Post-Merger-Integration: IT-Sicherheit bei Unternehmen
„Vorsicht ist besser als Nachsicht.“ – geplant fusionieren spart Zeit, Geld und Nerven.
Der Begriff Post-Merger-Integration kommt für die Harmonisierung zweier bestehender Systeme nach einem Zusammenschluss von Unternehmen zum Einsatz. Das betrifft sowohl die organisatorischen Strukturen und Entscheidungsprozesse als auch die Produktionsabläufe. Einen Kernpunkt bei der Post-Merger-Integration stellen die IT-Systeme dar. Dort kommt es nach Unternehmensfusionen häufig zu Problemen, die auch geschäftskritische Sicherheitslücken bewirken können. Mit einer guten Vorbereitung können die Verantwortlichen solche Sicherheitslücken vermeiden.
IT-Sicherheit wird immer relevanter in der Post-Merger-Integration
Die Post-Merger-Integration ist der letzte Schritt bei einer Fusion zweier Firmen. Der Startschuss fällt mit der Auswahl der infrage kommenden Firmen und der Erstellung eines Integrationsplans. Schon an dieser Stelle muss die IT-Sicherheit eine wichtige Rolle spielen. Bei der Gestaltung des Integrationsplans sollte der Kompatibilitätsprüfung der IT-Systeme der beteiligten Unternehmen gesonderte Beachtung geschenkt werden.
Das ist besonders dann wichtig, wenn die fusionierenden Unternehmen komplexe und individuell angepasste ERP-Systeme verwenden. Dabei steht die Frage im Raum, ob ein Angleich möglich ist, oder der bessere Weg die Einführung eines neuen Systems im Rahmen der Fusion wäre. In vielen Fällen ergibt es auch Sinn, die bestehenden IT-Systeme zuerst einmal beizubehalten und die Einführung eines gemeinsamen Systems langfristig vorzubereiten.
Mitarbeiter müssen auf die Post-Merger-Integration vorbereitet werden
Ein Zwischenschritt bei der Unternehmensfusion ist die Vorbereitung der Mitarbeiter auf die neuen Anforderungen. Hier kommen die Unternehmen vor allem mit Blick auf die genutzten IT-Systeme um die Schulung der Mitarbeiter nicht herum. Firmen, die mit allgemein üblichen IT-Systemen (wie beispielsweise der SAP-Software) arbeiten, haben klare Vorteile. Einerseits sind die Grundfunktionen der Software bekannt. Andererseits bieten die als Administratoren agierenden Dienstleister Anpassungsschulungen der Mitarbeiter vor Ort in den Unternehmen an.
Beschäftigen die fusionierenden Firmen selbst IT-Sicherheitsexperten, ist eine enge Kooperation mit den Experten der zweiten Firma vor der praktischen Phase der Zusammenlegung notwendig. So können potenzielle Probleme und Sicherheitsrisiken bereits vor der Implementierung einer aufgekauften Firma aufgespürt und durch vorbereitende Maßnahmen ausgeschaltet werden.
Firmeninternen IT-Experten fehlt die Erfahrung zur Risikobewertung
Das ergibt sich im Umkehrschluss aus den Zahlen der Forescout-Studie. Nur rund 37 Prozent der Probanden waren der Meinung, dass ihre firmeninternen IT-Sicherheitsexperten die notwendigen Kenntnisse und Erfahrungen für eine verlässliche Sicherheitseinschätzung mitbringen. Externe Sicherheitsbewertungen kosten zusätzliches Geld und werden deshalb häufig unterlassen. Allerdings hätten die Unternehmen die Chance, genau dort möglichen Problemen vorzubeugen.
Sie müssten permanent mehr Wert auf die ständige Weiterbildung ihrer internen IT-Experten legen. Eine hundertprozentige Cybersicherheit gibt es nicht und wird es auch in Zukunft nicht geben. Aber die kontinuierliche Weiterbildung trägt dazu bei, dass die Wahrscheinlichkeit für Sicherheitslücken in den IT-Systemen von Unternehmen insgesamt sinkt.
Der Mensch selbst ist ein Risikofaktor bei der Post-Merger-Integration der IT-Systeme
Viele Sicherheitslücken entstehen durch Bedienfehler sowohl bei der Administration der Netzwerke als auch beim Umgang mit der Software. Beispiele dafür sind unbemerkt aktive Drucker mit WLAN-Modul oder offen einsehbare Anzeigen von Kundendaten auf Rechnern in Büros mit Publikumsverkehr. An dieser Stelle spielt die Prävention eine große Rolle. Bei der Implementierung der IT-Systeme von übernommenen Firmen sind die IT-Sicherheitsexperten gefragt. Sie müssen beispielsweise automatische Abschaltungen und Abmeldungen integrieren, sofern sie noch nicht genutzt werden. Zahlreiche Bedienfehler lassen sich über die Einschränkung von Zugriffsrechten ausschalten.
Ein Beispiel ist die Beschränkung auf einen Nur-Lesen-Zugriff oder die Bearbeitung von Daten über spezielle Eingabemasken. Müssen die Mitarbeiter nach einer Fusion mit einem anderen IT-System arbeiten, lassen sich zahlreiche Bedienfehler über gründliche Mitarbeiterschulungen ausschalten. Diese Maßnahmen kosten zwar Zeit und Geld, reduzieren aber das Risiko von Schadenersatzforderungen oder Gewinnausfällen nach Hackerangriffen.
Cybersicherheit ist bei der Akquise und Zusammenführung von Unternehmen kritisch
Das amerikanische Unternehmen Forescout Technologies Inc. hat im Sommer 2019 eine Studie veröffentlicht, deren Zahlen die Bedeutung der IT-Sicherheit bei Fusionen eindeutig untermauern. Für die Studie zur Cybersicherheit wurden über 2.700 Unternehmen in sieben Ländern befragt. Dazu gehörten beispielsweise Deutschland, die USA, Frankreich, Australien und Großbritannien. Demnach tauchten bei 53 Prozent aller Fusionen akute Probleme bei der durchgehenden Garantie der IT-Sicherheit auf.
Oftmals gehörten teure Anpassungsmaßnahmen zu den Konsequenzen der Unternehmensfusionen. Rund 65 Prozent der Befragten gaben an, dass sie bei Kenntnis dieser Probleme bezüglich der IT-Sicherheit, die Verträge zu den Unternehmenskäufen oder Unternehmensfusionen nicht unterzeichnet hätten.
Was muss bei der Post-Merger-Integration verbessert werden?
Die Forescout-Studie beschäftigte sich auch mit den Ursachen der IT-Sicherheitsprobleme bei der Post-Merger-Integration. Rund 81 der Probanden gaben an, dass sie der Cybersicherheit im Vorfeld der Unternehmenskäufe und Fusionen nicht genügend Aufmerksamkeit geschenkt haben. Sie zogen daraus die Schlussfolgerung, dass bei künftigen Fusionen das Hauptaugenmerk auf die Sicherheit der IT-Systeme gerichtet werden muss. Weitere 36 Prozent der befragten Entscheidungsträger gaben an, dass der Zeitdruck ein kritischer Faktor bei den Fusionen ist. Häufig fehlt den IT-Experten die Zeit, die Vereinbarkeit zweiter Systeme vor der Fusion ausreichend unter die Lupe zu nehmen.
Oftmals reicht die Zeit nicht einmal aus, um die zu implementierenden Systeme auf Schwachstellen zu prüfen. Dabei sind sich knapp drei Viertel aller Befragten einig, dass gravierende Sicherheitslücken in den Systemen des Fusionspartners ein „Deal Breaker“ ist. Das heißt, sie würden beim Wissen um solche Lücken die Fusionsverträge nicht unterschreiben.
Post-Merger-Integration im IT-Bereich spielt in Zukunft eine wachsende Rolle
Auch das geht aus den Resultaten der Forescout-Studie hervor. 77 Prozent der befragten Unternehmer gaben an, dass für sie innerhalb des nächsten Jahres ein Unternehmenskauf oder eine Fusion infrage kommen würden. Gleichzeitig wächst die Größe der fusionierenden Firmen und mit ihnen die Komplexität der zu verknüpfenden IT-Systeme. Dazu kommt die Tatsache, dass die Digitalisierung weiter voranschreitet. Dementsprechend betreiben auch immer mehr Unternehmen eigene IT-Systeme, die bisher darauf verzichtet haben. Einen wichtigen Beitrag dazu leistet der Ausbau schneller Datennetze.
Infolgedessen steigt die Anzahl der Applikationen, die sich nicht mehr nur auf Arbeitsplatzrechnern nutzen lassen, sondern auch auf Smartphones und Tablets laufen. Konsequenzen dieses Trends sind steigende Ansprüche an die Sicherheit der verwendeten IT-Systeme, da auch mögliche Sicherheitsrisiken durch die Übertragung der Daten per Mobilfunktechnik berücksichtigt werden müssen.
Technologie als wachsendes Sicherheitsrisiko
Das Internet of Things (kurz IoT) stellt die Post-Merger-Integration-Verantwortlichen vor neue Herausforderungen. Die Zahl der internetfähigen Geräte steigt weltweit seit einiger Zeit rasant an. Dieser Trend wird sich in den nächsten Jahren fortsetzen. Beispiele sind die für ein Smart Home erforderlichen Geräte. Sie verschaffen Hackern völlig neue Angriffspunkte, wie im Jahr 2015 die TV-Serie „CSI: Cyber“ in mehreren Folgen eindrucksvoll zeigte. Sicherheitslücken bei internetfähigen Haushaltsgeräten lassen sich beispielsweise zur Initiierung von Haus- und Wohnungsbränden ausnutzen.
Sicherheitslücken bei internetfähigen Puppen und Spielrobotern oder Babyphones öffnen Hackern Tür und Tor zum Ausspionieren der Privatsphäre. Das sind nur einige Beispiele, denn die Liste ließe sich unendlich fortsetzen. Andererseits können die zum IoT gehörenden Geräte für DDoS-Attacken ausgenutzt werden. Das heißt, die Unternehmen müssen auf ihren Servern ausreichende Leistungsreserven vorhalten, damit sie bei Massenanfragen nicht „in die Knie gehen“ und den Zugriff auf normalerweise nicht zugängliche Speicherbereiche freigeben.
Cloud-Dienste brauchen bei der Post-Merger-Integration mehr Aufmerksamkeit
Immer mehr Unternehmen nutzen die Cloud-Dienste, weil sie den Vorteil haben, dass darauf von jedem beliebigen Ort und Endgerät zugegriffen werden kann. Die gleichen Vorteile bietet die Bereitstellung von Software als Dienstleistung (SaaS), was zur Beliebtheit dieser Methode der Softwarenutzung beiträgt. Die dazugehörigen Daten speichern die Bediener häufig sowohl auf lokalen Rechnern und Servern als auch in der Cloud. Bei Fusionen erhalten diese Punkte zu wenig Beachtung. Häufig geraten die in der Cloud gespeicherten Daten in Vergessenheit. Das passiert vor allem dann, wenn sich im Rahmen einer Fusion die Zuständigkeit für die IT-Sicherheit plötzlich ändert.
Allein schon deshalb sind im Vorfeld einer Fusion gründliche Analysen und Dokumentationen der vorhandenen IT-Systeme unverzichtbar. Hier macht sich der Zeitdruck ebenfalls oft negativ bemerkbar. Er sorgt dafür, dass solche umfangreichen Analysen nicht bei jeder Fusion durchgeführt werden. Die Konsequenz sind erhebliche Probleme und plötzlich auftauchende Sicherheitslücken bei der Post-Merger-Integration.
Viele Endgeräte bleiben völlig unbemerkt in den Firmennetzwerken
In zahlreichen Unternehmen ist es leider noch üblich, diverse Endgeräte manuell zu managen. Das ist im 21. Jahrhundert ein erhebliches Risiko. Es resultiert nicht zuletzt aus der Tatsache, dass die Anzahl der netzwerkfähigen Endgeräte steigt. Beispiele dafür sind die privaten Smartphones und Tablets der Mitarbeiter. Loggen sie sich unbemerkt in ein Firmennetzwerk ein, können sie eine Schadsoftware einschleusen.
Die Post-Merger-Integration muss im IT-Bereich deshalb unbedingt eine intelligente Steuerung der Zugriffsrechte per Software anwenden. Das gestaltet sich allerdings etwas schwierig, weil nicht immer eine zuverlässige Erkennung über eine IP-Adresse möglich ist.
Deshalb sollten die IT-Sicherheitsexperten den Geräten in einem Firmennetzwerk eine feste IP-Adresse zuweisen oder die zugriffsberechtigten Endgeräte über die sogenannte MAC-Adresse erfassen. Sie ändert sich im Gegensatz zur IP-Adresse bei einer dynamischen Vergabe im WLAN nicht. Dadurch kann eine Software binnen Bruchteilen einer Sekunde erkennen, ob ein Endgerät eine Zugriffsberechtigung besitzt.
Post-Merger-Integration ist in Deutschland besonders risikobehaftet
Vor allem auf das Internet of Things sind die meisten deutschen Unternehmen nicht ausreichend vorbereitet. Nach der Forescout-Umfrage hatten es die IT-Experten in 23 Prozent der befragten Unternehmen nach Fusionen plötzlich mit zusätzlichen 500.000 Endgeräten zu tun. Ihnen fehlten die Kapazitäten und Möglichkeiten, die Vielzahl der Endgeräte vernünftig zu managen. In mehr als der Hälfte aller deutschen Unternehmen (60 Prozent) führte das dazu, dass nach der Post-Merger-Integration unzählige Endgeräte von den IT-Systemen in den Netzwerken nicht bemerkt wurden. Das heißt sie agierten außerhalb des Überwachungsbereichs der Sicherheitsexperten. In 56 Prozent der Fälle gefährdete das sogar den Erfolg der gesamten Fusion. Die Ursache dafür waren Zusatzkosten für die Beseitigung der Sicherheitslücken, welche nicht in der Planung der Fusionskosten vorgesehen waren.
IT-Sicherheitslücken können Unternehmen komplett ruinieren
Das ist ein Fakt, der sich leider offenbar noch nicht bis zu allen Entscheidungsträgern herumgesprochen hat. Dabei öffnet die mangelhafte Beachtung der Cybersicherheit beispielsweise Tür und Tor für Industrie- und Technologiespionage. Greifen Hacker erfolgreich an und stehlen wichtige Dokumente über Produktneuentwicklungen, ist die Markt- und Zukunftsfähigkeit der betroffenen Unternehmen ernsthaft in Gefahr. Entwenden die Hacker Kundendaten, drohen immense Schadenersatzforderungen.
Ein noch höheres Risiko resultiert aus Manipulationen an der Steuerung von Anlagen und Systemen. Geht zum Beispiel ein größeres Kraftwerk durch einen Hackerangriff offline, kann das eine Kettenreaktion bis hin zum Blackout in einer größeren Region führen. Das hat erst unlängst der (allerdings durch eine Havarie bedingte) Ausfall zweier Transformatoren in Großbritannien gezeigt.
Fazit: Post-Merger-Integration braucht gründlichere Vorbereitung
Auch wenn bei einer Unternehmensfusion die Zeit oftmals drängt, müssen sich die Verantwortlichen an einer Stelle besonders viel Zeit nehmen. Die IT-Sicherheit hat einen ständig steigenden Stellenwert bei der Post-Merger-Integration. Viele Unternehmen bereuen inzwischen, dass sie sich die Zeit für die Prüfung der IT-Sicherheit beim Fusionspartner oder einer aufgekauften Firma nicht genommen haben. Unentdeckte Sicherheitslücken treiben die Kosten einer Fusion und Implementierung eines übernommenen Unternehmens kräftig in die Höhe. Diese Investitionen sind unumgänglich, weil die Folgen nicht behobener Sicherheitslücken viel teurer werden können.
Bei deutschen Unternehmen besteht ein erheblicher Nachholbedarf bei der Berücksichtigung des Internet of Things. Auf die immense Zahl der dazugehörigen Endgeräte sind die IT-Sicherheitsexperten deutscher Firmen in der Regel nicht vorbereitet. Auch die Erfassung der zugangsberechtigten Endgeräte bereitet derzeit noch erhebliche Probleme, obwohl es gute Alternativen zur manuellen Erfassung der IP-Adressen in White-Lists und Black-Lists gibt.
Natürlich spielt in Europa auch die Einhaltung der Bestimmungen der Datengrundschutzverordnung eine wichtige Rolle. Auch das hat Auswirkungen auf die Anforderungen an die Cybersicherheit. Wer an dieser Stelle nachlässig ist, riskiert hohe Bußgelder. Von Bedeutung ist dieser Punkt bei der Arbeit mit SaaS-Angeboten und der Speicherung von Daten in einer Cloud.
Ihr regelmäßiges Update zur Finanzbranche
Erhalten Sie regelmäßig die aktuellsten Meldungen zur Finanzwelt sowie exklusive Tipps und Tricks rund um das Thema Unternehmensfinanzierung.
Ja, ich möchte den FinCompare Newsletter erhalten.
* Pflichtfelder
