Einer der wichtigsten Faktoren für Erfolg von Fusionen und Übernahmen (Mergers and Acquisitions; M&A) ist die erfolgreiche Integration der Informationstechnologie (IT).
Die Zusammenführung von IT-Infrastrukturen muss schnell gemeistert werden, um eine frühzeitige Realisierung der M&A-Wertschöpfung und damit eine gute Time-to-Value zu gewährleisten. Zudem besteht in einer solchen Übernahmesituation die Gefahr, dass der übernommene IT-Bestand ein Sicherheitsrisiko durch eine unerkannte Malware-Infektion darstellt.
Wird ein Angreifer in der IT-Infrastruktur nicht rechtzeitig aufgedeckt, ist vertrauliche Information in Gefahr. Um diese beiden Herausforderungen zu meistern, tritt Cloud Security auf Basis des Prinzips Zero Trust an, die schnelle und sichere IT-Integration von M&As zu ermöglichen.
Warum bei M&A die Integration der Technologie schwierig ist
IT-Umgebungen werden jährlich komplexer: Hybride Architekturen als Kombination aus Cloud und Rechenzentrum, eine zunehmend dezentral arbeitende Belegschaft, ständig verbesserte Bedrohungen – all diese Faktoren erschweren eine rasche IT-Integration. Es ist daher nicht verwunderlich, dass laut Bain & Company nun 70 Prozent der Technologie-Integrationen am Anfang scheitern, nicht am Ende.
Um die Chancen auf ein erfolgreiches Ergebnis zu bewahren, muss die Integration so früh wie möglich im M&A-Prozess geplant werden. In der Realität geschieht das häufig nicht, denn die IT-Abteilung wird aufgrund der Vertraulichkeit während des M&A-Abschlusses erst sehr spät einbezogen. Doch auch wenn die IT-Abteilung frühzeitig an Bord geholt wird, kann die Umsetzung der Integration mit Hürden einhergehen.
Netzwerkarchitekturen sind komplexe, über lange Jahre hinweg gewachsene Strukturen, die in einer Ko-Existenz mit modernen Cloud-basierten Ökosystemen vorhanden sind. Bei einer Fusion zweier IT-Umgebungen müssen diese vielschichtigen Architekturen konsolidiert und durch korrekt angewandte Sicherheitsregeln und -systeme geschützt werden. Die Benutzerprofile müssen während des Übergangs so schnell wie möglich einsatzbereit sein, damit die tägliche Arbeit weitergehen kann und der erforderliche Zugriff auf die jeweils andere IT-Umgebung möglich wird.
Die Auswirkungen von langwierigen IT-Fusionen
Unterbrechungen bei der IT-Zusammenführung wirken sich negativ auf die Produktivität der Mitarbeiter und damit auf die Wertschöpfung der Firmen aus. Die Beibehaltung getrennter IT-Strukturen kommt als Alternative meist nicht in Frage. Dadurch würden die erhofften Vorteile hinsichtlich reduzierter Kosten und gesteigerter Produktivität zunichte gemacht werden. Die Folgen der IT-Systemintegration auf die Wertschöpfung hat PwC aufgeführt: 83 Prozent der erfolgreichen Übernahme-Unternehmen können ihre Synergie-Erwartungen erfüllen, jedoch nur 47 Prozent der erfolglosen.
Mit jedem Merger geht auch ein Sicherheitsrisiko einher, wenn bisher getrennte Netzwerke zusammengelegt werden. Wenn ein übernommenes Unternehmen bereits Sicherheitsmängel und möglichen unerkannten Schadcode in der Infrastruktur beinhaltet, gehen diese Bedrohungen und Schwachstellen in die Verantwortung des ahnungslosen Käufers über. Eine Due-Diligence-Prüfung ist daher unerlässlich, um das Risiko des Kaufs einer Sicherheitslücke mit den damit verbundenen Kosten für die Reputation zu minimieren sowie Kosten für die Behebung von Sicherheitsvorfällen auszuschließen.
Weshalb M&A-IT-Integrationen schief gehen
Trotz umfangreicher Planung, Investition und Anstrengungen, die für eine erfolgreiche Integration der IT-Infrastrukturen aufgewendet werden, bleiben die Ergebnisse oft hinter den Erwartungen zurück. Es kann sein, dass das Gefahrenpotenzial nicht ausreichend adressiert wurde, oder die Umsetzung unangemessen lange dauert, dass Synergieeffekte nicht genutzt werden oder die Benutzererfahrung beim Zugriff auf Anwendungen zu wünschen übriglässt. Vielleicht bleibt die Realität sogar in allen Punkten hinter den Erwartungen zurück. Erschwerend kommt hinzu, dass viele der beteiligten Aktivitäten linear ablaufen, aber nicht zeitgleich in Angriff genommen werden können.
Auf der Suche nach den Ursachen für Verzögerungen werden mangelnde Ressourcen oftmals in den Mittelpunkt gestellt. Ein jeder M&A-Prozess geht mit Überstunden für bereits überlastete IT-Abteilungen einher. Langwierige Prozessplanung trifft dabei auf unzureichende Kapazität, um den Käufer und das übernommene Unternehmen mit firmenübergreifender IT-Konnektivität zu versorgen.
Unter dem Strich bleibt die Zusammenführung der IT komplex, zeitaufwändig und fehleranfällig, wenn es gilt Architekturen und -Systeme zu kombinieren, redundante Infrastrukturen (mit versteckten Sicherheitslücken) zu beseitigen, allen Beteiligten den richtigen authentifizierten Zugang zu gewähren und die gesamte Umgebung zu schützen.
Zero Trust kann das Blatt wenden
Zero Trust verfolgt einen grundsätzlich anderen Ansatz hinsichtlich der Sicherheit und Zugriffsberechtigungen auf Anwendungen in verteilten IT-Umgebungen. Bei einem herkömmlichen, netzwerkbasierten Sicherheitsansatz wurden die Grenzen des Unternehmens gegen unbefugtes Eindringen abgesichert. Vor dem Zugang zum Netzwerk wurden dazu Benutzer authentifiziert und außen vorgehalten, wer nicht berechtigt ist. Wegen der explosionsartigen Zunahme von Cloud-Diensten, Cloud-Anwendungen, des Fernzugriffs über tragbare Geräte und der zusätzlichen Geräte selbst ist dieser Ansatz nicht mehr praktikabel.
Im Unterschied dazu schützt Zero Trust die Benutzer, Geräte und Daten, aber nicht mehr die Grenze des Unternehmensnetzwerks. Es sichert jeden Zugriff auf eine einzelne Applikation anstelle des Netzwerkzugriffs – ohne Beeinträchtigung der Benutzerfreundlichkeit. Benutzer sehen nur die Anwendungen, die sie sehen dürfen und für die Arbeit benötigen. Der Rest des Netzwerkes bleibt für sie unsichtbar.
Somit wird kein Benutzer oder Gerät jemals vollständig mit dem Netzwerk verbunden. Ein Zero-Trust-Ansatz für die IT-Integration bei M&A kann den Zeitaufwand für die Erstellung von Risikoprofilen, die Abbildung der Konnektivität und die Einteilung des Zugriffs senken und ermöglichen, dass die meisten dieser Aktivitäten gleichzeitig durchgeführt werden können.
Über einen solch grundlegend anderen Ansatz kann ein Zero-Trust-Konzept die Time-to-Value kürzen und gleichzeitig das Sicherheitsrisiko adressieren. Der Übernahmeprozess wird auf das Wesentliche verkürzt. Denn bei Fusionen und Übernahmen sollte schließlich nur das integriert werden, was benötigt wird.
Stephen Singh ist Global Vice President M&A bei Zscaler.
