Die Zahl der Angriffe auf digitale Dienste und digitale Infrastrukturen ist zuletzt stark gestiegen. Einer der Gründe ist beispielsweise Cybercrime as a Service, bei dem Phishing- oder Ransomware-Attacken für wenig Geld im Darknet erworben werden können. Im Fokus der Angriffe stehen Organisationen aller Branchen und Größen. Sie kämpfen mit teils dramatischen Folgen wie Reputationsverlust, Strafzahlungen oder Umsatzverlusten.
Auch Private-Equity-Gesellschaften stellt die zugespitzte Bedrohungslage vor große Herausforderungen. Prüfen sie vor ihren Deals nicht, wie hoch das Niveau in Sachen Cybersicherheit ist, können Unternehmenswerte schnell überschätzt werden. Infolgedessen mindern Cyberrisiken den Wert des gesamten Beteiligungsportfolios. Hier ermöglichen Schwachstellen-Scans und Cyber Security Due Diligence eine profunde Einschätzung der Lage und genaue Prüfung von Risiken.
Das Wichtigste in 30 Sekunden
- Immer mehr und komplexere Cyberattacken sowie strenge regulatorische Anforderungen wie NIS-2 erfordern besondere Schutzmaßnahmen.
- Nur wenige Private-Equity-Häuser verfolgen konsequent einen ganzheitlichen IT-Sicherheitsansatz. Zudem agieren einige Investoren bei der Bewertung von Zielunternehmen fahrlässig, indem sie Cyberrisiken im Portfolio nicht ausreichend prüfen.
- Die Umsetzung von Sicherheitsmaßnahmen sollte bei Private-Equity-Gesellschaften auf die Portfoliostrategie abgestimmt sein und spezifische Risiken angemessen berücksichtigen.
- Cyber Security Scans und Assessments schaffen Transparenz, minimieren das Risiko sowie schützen oder erhöhen den Wert des Beteiligungsportfolios. Denn überzeugt das Niveau in Sachen IT-Sicherheit, lassen sich beim Exit vier bis fünf Prozent höhere Verkaufspreise erzielen.
Steigende regulatorische Anforderungen durch NIS-2-Richtlinie
Die sich zuspitzende Bedrohungslage zwingt den Gesetzgeber zum Handeln. Um insbesondere kritische Infrastrukturen (KRITIS) vor Cyberangriffen zu schützen, hat die EU die NIS-2-Richtlinie (Network and Information Security) verabschiedet. Sie soll innerhalb der EU ein hohes einheitliches Niveau für Cybersicherheit gewährleisten. In den EU-Mitgliedsländern muss die neue Richtlinie bis Oktober 2024 in nationales Recht umgesetzt werden. Ein äußerst straffer Fahrplan. Hinzu kommt: Von NIS-2 sind weit mehr Sektoren betroffen als bisher. Außerdem sieht die neue NIS-Richtlinie strengere Aufsichts- und Sanktionierungsmaßnahmen vor.
Was bedeutet NIS-2 für Private-Equity-Häuser?
Wer sich beispielsweise auf Beteiligungen im Energiesektor oder im Gesundheitswesen spezialisiert hat, muss allein infolge der KRITIS-Verordnung und der NIS-2-Richtlinie die Einhaltung hoher Sicherheitsanforderungen sicherstellen. Organisationen aus kritischen Sektoren sind beispielsweise dazu verpflichtet, Maßnahmen in den Bereichen Cyber-Risikomanagement, Sicherheit in der Lieferkette, Business Continuity Management, Penetrationstests und Reaktion auf Vorfälle sowie Berichterstattung an die Behörde und Abhilfemaßnahmen zu ergreifen. Inwieweit Unternehmen alle Vorgaben erfüllen, lässt sich mit Cyber Security Due Diligence ermitteln.
Cyber Security Scans und Assessments machen Risiken transparent
Des Weiteren hilft Cyber Security Due Diligence die Risiken und Maßnahmen rund um die Sicherheit vor einem Deal gründlich zu überprüfen und zu bewerten. So kann Cyber Security Due Diligence die Anfälligkeit für Cybervorfälle sichtbar machen und verhindern, dass Private-Equity-Investoren ihre Beteiligungen möglicherweise weit über Wert erwerben.
Whitepaper: Sichere Deals für Private-Equity-Häuser
Wie Cyber Security Due Diligence vor Wertverlusten im Portfolio schützt
Private Equity: Portfolio vor Wertverlusten bewahren
Um sich gegen Cybervorfälle zu wappnen und ihre digitalen Dienste und Infrastrukturen bestmöglich zu schützen, müssen Investoren ein Bewusstsein für Risiken in ihrem Portfolio entwickeln und entsprechende Sicherheitsmaßnahmen ergreifen. Der Schlüssel dazu ist ein übergreifendes Cyberrisikomanagement, das auf ein kontinuierliches Monitoring setzt.
Mit effektiven Methoden und Services finden spezialisierte Dienstleister heraus, welche Schwachstellen einzelne Beteiligungen aufweisen und welchen Bedrohungen sie ausgesetzt sind. Umfang und Detailtiefe der Analysen – sogenannte PortCo-Cyberscans – lassen sich individuell anpassen, zum Beispiel an die Portfoliostrategie, den Umfang der Anteile an Beteiligungen und verschiedene Risikoprofile.
KRITIS und NIS: Hohe Messlatte für Cybersicherheit
Je komplexer das Portfolio, desto größer die Angriffsfläche. Bei einem kleinen Portfolio hingegen kann schon ein einziger Sicherheitsvorfall gravierende Folgen haben. Außerdem gilt: Wer auf Beteiligungen im Bereich kritischer Infrastruktur spezialisiert ist, muss allein infolge der KRITIS-Verordnung und NIS-2 die Einhaltung hoher Sicherheitsstandards gewährleisten.
Die Auswertungen der regelmäßigen PortCo-Cyberscans fassen kritische Funde zusammen und geben Handlungsempfehlungen für eine angemessene Absicherung. Das schafft Transparenz, minimiert das Risiko und schützt den Wert des Beteiligungsportfolios. Denn überzeugt das Niveau in Sachen IT-Sicherheit, lassen sich beim Exit vier bis fünf Prozent höhere Verkaufspreise erzielen.
Follow us
