Minimierung Ihrer Angriffsfläche bei Fusionen und Übernahmen und Veräußerungen

Die Commercial Due Diligence minimiert Risiken und gibt dem Vorstand eines Unternehmens das nötige Vertrauen, um mit den Verhandlungen über den Erwerb oder Verkauf eines Teils des Unternehmens fortzufahren. Da die Cybersicherheit jedoch zu einem immer wichtigeren Bestandteil des Evaluierungsprozesses wird, können IT-Teams den Übergang zu den neuen Eigentümern tatsächlich abschließen, ohne das Unternehmen einem unerwünschten Risiko auszusetzen?

In einem kürzlich veröffentlichten Forescout-Bericht wurde die Technologiebeschaffung als oberste Priorität für die M&A-Strategie eingestuft, und zwei Drittel der Befragten gaben an, dass Bedenken hinsichtlich der Cybersicherheit in ihren Unternehmen dazu führten, dass sie es bereuten, einen M&A-Deal abzuschließen.

Diese unternehmerischen Schritte oder Veränderungen in der Regierungsmaschinerie sind oft mit Anreizen für das Management verbunden, innerhalb eines aggressiven Zeitrahmens abzuschließen. Das offensichtliche Ziel, einfach die Systeme^{eines Drittanbieters} in die Schranken zu weisen oder die zu veräußernden Systeme zu trennen, klingt auf dem Papier großartig, aber wenn die Finger auf die Tastatur schlagen, sind es die IT-Sicherheits-, Netzwerk- und Infrastrukturteams, die die gewaltige Aufgabe haben, diese Aktivität zu verwirklichen.

Die Übernahme von Cyberrisiken kann als negativer Aspekt von M&A angesehen werden. Bei korrekter Umsetzung ist ein Cybersicherheitsprogramm jedoch ein Vorteil bei Fusionen und Übernahmen und ein wichtiger Faktor, wenn Sie auf der Verkäuferseite stehen.

Änderungen an der kommerziellen Zusammensetzung und dem IT-Betrieb sind weit verbreitete und günstige Ziele für böswillige Akteure, um von der Unterbrechung des normalen Geschäftsbetriebs zu profitieren. Ohne Zero-Trust-Sicherheit, die bereits auf beiden Seiten des Verhandlungstisches angestrebt wird, können die Ausnutzung bereits bestehender Sicherheitslücken und eine vergrößerte Angriffsfläche dazu führen, dass der Eigentümerwechsel als "trojanisches Pferd" fungieren kann, bei dem sich jede Ransomware, Malware oder gezielte Angriffe nach dem Abschluss oder bestehende Advanced Persistent Threat (APT) in und über das Unternehmen des Käufers ausbreitet.

In derselben Studie gab mehr als die Hälfte der Befragten an, dass sie während eines M&A-Deals auf ein kritisches Cybersicherheitsproblem oder einen Vorfall gestoßen sind, der den Deal gefährdet hat.

Überlegungen zur Sicherheit der Akquisition

Vor oder nach der Unterzeichnung eines Vertrags ist es besonders wichtig, das Risiko im Zusammenhang mit der Sicherheitshygiene von Rechenzentren in erworbenen Anwendungen und Hybrid-Cloud-Rechenzentren zu bestimmen. Das australische Cyber Security Centre rät Organisationen, die an solchen Aktivitäten teilnehmen, die Betriebsumgebung und die Sicherheitskontrollen zum Schutz von Daten und Systemen zu verstehen, um sicherzustellen, dass in der neuen Betriebsumgebung ein gleichwertiger oder besserer Schutz geboten wird. Es gibt auch potenzielle finanzielle Konsequenzen für die beteiligten Parteien in Bezug auf die Einhaltung von Vorschriften und Datenschutzgesetzen.

Da IT-Teams wenig bis gar keine Kontrolle über die Anwendungen haben, die durch eine Übernahme übernommen werden, fragen sie sich oft: Was haben wir gerade geerbt? Verwenden sie andere Infrastrukturtechnologien als wir, wie z. B. Kubernetes oder alternative Public Clouds? Welche Praktiken in den Bereichen Datenschutz, Anwendungs-, Endpunktsicherheit und Schwachstellenmanagement wurden befolgt? Und was bedeutet die Erfassung dieser Workloads für unsere aktuelle Angriffsfläche?

Die Sicherheitsteams des Käufers werden bei der Bewertung oft durch mangelnde Transparenz der von ihnen gekauften Rechenzentrumsressourcen und durch mangelnde Möglichkeiten zur Identifizierung vorhandener Schwachstellen behindert, die eine laterale Verschiebung und Offenlegung sensibler Daten ermöglichen. Ohne zu verstehen, wie Anwendungen und Workloads miteinander verbunden sind und kommunizieren, riskieren übernehmende Unternehmen, Anwendungen zu beschädigen und den Service während der Migration oder bei der Sicherung erworbener Anwendungen nach Erhalt zu unterbrechen. Da Akquisitionen nicht immer den Kauf vollständig komplementärer Anwendungen beinhalten, ist dieses Verständnis ebenso wichtig für die schrittweise Einführung und den Transfer von Systemen in das Rechenzentrum, die Identifizierung von Redundanz- und Stilllegungsüberschneidungen und die anschließende Einführung des Mehrwerts zwischen den Systemen, der durch die Fusionen und Übernahmen erreicht werden sollte.

Sicherheitsüberlegungen zur Veräußerung

Die Übernahme von Cyberrisiken kann als negativer Aspekt von M&A angesehen werden. Bei korrekter Umsetzung ist ein Cybersicherheitsprogramm jedoch ein Vorteil bei Fusionen und Übernahmen und ein wichtiger Faktor, wenn Sie auf der Verkäuferseite stehen. In einer von ISC2 durchgeführten Umfrage betrachteten 95 % der befragten M&A-Experten Cybersicherheit als einen materiellen Vorteil, der durch den technischen Stack der Anwendung oder des Dienstes untermauert wird, sich aber auf das breitere Sicherheits- und Risikomanagementprogramm erstreckt. Ein starkes Cybersicherheitsprogramm kann als Unterscheidungsmerkmal und Mehrwert im M&A-Prozess genutzt werden. Eine Investition in diesen macht nicht nur Ihren Verkauf attraktiver, sondern könnte auch einen höheren Preis verlangen.

Obwohl man das Gefühl haben könnte, dass die Tatsache, dass man auf der "zum Verkauf" stehenden Seite des Zauns steht, den Prozess vereinfachen sollte (da man mehr über seine eigene Umgebung wissen sollte), stellen die technischen Schulden und die Vernetzung der Systeme in den eigenen Rechenzentren eine Herausforderung dar, wenn es darum geht, die zu verkaufenden Assets zu identifizieren und zu entwirren und abzuschneiden. Es kann wahrscheinlich schwierig sein, Ihre eigenen Fragen zu beantworten, z. B. welche Workloads die Anwendungen ausführen oder welcher Teil des Unternehmens verkauft wird, und wissen wir, mit welchen Systemen diese Systeme verbunden sind und wer heute darauf zugreift?

Möglicherweise sind Sie auch durch vorhandene Kontrollen eingeschränkt, um die Sicherheit auf das Niveau zu heben, das vom Acquirer gefordert wird oder das die Waage während der Verhandlungen zu Ihren Gunsten ausbalancieren würde. Es ist auch üblich, dass vertragliche Verpflichtungen aus dem Verkauf erfordern, dass Sie diese Systeme über einen längeren Zeitraum in Ihrer Umgebung weiter betreiben, sodass ein effizienter Mechanismus erforderlich ist, um sie zu entwirren und zu isolieren, ohne sie vollständig zu entfernen.

Kurz gesagt, zu den gemeinsamen Herausforderungen sowohl bei der Akquisition als auch bei der Veräußerung gehören:

• Mangelnde Transparenz in Bezug auf Anwendungsabhängigkeiten, um die Assets/Workloads im Rahmen des Verkaufs zu verstehen, zu migrieren und entweder neu zu integrieren oder zu trennen.
• Vorhandene Sicherheitsrichtlinien sind in den meisten Fällen statisch, an die Infrastruktur und die Sicherheitsimplementierung des Rechenzentrums gebunden und können daher nicht adaptiv mit den Workloads migriert werden, wenn sie zwischen den Entitäten weitergegeben werden.
• Die Migration unbekannter Anwendungen ohne Beeinträchtigung der Sicherheit oder Unterbrechung von Diensten ist schwierig, da moderne Anwendungen voneinander abhängig sind und anfällig sein können.
• Es ist wichtig, dass die Software nicht kaputt geht, während der Übergangsprozess abgeschlossen ist, um so viel Betrieb wie möglich aufrechtzuerhalten.
• Risiko der Kompromittierung von Kunden- und Unternehmensdaten für die Dauer der Migration mit geöffneten Edge-Firewalls.

Wie Illumio hilft

Die Migration von Anwendungen ohne Kompromisse bei der Sicherheit ist die Essenz für ein erfolgreiches Ergebnis, und die Illumio Adaptive Security Platform (ASP) ist die Grundlage für die M&A-Strategie einiger der akquisitorischsten Unternehmen der Welt. Illumio ASP löst die häufigsten Herausforderungen, indem es Ihnen ermöglicht:

1. Ordnen Sie Anwendungsabhängigkeiten innerhalb Ihrer eigenen (Veräußerung) oder der (Akquisition) Umgebung des Ziels (Akquisition) zu. Die Application Dependency Map von Illumio bietet Echtzeit-Einblicke, um Unternehmen dabei zu helfen, erworbene oder verkaufte Anwendungen und ihre Workloads in allen Umgebungen vor der Migration zu visualisieren. Mit dem Verständnis der Anwendungsabhängigkeiten können Teams sicherstellen, dass die Migration effizient ist und das Anwendungsverhalten nicht unterbrochen wird.
2. Erstellen Sie Segmentierungsrichtlinien, um die kritische IT-Infrastruktur zu isolieren und dabei die Anwendungsabhängigkeitskarte zu nutzen. Der Policy Generator von Illumio automatisiert die Erstellung von Segmentierungsrichtlinien mit optimierten Mikrosegmentierungsrichtlinien, die Zeit sparen, Sicherheitsworkflows beschleunigen und das Risiko menschlicher Fehler reduzieren, indem die erworbenen oder verkauften Systeme abgegrenzt werden, damit jede Sicherheitsverletzung eingedämmt wird.
3. Schützen Sie Ihre Infrastruktur vor den Servern und Anwendungen des Zielunternehmens. Die adaptive Mikrosegmentierungsrichtlinie passt sich an Änderungen in der Anwendungsumgebung an – mit der Verlagerung von Anwendungen ändert sich auch die Sicherheit. Auf diese Weise können Anwendungen vor der Migration gesichert und die Richtlinien nach der Migration automatisch angepasst werden, um einen konsistenten und kontinuierlichen Schutz während des Übergangsprozesses zu gewährleisten.

Unabhängig davon, ob Sie erwerben und das Vertrauen benötigen, dies auf sichere Weise zu tun, oder ob Sie verkaufen und Ihren Preis steigern können, während Sie den Aufwand für die Abschaffung dieser Vermögenswerte reduzieren können, Illumio wird das Risiko Ihrer kommerziellen Initiativen verringern.

Lesen Sie die Geschichte eines Fortune-500-Unternehmens, das eine hochkarätige Akquisition nahtlos abschloss und Illumio auf den 700 Servern des übernommenen Unternehmens einsetzte.