1. Einleitung

Der Abschluss einer M&A-Transaktion steht kurz bevor – das Ergebnis monatelanger intensiver Verhandlungen, sorgfältiger Prüfungen und strategischer Weichenstellungen. Doch just in diesem entscheidenden Moment erschüttert ein schwerwiegender Cyberangriff die IT-Infrastruktur eines der beteiligten Unternehmen. Unvermittelt gerät der gesamte Deal ins Wanken: Vertrauliche Daten drohen offengelegt zu werden, der wirtschaftliche Schaden ist potenziell enorm, der Reputationsverlust nicht minder gravierend. Was früher als Ausnahme galt, ist heute bittere Realität und verdeutlicht eindrücklich: Cybersicherheit ist längst kein Randthema mehr, sondern ein kritischer Erfolgsfaktor bei M&A-Transaktionen.

2. Warum Cybersecurity heute ein Dealbreaker sein kann

In der heutigen Zeit ermöglichen digitalisierte Geschäftsmodelle neue Chancen, bringen jedoch auch eine ansteigende Bedrohungslage mit sich. Unternehmen, die in Fusionen & Übernahmen (M&A) aktiv sind, müssen die Cybersecurity-Risiken der Zielunternehmen sorgfältig bewerten, da diese erhebliche Auswirkungen auf den Wert einer Transaktion und die anschließende Integration haben können. Cybersecurity muss mittlerweile ein zentraler Bestandteil einer jeden Unternehmensstrategie sein.

Laut einer KPMG-Studie aus dem Jahr 2024 erkennen 93% der Entscheidungsträger Cybersecurity-Vorfälle als gravierendes Risiko für den Erfolg einer Transaktion an.1

Ein vielbeachtetes Beispiel ist die Übernahme von Yahoo durch Verizon im Jahr 2017.2 Nach der Offenlegung eines massiven Datenlecks bei Yahoo wurde der Kaufpreis um 350 Mio. USD reduziert. Dies entspricht etwa 7,25% des ursprünglich vereinbarten Wertes. Der Vorfall macht eindrucksvoll deutlich, welchen Einfluss Cybervorfälle auf den Wert eines Unternehmens haben können, und betonte zugleich die zentrale Rolle einer sorgfältigen Cybersecurity-Due-Diligence im Vorfeld von Transaktionen.

Abb. 1 Die wichtigsten Marktbedingungen, die eine Transaktion beeinflussen

Quelle: KPMG Deutschland, 2024

3. Regulatorische Anforderungen und gesetzliche Verpflichtungen

Angesichts der zunehmenden Bedrohungslage werden die regulatorischen Anforderungen an die Cybersicherheit von Unternehmen verschärft: Die Anzahl entsprechender Regularien auf (inter-) nationaler Ebene, die zu einem höheren Cyber-Sicherheitsniveau für Unternehmen beitragen sollen und die es abhängig vom Unternehmensgegenstand, Geschäftsmodell und Größe zu berücksichtigen und umzusetzen gilt, wächst. In vielen Fällen drohen empfindliche Strafen bei Nichteinhaltung.

Abb. 2 Überblick über beispielhafte Regulierungsanforderungen

Quelle: KPMG Deutschland, 2024

Quelle: KPMG Deutschland, 2024

4. Cyber-Due-Diligence – Ein Muss in der Vorbereitungsphase einer Transaktion

Due-Diligence-Prüfungen zählen zu den zentralen Elementen jeder Unternehmensübernahme. Insbesondere die Cybersecurity-Due-Diligence ist ein unverzichtbarer Bestandteil: Sie ermöglicht es potenziellen Käufern, frühzeitig sicherheitsrelevante Risiken zu identifizieren, die den Unternehmenswert maßgeblich beeinträchtigen könnten. Zu den Schlüsselaspekten gehören die Bewertung der Absicherung der digitalen Infrastruktur, bestehende Sicherheitsrichtlinien und -prozesse, die Compliance mit regulatorischen Anforderungen und die Reaktion auf vergangene Sicherheitsvorfälle beziehungsweise die Fähigkeit, auf zukünftige Angriffe schnell und angemessen zu reagieren.

5. Integration und Post-Merger-Strategien

Die Integration von IT-Systemen und Sicherheitsstandards während und nach einer M&A-Transaktion kann eine erhebliche Herausforderung darstellen. Gerade vorab nicht ordnungsgemäß abgesicherte Systeme können im Nachgang zu aufwendigen Nachbesserungen führen. Heterogene Sicherheitskulturen und -standards erzeugen Schwachstellen, welche Cyberkriminellen in vielfältiger Natur Angriffsflächen bieten. Häufig fehlt es an einem gemeinsamen Sicherheitsverständnis sowie an abgestimmten Prozessen für Zugriffskontrolle, Datenklassifizierungen oder Incident Response. Eine harmonisierte Sicherheitsstrategie und klare Governance-Strukturen sind entscheidend, um die Sicherheit der zusammengeführten Unternehmen zu gewährleisten.

Ein Beispiel aus der Praxis zeigt, welche Folgen eine unzureichende Prüfung von Softwarecode im M&A-Prozess haben kann:

Ein Unternehmen übernahm einen Technologieanbieter, ohne zuvor eine detaillierte Analyse des Quellcodes und der Lizenzstrukturen durchzuführen. Erst in der Post-Merger-Integration (PMI) wurde deutlich, dass der übernommene Code zahlreiche Open-Source-Komponenten mit restriktiven Lizenzbedingungen enthielt, die nicht mit der geplanten kommerziellen Nutzung vereinbar waren. Zudem traten sicherheitsrelevante Schwachstellen zutage, welche eine umfassende Nachbesserung erforderten. Die Folge: hohe Kosten für das Reengineering des Käufers, externe Compliance-Prüfungen, juristische Beratung und Verzögerungen bei der unternehmensweiten Nutzung. Der Fall verdeutlicht, dass es ohne frühzeitige und sorgfältige Prüfungen (wie hier im Beispiel von Softwarecode) in der PMI zu bösen Überraschungen kommen kann.

Dazu gewinnt Cyber Escrow zunehmend an Relevanz. Dabei handelt es sich um eine spezielle Rücklage, die im Kaufvertrag verankert wird, um potenzielle Cyberrisiken nach dem Abschluss finanziell abzusichern. Konkret wird ein Teil des Kaufpreises für einen definierten Zeitraum einbehalten, um beispielsweise Kosten aus Sicherheitsvorfällen, Datenschutzverletzungen oder Lizenzverstößen abzudecken, die nach Abschluss der Transaktion entdeckt werden.

6. Auswirkungen von Cybersecurity-Vorfällen auf den Unternehmenswert

Wie erwähnt kann Cybersecurity den Unternehmenswert erheblich beeinflussen. Eine Studie von Comparitech zeigt, dass Aktienkurse von Unternehmen, die einen Cyberangriff in Form von Produktionsausfällen oder Datenverlust erlitten haben, unmittelbar nach der Bekanntgabe um 0,5% bis 5% fallen können.3 Langfristig erzielen diese Aktien in der Regel eine geringere Rendite als der Gesamtmarkt. Darüber hinaus führen laut einer Studie von Splunk und Oxford Economics IT-Ausfälle nicht nur zu direkten finanziellen Verlusten, sondern verursachen auch erheblichen Reputationsschaden, da Unternehmen das Vertrauen ihrer Kunden verlieren und ihr Markenimage nachhaltig beschädigt wird.4

Während Cybersicherheit innerhalb von Transaktionen als kritischer Faktor betrachtet wird, rückt gleichzeitig der gesamte Cybersecurity-Sektor selbst immer stärker in den Fokus strategischer Investoren.

6.1. Marktdynamik und Investitionstrends

Der Cybersecurity-Sektor hat sich in den letzten Jahren zu einem der dynamischsten Bereiche im M&A-Markt entwickelt. Im Jahr 2024 wurden weltweit 363 Transaktionen im Cybersecurity-Bereich abgeschlossen, mit einem durchschnittlichen Transaktionswert von 21,9 Mio. USD im unteren Mittelstandssegment. Dies entspricht einem Anstieg von 3,4% gegenüber dem Vorjahr.5

Die zunehmende Bedeutung von Cybersecurity, getrieben von steigenden Bedrohungen und regulatorischen Anforderungen, hat zu einem verstärkten Interesse und erhöhten Investitionspotenzial geführt. Unternehmen als Anlagepotenzial mit stabilen Sicherheitslösungen und innovativen Technologien sind besonders gefragt.

6.2. Strategische Übernahmen und prominente Deals

Private-Equity-Firmen und strategische Investoren haben in den letzten Jahren erhebliche Investitionen im Cybersecurity-Sektor getätigt. Ein herausragendes Beispiel ist die Übernahme von Darktrace, einem britischen KI-basierten Cybersecurity-Unternehmen, durch Thoma Bravo im April 2024 für 5,3 Mrd. USD.6

Thoma Bravo hat in den letzten Jahren mehrere bedeutende Übernahmen im Cybersecurity-Bereich durchgeführt, darunter:

• Proofpoint für 12,3 Mrd. USD – ein führender Anbieter von E-Mail-Sicherheit und Schutz vor gezielten Phishing-Angriffen

• SailPoint für 6,9 Mrd. USD – ein Spezialist für Identity Governance, der Unternehmen hilft, den Zugriff auf sensible Daten zu steuern

• Ping Identity für 2,8 Mrd. USD – ein Anbieter von Lösungen für Single Sign-On und sicheres Identitätsmanagement in hybriden IT-Umgebungen

• ForgeRock für 2,3 Mrd. USD – ein Plattformanbieter für digitale Identitäten, insbesondere großen, komplexen Organisationen

Diese Transaktionen unterstreichen das starke Interesse von Investoren an Unternehmen mit fortschrittlichen Sicherheitslösungen.

6.3. Erhöhte Multiples und Bewertungskennzahlen

Die Bewertungsmultiplikatoren im Cybersecurity-Sektor sind in den letzten Jahren stetig gestiegen und gehören zu den stärksten der Techbranche, was die hohe Nachfrage nach Sicherheitslösungen widerspiegelt. Beispielsweise wurde Darktrace mit einem Enterprise-Value-to-Earnings-Multiple von 28 bewertet.

Diese hohen Multiples zeigen das Vertrauen der Investoren in das Wachstumspotenzial und die Rentabilität von Cybersecurity-Anbietern. Innovative Technologien, wiederkehrende Einnahmenmodelle und starke Kundenbindungen tragen zu diesen Bewertungen bei. Zugleich wird der Markt von geopolitischen Spannungen, zunehmender Digitalisierung sowie regulatorischen Anforderungen weiter befeuert – all dies schafft eine strukturell wachsende Nachfrage, die Cybersecurity-Anbieter langfristig attraktiv für Investoren macht.

6.4. Zukunftsaussichten und strategische Bedeutung

Die Bedeutung von Cybersecurity im M&A-Sektor wird in den kommenden Jahren weiter steigen.7 Unternehmen sollten daher in stabile Sicherheitslösungen investieren, um ihre Daten und Systeme nachhaltig zu schützen, und zwar quer durch alle Branchen und Unternehmensgrößen hinweg.

Für Investoren bietet der Cybersecurity-Sektor attraktive Chancen. Die Kombination aus hoher Nachfrage nach leistungsfähigen Sicherheitslösungen, innovativen Technologien und regulatorischer Verpflichtung schafft ein Umfeld, in dem Investitionen in Sicherheitslösungen sowohl strategisch sinnvoll als auch in der Rendite finanziell lohnend sind. In der Summe ergibt sich ein Marktumfeld, in dem Investitionen in Cybersecurity nicht nur zur digitalen Resilienz beitragen, sondern auch über-

durchschnittliche Wertschöpfung versprechen – sowohl kurzfristig als auch im langfristigen strategischen Portfolioaufbau.

7. Zusammenfassung

Das Beispiel in der Einleitung hat es eindrücklich gezeigt: Cybersecurity stellt einen zentralen Erfolgsfaktor von M&A-Transaktionen dar – und der Bedarf wird aufgrund weiterer digitalisierter Geschäftsmodelle von Unternehmen in der Zukunft perspektivisch noch weiter wachsen. Cybersecurity stellt einen integralen Bestandteil des gesamten M&A-Dealzyklus von der ersten Target-Identifikation über die Due Diligence bis hin zur Post-Merger-Integration dar.

Parallel dazu bietet der Cybersecurity-Sektor attraktive Investitionsmöglichkeiten, getrieben durch technologische Innovationen und steigende Sicherheitsanforderungen. Unternehmen und Investoren, die Cybersecurity als strategischen Schwerpunkt betrachten, sind besser positioniert, um in der digitalen Wirtschaft erfolgreich zu sein.

Cybersecurity ist damit im M&A-Bereich doppelt relevant – als zu prüfendes Risiko und als attraktives Investitionsfeld.

1 KPMG, 2025 M&A Outlook for German Corporate and Private Equity Dealmakers, 185 Participants, Munich, 2024

2 Reuters, Verizon and Yahoo agree to lowered $4.48 billion deal following cyber attacks, 2017

3 Comparitech, How ransomware affects stock market share prices: report, 2024

4 Oxford Economics & Splunk, The hidden costs of downtime: The $400B problem facing the Global 2000, S.3, 2024

5 Capstone Partners, Cybersecurity Market Update – January 2024, 2024

6 Thoma Bravo, Thoma Bravo Completes Acquisition of Darktrace, 2024

7 Grant Thornton, M&A im Bereich Künstliche Intelligenz und Cybersecurity – strategische Treiber und Markttrends, 2024