Zurück zur Übersicht

Cyber Due Diligence bei M&A – So gelingen cybersichere Übernahmen

Autor
Markus Limacher
Veröffentlicht
15. Mai 2025
Bei M&A-Transaktionen ist Cyber Security ein entscheidender Faktor, da digitale Sicherheitsrisiken erhebliche finanzielle, rechtliche und operative Folgen haben können. Eine unzureichende Cyber Security Due Diligence kann dazu führen, dass Unternehmen versteckte Cyberbedrohungen, Datenlecks oder unsichere IT-Systeme übernehmen. Diese Checkliste mit den 3 Top-Cyber-Security-Massnahmen führt Sie cybersicher durch den Deal.

Cyberkriminelle nutzen gezielt die Komplexität und Dynamik von M&A-Transaktionen. Der Grund: Inmitten von Integrationsprozessen, Systemwechseln und organisatorischer Neuordnung sind Sicherheitsarchitekturen besonders anfällig. Durch vorausschauendes Planen lassen sich solche Schwachstellen vermeiden.

Ein strukturiertes Cyber-Security-Assessment hilft Organisationen in der sensiblen Phase von Fusionen und Akquisitionen, Risiken frühzeitig zu erkennen, Sicherheitslücken zu schliessen und eine nahtlose IT-Integration sicherzustellen.

Cyberrisiken im Schatten der Fusion

Die Integration von Cyber-Security-Massnahmen im M&A-Prozess ist essenziell, um Risiken zu minimieren. Nachfolgend die wichtigsten Bedrohungen.

  1. Data Leaks & Verborgene Cyberangriffe
    - Kompromittierte Systeme oder gestohlene Kundendaten werden unbemerkt übernommen.
    - Advanced Persistent Threats (APTs) behalten unentdeckt Zugriff auf Unternehmensnetzwerke.
  2. Nicht-konforme IT-Sicherheit & regulatorische Risiken
    - Unterschiedliche Sicherheitsstandards und Compliance-Anforderungen (z.B. revDSG, DSGVO, NIS2) führen zu hohen Strafen.
    - Unsichere Cloud-Dienste und fehlende Audit-Trails erschweren die Compliance.
  3. Legacy-Systeme & Schatten-IT
    - Veraltete oder nicht dokumentierte Systeme erhöhen das Risiko von Sicherheitslücken.
    - Fehlende Transparenz über IT-Assets erschwert die Risikobewertung.
  4. Schwache Zugriffsverwaltung & Social Engineering
    - Unzureichende Identity & Access Management (IAM)-Richtlinien ermöglichen Insider-Bedrohungen oder unbefugten Zugriff.
    - Hacker nutzen gezielte Angriffe wie CEO-Fraud und Spear-Phishing in Umstrukturierungsphasen.
  5. Third-Party Risks & Supply-Chain-Security
    - Unsichere externe Dienstleister und Zulieferer stellen ein Risiko für Schwachstellen dar.
    - Sicherheitsüberprüfungen von Partnern sind unerlässlich.
  6. Fehlende Reaktionsfähigkeit
    - Ohne Cyberversicherung sind finanzielle Schäden unzureichend abgesichert.
    - Fehlendes Incident Management verzögert Reaktionen auf akute Bedrohungen und erhöht das Schadensausmass.
«Eine gründliche Due-Diligence- und Zero-Trust-Strategie reduziert Risiken bei M&A-Transaktionen.»

Cyber-Security-Checkliste für sichere Übernahmen

Im Rahmen eines M&A-Prozesses sind drei zentrale Phasen der Cyber-Security-Massnahmen wichtig.

Vor der Integration: Cyber Security Due Diligence (vor der Integration)

IT-Systeme und Sicherheitsprozesse des Zielunternehmens werden umfassend geprüft. Schwachstellen, Compliance-Lücken und versteckte Sicherheitsvorfälle werden identifiziert, um fundierte Übernahmeschritte treffen zu können.

  1. Kritische digitale Assets identifizieren, prüfen und bewerten auf Sicherheitsmassnahmen für sensible Daten und Systeme z.B. basierend auf NIST CSF 2.0, Active Directory (AD) Security Assessment, Cloud Security Assessment auf Fehlkonfigurationen, Zugriffsrisiken und Compliance-Verstösse.
  2. Schwachstellenanalysen und Penetrationstests, simulierte Angriffe auf Netzwerke und Cloud-Architekturen identifizieren Risiken.
  3. Compliance-Prüfung und Gewährleistung, dass das Zielunternehmen regulatorische Anforderungen erfüllt (z.B. revDSG, DSGVO, NIS2, etc.).
  4. Compromise-Assessment-Untersuchung auf bestehende Sicherheitsverletzungen oder versteckte Angreifer.

Post Merger Cybersecurity Integration

Nach der Übernahme erfolgt die Zusammenführung der IT-Systeme beider Unternehmen. Dabei werden Sicherheitsstandards vereinheitlicht, Schnittstellen abgesichert und bestehende Risiken gezielt adressiert, um einen reibungslosen Übergang zu gewährleisten.

  1. Zero Trust und IAM-Überprüfung sowie Einführung von Multi-Faktor-Authentifizierung und Least-Privilege-Prinzip.
  2. Security Baseline Alignment zur Vereinheitlichung der Sicherheitsrichtlinien nach Best Practices (z.B. NIST, ISO 27001).
  3. Sichere IT-Integration zur Vermeidung offener Schnittstellen und Zusammenführung von Netzwerken unter Sicherheitsaspekten.
  4. Incident Management und Implementierung von Monitoring-Mechanismen zur frühzeitigen Erkennung von Bedrohungen.

Governance & kontinuierliche Verbesserung

Langfristig werden klare Verantwortlichkeiten definiert und regelmässige Audits sowie Schulungen durchgeführt. So wird ein dynamisches Sicherheitsmanagement etabliert, das sich an neue Bedrohungen anpasst und die Cyberresilienz dauerhaft stärkt.

  1. Klare Verantwortlichkeiten und Definition von Zuständigkeiten für Cybersecurity.
  2. Sicherheitsanforderungen in Verträge integrieren sowie Cybersecurity-Zusicherungen und Garantien in M&A-Verträgen verankern.
  3. Security Awareness und Schulungen zur Sensibilisierung der Mitarbeitenden für Cyberrisiken wie Phishing und Social Engineering.

M&A-Transaktionen bergen erhebliche Cyberrisiken, die durch eine gründliche Due Diligence und eine Zero-Trust-Strategie minimiert werden müssen. Die frühzeitige Identifikation von Bedrohungen, eine robuste Governance sowie die kontinuierliche Überwachung der IT-Sicherheit sind essenziell, um langfristigen Unternehmenserfolg sicherzustellen.

Wir empfehlen: Kein Deal ohne 360°-Cyberschutz

Unser standardisiertes Paket unterstützt Unternehmen im M&A-Prozess umfassend – von der initialen Cybersecurity-Due-Diligence bis hin zur Post Merger Cybersecurity Integration und der kontinuierlichen Verbesserung der Governance. Wir analysieren die IT-Sicherheitsarchitektur und Compliance-Prozesse durch Analysen, Interviews sowie technische Prüfungen. Auf Basis dieser Ergebnisse erstellen wir eine fundierte Risikobewertung und leiten konkrete Massnahmen zur Optimierung der Sicherheitsstandards ab.

Darüber hinaus unterstützen wir Unternehmen in der Post-Merger-Phase bei der sicheren Zusammenführung der IT-Systeme und der Vereinheitlichung von Sicherheitsrichtlinien. Im Rahmen der Governance und kontinuierlichen Verbesserung entwickeln wir langfristige Strategien, definieren Verantwortlichkeiten und führen regelmässige Audits sowie Schulungen durch – um den dynamischen Herausforderungen der Cyberwelt nachhaltig zu begegnen.

Starten Sie jetzt mit einem Cyber Security Assessment als ersten Schritt zur Cybersecurity Due Diligence – für eine sichere und erfolgreiche M&A-Transaktion. So legen Sie den Grundstein für nachhaltige Sicherheit – vor, während und nach dem Deal.

Cyber Security Assessment

 

 

Bildlegende: mit KI generiertes Bild
Artikel teilen

Blog

Digitaler Handshake symbolisiert cybersichere Mergers und Acquisitions
Blog 15. Mai 2025

Cyber Due Diligence bei M&A – So gelingen cybersichere Übernahmen

Cyber Security
InfoGuard Labs ist der Tech-Blog von InfoGuard
Blog 13. Mai 2025

Kritische Lücken in Mitel-SIP: InfoGuard-Pentester deckt auf – Mitel bestätigt

Cyber Security
Cyber-Incident-Krisenmanagement: mit dem Stakeholder Cyber Hacker am Verhandlungstisch
Blog 07. Mai 2025

Cyber Incident: Vom Dialog mit Hackern zur partizipativen Stakeholder-Strategie

Incident Response (IR)

Blog Updates abonnieren