Cyber Security Due Diligence

Cyberrisiken vor dem Deal erkennen und gegensteuern

Ihr Experte für Fragen

Jörg Asma ist Ihr Experte für Cyber Security Due Diligence bei PwC Deutschland.

Jörg Asma

Partner bei PwC Deutschland
Tel: +49 221 2084-103
E-Mail

Warum die Cyber Security Due Diligence für den erfolgreichen Deal essenziell ist

Cybervorfälle sind zum zentralen Geschäftsrisiko für Unternehmen geworden. Die Bedrohungslandschaft vergrößert sich weiter in rasantem Tempo. Nahezu alle Unternehmen und Institutionen sind bereits Cyberangriffen zum Opfer gefallen. Dabei werden die Angriffe mit Schadsoftware zunehmend gezielter. Allein in Deutschland wurden über 400.000 neue Schadprogramm-Varianten pro Tag verzeichnet. Zudem wurden zwischen 2020 und 2021 täglich bis zu 40.000 Bot-Infektionen deutscher IT-Systeme an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet. (Quelle: BSI Lagebericht, 2021). Insbesondere Ransomware-Angriffe erfahren große Beliebtheit bei den Angreifern und erreichten Rekordzahlen.

Die betroffenen Unternehmen trifft es oft mit fatalen Konsequenzen. Täglich werden kritische IT-Schwachstellen in Hardware- und Softwareprodukten in großem Stil ausgenutzt, um an die gespeicherten personenbezogenen Daten zu gelangen. Zudem versuchen Hacker geistiges Eigentum (Intellectual Property) von Unternehmen zu erlangen − wie beispielsweise Forschungs- und Entwicklungsdaten, vertrauliche Produktmerkmale oder Quellcodes. Aber auch E-Mails des Managements, vertrauliche Strategien oder Vereinbarungen zu Transaktionen werden von Cyberkriminellen erbeutet. Vor allem kleine und mittelständische Unternehmen, die sich selbst nicht als interessant für Hacker erachten, sind mit ihren oft unzureichenden IT-Sicherheitsmechanismen leichte und favorisierte Angriffsziele.

Die durchschnittlichen Kosten für einen Data Breach wurden auf 4,35 Millionen Dollar geschätzt. Dabei kann es oft bis zu einem Jahr dauern, bis die Unternehmen den Data Breach überhaupt erkannt haben und reagieren.

Quelle: IBM, 2022

Neben den Kosten aus einer Erpressung durch die Hacker und für die Behebung kann bei einer Veröffentlichung der Daten die Reputation des Unternehmens den Marktwert – und damit auch die Transaktion – erheblich beeinflussen.  Aufgrund der schwerwiegenden Folgen von Cyberangriffen ist es von enormer Bedeutung, im Vorfeld die Daten zu schützen und die Gefahr durch solche Schäden zu minimieren. Denn oft können auch „nur“ ein schwaches Passwort oder eine Unachtsamkeit bei den Mitarbeitenden eine Kettenreaktion auslösen, die in einen Ransomware-Angriff mündet. 

Fakt ist: Fehlende Kenntnisse über die Ausstattung der IT-Sicherheit und die Reife der Sicherheitsprozesse eines Targets stellen eine große Gefahr dar. Für den Geschäftserfolg ist es notwendig, die Risiken und möglichen Auswirkungen zu kennen – mögliche Deal-Breaker sollten rechtzeitig erkannt werden. Die Cyber Security Due Diligence schafft Klarheit über die Schwächen und damit verbundene Risiken. Darüber hinaus werden die Schritte zur Behebung und Verbesserung der Bedrohungslage für die Verhandlungen mit dem Target aufgezeigt.  

Unsere Leistungen im Überblick

Cyber Security Due Diligence Basic

Im Rahmen der Cyber Security Due Diligence Basic verschafft sich unser Team anhand der vorhandenen Richtlinien, Arbeitsanweisungen und Dokumentation sowie ausgewählter Expertengespräche einen allgemeinen Überblick über die Reife der Cyber Security des betroffenen Unternehmens. Dabei werden besonders solche kritischen Aspekte aufgedeckt, die einen Einfluss auf die Bewertung des betrachteten Unternehmens(-teils) haben und für den potenziellen Investor nachhaltige Risiken mit sich tragen. Inhaltlich werden dabei neben der Cyber-Security-Strategie und Organisation die vorhandenen Prozesse analysiert. Des Weiteren werden eingesetzte Tools rund um IT-Sicherheit und Informationssicherheit beleuchtet. Komponenten der physischen Sicherheit und Maßnahmen zur Cybersicherheit im Verhältnis mit Dienstleistern sind Teil des Spektrums. Als Ergebnis erhalten Sie einen Bericht, der die Erkenntnisse allgemein beschreibt und dabei „Red Flags“ aufzeigt bzw. mögliche Ausschlusskriterien für den Abschluss des Geschäfts identifiziert. In Absprache mit Ihnen geben wir zudem Indikationen ab, welche Investitionen mit der Ausräumung der entdeckten Schwachstellen verbunden wären. 

Cyber Security Due Diligence Extended

Dieser Service enthält alle Leistungen der Cyber Security Due Diligence Basic sowie zusätzlich die nachfolgend dargestellten Punkte:

  • Unsere Expert:innen kennen die Angriffstechniken der Cyberkriminellen und wissen, welche neue Schadsoftware oder Social Engineering Attacken akute Bedrohungen für das Unternehmen darstellen können. Anhand professioneller Recherchen können kritische Informationen über das Unternehmen oder ggf. bereits veröffentlichte sensible Dokumente des Unternehmens ausfindig gemacht werden.
  • Des Weiteren erstellen wir eine Auswertung der Reife der Informationssicherheitsprozesse des Zielunternehmens im Vergleich zu Ihren intern definierten oder anerkannten Informationssicherheitsstandards. 
  • Darüber hinaus können auch die Security Culture und Awareness bewertet und Mankos aufgezeigt werden.
  • Zudem untersuchen wir, ob im Inventar der Assets die Sicherheitsanforderungen implementiert und eingehalten werden.
  • Abschließend erhalten Sie einen detaillierten Report zur Einschätzung der Cyber-Resilienz und den daraus resultierenden Risiken des Targets.
  • Zudem erstellen wir Empfehlungen zur Behebung kritischer Schwachstellen und eine Roadmap mit einer Einschätzung zur Dauer und möglichen Implementierungskosten.

Unterstützung entlang des Transaktionszyklus


Nach Beendigung der Due Diligence können Ihnen unsere Fachteams aus den jeweiligen Disziplinen dabei helfen, die Cyber Security vor dem Deal zu optimieren. Auch nach der Transaktion können wir Sie bei der Umsetzung von nachhaltigen Sicherheitsmaßnahmen und bei der sicheren Integration in Ihre IT gezielt unterstützen.

Gerne berücksichtigen wir Ihre Schwerpunkte im Bereich Cyber Security bei der Planung der Due Diligence, der Durchführung sowie der Ergebnisdarstellung. 

Wir bieten unsere Due Diligence Services sowohl buy-side als auch sell-side an. 

Case Study

Wie unsere PwC-Expert:innen einem weltweit führenden Anbieter von Bauchemikalien bei der Bewertung eines Übernahmekandidaten geholfen haben

Die Situation

Im Rahmen der Erweiterung seines Produktportfolios hat eines der weltweit größten Baustoffunternehmen PwC beauftragt, eine Bewertung der Cyber-Security-Organisation eines Targets durchzuführen. Aufgrund der Bedeutung funktionierender Informationssicherheitsmechanismen und -prozesse für den Schutz des geistigen Eigentums des Zielunternehmens, fragte der Kunde eine Überprüfung und Bewertung des Sicherheitslevels an.

Unser Ansatz

Mit der Cyber Security Due Diligence wurden die wesentlichen Richtlinien und Dokumentationen zur IT-Sicherheit und Informationssicherheit unter die Lupe genommen.

Anschließend haben sich unsere Berater:innen vor Ort bei Werksbegehungen und Interviews ein klares Bild von der Sicherheitslage des Unternehmens verschafft. Darüber hinaus wurde eine spezielle Prüfung zur Ermittlung von möglichen Schwachstellen in den IT-Systemen und potenziellen externen Bedrohungen durchgeführt.

Das Projektergebnis

Die mehrtägige Analyse brachte kritische Schwachstellen in der IT-Infrastruktur und Sicherheitsarchitektur des Unternehmens zum Vorschein, von denen eine erhebliche Gefahr ausging, da der Schutz vor einem Angriff nicht ausreichend gegeben war. Wichtige Maßnahmen fehlten, sodass die Vermögenswerte des Targets bedroht waren. Zudem wurden im organisatorischen Bereich der Informationssicherheit, bspw. bezüglich der Sensibilisierung der Mitarbeitenden, große Mängel deutlich.

Unsere Expert:innen stellten die ermittelten Risiken in einem Ergebnisreport dar und zeigten dem interessierten Käufer auf, welche Kosten mit den notwendigen Sicherheitsmaßnahmen einhergehen und wie die Prioritäten bei der Implementierung gesetzt werden können.

Follow us

Contact us

Jörg Asma

Jörg Asma

Partner, Digitalisierung und Sicherheit Healthcare­, PwC Germany

Tel.: +49 221 2084-103

 Andrea  Schmitt

Andrea Schmitt

Manager, Risk & Regulatory, PwC Germany

Tel.: +49 621 4006-9228

Hide