Die 3 Grössten Risiken Bei M&A-Transaktionen Im High-Tech-Bereich
Nach Angaben des ‘Institute for Mergers, Acquisitions and Alliances (IMAA)’ rangieren Fusionen und Übernahmen im Hightech-Bereich seit 1985 an zweiter Stelle der gesamten Fusionen und Übernahmen mit einem Gesamtwert von fast 5 Billionen USD. [i] Der kontinuierliche Anstieg der Investitionen und Übernahmen von Hightech-Unternehmen hat die mit diesen Geschäften verbundenen Risiken und die Notwendigkeit, die Due-Diligence-Vorgänge um umfassende, automatisierte Software-Audits zu erweitern, in den Fokus gerückt.
Dieser Artikel wirft einen Blick auf die drei größten Risiken, die potentielle Investoren und Übernehmer bei diesen Geschäften beachten müssen, und zeigt auf, wie sie diese Risiken mindern können.
1. Cyber-Bedrohungen
Fusionen und Übernahmen sind ein fruchtbarer Boden für Cyber-Kriminelle, der ihnen sowohl kurz- als auch langfristige Möglichkeiten bietet.
Kurzfristig sind die Daten in der Übergangsphase des Geschäftsbetriebs anfälliger und einem höheren Angriff-Risiko ausgesetzt. Mehr als eine von drei von IBM befragten Führungskräften gab an, dass sie von Datenverletzungen betroffen waren, die auf Fusionen und Übernahmen während der Integration zurückgeführt werden können. [2]
Langfristig gesehen bieten Fusionen und Übernahmen eine hervorragende Gelegenheit, in die Netzwerke des fusionierten oder übernommenen Unternehmens einzudringen, häufig unter Einsatz von ‘Advanced Persistent Threats’ (APT; deutsch „fortgeschrittene andauernde Bedrohung“), um sich über einen längeren Zeitraum Zugang zur Umgebung und zu den Informationen des Zielunternehmens zu verschaffen.
Schockierenderweise warten mehr als 50 Prozent der von IBM befragten Unternehmen, bis die Due-Diligence-Prüfung abgeschlossen ist, bevor sie eine technische Bewertung von M&A-Transaktionen vornehmen.[3] Die Cyber-Bedrohungen, denen diese Transaktionen ausgesetzt sind, machen deutlich, wie wichtig es ist, bereits vor der Übernahme eine Software-Due-Diligence-Prüfung durchzuführen, um versteckte Schwachstellen aufzudecken.
2. Rechtliche Auswirkungen
Ein Unternehmen kann zwar über modernste Cybersicherheit verfügen, doch wenn es ein anderes Unternehmen mit schwacher Sicherheit oder bestehenden Schwachstellen erwirbt, könnte es für Schäden aus Vorfällen haften, die sich vor der Fusion ereignet haben, wie die Datenschutzverletzung bei der Hotelgruppe Marriott zeigt.
Obwohl die Datenschutzverletzung erst 2018 entdeckt wurde, wurde sie auf einen Cyberangriff zurückgeführt, der 2014 bei der 2016 übernommenen Hotelgruppe Starwood stattfand [4]. Hätte Marriot vor der Übernahme eine Software-Due-Diligence-Prüfung durchgeführt, hätte diese Schwachstelle entdeckt werden können und/oder es hätten Maßnahmen ergriffen werden können, die mit einer geänderten Bewertung einhergegangen wären. Außerdem kann die Übernahme eines Unternehmens, das möglicherweise Schwachstellen aufweist, der Integration eines trojanischen Pferdes gleichkommen.
Von Europa über die USA bis hin zur ganzen Welt sind die Datenschutzbestimmungen und die Gesetze zur Offenlegung von Sicherheitsverletzungen sehr unterschiedlich, so dass eine marktübergreifende Due-Diligence-Prüfung für Unternehmen und insbesondere für multinationale Konzerne unerlässlich ist. Die Hotelgruppe Marriott war Gegenstand zahlreicher Gerichtsverfahren und behördlicher Maßnahmen in mehreren Ländern, wobei Marriott allein im Vereinigten Königreich wegen des Datenschutzverstoßes mit einer Geldstrafe in Höhe von 130 Millionen Dollar rechnen muss [5].
Die Umsetzung der Datenschutz-Grundverordnung in Europa hat zu einem Anstieg der Schadensmeldungen geführt. Nach Angaben der Anwaltskanzlei Pinsent Manson wurden zwischen März 2019 und Mai 2020 von den europäischen Datenschutzbehörden insgesamt 190 DSGVO-Bußgelder im Wert von fast 500 Millionen US-Dollar verhängt [6]. Zu den bemerkenswert hohen Bußgeldern für Verstöße gehören 57 Millionen US-Dollar für Google in Frankreich und 41 Millionen US-Dollar für H&M in Deutschland [7].
In den USA nimmt die Zahl der Rechtsstreitigkeiten wegen Datenschutzverletzungen zu, da Anwaltskanzleien und Rechtsfinanzierungsunternehmen aktiv versuchen, Sammelklagen einzureichen, was durch jüngste Gerichtsentscheidungen wie das Urteil zum Datenschutzverstoß bei Capital One begünstigt wurde, bei dem ein nach einem Datenschutzverstoß erstellter forensischer Bericht verwendet wurde, um das Unternehmen haftbar zu machen. Diese Berichte sind für ein geschädigtes Unternehmen hilfreich, ja sogar notwendig, um zu verstehen, was schief gelaufen ist, und gleichzeitig bedeutet dieses Urteil, dass auch andere, z. B. Kunden oder Nutzer, auf einen solchen Bericht zugreifen können, um Unternehmen für Datenschutzverletzungen haftbar zu machen.
3. Besitz geistigen Eigentums und Skalierbarkeit
Die Bedeutung von Rechten des geistigen Eigentums für die Gesamtbewertung von Unternehmen gewinnt weltweit immer mehr Anerkennung. Im Jahr 1975 machten immaterielle Vermögenswerte des geistigen Eigentums nur etwa 17 % des Marktwerts der S&P-500-Unternehmen aus, 2015 waren es bereits 87 %, und einer Analyse aus dem Jahr 2019 zufolge erwirtschaften Branchen, die Rechte des geistigen Eigentums intensiv nutzen, rund 45 % des BIP in der EU (6,6 Mio. EUR).[8]
Wenn Sie ein Unternehmen erwerben oder in ein Unternehmen investieren, das Software vertreibt, müssen Sie unbedingt überprüfen, ob das Unternehmen tatsächlich Eigentümer der Software ist. Software wird in rasantem Tempo erstellt, aber selten ist diese Software zu 100 % Eigentum des Erstellers. Bei kommerzieller Software wird es immer üblicher, Teile von Software-Code aus anderen Programmen zu integrieren.
Die Verwendung von fremdem Code, ob kommerziell oder Open Source, spart zwar Zeit und senkt die Kosten, schafft aber auch potentielle Probleme, die die Freiheit der Vermarktung des Endprodukts einschränken können. Diese Einschränkungen können ein Softwareunternehmen daran hindern, den vollen Nutzen aus seinen eigenen Entwicklungen zu ziehen. Darüber hinaus kann die missbräuchliche Verwendung von Drittanbieter-Software oder eine zu große Abhängigkeit von dieser das Wachstum eines Unternehmens behindern und sogar sein Überleben gefährden.
Auch wenn das Zielunternehmen keine Software vertreibt, kann es bei der Verwendung von Software, die Drittanbieter-Software integriert, zu ernsthaften Problemen mit der Skalierbarkeit und Wartbarkeit kommen. Solche Software wird in Form von herunterladbaren Programmen für Maschinen oder Dienste oder als gehosteter Dienst bereitgestellt und wird in der Regel an Unternehmen lizenziert und nicht verkauft. Mit anderen Worten: Die Unternehmen sind auf Software angewiesen, die sie nicht besitzen, sondern mieten.
Dies hat mehrere Auswirkungen, die die Vorteile der Nutzung der Software zunichte machen können.
1) Dies bedeutet, dass für die Nutzung und den Einsatz der Software Beschränkungen gelten.
2) Es erzeugt Abhängigkeiten zwischen dem Unternehmen und seinem Softwareanbieter und wirft die Frage auf, was passiert, wenn der Anbieter in Konkurs geht oder die Software einstellt.
3) Es erzeugt Sicherheitsrisiken. Der fehlende Zugriff auf den Quellcode oder die fehlende Möglichkeit, ihn auf Fehler oder Probleme zu überprüfen, stellt ein inhärentes Risiko für den Betrieb des Unternehmens dar, welches die Software einsetzt.
Die Bedeutung der Tech Due Diligence
Die Technologie oder Software eines Unternehmens besteht ebenso wie Finanzunterlagen oder juristische Verträge aus verschiedenen Komponenten, die einzeln und in ihrer Gesamtheit betrachtet ihre Robustheit gegenüber einer Vielzahl von Risiken zeigen werden.
Da sich immer mehr Unternehmen auf Software verlassen, sei es für den Betrieb oder als Endprodukt, reicht es für einen potentiellen Investor nicht aus, die rechtlichen, finanziellen und strategischen Überlegungen zu analysieren. Die technologische Due Diligence ist eine systematische Methode zur Bewertung und Abschwächung technischer Risiken aus der Geschäfts- oder Investitionsperspektive.
Ein umfassender Tech-Due-Diligence-Bericht sollte Einblicke in die Stärken eines Unternehmens, umsetzbare Empfehlungen für Verbesserungen und Anleitungen zur Bewältigung allgemeiner Risiken bieten.
Vaultinum's Know-Your-Software-Lösung
Ob es darum geht, den Verkauf eines Unternehmens vorzubereiten, Investitionen zu tätigen, neue Kunden zu gewinnen oder die betrieblichen Strukturen zu verbessern - das Ziel der Know-Your-Software-Lösungsreihe ist es, Unternehmen und Investoren die Werkzeuge an die Hand zu geben, mit denen sie kritisches Wissen über die Technologie eines Unternehmens erlangen, Risiken mindern und das Wachstum erleichtern können.
Die Know Your Software-Lösung von Vaultinum ist ein mehrgleisiger Ansatz für Software-Audits. Auf einer Ebene bewerten die Online-Selbsteinschätzung-Fragebögen von Know-Your-Software die Verwaltung, den Betrieb und die Nutzung von Software und decken potentielle Probleme in Bezug auf geistiges Eigentum, Cybersicherheit, Skalierbarkeit und Wartbarkeit auf. Auf der nächsten Stufe überprüft Know-Your-Software den Quellcode auf gängige Bedrohungen und Schwachstellen.
Zusammengenommen liefert Know-Your-Software ein vollständiges Bild der Software und der Technologie-Managementprozesse des Unternehmens.
[1] Institute for Mergers, Acquisitions and Alliances (IMAA), https://imaa-institute.org/m-and-a-by-industries/
[2] Benchmark Insights (2020) Assessing cyber risk in M&A. IBM Corporation.
[3] Idem.
[4] Brewster, T. “Revealed: Marriott's 500 Million Hack Came After A String Of Security Breaches”. Forbes, 3 Dec. 2018, https://www.forbes.com/sites/thomasbrewster/2018/12/03/revealed-marriotts-500-million-hack-came-after-a-string-of-security-breaches/
[5] Dobie, G., Whitehead, J. (2020). Managing the impact of increasing interconnectivity: Trends in Cyber Risk. Allianz Global Corporate & Specialty.
[6] Dobie, G., Whitehead, J. (2020). Managing the impact of increasing interconnectivity: Trends in Cyber Risk. Allianz Global Corporate & Specialty.
[7] Idem
[8] International Chamber of Commerce (ICC). “The ICC Intellectual Property Roadmap”, 14th edition, 2020.
Empfohlen für Sie