Unternehmen investieren erheblich Zeit und Energie, um Netzwerke und Anwendungen nach einer Akquisition zu integrieren. Die übernehmenden IT-, Sicherheits- und Geheimdienstteams verfügen jedoch selten über die Ressourcen oder internen Prozesse, um vor einer Übernahme Ermittlungen an einem Ziel durchzuführen. Dies würde es ihnen ermöglichen, Risiken besser zu managen.
Fragebögen, Interviews und Cyber-Due-Diligence werden häufig eingesetzt, aber diese Bemühungen werden in der Regel erst begonnen, nachdem eine Absichtserklärung (LOI) vorliegt und Zugang zur Organisation und ihren Netzwerken gewährt wird. In vielen Fällen können behördliche Genehmigungen diesen Zugriff und Informationsaustausch noch weiter verzögern. Das Ergebnis ist ein Prozess, der oft überstürzt und suboptimal ist.
Da sich der M&A-Markt beschleunigt, müssen Käufer diese Dynamik ändern, um den Due-Diligence-Prozess zu beschleunigen und sicherzustellen, dass alle Risiken im Zusammenhang mit der Cybersicherheit, dem Ruf des Unternehmens und Schlüsselpersonal frühzeitig im Prozess identifiziert, bewertet und angegangen werden.
Hier sind fünf wichtige Schritte für einen zeitnaheren und effektiveren Ansatz für die M&A-Due-Diligence:
Bereiten Sie sich am ersten Tag mit einer Aktionsliste vor, nicht am 30
Aufgrund von Zwängen oder der Hektik traditioneller Sorgfalt entdecken Unternehmen Risiken oft am ersten Tag, wenn das Geschäft abgeschlossen wird.
Es ist möglich, wesentliche Risiken frühzeitig im Prozess durch den Einsatz technischer und erkenntnisgestützter Sorgfalt zu verstehen. So können Sie Chancen besser einschätzen und verfügen über Integrationsteams, die bereit sind, akzeptierte Risiken vom ersten Tag an zu managen.
Lecks von Kundendaten und Indikatoren für aktuelle oder vergangene Verstöße können alle durch eine Kombination aus OSINT, den richtigen Tools und Expertenanalysen identifiziert werden.
Sie können viel früher mit erkenntnisgestützten Ermittlungen und Auswertungen beginnen, ohne dass Sie Netzwerkzugriff oder Informationsaustausch benötigen. Dieser Ansatz wird zunehmend verwendet, um Fragebögen und Interviews zu validieren oder sogar zu ersetzen. Der Schlüssel liegt darin, Open Source Intelligence (OSINT) in den Due-Diligence-Prozess aufzunehmen. OSINT basiert auf öffentlich zugänglichen Informationen und kann sowohl frei verfügbare als auch lizenzierte Quellen umfassen.
Durch die Verwendung von OSINT und die Initiierung der Due Diligence von „außerhalb der Firewall“ können Erwerber und ihre Entscheidungsträger für Unternehmensdaten ihre Untersuchung an jedem Punkt des Prozesses beginnen, einschließlich in der Phase der Zielidentifizierung. Da kein Informationsaustausch oder Zugriff auf die Anwendungen und Netzwerke des Ziels erforderlich ist, können erste Bewertungen auch viel schneller als bei herkömmlicher Cyber-Diligence durchgeführt werden, oft innerhalb weniger Wochen.
Identifizieren Sie Stakeholder und verwalten Sie den OSINT-Prozess
Sobald sich eine Organisation entscheidet, ihren Sorgfaltsprozess mit OSINT zu verbessern, ist es wichtig, die Personen oder Organisationen zu identifizieren, die den Prozess verwalten werden. Dies hängt von der Größe der Organisation sowie der Prävalenz und Komplexität der damit verbundenen Risiken ab.