Cyber-Risiken in Zeiten der Corona-Krise und deren Auswirkungen auf M&A-Transaktionen

Written on 9 Apr 2020

Schon seit einigen Jahren wächst die Bedeutung von Cyber-Sicherheit auch bei M&A-Transaktionen. Neben Datenschutz-Compliance ist die Cyber-Sicherheit zunehmend das bestimmende Thema bei Due Diligence Prüfungen. Gerade bei M&A-Transaktionen im digitalen Umfeld ist eine Due Diligence der IT-Systeme essentiell für die Kaufpreisbestimmungen, da digitale Unternehmen selten über langfristige Geschäftsbeziehungen oder etablierte Geschäftsmodelle verfügen und funktionierende IT-Systeme somit häufig kaufpreisbestimmend sind.

Durch Cyberattacken auf Unternehmen können innerhalb kürzester Zeit große Vermögenswerte vernichtet werden, so dass nachvollziehbar ist, dass im Rahmen der Due Diligence aufgezeigte Risiken häufig zu Kaufpreis- und Bewertungsabschlägen führen. Zudem muss jeder Verkäufer damit rechnen, dass sich ein Käufer von im Rahmen der Due Diligence aufgedeckten Cyber-Risiken freistellen lässt und Garantien seitens der Verkäufers verlangt, dass keine Cyber-Risiken vorliegen. Eine weitere Möglichkeit zur Berücksichtigung aufgedeckter Cyber-Risiken sind schließlich auch sogenannte Material-Adverse-Change-Klauseln (MAC-Klauseln).

In Zeiten der Corona-Krise steigen die Cyber-Risiken und damit auch deren Bedeutung bei M&A-Transaktionen weiter. Dies gilt insbesondere vor dem Hintergrund, dass viele Arbeitnehmer im Home Office arbeiten. Laut dem Bundesamt für Sicherheit in der Informationstechnik nutzen Cyberkriminelle die Corona-Krise verstärkt aus, um sich wirtschaftlich zu bereichern (https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/corona-falschmeldungen.html).

Unternehmen müssen ihre Cyber-Security Bemühungen gegenwärtig an diese veränderte Situation anpassen. Insofern müssen sie sich dessen bewusst sein, dass Mitarbeiter bzw. deren Rechner im Home Office erweiterten Gefahren ausgesetzt sind. So befinden Sie sich zum einen nicht mehr im physischen Hoheitsbereich des Unternehmens sowie zum anderen technisch nicht mehr (hoffentlich ausreichend) gesicherten Unternehmensnetzwerk. Dies birgt zahlreiche Gefahren in sich, da der Arbeitgeber die Arbeitsrechner nicht mehr so überwachen kann, als wenn sie (physisch) im Unternehmensnetzwerk wären. Zudem führt die Arbeit im Home Office zu weiteren Angriffsvektoren, etwa infolge von unzureichend gesicherten Heim-WLANs.

Cyber-Sicherheit stellt dabei keine bloße faktische Notwendigkeit dar. Vielmehr sind nahezu alle Unternehmen (egal welcher Branche sie angehören) gesetzlich verpflichtet, entsprechende, angemessene Cyber-Sicherheits-Maßnahmen zu implementieren. Zwar werden die wenigsten Unternehmen dabei unter die expliziten Pflichten des BSI-Gesetzes für die Betreiber von kritischen Infrastrukturen fallen. Jedoch ergeben sich entsprechende Anforderungen aus einer Vielzahl von weiteren Gesetzen, allen voran etwa Art. 32 der Datenschutz-Grundverordnung (DSGVO). Danach ist jede Stelle, die personenbezogene Daten verarbeitet (de facto also nahezu jedes Unternehmen), verpflichtet, dem jeweiligen Verarbeitungsrisiko angemessene technische und organisatorische Datensicherheitsmaßnahmen zu ergreifen. Was als angemessen anzusehen ist, ist dabei anhand der Größe des Unternehmens, der Art der verarbeiteten Informationen und betroffenen Personen (etwa im Falle einer besonderen Schutzwürdigkeit bei z.B. Patientendaten) sowie der jeweils durchgeführten Verarbeitungstätigkeiten zu bestimmen. So werden internationale Konzerne oder IT-Unternehmen deutlich robustere Maßnahmen ergreifen müssen als etwa kleine Handwerksbetriebe.

Die Tragweite und Brisanz der Pflicht nach Art. 32 DSGVO werden dadurch deutlich, dass etwa 2/3 aller sowie 7 der Top 10 (der Höhe nach) auf Grundlage der DSGVO erlassenen Bußgelder auf Verstöße gegen Art. 32 DSGVO zurückführen. Dies zeigt zum einen, dass Unternehmen in der Breite offenbar erhebliche Defizite in diesem Bereich aufweisen, sowie zum anderen dass die Aufsichtsbehörde sich auf derartige Verstöße eingeschossen haben.

Ferner ergibt sich eine entsprechende Pflicht zur Etablierung entsprechender IT-Sicherheitsmaßnahmen aus den Sorgfaltspflichten der Geschäftsleitung. Diese Verantwortung kann dabei nur sehr beschränkt delegiert werden.

Als Dienstleister können sich entsprechende Pflichten auch aus Kundenverträgen ergeben; hier wäre etwa auch zu prüfen, ob dort Remote-Arbeit nicht grundsätzlich ausgeschlossen ist. Für einen solchen Fall sollte unverzüglich eine Klärung mit den jeweiligen Auftraggebern herbeigeführt werden.

In der gegenwärtigen Situation, in der die meisten Mitarbeiter von zu Hause aus arbeiten, sollten unter anderem die folgenden Risiken berücksichtigt und entsprechende Maßnahmen eingeleitet werden:

  • Der Arbeitsrechner sowie dessen Verbindung zum Unternehmensnetzwerk müssen entsprechend gesichert werden, etwa durch Multifaktor-Authentifizierung, Verschlüsselungs-Technologien und VPN-Tunnel. Ferner könnten sämtliche gegenwärtig nicht zwingenden Anwendungen gesperrt werden. Dies gilt umso mehr, wenn die Mitarbeiter ihre privaten Endgeräte verwenden.
  • Die Mitarbeiter sollten Anweisungen zur Arbeit aus dem Home Office gemacht werden, etwa der Verzicht auf die Nutzung von öffentlichen WLANs oder die Pflicht zur Sperrung des Rechners wenn man den Arbeitsplatz verlässt. Um Datenverlusten vorzubeugen, sollten die Mitarbeiter angehalten werden, jegliche Dokumente nur auf dem Unternehmensserver, nicht auf den lokalen Rechnern abzulegen.
  • Ferner könnten Vorgaben zur Konfiguration des Heim-WLANs (etwa im Hinblick auf dessen Verschlüsselung oder die Nutzung einer Firewall) gemacht werden. Den Mitarbeitern könnten diesbezüglich entsprechende Tutorials oder anderweitige IT-Unterstützung zur Verfügung gestellt werden.
  • Mitarbeiter sollten auf die gegenwärtige, besondere Gefahrenlage hingewiesen werden; etwa auf das verstärkte Aufkommen von Phishing-Versuchen sowie den Umgang mit derartigen Vorfällen.
  • Für den Fall etwaiger Verletzungen sollten klare Handlungsanweisungen mit eindeutigen Melde- und Berichtslinien existieren.

All diese Maßnahmen sind ordnungsgemäß und nachweisbar zu dokumentieren.

Letztlich sollten Unternehmen prüfen, ob eine etwaige bestehende Versicherung gegen Cyber-Angriffe und/oder -Pannen ebenfalls ein Remote-Arbeiten abdeckt.

Weiterführende Hinweise zur IT-Sicherheit: https://www.bsi.bund.de/DE/Presse/Kurzmeldungen/Meldungen/Empfehlungen_mobiles_Arbeiten_180320.html