facto ist also jedes Unternehmen von der IT-Sicherheit betroffen. Denn wenn durch einen Cyberangriff Daten verloren gehen oder gestohlen werden, kann das Unternehmen Gegenstand einer Sammelklage der Opfer oder sogar einer strafrechtlichen Verurteilung werden.

Wann sollte eine IT-Prüfung durchgeführt werden?

Die gute Praxis einer erhöhten IT-Sicherheit legt nahe, mindestens einmal im Jahr eine Cybersicherheitsprüfung durchzuführen. Die Kosten dafür sollten daher im Budget für Ihr IT-System berücksichtigt werden.

Es wird auch empfohlen, eine Sicherheitsprüfung des Informationssystems durchzuführen, wenn ein Angriff oder Datendiebstahl vermutet wird. In diesem Fall muss so schnell wie möglich reagiert werden, um die Probleme zu lösen und einen wirksamen und dauerhaften Schutz einzurichten. In manchen Fällen können die Bedrohungen auch von Partnern ausgehen, mit denen das Unternehmen zusammenarbeitet. Die Vernetzung zwischen diesen Partnern und dem Unternehmen sowohl beim Datenaustausch als auch bei der gemeinsamen Nutzung von Rechten kann die Risiken erhöhen und das System verwundbar machen.

Es ist auch üblich, eine Prüfung zu planen, wenn Sie ein kritisches Programm einsetzen müssen. Kritische Software kann die Arbeitssoftware Ihrer Mitarbeiter sein, aber auch die Anwendung der Zugangskontrolle in Ihrem Unternehmen, das System zur Verwaltung des Fernzugriffs, die Implementierung von Cloud-Computing... Das hängt vom Unternehmen ab. Aber eines ist sicher: Anhand einer Prüfung können Sie sicherstellen, dass die Implementierung in einer stabilen digitalen Umgebung stattfindet.

Für Unternehmen, die im Auftrag Dritter mit einer großen Anzahl von Daten umgehen müssen, ist der Besitz der ISO-Norm 27001 ein Vertrauensbeweis für Kunden und Partner. Diese internationale Norm für die Sicherheit von Informationssystemen wird nach einem langwierigen Audit- und Compliance-Verfahren erlangt.

Welche Schritte umfasst eine Cybersicherheitsprüfung?

Der Umfang der Analyse hat einen direkten Einfluss auf die Kosten der Prüfung. Je nach Bedarf kann sich die Prüfung auf das gesamte Informationssystem oder nur auf einen Teil davon beziehen: Netzwerke, Zugriffsprotokolle, Hardware- und/oder Softwarekonfiguration, Gewohnheiten der Benutzer usw. Wenn Sie die Prüfung aufteilen, können Sie ein System bis ins kleinste Detail inspizieren. Diese Aufteilung ist einfacher, wenn Sie eine regelmäßige Analyse Ihrer IT-Sicherheit planen.

Bedrohungen können durch externe menschliche Eingriffe entstehen, z. B. Hacking, Denial-of-Service-Angriffe, Phishing usw., aber auch durch interne Handlungen. Interne Nachlässigkeit und Inkompetenz können ebenfalls ernsthafte Bedrohungen für die IT-Sicherheit darstellen. Beispielsweise können böswillige Mitarbeiter, die Zugang zu den Verwaltungstools des Informationssystems haben, einen Angriff auslösen oder Daten stehlen. Laut einem Bericht von IBM (IBM Security X-Force Threat Intelligence, 2023) ist der Faktor Mensch an über 90 % der Vorfälle beteiligt. Zu beachten ist, dass schwere Unwetter ebenfalls zu den Bedrohungen gehören, da sie die Speicher- und Kommunikationsinfrastruktur beschädigen können.

Man muss zwischen Bedrohungen und Schwachstellen unterscheiden. Bedrohungen sind Risiken, die das IT-System belasten, während Schwachstellen die den Einrichtungen innewohnenden Lücken sind. Bei der Sicherheitsprüfung wird beides analysiert. 

Ein Beispiel ist die Implementierung von Open-Source-Software unter der GNU GPL-, Apache- oder MIT-Lizenz. Die Basissoftware kann vollständig sicher sein, aber die Abhängigkeiten oder angehängten Module können veraltet sein. Dies stellt eine Schwachstelle dar. Unter den menschlichen Faktoren stellt die Identifikationspolitik eine zu berücksichtigende Schwachstelle dar.

Die Sicherheit des Informationssystems erproben

Damit eine Prüfung effektiv ist, muss sie auch die Erprobung des vorhandenen Sicherheitssystems beinhalten. Dies geschieht nicht nur durch Penetrationstests von außen, sondern auch durch aufeinanderfolgende Tests von verschiedenen Computern aus. Je nach Position des Mitarbeiters werden nämlich unterschiedliche Zugriffs- und Kontrollrechte gewährt. Ein Fehler bei der Gewährung dieser Privilegien stellt ein hohes Risiko dar.

Bei der Erprobung eines Informationssystems muss auch die physische und virtuelle Umgebung des Unternehmens berücksichtigt werden. Dann wird z. B. untersucht, ob es ein effektives Backup-System gibt, um die Daten bei Unwetter, Vandalismus, Denial of Service oder Datendiebstahl zu sichern.

Erfahren Sie alles über die Prüfung der Cybersicherheit für Unternehmen. Wie Sie Schwachstellen aufspüren und mögliche Angriffe verhindern können.