Der Schutz von Daten bei Fusionen und Übernahmen ist heute eher eine Notwendigkeit als eine Option.
In ihrem preisgekrönten Buch
So sagen sie mir, dass die Welt untergeht: das Cyberwaffen-Wettrüsten
Autorin Nicole Perlroth zeichnet das Bild einer Welt, die von allen Seiten durch Hacker und Cyberwaffen bedroht ist.
Dazu gehören Unternehmen und ihre Transaktionen. Dies ist der DealRoom-Leitfaden zum Schutz von Daten bei Fusionen und Übernahmen.
Was bedeutet Datenschutz?
Datenschutz ist der Prozess zum Schutz der vertraulichen Daten eines Unternehmens vor Beschädigung, Kompromittierung oder Verlust.
Bei M&A geben Unternehmen zwangsläufig vertrauliche Daten an externe Dritte weiter, wodurch alle möglichen wichtigen Informationen angreifbar bleiben.
Die Tatsache, dass die Gegenpartei bei der M&A-Transaktion ein ehrlicher Akteur ist, schützt die Informationen nicht: Sie könnten kompromittiert werden, wenn sie sich über E-Mails bewegen oder sich im VPN (virtuelles privates Netzwerk) des Unternehmens befinden.
Datenschutz bedeutet, alles zu tun, um dies zu verhindern.
Warum ist Datenschutz wichtig?
Daten sind heute ein äußerst wertvolles Gut für Unternehmen.
Sehr oft machen die vertraulichen Informationen, die ein Unternehmen besitzt (z. B. Kreditkartennummern, Bankunterlagen, individuelle Gesundheitsakten von Kunden usw.), einen erheblichen Teil des Transaktionsvolumens aus.
Wenn diese Details unwissentlich an böswillige Akteure weitergegeben werden, ist der Deal sofort gefährdet.
Wer wird für ein Unternehmen bezahlen, dessen vertrauliche Informationen allen zugänglich sind?
Datensicherheit bei M&A: Die Zahlen
A 2019-Bericht von Forescoutein Softwaresicherheitsunternehmen, bietet nützliche Einblicke in die Bedeutung der Datensicherheit bei Fusionen und Übernahmen.
Damals weniger als 5% der Führungskräfte betrachten Datenschutz als kritischen Faktor für den Erfolg ihrer M&A-Transaktionen.
Diese Zahl wurde vorhergesagt, zu übertreffen 60% bis 2022.
Aber es ist nicht die einzige Zahl, die Aufmerksamkeit verdient hat. Unter den anderen waren:
- 62% der Befragten stimmten zu, dass ihr Unternehmen während ihrer M&A-Transaktionen einem erheblichen Cybersicherheitsrisiko ausgesetzt war und dass das Cyberrisiko ihre größte Sorge nach der Übernahme ist
- 53% der Befragten gaben an, dass ihr Unternehmen während eines M&A-Deals auf ein kritisches Cybersicherheitsproblem oder einen Vorfall gestoßen war, der das Geschäft gefährdete.
- 73% der Befragten gaben an, dass eine nicht offengelegte Datenschutzverletzung bei einem Zielunternehmen einen Deal Breaker darstellte.
- 65% der Entscheidungsträger von Unternehmen gaben zu, dass sie die Übernahme nach der Übernahme bereuten, nachdem sie nach Abschluss ihrer M&A-Transaktion Datensicherheitsprobleme hatten.
- Mehr Daten bedeuten mehr Risiko: Große Unternehmen (5.000 oder mehr Mitarbeiter) (59%) und mittelständische Unternehmen (1.000 bis 4.999 Beschäftigte) (56%) sind häufiger auf Cybersicherheitsprobleme gestoßen als kleinere Unternehmen mit weniger als 1.000 Mitarbeitern (49%).
Beispiele für Datenschutzverletzungen bei M&A-Transaktionen
Datenschutzverletzungen kommen bei Fusionen und Übernahmen immer häufiger vor – und das ist nur die, von denen wir wissen.
Das Wesen des Due-Diligence-Prozesses besteht darin, dass Informationen hin und her fließen, was diese Informationen einem höheren Risiko aussetzt.
Da jedes Jahr Zehntausende von Transaktionen stattfinden, sind Fusionen und Übernahmen ein fruchtbarer Boden für Hacker, die versuchen, an vertrauliche Unternehmensinformationen zu gelangen.
Eines der bekanntesten Beispiele für eine Datenschutzverletzung bei Fusionen und Übernahmen ereignete sich vor und während der Übernahme von Yahoo durch Verizon im Jahr 2017.
Während des Due-Diligence-Prozesses Yahoo zwei schwerwiegende Datenschutzverletzungen bekannt gegeben Verizon, die es zu vertuschen versucht hatte. In den Monaten vor der Transaktion hatten Hacker die persönlichen Daten von gestohlen 500 Millionen Yahoo-Nutzer.
Es folgte ein Hacking von einer Milliarde Konten des Unternehmens. Der Deal ging fast weiter 4,5 Milliarden Dollar aber nicht bevor Verizon anklopfte 350 Millionen Dollar vom Transaktionspreis ab.
Ein weiterer hochkarätiger Fall wird bereitgestellt von Marriotts 2016 Übernahme von Starwood-Hotels.
Der Deal war mit Technologieproblemen geplagt, nicht zuletzt mit dem Datenschutz bei Starwood Hotels.
Nach Abschluss der Transaktion gab Marriott Hotels bekannt, dass 400 Millionen Gästedatensätze bei Starwood Hotels aufgrund unzureichender Cybersicherheitsmaßnahmen einem Datenleck ausgesetzt waren.
Neben dem Reputationsschaden hat das britische Information Commissioner’s Office Marriott Hotels mit einem Schlag getroffen 123 Millionen Dollar DSGVO in Ordnung.
Wie Daten bei M&A-Transaktionen geschützt werden
Um Daten bei M&A-Transaktionen zu schützen, ist es wichtig, verschiedene Sicherheitsmaßnahmen zu implementieren, wie zum Beispiel:
- Verschlüsselung: Verwenden Sie starke Verschlüsselungsmethoden, um Daten sowohl während der Übertragung als auch im Ruhezustand zu schützen. Die Verschlüsselung stellt sicher, dass nur autorisierte Parteien auf die Daten zugreifen können, und verhindert, dass sie abgefangen, manipuliert oder gestohlen werden.
- Zugangskontrolle: Setzen Sie eine granulare Zugriffskontrolle ein, die nur autorisierten Parteien den Zugriff auf bestimmte Daten ermöglicht. Beschränken Sie den Zugriff auf vertrauliche Informationen, indem Sie den Zugriff auf bestimmte Dokumente, Ordner oder Funktionen beschränken.
- Überwachung und Auditierung: Überwachen Sie Benutzeraktivitäten in Echtzeit und prüfen Sie Datenzugriffsprotokolle. Dies kann dazu beitragen, verdächtige oder nicht autorisierte Aktivitäten zu erkennen und die Integrität der Daten sicherzustellen.
- Zwei-Faktor-Authentifizierung: Verwenden Sie die Zwei-Faktor-Authentifizierung, um die Identität von Benutzern zu überprüfen. Dies kann eine Kombination aus etwas sein, das sie wissen (wie ein Passwort) und etwas, das sie haben (wie ein Sicherheitstoken) oder etwas, das sie sind (wie biometrische Daten).
- Sichere Kommunikation: Verwenden Sie sichere Kommunikationskanäle, um sicherzustellen, dass Daten sicher übertragen werden und vor Abhören oder Abhören geschützt sind. Dazu können Maßnahmen wie Verschlüsselung, digitale Signaturen, sichere Dateiübertragungsprotokolle und Secure Sockets Layer (SSL) gehören. Kosten für SSL-Zertifikat und Implementierung variieren je nach Art des Zertifikats und der erforderlichen Validierungsstufe. Die meisten Anbieter von virtuellen Datenräumen, die bei Fusionen und Übernahmen eingesetzt werden, verwenden SSL/TLS-Zertifikate, um Daten während der Übertragung zu verschlüsseln und eine sichere Kommunikation zwischen Servern und Clients zu gewährleisten. Einige VDR-Anbieter können auch SSL/TLS-Zertifikate mit erweiterter Validierung (EV) verwenden, die zusätzliche Sicherheitsfunktionen bieten.
Datensicherheit in der Due Diligence
Auch wenn die gegen Unternehmen wie Verizon und Marriott Hotels verhängten Bußgelder strafend erscheinen, erfassen sie in Wirklichkeit nicht den tatsächlichen Wert, der durch die Datenschutzverletzungen zerstört wurde, denen beide Unternehmen während ihrer M&A-Transaktionen ausgesetzt waren.
Sobald die Datenschutzverletzung von Marriott bekannt wurde, fiel der Aktienkurs 5,33 % an einem einzigen Tag. In ähnlicher Weise wird angenommen, dass Yahoo Millionen von Benutzern durch seine Datenpanne verloren hat.
Virtuelle Datenräume (VDRs) sind oft die ideale Lösung für sichere Kommunikation und Speicherung. Es gibt viele wichtige Faktoren, warum Unternehmen sich auf VDRs verlassen, um ihre Daten bei M&A-Transaktionen zu schützen.
Der Hauptgrund dafür ist, dass ein sicherer virtueller Datenraum im Due-Diligence-Prozess von M&A-Transaktionen unerlässlich ist.
DealRoom und ähnliche Plattformen stellen sicher, dass:
- Risiken werden erkannt und gemindert
- Informationen können angezeigt, aber nicht heruntergeladen werden
- Die Zustimmung wird von allen relevanten Parteien eingeholt
- Laufende Rechenschaftspflicht und Berichterstattung sind festgelegt
Der Anteil der Due-Diligence-Prozesse, bei denen Daten im Mittelpunkt stehen, hat sich in den letzten zehn Jahren wahrscheinlich verfünffacht. Das bedeutet, dass sich virtuelle Datenräume Herausforderungen stellen müssen wie:
- Identifizieren der Daten des Zielunternehmens
- Schutz und Klassifizierung der Daten des Zielunternehmens
- Stellen Sie sicher, dass Daten ohne Sicherheitsverletzungen zusammengeführt werden.
Schlußbemerkungen
Der Datenschutz sollte bei M&A-Transaktionen so früh wie möglich berücksichtigt werden.
Durch die Verwendung einer professionellen M&A-Lifecycle-Management-Software wie DealRoom können M&A-Teilnehmer die Informationen ihres Unternehmens in dem Wissen teilen, dass sie nicht kompromittiert werden.
Und da ein so großer Teil des Werts einer Transaktion jetzt in Daten enthalten ist, bedeutet dies, dass ein virtueller Datenraum potenziell Millionen von Dollar an langfristigem Wert zu Geschäften hinzufügt.
Sparen Sie nicht an der Sicherheit. Sprechen Sie noch heute mit DealRoom darüber, wie wir Ihrer M&A-Transaktion die erforderliche Datensicherheit verleihen können.