Ein Überblick
In einem PWC-Bericht über die globalen M&A-Trends für 2020 wurde festgestellt, dass "die Pandemie und die jüngsten geopolitischen Entwicklungen die meisten Unternehmen bereits zu denselben Schlussfolgerungen veranlasst haben und sowohl das Transaktionsvolumen als auch den Transaktionswert in die Höhe treiben ... insbesondere bei digitalen und technologischen Vermögenswerten". In diesem Blog werde ich die wichtigsten Vorteile des Angriffsflächenmanagements bei großen geschäftlichen Veränderungen wie Fusionen und Übernahmen hervorheben. Mein Ziel ist es, Informationen bereitzustellen, die Unternehmensleitern und Entscheidungsträgern ein besseres Verständnis der Cybersicherheitsrisiken vermitteln, mit denen Ihr Unternehmen bei der Übernahme eines anderen Unternehmens konfrontiert wird.
In der Vergangenheit prüften die erwerbenden Unternehmen die Fundamentaldaten des zu übernehmenden Unternehmens eingehend. Diese Grundlagen bestanden aus den Finanzdaten des Unternehmens, der Meinung der Verbraucher über die Marke, die Produkte und die angebotenen Dienstleistungen. All diese Faktoren sind von grundlegender Bedeutung für die Strategie oder, wie ich es gerne nenne, für das "So what" der Übernahme. Bei den meisten Übernahmen während und vor der Dot-Com-Ära wurde an die Cybersicherheit nicht einmal im Ansatz gedacht.
Heute sind wir in eine Zeit eingetreten, in der man nicht mehr ein Unternehmen kauft, sondern die Realität ist, dass man Daten kauft. Mit diesen Daten kommen auch Bedenken hinsichtlich der Datensicherheit, für die Sie sich ebenfalls verpflichten. Unbekannte Sicherheitsverstöße in der Vergangenheit, aktuell gefährdete Netzwerke und künftige Folgen schlechter Cybersicherheitspraktiken sind allesamt Teil eines Worst-Case-Szenarios, mit dem wir uns in diesem Prozess auseinandersetzen müssen. Ein Teil Ihrer Due-Diligence-Prüfung bei einer Akquisition MUSS heute das Verständnis der Sicherheitslage und des Risikos eines Unternehmens beinhalten, das Sie noch nicht kennen. Laut Gartner werden bis 2022 60 % der Unternehmen, die an Fusionen und Übernahmen beteiligt sind, die Cybersicherheit als kritischen Faktor betrachten.
Herausforderungen für die Cybersicherheit
Die größte Herausforderung besteht darin, herauszufinden, ob das Unternehmen, das Sie übernehmen, bereits kompromittiert ist. Sie möchten nicht, dass ein potenzieller Bedrohungsakteur, der in dem zu erwerbenden Unternehmen lauert, freien Zugang zu Ihrem Netzwerk erhält. Wenn Sie feststellen, dass ein Unternehmen bereits kompromittiert ist, kann das den Wert des Geschäfts schmälern. Sie übernehmen die versteckten Sicherheitsschulden für die Reaktion auf die Sicherheitsverletzung, die unbekannten Kosten der Markenschädigung und die zukünftigen rechtlichen Auswirkungen. Ein bekanntes Beispiel hierfür ist die Sicherheitsverletzung bei Yahoo, von der Verizon während der Due-Diligence-Phase erfuhr. Die Kompromittierung bei Yahoo war für Verizon sehr kostspielig. Sie führte dazu, dass Verizon den Kaufpreis um 350 Millionen Dollar senkte, was wie eine Ersparnis aussieht, es aber nicht war. Nach Abschluss der Übernahme einigte sich Verizon vor Gericht auf 117,5 Millionen Dollar, musste sich verpflichten, in den Jahren 2019 bis 2022 306 Millionen Dollar für die Informationssicherheit auszugeben, und erklärte sich bereit, Yahoos Personalbestand im Sicherheitsbereich zu vervierfachen.
Die nächstgrößere Sorge um die Cybersicherheit während einer M&A-Aktivität besteht darin, herauszufinden, welche Vermögenswerte Sie übernehmen, wie hoch deren Risiko ist und ob Ihr Team über geeignete Prozesse zur Erkennung und Behebung dieser Risiken verfügt. Mithilfe einer Angriffsflächenmanagement-Plattform wie der Censys ASM Platform können Sie leicht feststellen, ob die Hygiene eines Übernahmeziels ausreichend ist. Durch die Entdeckung offener Ports, die Protokolle und/oder Dienste hosten, die ein offensichtliches Risiko darstellen, werden Sie auf Sicherheitslücken aufmerksam. Wenn Sie z. B. Datenbanken finden, die ungeschützt sind, sollten Sie in Ihren Offenlegungsprozess Fragen dazu aufnehmen, wie diese Datenbanken geschützt sind (wenn man bedenkt, dass sie von außerhalb der Firewall zugänglich sind). Vielleicht finden Sie eine Vielzahl von Webserver-Software, die auf verschiedenen Versionen läuft, von denen einige bereits abgelaufen sind. Dies deutet auf eine mangelhafte Bestandsverwaltung und Cybersicherheitshygiene sowie auf eine unzureichende Strategie für die Verwaltung von Schwachstellen und Patches hin.
Schließlich gibt es noch einige nicht so offensichtliche Erkenntnisse, die Ihnen in Verbindung mit den zuvor besprochenen Informationen die Informationen liefern, die Sie benötigen, um Ihr Angebot entsprechend zu bepreisen und das Geschäftsrisiko aus finanzieller Sicht wirklich zu verstehen. Nehmen wir an, ein Unternehmen erstellt Webinhalte für einen kurzen Zeitraum, vielleicht für das Marketing, oder ein Entwickler stellt eine Testumgebung bereit. Wenn die Website oder der bereitgestellte Dienst dann nicht mehr genutzt wird, gerät sie in Vergessenheit und stellt ein Sicherheitsrisiko für das Unternehmen dar, da sie möglicherweise außerhalb der genehmigten IT-Umgebung und -Kontrollen lag. Diese Art von Sicherheitsrisiko ist dem Unternehmen, das das Ziel erwirbt, nicht bekannt und kann daher nicht aufgedeckt werden. Nur wenn es sich die Mühe macht, die Perspektive des Angreifers einzunehmen, kann sich das übernehmende Unternehmen dieses Risikos bewusst werden.
Ein weiteres, sehr häufiges Beispiel, für das wir jedoch keine klare Lösung haben, sind die Lücken bei den Cybersicherheitskompetenzen, mit denen wir heute alle konfrontiert sind. Es gibt einfach nicht genug Leute, die die für die meisten Unternehmen erforderlichen Rollen besetzen können, um eine gute Sicherheitslage zu erreichen. Dies führt dazu, dass das vorhandene Personal überfordert ist und nicht die erforderliche Kapazität hat. Es können und werden Fehler gemacht werden. Möglicherweise verfügen Sie nicht über die richtigen Mitarbeiter oder offen gesagt nicht über genügend Mitarbeiter, um eine Bewertung der Cybersicherheit für eine Akquisition ordnungsgemäß durchzuführen. Wenn Sie diesen Teil der Cybersicherheitsbewertung an eine Lösung wie Censys auslagern, können Sie den Mangel an Fachkenntnissen sofort beheben und das, wofür eine Person Wochen, wenn nicht Monate bräuchte, wirklich in wenigen Tagen erledigen.
Angriffsflächen-Due Diligence für erfolgreiche Fusionen und Übernahmen
Wie können Sie also sicherstellen, dass das, was Sie kaufen, sicher ist? Wenn Sie sich während der Due-Diligence-Prüfung selbst ein Bild von der Angriffsfläche des Unternehmens machen, können Sie überprüfen, was Sie erwerben und welche potenziellen Problembereiche Sie im Nachhinein kosten könnten. Sie kennen die Anzahl der externen Anlagen und die Art des Risikos, dem diese Anlagen ausgesetzt sind, indem Sie einen Risikorahmen mit offenen Ports, zugänglichen Protokollen, aktiven Diensten und allen damit verbundenen bekannten allgemeinen Schwachstellen vergleichen.
Traditionell sind die Leute, die die Arbeit für Fusionen und Übernahmen erledigen, oft keine Experten für Cybersicherheit. Dies ist ein sehr umfangreicher Prozess, bei dem Sie mit Censys zusammenarbeiten können, um Ihnen auf diesem Weg zu helfen. Mit der Censys Attack Surface Management Platform können Sie eine Ansicht außerhalb der Firewall automatisieren, was sich sofort in Kosteneinsparungen bei den technischen Ressourcen niederschlägt, während versteckte Risiken aufgedeckt werden. Der Vorteil der Überprüfung der Angriffsfläche eines Unternehmens, das Sie erwerben möchten, hilft Ihnen, den richtigen Preis und die wahren Kosten zu ermitteln und die Fusion oder Übernahme insgesamt zu fördern.
Wenn Sie mehr darüber erfahren möchten, wie Censys ASM Platform Ihre Akquisitionsanforderungen unterstützen kann, kontaktieren Sie uns noch heute für eine Demo!
