Private Equity und Resilienz gegen Cyberangriffe: Die Vorteile des Zero-Trust-Ansatzes

Nach dem Rekordjahr 2021 haben viele Investoren ihre M&A-Aktivitäten 2022 zurückgefahren und das Transaktionsvolumen auf das Niveau vor der Pandemie zurückgeschraubt. Ein Bereich, in dem kein signifikanter Rückgang zu verzeichnen war, ist Private Equity (PE). Einem Report von McKinsey zufolge entfielen allein in der ersten Jahreshälfte 2022 26 % des Gesamtwerts aller M&As auf PE-Transaktionen, womit dieses Segment auf dem besten Weg ist, die Zahlen von 2021 zu übertreffen.

Obwohl Private-Equity-Unternehmen im Jahr 2021 bereits rund 2 Billionen US-Dollar investiert haben, nehmen sie weiterhin Mittel auf und verfügen über beträchtliche Ressourcen, um die Bewertungen und Prämien auch im Jahr 2023 und darüber hinaus beeinflussen zu können. Bestimmte technologieorientierte PE-Fonds wie Thoma Bravo übertreffen weiterhin ihre Erwartungen an die Kapitalaufnahme – 2022 mobilisierte die Gesellschaft in einer Finanzierungsrunde eine Rekordsumme von 32 Milliarden US-Dollar. Dies deutet darauf hin, dass die PE-Tätigkeit auch im Jahr 2023 hoch bleiben dürfte. Angesichts der öffentlichen Aufmerksamkeit und des rekordverdächtigen Transaktionsvolumens sind PE-Firmen und ihre Portfoliounternehmen allerdings zur Zielscheibe für Cyberkriminelle geworden. 

Einem Report von Lockton zufolge sehen sich PE-Firmen weltweit vom Vereinigten Königreich über Hongkong bis hin zu den USA vermehrt mit Cyberbedrohungen konfrontiert. Cyberkriminelle werden immer raffinierter und stellen durch Angriffsmethoden wie die folgenden eine ernstzunehmende Gefahr für Private-Equity-Gesellschaften und ihre Portfoliounternehmen dar:

• E-Mail-Spoofing
• Social Engineering
• Gezielte Phishing-Angriffe
• Schadprogramm
• Ransomware
• Denial of Service

Angriffe auf Private-Equity-Firmen haben in der Regel nicht für solche Schlagzeilen gesorgt wie Datenpannen in öffentlichen Unternehmen, doch die Auswirkungen auf die betroffenen Gesellschaften, ihre Marktbewertung und Geschäftstätigkeit sind nicht weniger schwerwiegend. Studien von Performance Improvement Partners haben ergeben, dass PE-Firmen und ihre Portfoliounternehmen mit ähnlichen Bedrohungen konfrontiert sind und vor denselben Herausforderungen stehen: 

• 300 % mehr Cyberangriffe auf Finanzdienstleistungsorganisationen als in anderen Branchen
• 71 % der Organisationen werden Opfer von Ransomware.
• 63 % der Organisationen zahlen das Lösegeld. 
• Änderungen an SEC-4A-Bestimmungen: Das rechtliche Umfeld wird immer komplexer, da die Aufsichtsbehörden Private-Equity-Fonds zur Offenlegung im Cyberbereich verpflichten.

Diese Herausforderungen wirken sich – einzeln oder in Kombination – mitunter erheblich auf den gesamten Lebenszyklus einer PE-Investition aus (z. B. von der ersten Due-Diligence-Prüfung über die Wertschöpfung bis hin zum letztlichen Ausstieg). Angesichts steigender Zinsen, die zu rückläufigen Bewertungen führen, und einer von 4 bis 5 Jahren auf 7 bis 8 Jahre gestiegenen Anlagedauer müssen PE-Firmen innovative Wege zur Risikominderung und Wertschöpfung finden. Wie gehen also führende PE-Gesellschaften mit diesen Hürden um? Die meisten Unternehmen sind sich einig, dass die beste Cyberabwehr darin besteht, Cyberbedrohungen von vornherein zu unterbinden. Daher vertreten Branchenexperten im Allgemeinen die Auffassung, dass ein Zero-Trust-Ansatz die beste Methode zum Schutz von PE-Firmen und ihrer Portfoliounternehmen darstellt. Zero Trust bezeichnet eine Reihe von Technologien und Funktionen, mit denen Remote-User sicher auf interne Anwendungen zugreifen können. Dieser Ansatz basiert auf einem adaptiven Vertrauensmodell, bei dem keine Verbindung automatisch als vertrauenswürdig eingestuft wird. Zugriff wird nur nach dem Erforderlichkeitsprinzip mit minimaler Rechtevergabe auf Basis granularer Richtlinien gewährt. In unserem Whitepaper erhalten Sie weitere Informationen zu diesem Thema.