M&A-Transaktionen

Wenn Deals plötzlich wackeln: Wie Cyberrisiken M&A-Transaktionen ausbremsen

, FTI Consulting | Autor: Herbert Wieler

Wenn Deals plötzlich wackeln: Wie Cyberrisiken M&A-Transaktionen ausbremsen

Nur jeder dritte CISO maßgeblich an Transaktionsentscheidungen beteiligt

Es sind die großen Momente der Unternehmenswelt: Übernahmen, Fusionen, strategische Zusammenschlüsse. Wochen- oder monatelang wird verhandelt, geprüft, bewertet. Doch immer häufiger kommt ein unsichtbarer Risikofaktor dazwischen – und der kann teuer werden: Cyberangriffe.

Eine aktuelle Studie von FTI Consulting zeigt, wie stark Cybervorfälle den Erfolg von M&A-Deals beeinflussen. Das Ergebnis ist deutlich – und für viele überraschend.

Wenn ein Angriff Millionen kostet

Wird ein Unternehmen während oder kurz nach einer Transaktion Ziel eines Cyberangriffs, hat das oft unmittelbare finanzielle Folgen. In 42 Prozent der Fälle sank der Deal-Wert, mehr als die Hälfte der Unternehmen verfehlte ihre ursprünglichen finanziellen Ziele. Und bei jedem fünften Deal kam es sogar zu Verzögerungen oder einem kompletten Stillstand. Besonders brisant: Jede vierte Transaktion ist innerhalb von zwei Jahren nach dem Closing von einem Cybervorfall betroffen. Zwei Drittel dieser Vorfälle sind schwerwiegend – etwa Datendiebstahl, Erpressung oder Angriffe über externe Dienstleister.

Doch die direkten Kosten sind nur ein Teil des Problems. Viele Unternehmen kämpfen zusätzlich mit Reputationsschäden und verstärkter Kontrolle durch Aufsichtsbehörden oder Investoren. Ein Cyberangriff wird damit schnell zum strategischen Risiko – nicht nur zum IT-Problem.

Zeitdruck schlägt Sicherheit

Warum sind Unternehmen so anfällig? Ein zentraler Faktor ist schlicht: Zeitdruck. Rund 41 Prozent der Befragten geben an, dass der Druck, Deals schnell abzuschließen, dazu führt, dass Cyberrisiken in der Due-Diligence-Phase zu wenig Beachtung finden. Geschwindigkeit schlägt Sorgfalt – mit potenziell teuren Konsequenzen.

Gleichzeitig herrscht ein bemerkenswertes Ungleichgewicht: Zwar halten die meisten Entscheider die Rolle des CISO (Chief Information Security Officer) für entscheidend – doch in der Praxis wird er oft kaum eingebunden.

  • Nur 34 Prozent der CISOs sind maßgeblich an Transaktionsentscheidungen beteiligt
  • Ein Drittel glaubt nicht einmal, einen Deal bei zu hohem Risiko stoppen zu können Was bleibt, ist ein strukturelles Problem: Cyberexpertise ist vorhanden – wird aber zu selten konsequent genutzt.

Die unterschätzte Phase nach dem Deal

Besonders kritisch wird es nach dem Abschluss der Transaktion. Denn genau dann entstehen neue Schwachstellen. Wenn zwei Unternehmen ihre IT-Systeme zusammenführen, treffen oft unterschiedliche Sicherheitsstandards, Prozesse und Risikokulturen aufeinander. 84 Prozent der Befragten berichten von erheblichen Schwierigkeiten bei dieser Integration.

Und dennoch: Während der Transaktion steuern noch etwa die Hälfte der Unternehmen ihre Cyberrisiken aktiv, nach dem Closing sinkt dieser Wert auf nur noch 23 Prozent. Gleichzeitig fehlt bei fast 40 Prozent ein klarer Plan für die Integration der Cybersicherheit. Das ist riskant – denn gerade in dieser Phase entstehen neue Angriffsflächen: unklare Zugriffsrechte, fehlende Systemübersicht, offene Schnittstellen.

Mehr Deals, mehr Risiken

Die Bedeutung dieser Erkenntnisse wächst mit der Dynamik des Marktes. Die M&A-Aktivität zieht wieder an – etwa im Versicherungssektor oder im Bereich Healthcare und Life Sciences, wo zuletzt Rekordzahlen erreicht wurden. Mehr Deals bedeuten aber auch: mehr potenzielle Angriffsflächen. Cybersecurity ist kein Nebenschauplatz mehr

Die Studie macht eines klar: Cyberrisiken sind längst kein Randthema mehr bei Transaktionen. Sie beeinflussen Bewertungen, Zeitpläne und letztlich den gesamten Erfolg eines Deals. Oder anders gesagt: Wer Cybersecurity zu spät einbindet, zahlt am Ende oft doppelt – finanziell und reputativ.

Die Herausforderung für Unternehmen besteht nun darin, Cyberkompetenz frühzeitig und strukturell in M&A-Prozesse zu integrieren. Denn in einer zunehmend digitalen Wirtschaft gilt mehr denn je: Ein Deal ist nur so sicher wie seine schwächste Schnittstelle.

Über die Studie / Methodik

FTI Consulting hat in der Untersuchung CISO Redefined III: Navigating Cybersecurity Risks in Transactions 100 CISOs, 78 M&A-Verantwortliche und 100 General Counsels in Unternehmen mit mindestens 500 Mitarbeitern befragt. Die Mehrheit der teilnehmenden Unternehmen verfügt über eine Marktkapitalisierung von mehr als 5 Milliarden US-Dollar.