Die Zusammenführung zweier Unternehmen ist selten einfach. Denn neben Organisation, Personal und kulturellen Eigenheiten sind viele weitere Faktoren wie die IT-Infrastrukturen zu berücksichtigen. Laut aktuellen Studien stießen bei Fusionen oder Übernahmen vier von zehn Unternehmen auf ein Cybersicherheitsproblem.
Diese Gefahr erhöht sich durch komplexe IT-Prozesse wie die Integration von veralteten Systemen, schnelle Umsetzung der digitalen Transformation, zunehmende Schatten-IT oder nicht-konformer Umgang mit Daten durch Mitarbeiter. Bei der Planung werden häufig die für jede Partei spezifischen Risiken nicht richtig abgefragt oder isoliert betrachtet. Zudem wird nicht untersucht, wie sie nach der Fusion oder Übernahme zusammenwirken.
Um diese Probleme zu vermeiden, gibt es folgende Tipps:
IT-Sicherheit in die Verhandlungen einbeziehen
Bei sämtlichen Gesprächen sollten nicht nur die Besonderheiten der Branche, die geografische Präsenz und die Art der angebotenen Lösungen berücksichtigt werden. Es sind auch alle relevanten Cybersicherheits- und Datenschutzrisiken zu untersuchen sowie ihre künftige Entwicklung und unternehmensübergreifenden Auswirkungen. Akquisitionsziele müssen mit der gleichen Sorgfalt bewertet werden wie jeder externe Lieferant des Unternehmens. Welche Sicherheitsrichtlinien gibt es? Wie werden die Mitarbeiter zertifiziert oder überprüft? Welche Industriestandards sind einzuhalten? Eine genaue Analyse aller früheren Cybersicherheitsvorfälle und Datenverluste sowie die Reaktion darauf unterstützt die Entwicklung einer umfassenden Security-Architektur. Die fehlende Kenntnis bestehender Kompromisse bei der Sicherheit bildet jedoch ein großes Risiko.
Die DSGVO berücksichtigen
Heute ist es extrem wichtig, das Ausmaß der Sammlung und Nutzung personenbezogener Daten vollständig zu verstehen. Dies gilt insbesondere für kundenorientierte und hochsensible proprietäre Daten. Alle Verpflichtungen und Erklärungen, die das verkaufende Unternehmen gegenüber seinen Kunden in Bezug auf den Datenschutz und den Umgang mit personenbezogenen Daten abgegeben hat, sind zu überprüfen. Dabei müssen die Richtlinien bei Bedarf an die Datenschutz-Grundverordnung (DSGVO) sowie die Gesetze des Landes, in dem die Daten gespeichert sind, angepasst werden. Vor allem ist zu prüfen, ob nach einer Fusion oder Übernahme zusätzliche Genehmigungen erforderlich sind. Frühere Versäumnisse oder mangelhaftes Netzwerk-Management können zu erheblichen Bußgeldern führen.
Anpassung der IT-Infrastruktur überwachen
Sobald der Vertrag geschlossen ist, sollte eine Person die Anpassung der IT-Infrastruktur kontrollieren. Sie muss die Netzwerke, Systemarchitekturen und Datenflüsse beider Unternehmen kennen, um Probleme zu vermeiden. Im Rahmen dieses Prozesses gilt es zu prüfen, welche sensiblen Daten gespeichert sind, wo sie sich befinden und welche Schutzmaßnahmen zum Einsatz kommen. Bei den Themen Datenschutz und Cybersicherheit sollten Mitarbeiter zu ständiger Vorsicht motiviert werden.
Fazit
Hacker betrachten Fusionen und Übernahmen häufig als hervorragende Gelegenheit für Attacken. Denn durch die vielen Veränderungen erweitern sich die Angriffsmöglichkeiten. Daher sollte die jederzeitige Gewährleistung der Cybersicherheit im Vordergrund stehen. Ein umfassender Plan, der von beiden Unternehmen unterstützt wird, ist hierbei unverzichtbar. Dies kann sich zwar als schwierig erweisen, bildet jedoch den einzig sicheren Weg in die gemeinsame Zukunft.
Andreas Riepen, Vice President DACH bei F5 Networks
www.f5.com