Fusionen und Übernahmen mögen üblich sein, aber sie sind nicht ohne Risiko, insbesondere wenn es um Cybersecurity-Risiken geht. Da Cyberangriffe immer häufiger und raffinierter werden, ist das Letzte, was ein Mutterunternehmen feststellen möchte, dass es schlecht verwaltete oder nicht verwaltete Vermögenswerte geerbt hat.
Die Bewertung des Umfangs des potenziellen Risikos kann jedoch eine große Herausforderung sein. Fusionen und Übernahmen sind oft mit einer beträchtlichen Ausweitung der unternehmenseigenen und damit verbundenen, dem Internet zugewandten Vermögenswerte (die eine Angriffsfläche darstellen) verbunden. Diese Anlagen stellen, wenn sie nicht oder nur unzureichend verwaltet werden oder einfach unbekannt sind, potenzielle Sicherheitsschwachstellen und Einstiegspunkte für Bedrohungsakteure dar. Aus diesem Grund müssen Unternehmen, die Fusionen und Übernahmen tätigen, wissen: Welche Internet-Assets dieses Partners oder dieser Übernahme werden mit unserem Unternehmen in Verbindung gebracht? Was ist mit denen ihrer Partner und Lieferanten? Wie gut sind diese Anlagen derzeit geschützt, und wenn es Schwachstellen gibt, wie hoch ist das Risiko, das sie für uns darstellen?
Um diese Fragen effektiv beantworten zu können, ist es wichtig, von Anfang an einen vollständigen Einblick in alle damit verbundenen Angriffsflächen zu erhalten.
Unternehmen erkennen die Notwendigkeit einer Cyber-Risikobewertung
Vierzig Prozent der akquirierenden Unternehmen, die M&A-Aktivitäten abgeschlossen haben, geben an, dass sie nach der Integration eines übernommenen Unternehmens ein Cybersicherheitsproblem festgestellt haben. Unternehmen wissen, dass das Risiko real ist, und dies erklärt, warum Gartner vorhersagt, dass bis 2025 60 % der Unternehmen das Cybersecurity-Risiko als primäre Determinante bei der Durchführung von Transaktionen und Geschäftsbeziehungen mit Dritten verwenden werden. Eine Untersuchung im Rahmen des Censys 2022 State of Risk and Remediation Report zeigte eine ähnliche Priorisierung: Fast drei Viertel der Befragten gaben an, dass ein Fokus auf Cybersicherheit bei der Übernahme eines anderen Unternehmens "sehr wichtig" sei.
Darüber hinaus gaben 88 % der Befragten in derselben Umfrage an, dass sie die Cyberrisiken eines übernommenen Unternehmens untersuchen, auch durch Partner/Verkäufer.
Wie gehen Unternehmen, die an Fusionen und Übernahmen beteiligt sind, in der Regel bei der Bewertung von Cybersicherheitsrisiken vor? Schwachstellentests sind eine Hauptstrategie, aber nur 40 % der Befragten geben an, dass sie die Schwachstellentests für die Angriffsflächen der übernommenen Unternehmen selbst durchführen. Fünf Prozent fordern Schwachstellentests an, geben aber zu, dass sie diese möglicherweise nicht erhalten.
Die Realität sieht so aus, dass ein Unternehmen, um sich abzusichern und sich wirklich gegen vererbte Cybersicherheitsrisiken zu schützen, die Risiken im Voraus erkennen oder offenlegen muss. Eine Entdeckung in der Integrationsphase kann zu wenig und zu spät sein. Darüber hinaus benötigen Unternehmen einen vollständigen Einblick in alle Vermögenswerte, die mit einem potenziellen Partner oder einem übernommenen Unternehmen verbunden sind - einschließlich der Vermögenswerte, die den Partnern selbst möglicherweise nicht bekannt sind. Ein Schwachstellen-Scan kann Risiken bei bekannten Anlagen aufdecken, aber nicht bei unbekannten. Bei Censys haben wir festgestellt, dass 30-80 % der Anlagen innerhalb einer Angriffsfläche einem Unternehmen unbekannt sein können. Ein akquiriertes Unternehmen mag denken, dass es alle bekannten Vermögenswerte und Risiken offenlegt, aber es gibt wahrscheinlich immer noch unbekannte Einheiten.
Sorgfaltspflicht mit Exposure Management
Hier können Lösungen wieExposure Management ( Censys ) eine entscheidende Rolle spielen, da sie Unternehmen, die an Fusionen und Übernahmen beteiligt sind, bereits im Vorfeld die nötige Transparenz bieten, um das wahre Ausmaß potenzieller Risiken zu erkennen. Die richtige Exposure Management Lösung kann eine kontinuierliche, automatisierte Überwachung, Erkennung, Inventarisierung, Klassifizierung und Priorisierung von Internet-Assets bieten, und zwar noch bevor Unternehmen die Unterschrift auf der gepunkteten Linie leisten.
Mit einer Lösung von Exposure Management kann ein Unternehmen, das an Fusionen und Übernahmen beteiligt ist:
Verschaffen Sie sich einen umfassenden Echtzeit-Überblick über Angriffsflächen: Fusionen und Übernahmen haben oft eine lange Vorlaufzeit bis zum endgültigen Vertrag. Das bedeutet, dass der Schwachstellenbericht, den ein übernommenes Unternehmen anfangs zur Verfügung stellt, zu dem Zeitpunkt, an dem Ihr Team seine endgültige Risikobewertung vornimmt, bereits veraltet sein kann. Eine Echtzeit-Ansicht der Angriffsflächen mit einem Exposure Management -Tool wie Censys Attack Surface Management bietet die aktuelle 360-Grad-Sicht, die Sie benötigen, um das aktuelle Risiko zu verstehen.
Automatisieren Sie die Erkennung und Bewertung von Vermögenswerten, um interne Ressourcen freizusetzen: Die Arbeit, die mit einer M&A-Transaktion verbunden ist, kann selbst die erfahrensten Teams überfordern, da die Bewertungsbemühungen von menschlichen Fehlern und Versäumnissen abhängen. Anstatt viel Zeit und Mühe in einen punktuellen Erkennungs- und Bewertungsprozess zu investieren, der auf manuellen Ansätzen und unterschiedlichen Tools beruht, bietet eine Lösung von Exposure Management die Art von automatisierter, kontinuierlicher Erkennung, die interne Ressourcen freisetzt und gleichzeitig einen vollständigen, zuverlässigen Einblick in die Angriffsoberfläche gewährleistet.
Verstehen der Risikoebenen: Eine Lösung von Exposure Management kann nicht nur ein vollständiges Bild der Angriffsfläche eines Partners oder eines akquirierten Unternehmens vermitteln, sondern auch den Schweregrad der aufgedeckten Risiken darstellen und Empfehlungen für Abhilfemaßnahmen geben. Censys identifiziert Hunderte von Risikokategorien innerhalb seiner Attack Surface Management-Lösung, einschließlich Fehlkonfigurationen, Gefährdungen, Schwachstellen und Anzeichen für eine Gefährdung.
Handeln, bevor die Tinte trocknet: Die Fähigkeit, alle oben genannten Punkte zu erfüllen, bringt uns zu dem entscheidenden Vorteil von Exposure Management: ein wirkliches Verständnis potenzieller Risiken - und entsprechendes Handeln - bevor ein Vertrag unterzeichnet wird. Ein wichtiger Punkt: Suchen Sie nach einer Exposure Management Lösung, mit der Sie Angriffsflächen vor der Integration mit anderen Systemen bewerten können.
Mit der durch Exposure Management gewonnenen Transparenz und Automatisierung im Vorfeld können Unternehmen das Cybersecurity-Risiko, das von Fusions- und Übernahmeaktivitäten ausgehen kann, umfassender und genauer einschätzen und im Gegenzug fundiertere Entscheidungen zum Schutz ihres Eigentums treffen.
Möchten Sie mehr darüber erfahren, wie Censys M&A-Aktivitäten unterstützen kann?
Fordern Sie noch heute eine Demo an!
Demo
