Cyber Security Due Diligence

Ihr Experte für Fragen

Jörg Asma ist Ihr Experte für Cyber Security Due Diligence bei PwC Deutschland.

Jörg Asma
Partner bei PwC Deutschland
Tel: +49 221 2084-103
E-Mail

Warum die Cyber Security Due Diligence für den erfolgreichen Deal essenziell ist

Cybervorfälle sind nach wie vor eines der wichtigsten Geschäftsrisiken für Unternehmen. Die Zahl der Cyberangriffe auf IT-Systeme von Unternehmen und öffentlichen Einrichtungen erreichte im letzten Jahr wieder einen Höchststand mit über 100.000 registrierten Vorfällen. (Quelle: BKA, 2020) In Form von Schadprogrammen werden fortlaufend kriminelle Massenangriffe auf Unternehmen und Institutionen verübt. Dabei werden die Cyberangriffe gezielter und mittels Kombination diverser Schadsoftware noch fortschrittlicher und damit gefährlicher.

Allein in Deutschland wurden zwischen 2019 und 2020 täglich bis zu 20.000 Bot-Infektionen deutscher IT-Systeme registriert und an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet. Über 300.000 neue Schadprogramm-Varianten wurden pro Tag verzeichnet. (Quelle: BSI Lagebericht, 2020) Kritische IT-Schwachstellen in Hardware- und Softwareprodukten werden in großem Stil ausgenutzt, um an die gespeicherten personenbezogenen Daten zu gelangen.

Zu weiteren Informationen, die Hacker abgreifen, gehören Forschungs- und Entwicklungsdaten, vertrauliche Produktmerkmale und Quellcode, geistiges Eigentum, E-Mails des Managements und ggf. auch Vereinbarungen zur Transaktion.

Die durchschnittlichen Kosten für einen Data Breach wurden auf $3,86 Millionen geschätzt. 280 Tage dauerte es, bis die Unternehmen den Data Breach erkannt und Sicherheitsmaßnahmen eingeleitet hatten.

Quelle: IBM, 2020

Die negativen Folgen eines Ransomware-Vorfalls können kaum geheilt werden, daher müssen im Vorfeld die Daten geschützt und die Gefahr durch einen solchen Schaden minimiert werden. Denn neben den Kosten aus einer Erpressung durch die Hacker und für die Behebung kann bei einer Veröffentlichung der Daten die Reputation des Unternehmens den Marktwert – und damit auch die Transaktion – erheblich beeinflussen.

Fakt ist: Fehlende Kenntnisse über die Ausstattung der IT-Sicherheit und die Reife der Sicherheitsprozesse eines Targets stellen eine große Gefahr dar. Für den Geschäftserfolg ist es notwendig, die Risiken und möglichen Auswirkungen zu kennen – mögliche Deal-Breaker sollten rechtzeitig erkannt werden. Die Cyber Security Due Diligence schafft Klarheit über die Schwächen und damit verbundene Risiken. Darüber hinaus werden die Schritte zur Behebung und Verbesserung der Bedrohungslage für die Verhandlungen mit dem Target aufgezeigt.

Sie haben Fragen?

Kontaktieren Sie unseren Experten

Unsere Leistungen im Überblick

Cyber Security Due Diligence Basic

Im Rahmen der Cyber Security Due Diligence Basic verschafft sich unser Team anhand der vorhandenen Richtlinien, Arbeitsanweisungen und Dokumentation sowie ausgewählter Expertengespräche einen allgemeinen Überblick über die Reife der Cyber Security des betroffenen Unternehmens. Dabei werden besonders solche kritischen Aspekte aufgedeckt, die einen Einfluss auf die Bewertung des betrachteten Unternehmens(-teil) haben und für den potenziellen Investor nachhaltige Risiken mit sich tragen. Inhaltlich werden dabei neben der Cyber Security Strategie und Organisation die vorhandenen Prozesse geprüft und die Lösung einer Reihe von Kernfragen der Cyber Security, wie z. B. der physischen Sicherheit und des Dienstleistermanagement, abgefragt. Als Ergebnis erhalten Sie einen Bericht, der die Erkenntnisse allgemein beschreibt und dabei „Red flags“ aufzeigt bzw. mögliche Ausschlusskriterien für den Abschluss des Geschäfts identifiziert. In Absprache mit Ihnen geben wir zudem Indikationen ab, welche Investitionen mit der Ausräumung der entdeckten Schwachstellen verbunden wären.

Cyber Security Due Diligence Extended

Dieser Service enthält alle Leistungen der Cyber Security Due Diligence Basic sowie zusätzlich die nachfolgend dargestellten Punkte.

  • Unsere Experten kennen die Angriffstechniken der Cyber-Kriminellen und wissen, welche neue Schadsoftware oder Social Engineering Attacken akute Bedrohungen für das Unternehmen darstellen können. Anhand professioneller Recherchen können kritische Informationen über das Unternehmen oder ggf. bereits veröffentlichte sensible Dokumente des Unternehmens ausfindig gemacht werden.
  • Des Weiteren erstellen wir eine Auswertung der Reife der Informationssicherheitsprozesse des Targets im Vergleich zu Ihren intern definierten oder anerkannten Informationssicherheitsstandards. 
  • Darüber hinaus können auch die Security Culture und Awareness bewertet und Mankos aufgezeigt werden.
  • Zudem untersuchen wir, ob im Inventar der Assets die Sicherheitsanforderungen implementiert und eingehalten werden.

Abschließend erhalten Sie einen detaillierten Report zur Einschätzung der Cyber Resilienz und den daraus resultierenden Risiken des Targets. Zudem erhalten Sie Empfehlungen zur Behebung kritischer Schwachstellen und eine Roadmap mit einer Einschätzung zur Dauer und möglichen Implementierungskosten.

Gerne berücksichtigen wir Ihre Schwerpunkte im Bereich Cyber Security bei der Planung der Due Diligence, der Durchführung sowie der Ergebnisdarstellung.

Wir bieten unsere Due Diligence Services sowohl buy-side als auch sell-side an.

Case Study

Wie unsere PwC-Expert:innen einem weltweit führenden Anbieter von Bauchemikalien bei der Bewertung eines Übernahmekandidaten geholfen haben

Die Situation
Im Rahmen der Erweiterung seines Produktportfolios hat eines der weltweit größten Baustoffunternehmen PwC beauftragt, eine Bewertung der Cyber Security Organisation eines Targets durchzuführen. Aufgrund der Bedeutung funktionierender Informationssicherheitsmechanismen und -prozesse für den Schutz des geistigen Eigentums des Zielunternehmens, fragte der Kunde eine Überprüfung und Bewertung des Sicherheitslevels an. 

Unser Ansatz
Mit der Cyber Security Due Diligence wurden die wesentlichen Richtlinien und Dokumentationen zu IT-Sicherheit und Informationssicherheit unter die Lupe genommen.

Anschließend haben sich unsere Berater vor Ort bei Werksbegehungen und Interviews ein klares Bild von der Sicherheitslage des Unternehmens verschafft. Darüber hinaus wurde eine spezielle Prüfung zur Ermittlung von möglichen Schwachstellen in den IT-Systemen und potenziellen externen Bedrohungen durchgeführt.

Das Projektergebnis
Die mehrtägige Analyse brachte kritische Schwachstellen in der IT-Infrastruktur und Sicherheitsarchitektur des Unternehmens zum Vorschein, von denen eine erhebliche Gefahr ausging, da der Schutz vor einem Angriff nicht ausreichend gegeben war. Wichtige Maßnahmen fehlten, sodass die Vermögenswerte des Targets bedroht waren. Zudem wurden im organisatorischen Bereich der Informationssicherheit, bspw. bezüglich der Sensibilisierung der Mitarbeiter, große Mängel deutlich.

Unsere Experten stellten die ermittelten Risiken in einem Ergebnisreport dar und zeigten dem interessierten Käufer auf, welche Kosten mit den notwendigen Sicherheitsmaßnahmen einhergehen und wie die Prioritäten bei der Implementierung gesetzt werden können.

Follow us

Contact us

Jörg Asma

Jörg Asma

Partner, Cyber Security & Privacy, PwC Germany

Tel.: +49 221 2084-103

 Andrea  Schmitt

Andrea Schmitt

Senior Manager, Risk & Regulatory, PwC Germany

Hide