Die Tage vor der Ankündigung einer Übernahme sind sehr aufregend. Die Teams für die funktionale Prüfung, Anwälte, Banker und oft auch Berater wühlen sich durch Berge von Informationen, die das Zielunternehmen zur Verfügung stellt, und bereiten sich auf ein "Go/No-Go"-Szenario vor, das mit jedem NASA-Start konkurrieren kann. Das Cybersicherheitsteam ist ein relativ neuer, aber sehr wichtiger Akteur in diesem Prozess. Dieses Team muss jedoch oft anders vorgehen, um nicht einige der kostspieligsten und rufschädigenden Probleme zu übersehen, die schwieriger zu erkennen sind als herkömmliche M&A-Bedrohungen.
Einem Forbes-Artikel zufolge "gaben 40 % der an einer Fusion und Übernahme beteiligten Unternehmen an, dass sie während der Integration des übernommenen Unternehmens nach der Übernahme ein Cybersicherheitsproblem entdeckt haben." Warum ist das so? Während das Volumen und der Umfang von Fusionen und Übernahmen weiter zunehmen, sind sie auch komplizierter geworden, insbesondere im Zuge der digitalen Transformation und Globalisierung von Unternehmen. Hinzu kommt, dass Sicherheitsexperten oft nicht in den Prüfungsprozess einbezogen werden, obwohl sie für das Risiko nach der Übernahme verantwortlich sind.
Mehrere große Akquisitionen wurden durch Datenschutzverletzungen aufgrund ausgenutzter Ressourcen, die vor der Transaktion entdeckt werden konnten, aber erst nach der Ankündigung bekannt wurden, blockiert. Heutzutage ist es wichtig, dass Unternehmen, die Akquisitionen tätigen, die externen, dem Internet ausgesetzten Vermögenswerte des Zielunternehmens verstehen, indem sie sich der externen Angriffsfläche bewusst werden.
Im Folgenden werden die fünf wichtigsten Gründe genannt, warum Akquisiteure vor, während und nach einer Akquisition einen Angriffsflächenbericht erstellen sollten.
Grund Nr. 1: Die Due-Diligence-Prüfung im Bereich der Cybersicherheit befindet sich noch in der Entwicklung und erfordert eine andere Datenanalyse als andere Arten der Due-Diligence-Prüfung.
Viele Käufer und ihre Berater (in der Regel Anwaltskanzleien und Investmentbanken) verwenden immer noch veraltete Due-Diligence-Verfahren - veraltete und statische Listen von Informationsanforderungen, die sich oft auf Datenschutz, Richtlinien, Compliance und frühere Vorfälle konzentrieren. Diese Listen helfen dem Käufer oft wenig, die aktuelle Cyber-Sicherheitsbereitschaft des Zielunternehmens zu verstehen. Die Sicherheitsteams in den Unternehmen sind noch relativ neu, und ihr Einfluss auf den Prüfungsprozess wurde noch nicht voll ausgeschöpft.
Anfragen zur Cybersicherheit konzentrieren sich darauf, was der Verkäufer weiß, und sind oft auf die drei P's (People, Policies & Procedures) zugeschnittene Fragebögen:
- Identifizierung und Lokalisierung sensibler Daten und Einhaltung der Vorschriften für die Erfassung und Speicherung dieser Daten
- Kenntnis der technischen Möglichkeiten der Sicherheit von Informationssystemen
- Angemessenheit der Mitarbeiter, Strategien und Verfahren im Bereich der Cybersicherheit
- Frühere Vorfälle und Wiederherstellungspläne
Diese Informationen geben nur wenig Aufschluss über Risiken, Gefährdungen, Schwachstellen und Fehlkonfigurationen im Netz des Zielunternehmens. Penetrationstests und/oder Risikotools von Drittanbietern werden häufig eingesetzt, um diese Bereiche zu untersuchen. Penetrationstests werden jedoch häufig nach der Ankündigung einer Übernahme durchgeführt, da sie vor der Transaktion sehr störend sein können, insbesondere für das unwissende Sicherheitsteam. Und obwohl Pen-Tests und Risiko-Tools von Drittanbietern für die Prüfung von Systemen und Tools von entscheidender Bedeutung sind, betrachten sie oft nur eine Stichprobe des Netzwerks des Zielunternehmens, ohne die gesamte Angriffsfläche in ihrer Breite und Tiefe zu erfassen.
Risikotools von Drittanbietern sind nicht "gut genug", da sie sich häufig auf ungenaue, begrenzte oder veraltete Informationen stützen. Mit Censys ASM erhalten Sie eine vollständige Bestandsaufnahme der dem Internet ausgesetzten Anlagen sowie aller damit verbundenen Cyber-Risiken und -Einblicke, und das jederzeit und ohne Unterbrechung.
Grund Nr. 2: Die Diligence-Teams auf beiden Seiten sind im Vergleich zu den Integrationsteams relativ klein und kopflastig.
Um die Vertraulichkeit von Geschäften zu wahren, setzen sich die Diligence-Teams oft aus leitenden Mitarbeitern verschiedener Abteilungen zusammen. Das war's dann aber auch schon - oft nur ein oder zwei aus jeder Abteilung. Das liegt daran, dass die Vertraulichkeit während des M&A-Prozesses absoluten Vorrang hat.
Diese Führungskräfte sind oft nicht in die täglichen Abläufe des Unternehmens eingebunden. Ihre begrenzte Kapazität als Praktiker führt zu einem Mangel an Verständnis für den wahren Status der Sicherheitsoperationen und deren Bedürfnisse. Der CISO hat einen hohen Anreiz, seine Arbeit zu erledigen, und möchte genau sein, aber er kennt nicht jedes Detail, das sein Team tagtäglich zu tun hat.
READ: Forrester's Find and Cover Your Assets mit Attack Surface Management
Der CISO weiß auch, dass er wahrscheinlich entlassen wird, wenn die Übernahme abgeschlossen ist. Nach der Übernahme hat der CISO möglicherweise seinen nächsten Auftrag und steht nicht mehr zur Verfügung, um Fragen zur Sicherheitslage des Unternehmens zu beantworten. Das Integrationsteam hat nun die große Aufgabe vor sich, die Probleme zu lösen, auf die es früher hätte aufmerksam gemacht werden müssen.
Einer der Vorteile der Erstellung eines Angriffsflächenberichts besteht darin, dass er vom Erwerber zu jedem beliebigen Zeitpunkt des Prozesses durchgeführt werden kann, ohne dass das Zielunternehmen (unabhängig davon, ob der CISO noch anwesend ist oder nicht) davon betroffen ist.
Grund Nr. 3: Rechtsteams, die Cyberrisiken verwalten, konzentrieren sich oft nur auf den Datenschutz und die Einhaltung von Vorschriften.
Die Due-Diligence-Prüfung von Cyberrisiken wird häufig von Rechtsteams durchgeführt, die sich auf die Einhaltung des Datenschutzes konzentrieren. Darüber hinaus könnten einige leitende Sicherheitsbeauftragte die vom Zielunternehmen zur Verfügung gestellten Informationsprozesse und -systeme für Cyberrisiken prüfen, um die Wirksamkeit und Bereitschaft des gesamten Cybersicherheitsprogramms zu dokumentieren (Risikomanagement, Kontrollen, Schutz, Erkennung, Datenschutz usw.).
Diese Führungskräfte und Anwälte konzentrieren sich oft auf frühere Verstöße, Vorfälle und die Einhaltung von Vorschriften und die Haftung im Zusammenhang mit früheren Maßnahmen. Sie blicken auf vergangene Leistungen zurück und gehen davon aus, dass diese ein Indikator für den aktuellen Status sind. Dabei werden oft unbekannte oder nicht verwaltete Vermögenswerte übersehen, die der Erwerber unwissentlich als kompromittiertes Netzwerk erbt.
Gehen Sie nicht davon aus, dass der Verkäufer alles weiß. Sie sollten immer die externe Angriffsfläche des Unternehmens, das Sie erwerben, analysieren.
Grund Nr. 4: Die Führungskräfte des zu übernehmenden Unternehmens zögern oft, negative Informationen über ihre Abteilungen weiterzugeben.
Seien wir ehrlich, niemand möchte vor einem neuen Eigentümer oder Chef schlecht dastehen. Wenn der CISO die Details, die er über seine Abteilung weiß, mitteilt, konzentriert er sich auf die besten Teile davon. Sie wollen nicht der Grund für das Scheitern dieser Fusion oder Übernahme sein.
Außerdem raten Anwälte und Banker den Verkäufern, einfach nur die angeforderten Daten zu liefern oder die gestellten Fragen zu beantworten, da die Gerichte den Käufern die Pflicht auferlegt haben, eine effektive Due-Diligence-Prüfung durchzuführen.
In der Geschichte des Delaware Chancery Court wurde nur ein einziger Fall(Akorn 2018) zugunsten eines Erwerbers entschieden, in dem dieser eine Fusion nach der Unterzeichnung und Ankündigung einer endgültigen Vereinbarung wegen einer wesentlichen nachteiligen Änderung beenden konnte, wenn das Zielunternehmen keine vollständige und angemessene Offenlegung vorgenommen hatte.
Sobald Sie eine Akquisition ankündigen, können Sie sie höchstwahrscheinlich behalten - in guten wie in schlechten Zeiten.
Grund Nr. 5: Bedrohungsakteure beobachten Übernahmen und suchen sofort nach der Ankündigung nach Schwachstellen, die sie ausnutzen können.
Die schlichte Wahrheit ist, dass Sicherheitsteams sich ständig neu orientieren müssen, um ihre Organisationen zu schützen. Und die Bedrohungsakteure müssen es nur einmal richtig machen. Noch besser: Sie wissen, dass ein Unternehmen direkt nach der Ankündigung einer Übernahme am verwundbarsten ist.
Laut PWC ist dies eine Zeit, in der sich für Hacker viele Möglichkeiten bieten:
"Eine Übernahme mit bestehenden Cyberschwachstellen kann von Bedrohungsakteuren genutzt werden, um sich im Laufe der Integration Zugang zum übernehmenden Unternehmen zu verschaffen. Der Zeitraum zwischen der Ankündigung und dem Abschluss einer Übernahme ist besonders gefährdet, wenn Schwachstellen bestehen, da das Bewusstsein für diese Schwachstellen und die Möglichkeiten, die sich daraus ergeben, erhöht sind. Dieses Potenzial kann bei den Beteiligten - einschließlich Investoren, Aktionären, Kunden, Mitarbeitern und Zulieferern - Ängste hervorrufen, was das Risiko von Störungen erhöht." - Wenn Cyber eine Bedrohung für M&A darstellt, PWC US, 2018
Nach der Ankündigung einer Übernahme sind die Sicherheitsteams beider Seiten durch "Ich-Probleme" abgelenkt, aber die Angreifer sind konzentrierter denn je. Durch die kontinuierliche Erstellung von Berichten über die Angriffsfläche während des gesamten Zeitraums können beide Unternehmen zusammenarbeiten und alle auftretenden Risiken schnell beseitigen.
Attack Surface Reports sind während des M&A-Prozesses unerlässlich
Die Sicherung einer externen Angriffsfläche ist etwas, das jedes Unternehmen tun sollte, unabhängig davon, ob eine Übernahme im Gange ist oder ob es sich um ein ganz normales Geschäft handelt. Für Bedrohungsakteure ist die Suche nach ungeschützten Ressourcen im Internet ein leichtes Unterfangen. Es ist für sie leicht zu finden, und sie werden diese Gelegenheit nutzen.
Censys Attack Surface Management (ASM) scannt das Internet kontinuierlich auf der Suche nach den unbekannten Assets, die die größten Risiken für ein Unternehmen darstellen. Als erstes - und bestes - Tool auf dem Markt ermöglicht es den Sicherheitsteams, ihre ständig wachsenden Angriffsflächen im Blick zu behalten und die Risiken vor allen anderen zu finden.
Um mehr über Censys ASM zu erfahren, sehen Sie sich unsere Demo an.
ASM jetzt ausprobieren
