Cyber Due Diligence: Cyber-Risiken im Rahmen von M&A-Transaktionen managen
Digitalisierung, Einsatz von Informationstechnologien und weiter fortschreitende Integration und Vernetzung von Prozessen, Funktionen und Organisationen führen zu einem rapiden Anstieg von verbundenen Risiken. Die Tendenz wird dabei noch verstärkt durch maliziöse Akteure, die versuchen den Anstieg an Cyber Risiken zu eigenen Zwecken und Vorteilen zu nutzen.
Cyber Risk Management im Rahmen von Firmen-Transaktionen
Im Rahmen von Firmen-Transaktionen kommt dem Thema Cyber Risiken eine besondere Bedeutung zu. Zum einen sind alle Beteiligten während der Durchführung der Transaktion einem erhöhten Risiko ausgesetzt. Dieses erhöhte Risiko ergibt sich bereits daraus, dass eine Vielzahl unterschiedlicher Themen vorrangig sind und die beteiligten Unternehmen sich in einer umfassenden Transition befinden. Hinzu kommt, dass die Bekanntgabe der Transaktion das Interesse an der besonderen Situation bei Dritten weckt.
Daneben sind bestehende Cyber Risiken oder in der Vergangenheit eingetretene Cyber Incidents im Zielunternehmen ggf. nicht transparent oder nur schwer erkennbar.
Bewertung von Cyber Risken bei Firmen-Transaktionen
Zum Umgang mit Cyber Risiken und dem Schutz bestehender Werte kommt dabei einer Detailanalyse und Cyber Due Diligence sowie Abdeckung von Cyber Risiken in W&I Versicherungen eine besondere Bedeutung zu. Detailanalysen und Due Diligence Bewertungen erfolgen dabei prinzipiell nicht intrusiv, d.h. sie verfolgenden das Ziel mittels Blickes von außen bestehende Red-Flags – also Anzeichen eines bestehenden erhöhten Cyber Risikos – für die beteiligten Unternehmen sichtbar zu machen. Im Rahmen von W&I Versicherungen können gezielt Maßnahmen hinsichtlich des Umganges mit Cyber Risiken untersucht und bewertet werden.
Detailanalysen und Cyber Due Diligence basieren dabei auf technischen Metriken, bspw. allgemein und über das Internet zugängliche Hintergrundinformationen zu Unternehmen zur Einschätzung der Exponierung; Threat Intelligence, das heißt Informationen Data Breaches oder Incidents; und der vorausschauenden Quantifizierung von Cyber Risiken, insbesondere die Auswirkungen von möglichen Data Breaches und relevanter Ausfallszenarien. Die daraus gewonnen Erkenntnisse können sowohl für die Planung einer möglichen Behebung bestehender Cyber Risiken als auch für den Abschluss einer Cyber Versicherung zum effektiven Transfer dieser Risiken genutzt werden.
Im Rahmen des Abschlusses einer W&I Versicherung werden fokussiert spezifische Kontrollen begutachtet und bewertet, die für die Weiterführung der Geschäftstätigkeit und den Abschluss einer solchen Poilice relevant sind. Dies sind vorrangig ausgewählte technische Maßnahmen mit unterschiedlichen Zielen. Man unterscheidet dabei zwischen Maßnahmen, die getroffen worden sind, um das mögliche Eintreten eines Vorfalls zu reduzieren und zu verhindern – bspw. Multi Factor Authentication, Supply Chain Management oder Schwachstellenmanagement.
Die zweite Kategorie von Maßnahmen die Untersucht werden sollen es dem Unternehmen ermöglichen, angemessen auf einen Vorfall zu reagieren oder diesen zeitnah lösen. Hierunter fallen bspw. bestehende Regelungen zu Incident Response, Business Continuity und Disaster Recovery.
Geeigneter Umgang mit Cyber Risiken
Die Experten aus dem Cyber M&A Team von Aon AMATS sind auf die Bewertung und Behandlung von Cyber Risiken im Rahmen von Firmen-Transaktionen spezialisiert. Ihr Ansatz basiert auf der spezifischen Aon Vorgehensweise für die Aspekte der Bewertung und Evaluierung von Cyber Risiken und unterliegt dem ständigen Austausch mit Cyber Versicherern. Aon geht mit diesem Ansatz über die vergleichbaren Ansätze hinaus, um seinen Kunden den effektiven Transfer von Cyber Risiken zu ermöglichen.
Damit wird neben einer langfristigen Reduzierung von Cyber Risken insbesondere die kritische Periode der Durchführung der Transaktion sowie der Zeitraum bis effektive Maßnahmen zur Mitigation von Risiken etabliert werden und greifen können abgedeckt.
Unsere Experten-Teams unterstützen Sie sowohl bei der Definition geeigneter Maßnahmen zur Mitigation auch beim Abschluss einer Cyber-Versicherung, zielgerichtet auf das abzusichernde Risiko.