Der M&A-Markt bricht erneut alle Rekorde. 5,9 Billionen USD wurden im Jahr 2021 durch M&A-Transaktionen weltweit umgesetzt.¹ Schäden, die durch Cyberangriffe entstehen, erreichen ebenfalls Rekordniveau. 6 Billionen USD im Jahr 2021.² Mangelhafte oder fehlende Cybersicherheit ist gegenwärtig die mit Abstand größte Bedrohung für alle Unternehmen. Trotzdem werden Unternehmen bei M&A-Transaktionen derzeit nicht durchgehend auf Cyberrisken geprüft. Dies liegt daran, dass sich bislang kein Standard für die Prüfung und den möglichen Umgang mit den Prüfungsergebnissen etabliert hat.
Cybersicherheit bei M&A-Transaktionen
Während klassische Prüfungspunkte des Ziel-Unternehmens bei einem Unternehmenskauf beispielsweise durch Business, Tax oder Legal Due Diligence analysiert und damit fassbarer Bestandteil eines Transaktionsprozesses werden, gilt dies nicht gleichsam für Cyberrisiken. Cybersicherheit ist für viele Unternehmen nach wie vor eine schwer zu lösende Aufgabe. Ganz überwiegend wird dieser Aspekt daher auch im M&A-Prozess ausgeblendet. Dies liegt vor allem daran, dass es hierzu bislang keine (rechtlich) anerkannten Standards gibt und sich daher auch marktseitig bislang wenig Kompetenzen gebildet haben, um diesem Umstand abzuhelfen. Die Risiken und daraus resultierende Schäden betreffen alle Transaktionsparteien.³ Der Käufer erwirbt ein gegebenenfalls gegen eine große Bedrohung nicht abgesichertes Unternehmen, der Verkäufer sieht sich in der Folge Gewährleistungs-, Rücktritts- und Schadenersatzansprüchen des Käufers gegenüber. Spiegelbildlich zu diesen Risiken ist ein im Rahmen einer Cyber Due Diligence festgestelltes, schlüssiges und stabiles System zur Abwehr von Cyberrisiken ein echter Wertfaktor, der im Transaktionsprozess geprüft und durch die Parteien beim Kaufpreis hinreichend zu taxieren ist.
Inhalt einer Cyber Due Diligence
Eine durch qualifiziertes Fachpersonal durchgeführte und durch rechtliche Berater adäquat im Transaktionsprozess berücksichtigte Cyber Due Diligence ist ein unabdingbarer Bestandteil jeder Transaktion in der heutigen Zeit. Als Ergebnis der Cyber-Due Diligence steht, je nach Bedarf, ein Ergebnisbericht oder eine Handlungsanweisung durch den hierzu beauftragten Dienstleister. Idealerweise wird die Cyber Due Diligence mit einem Penetrationstest gestartet. Mit Hilfe dieses simulierten analogen und digitalen Angriffs wird der Status Quo der Cybersicherheit im Ziel-Unternehmen bzw. dessen aktuelle Verteidigungsfähigkeit analysiert. Hieran anknüpfend sollte das Datenschutzkonzept des Targets und das bestehende Cyber-Risk-Management-System („CRMS“) geprüft werden. Dabei müssen in Zusammenarbeit von Cybersicherheit-Dienstleister und rechtlichem Berater der Transaktionsparteien auch das Management, insbesondere CEO, CISO und Datenschutzbeauftragte befragt werden. Relevant ist vor allem der Umfang (ganzheitlich oder punktuell) und die Akzentuierung des CRMS auf wesentliche, betriebsrelevante Anlagen und Prozesse des Unternehmens. Mindestens in Bezug auf die vermögenswerten Anlagen und Prozesse sollte auch ein Cybersicherheit-Incident-Response-Plan („CIRP“) zur Gewährleistung des Fortlaufs des Betriebes des Unternehmens bei realisierten Cyber-Risiken vorliegen. Soweit ein Target kein CRMS oder CIRP hat, muss mit dem Dienstleister ein solches erarbeitet und zur wesentlichen Vertragsgrundlage der Transaktion gemacht werden. Außerdem muss der Faktor Mensch, das mit Abstand höchste Sicherheitsrisiko, im Hinblick auf die Mitarbeiter gegebenenfalls bestehende Cyberversicherungen sowie deren Versicherungsausschlüsse begutachtet werden. Um das Ziel-Unternehmen während der Transaktion abzusichern, ist es empfehlenswert, dieses für die Dauer der Transaktion in sehr kurzen Abständen oder dauerhaft durch Cyber Defense Operation Center („CDOC“) kontrollieren zu lassen. Das CDOC spiegelt den Transaktionsparteien die Sicherheitslage des Targets in Echtzeit wider („Cyber Monitoring“). Dadurch wird das erhöhte Risiko eines Cyberangriffs infolge der Unternehmenstransaktion selbst sinnvoll adressiert, denn es wird üblicherweise ein virtueller Datenraum mit allen vertraulichen Transaktionsdaten eingerichtet, der ein Ziel für Ransomware-Attacken darstellen kann.
Cybersicherheit im M&A-Vertrag
Es kommen verschiedene Möglichkeiten in Betracht, um die Erkenntnisse einer Cyber Due Diligence im M&A-Vertrag auf die Bedürfnisse der Parteien angepasst zu berücksichtigen. Zunächst kann eine starke Cybersicherheit als Wertfaktor beim Kaufpreis berücksichtigt werden. Ist die Cybersicherheit hingegen eher ein Risikofaktor, können zusätzliche Vertragsklauseln in den Vertrag aufgenommen werden. In Betracht kommen Freistellungsabreden für die Verwirklichung bestimmter Cyberrisiken, eine selbstständige Verkäufergarantie im Hinblick auf die Cybersicherheit des Targets oder eine als Rücktrittsrecht des Käufers formulierte Material-Adverse-Change-Klausel im Falle wesentlicher nachteiliger Veränderungen zwischen Vertragsschluss und tatsächlicher Unternehmensübernahme. Zusätzlich kann auch eine Warranty & Indemnity-Versicherung für den M&A-Vertrag abgeschlossen werden, wobei die Cyber Due Diligene als Grundlage der Risikoeinschätzung hinsichtlich der Cybersicherheit herangezogen wird.
Fazit
Im Hinblick auf die stetig wachsende Zahl von Cyberangriffen und die hohen Vermögens- sowie Rufschäden einer solchen Attacke, ist die Cyber-Due Diligence für eine sichere Unternehmenstransaktion unbedingt zu empfehlen.⁴ Eine starke Cybersicherheit ist ein Wertfaktor. Eine mangelnde Cybersicherheit ist nicht zwangsläufig ein K.-o.-Kriterium, sondern kann durch die korrekte Formulierung im Kaufvertrag interessengerecht und fair adressiert werden. Rechtliche Beratung und die Arbeit eines Dienstleisters hinsichtlich der Cybersicherheit sollte für die optimale Bedürfnisbefriedigung und Absicherung der Transaktionsparteien im Tandem erfolgen.
________________________________
¹ M&A Report 2022 von Bain & Company, abrufbar unter https://www.bain.com/insights/topics/m-and-a-report/.
² Tagesschau vom 18.01.2022, abrufbar unter https://www.tagesschau.de/wirtschaft/unternehmen/cyberattacken-unternehmen-risiken-101.html.
³ FedEX, die Marriott Gruppe und Verizon sind nur drei prominente Beispiele, bei denen eine fehlende Cyber-Due-Diligence im Zuge einer Transaktion zu Millionenschäden geführt haben.
⁴ Ausführlich zur Cyber Due Diligence, Grieger WM 2022, 1865 ff.