Fusionen & Übernahmen vereinfachen und sichern
Schnellere, modernisierte IT-Integration
Der M&A-Ausblick
Angesichts der wirtschaftlichen Ungewissheit suchen Unternehmen nach neuen Wegen, um die Volatilität ihres Geschäfts zu verringern. Eine Möglichkeit ist zum Beispiel eine Fusion oder Übernahme (M&A), die das Produktangebot diversifizieren und gleichzeitig die Bedrohung durch den Wettbewerb verringern kann. Fusionen und Übernahmen können einem Erwerber auch helfen, mehr technische Talente zu gewinnen und die digitale Transformation zu beschleunigen.
Unternehmen, die Fusionen und Übernahmen tätigen, können jedoch während des gesamten Geschäftszyklus erheblichen Risiken im Bereich der Cybersicherheit ausgesetzt sein. Die Integration mit herkömmlichen Netzwerken kann zu ineffektiven, redundanten Systemen führen – und Ressourcen und Daten gefährden. Alternativ kann eine moderne M&A-IT-Integration, die Zero-Trust-Prinzipien anwendet, die folgenden Bemühungen bedeutend unterstützen:
Minimierung von IT-, Sicherheits- und Compliance-Risiken
Senkung der laufenden Kosten und Verbesserung der Produktivität
Beschleunigung der Umsetzung transformativer Technologien
Gängige IT-Risiken
Bei Fusionen und Übernahmen wirken sich die früheren Entscheidungen zur Cybersicherheit und die zugrundeliegenden IT-Systeme beider Unternehmen auf das jeweils andere aus. Angreifer können es auf die Daten des übernommenen oder veräußerten Unternehmens abgesehen haben, um in das größere übernehmende Unternehmen einzudringen.
Ein Beispiel dafür ist die Warnung des US Federal Bureau of Investigation (FBI) vor Ransomware-Akteuren, die Fusionen und Übernahmen ausnutzen. Angreifer bringen Trojaner-Malware in Umlauf, um gezielt nicht öffentlich zugängliche Informationen ausfindig zu machen, die (wenn sie veröffentlicht werden) einen Deal beeinträchtigen bzw. stören könnten, und nutzen diese Daten dann als Druckmittel, um Geld zu erpressen.
Einer von drei Führungskräften, die für M&A-Funktionen in akquirierenden Unternehmen verantwortlich sind, hat bereits Datenverstöße erlebt, „die auf M&A-Aktivitäten während der Integration zurückgeführt werden können.“ Ein wesentlicher Faktor ist die vergrößerte Angriffsfläche: Als Teil des Prozesses werden sensible Dateien und Daten digital mit mehreren Dritten geteilt. In einem Fall, bei dem es um die 130-Mio.-USD-Übernahme von Graduation Alliance Inc. ging, missbrauchten Angreifer die E-Mail-Adressen der M&A-Anwaltskanzlei, um Zahlungen, die für die Aktionäre bestimmt waren, umzuleiten und zu stehlen.
Selbst „abgeschlossene“ IT-Integrationen bergen Risiken, wie z. B.:
Schlummernde Sicherheitslücken: Wenn die Sicherheitsmaßnahmen zum Zeitpunkt der Integration nicht identisch sind, könnte sich das eine negativ auf das andere auswirken. So hatten die Angreifer beispielsweise bereits das Reservierungssystem von Starwood kompromittiert, bevor Marriott das Starwood-Hotelnetz übernahm. Die Sicherheitslücke blieb zwei Jahre lang unentdeckt, fast 500 Millionen Kundendaten wurden offengelegt.
Schatten-IT: Die Mitarbeitenden des fusionierten Unternehmens brauchen Zeit, um sich mit den neuen, integrierten Prozessen und Instrumenten vertraut zu machen. Während dieser Übergangsphase kann es vorkommen, dass bestimmte Mitarbeitende oder Abteilungen nicht zugelassene Anwendungen einführen oder die neuen IT-Richtlinien nicht befolgen.
Regulatorische Implikationen: Wenn eines der beiden Unternehmen in einer anderen Region oder Branche mit strengeren Datenschutzvorschriften tätig ist, ist besondere Vorsicht geboten, um die Einhaltung der Vorschriften für den Datenaustausch sicherzustellen. Das chinesische Gesetz zum Schutz personenbezogener Daten (Personal Information Protection Law, PIPL) sieht beispielsweise bestimmte Melde- und Zustimmungspflichten für die Übermittlung personenbezogener Daten im Rahmen von Fusionen und Übernahmen vor; bei Nichteinhaltung drohen Strafen ab 1 Million RMB (ca. 149.000 USD).
Vergangene Studien haben ergeben, dass zwischen 70-90 % der Übernahmen scheitern. Unternehmen, die sich auf neue Cyberbedrohungen vorbereiten und die IT-Integration während einer Übernahme erfolgreich meistern, stellen sicher, nicht (zu scheitern und nicht) Teil dieser Statistik zu werden.
IT-Risiken bei Fusionen und Übernahmen verringern
Bei einer herkömmlichen IT-Fusion versuchen die Unternehmen, die Benutzer mit allen Ressourcen der beiden fusionierenden Unternehmen zu verbinden. Dies folgt dem Netzwerksicherheitsmodell von „Burg und Burggraben“ (bei dem niemand außerhalb des Netzwerks auf Daten innerhalb des Netzwerks zugreifen kann, aber jeder innerhalb des Netzwerks).
So könnten sie beispielsweise Firewalls verwenden, um den Datenverkehr zwischen den beiden Netzen weiterzuleiten, oder zwei Netze an einem vorläufigen Überbrückungspunkt zusammenführen (d. h. Multiprotocol Label Switching – MPLS — um Rechenzentren miteinander zu verbinden). Oder es könnten neue virtuelle private Netzwerke (VPNs) hinzugefügt werden, um neuen Nutzern einen sicheren Zugang zu ermöglichen. In der Vergangenheit war dies ausreichend, da die Geschäftsanwendungen vor Ort in Rechenzentren gehostet wurden und die Mitarbeitenden meist im Büro waren.
Doch in modernen Unternehmen benötigen Mitarbeitende der übernehmenden „Firma A“ und der übernommenen „Firma B“ Optionen, um sich sicher mit einer nahezu unendlichen Kombination von in der Cloud gehosteten SaaS-Anwendungen und Netzwerken zu verbinden – von jedem Gerät und von jedem Ort aus. Wird jedoch einer dieser Benutzer oder ein Gerät kompromittiert, könnte der Angreifer den sprichwörtlichen „Burggraben“ überwinden.
Anders gesagt: Wenn hybride Arbeitsumgebungen während einer M&A konvergieren, ist ein traditioneller, perimeterbasierter Ansatz unzureichend.
Die IT- und Sicherheitsverantwortlichen von heute haben jedoch die Möglichkeit, das IT-Integrationskonzept für Fusionen und Übernahmen neu zu schreiben. Ein moderner Ansatz, der auf dem Zero Trust-Sicherheitsmodell basiert, stellt sicher, dass der gesamte Datenverkehr in und aus dem Unternehmen verifiziert und autorisiert wird.
So können beispielsweise während der Integration Ressourcen mit Zero Trust Network Access (ZTNA) geschützt werden – der Technologie, die es ermöglicht, Zero Trust-Sicherheit zu implementieren. Zu den Vorteilen von ZTNA gehören:
Verringerung des Risikos von Bedrohungen wie Diebstahl von Anmeldedaten und Phishing, da mehrere Authentifizierungsfaktoren erforderlich sind. Außerdem minimiert die Mikrosegmentierung (eine Zero Trust-Komponente) den Schaden im Falle eines Angriffs, indem sie die Verletzung auf einen kleinen Bereich beschränkt.
Gleichzeitige Integration mit mehreren Identitätsanbietern. Dies beschleunigt die Authentifizierung für externe Benutzer (z. B. Mitarbeitende von „Unternehmen B“ und Auftragnehmer) und ermöglicht die Authentifizierung über eine Vielzahl von Unternehmens- oder persönlichen Konten.
Gewährung von Zugriff auf der Grundlage der Identität und des Kontexts eines Benutzers, mit universellen, präzisen Richtlinien – und Schutz interner Ressourcen, ohne Hinzufügen riskanter neuer VPN-Verbindungen.
Mit Zero Trust wird der interne Zugriff ohne die Komplexität der Kombination von Netzwerken erleichtert, die Einarbeitung neuer Mitarbeitender beschleunigt und der Zugang für alle Benutzer vom ersten Tag an gesichert. All dies trägt dazu bei, dass Unternehmen die Vorteile einer Fusion schneller realisieren können – und bei Fusionen und Übernahmen ist Zeit gleich Geld.
Auf die Geschwindigkeit kommt es an!
Wenn zwei Unternehmen fusionieren, stehen sie unter dem immensen Druck, sofort einen ROI zu erzielen. Die Analyse von Bain & Co. (bei der die Fusions- und Übernahmetätigkeit über einen Zeitraum von 10 Jahren untersucht wurde) hat ergeben, dass 70 % der Prozess- und Systemintegrationen am Anfang und nicht am Ende scheitern. Im Bericht schreibt die Analystenfirma: „Geschwindigkeit ist sehr wichtig. Unseren Schätzungen zufolge sind mehr als die Hälfte der Unternehmenssynergien häufig von der Systemintegration abhängig. Eine schnellere Systemintegration ermöglicht es, diese Umsatz- und Kostensynergien schneller zu realisieren, neue technologische Möglichkeiten früher einzuführen und früher einen einheitlichen Auftritt gegenüber dem Kunden zu haben.“
Der Versuch, Unternehmenssysteme mit einem herkömmlichen Netzwerk zu kombinieren, birgt jedoch mehrere Herausforderungen:
Eine verlängerte Integrationsphase mit monatelangen Implementierungsschritten, wie z. B. die Behebung möglicher Netzwerkinkompatibilitäten und Skalierbarkeitsprobleme, Überschneidungen bei IP-Adressen, und andere IT-Komplexität.
Erhöhter Betriebsaufwand durch die Verwaltung getrennter Systeme, die Wartung veralteter (oder redundanter) Anwendungen und höhere technische Schulden (ältere Hardware erfordert fast immer einen höheren Betriebsaufwand).
Reduzierte Produktivität aus Tätigkeiten wie dem Hinzufügen, Konfigurieren und Warten neuer VPNs. Und für Remote-Mitarbeitende würde die Verwendung von cloudbasierten VPNs bei jeder ihrer Anfragen an das Netzwerk eine zusätzliche Latenz bedeuten.
Als Aggregationsschicht um alle Anwendungen herum bietet ZTNA allen Nutzern sicheren Zugang zu autorisierten Ressourcen und vereinfacht gleichzeitig die Implementierung selbst. So bietet ZTNA beispielsweise folgende Vorteile:
Erleichtert die Bereitstellung des Zugriffs auf die neue Vielzahl von Benutzern und Geräten, die auf die Ressourcen beider Unternehmen und auf Daten zugreifen, die sowohl innerhalb als auch außerhalb des Netzwerks gespeichert sind (z. B. in unterschiedlichen Cloud-Umgebungen). In vielen Fällen ist gar keine Endbenutzer-Software erforderlich.
Erhält die Produktivität und Konnektivität der Mitarbeitenden aufrecht, was ein entscheidender Faktor ist, wenn man bedenkt, dass sich Fusionen oft vorübergehend auf die Arbeitsleistung und -bindung auswirken. Zero Trust bietet weniger aufdringliche Sicherheitsprüfungen, vereinfachte Workflows zur Authentifizierung und ein schnelleres Onboarding/Offboarding von Mitarbeitenden.
Verbessert die technologische Effizienz, indem redundante Sicherheitsdienste durch eine cloudbasierte Zero-Trust-Plattform ersetzt werden. Außerdem wird der Aufwand für die Bereitstellung und Sicherung neuer Infrastrukturen (oder die Behebung von Sicherheitslücken in Altsystemen) verringert und Probleme mit IP-Konflikten werden vermieden.
Es kommt auch zu Desinvestitionen
Laut einer von Deloitte im Januar 2023 durchgeführten Umfrage wird fast die Hälfte der M&A-Experten in den kommenden 12 Monaten wahrscheinlich eine Desinvestition bzw. Veräußerung (den Verkauf oder die Ausgliederung einer Produktlinie, eines Geschäftsbereichs oder einer Tochtergesellschaft) vornehmen. Wie andere M&A-Strategien erhöhen jedoch auch Desinvestitionen die Möglichkeit, dass Angreifer Zugang zu sensiblen Daten und Geschäftsgeheimnissen suchen. Sie erhöhen auch die Wahrscheinlichkeit von Fehlkonfigurationen und Sicherheitslücken beim Übergang von IT-Ressourcen.
Bei einer Veräußerung hat das ausgegliederte Unternehmen freie Bahn, um zu modernisieren. Die ZTNA-Technologie kann vom ausgegliederten Unternehmen während der IT-Umstellung rechtzeitig übernommen werden, um die technischen Schulden zu minimieren und die Komplexität der Umstellung zu verringern. Da ZTNA jede einzelne Anfrage verifiziert, wird die laterale Bewegung von Angreifern verhindert. Anwendungen und Benutzer des ausgegliederten Geschäftsbereichs können dank granularer Zero-Trust-Zugriffsrichtlinien ebenfalls effizient entfernt werden. Dies beschleunigt die logische Trennung der beiden entstehenden Unternehmen und trägt dazu bei, die Bedingungen der Trennungsvereinbarung rechtzeitig zu erfüllen.
Fusionen & Übernahmen vereinfachen und sichern
Im Rahmen ihrer ZTNA-Marktanalyse haben die Analysten von IDC Cloudflare als Leader eingestuft. IDC verweist auf die „aggressive Produktstrategie zur Unterstützung der Sicherheitsbedürfnisse von Unternehmen“ von Cloudflare sowie dessen Fähigkeit, „Unternehmen in verschiedenen Stadien der Einführung von Zero Trust zu unterstützen“.
Cloudflare ist der einfachste Weg zur erfolgreichen IT-Integration mit Zero Trust – so können Sie kritische Anwendungen und risikoreiche Benutzergruppen (wie Mitarbeitende und Auftragnehmer des übernommenen Unternehmens) vom ersten Tag an effizient schützen und die Internet-native ZTNA dann mühelos auf den Rest des Unternehmens ausweiten, wenn dieses wächst.
Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.
Vertiefung des Themas:
Lesen Sie die IDC MarketScape for ZTNA 2023, um eine detaillierte Analyse des ZTNA-Marktes zu erhalten und um zu erfahren, wie Cloudflare im Vergleich zu 17 anderen Anbietern abschneidet.
Wichtigste Eckpunkte
Folgende Informationen werden in diesem Artikel vermittelt:
Gängige Cyberrisiken bei Fusionen und Übernahmen
Die Komplexität der herkömmlichen IT-Integration
Die Vorteile des Durchsetzens von Zero Trust-Sicherheit