FTI-Consulting-Studie: Cybervorfall bei M&A-Deals – bei 42 Prozent sinkt Deal-Wert
Nur jeder dritte CISO maßgeblich an Transaktionsentscheidungen beteiligt
- Bild-Infos
- Download
- Ein weiterer Medieninhalt
Ein Dokument
FTI-Consulting-Studie: Cybervorfall bei M&A-Deals – bei 42 Prozent sinkt Deal-Wert / Nur jeder dritte CISO maßgeblich an Transaktionsentscheidungen beteiligt
Wenn Unternehmen während oder kurz nach einer Übernahme (M&A) von einem Cyberangriff getroffen werden, hat das messbare finanzielle Folgen: Bei 42 Prozent der Betroffenen sank der Wert der Transaktion. 58 Prozent konnten ihre ursprünglichen finanziellen Ziele nach dem Deal nicht erreichen, bei jedem Fünften wurde die Transaktion verzögert oder pausiert. Trotzdem haben nur 34 Prozent der befragten CISOs (Chief Information Security Officers) angegeben, maßgeblich in Transaktionsentscheidungen eingebunden zu sein. Das zeigt die Untersuchung „CISO Redefined III: Navigating Cybersecurity Risks in Transactions“ von FTI Consulting, für die 278 CISOs, M&A-Verantwortliche und General Counsels befragt wurden.
- 41 Prozent sehen zeitlichen Druck bei Abschluss als Anlass für erhöhte Cyberrisiken
- 84 Prozent berichten von Schwierigkeiten, IT-Systeme und Sicherheitsstandards zusammenzuführen
- Nur rund jedes vierte Unternehmen (23 Prozent) steuert Cyberrisiken nach dem Closing gezielt und vorausschauend
Die Relevanz der Befunde wächst mit dem wieder anziehenden M&A-Markt. Erhebungen von FTI Consulting zeigen deutlich steigende Deal-Aktivität – allein in der DACH-Region stieg die Zahl der Transaktionen im Versicherungssektor 2025 um 35 Prozent, im Bereich Healthcare und Life Sciences erreichte sie 2024 mit 127 Deals ein Rekordjahr. Zugleich zeigt die aktuelle Untersuchung im Bereich der Cybersicherheit: Jede vierte Transaktion (24 Prozent) war innerhalb von 24 Monaten nach dem Closing von einem Cybervorfall betroffen.
Zwei Drittel davon waren schwerwiegende Vorfälle wie Datendiebstahl, Erpressung oder Angriffe über Dienstleister. 86 Prozent der CISOs (Chief Information Security Officers) geben an, dass solche Vorfälle während einer Transaktion neben möglichen direkten Kosten auch zusätzliche indirekte Kosten verursachen – vor allem Reputationsschäden (41 Prozent) und schärfere Prüfungen durch Aufsichtsbehörden und Investoren (32 Prozent).
„Wenn wir bei einem Cybervorfall im Kontext einer Transaktion hinzugezogen werden, sehen wir häufig ein ähnliches Muster: Es fehlt eine ausreichend abgestimmte Vorbereitung darauf, wer im Ernstfall mit Regulatoren, Kunden oder Investoren spricht. Das kann bares Geld kosten“, sagt Oliver Müller, Senior Managing Director und Experte für Kommunikation in Krisen und bei Cybersicherheitsvorfällen bei FTI Consulting in Deutschland. „Mit der wieder steigenden Deal-Aktivität in Deutschland und global wächst auch die Zahl der Situationen, in denen Cyberrisiken in der Prüfungs- und Integrationsphase konsequent mitgedacht werden müssen. Passiert das nicht, steigt das Risiko – für den Transaktionswert und für die Reputation aller Beteiligten.“
Zeitdruck verdrängt zu häufig Sorgfalt – der CISO bleibt außen vor
67 Prozent der M&A-Verantwortlichen und 76 Prozent der General Counsels stufen die Rolle des CISO bei Transaktionen als sehr wichtig ein. Doch in der Praxis bleibt seine Rolle oft begrenzt: Nur 34 Prozent der CISOs sind nach eigener Aussage maßgeblich an Transaktionsentscheidungen beteiligt. Ein Drittel (33 Prozent) ist nicht davon überzeugt, eine Transaktion bei zu hohem Cyberrisiko stoppen zu können. 41 Prozent sehen im Zeitdruck beim Deal-Abschluss einen Faktor, der dazu führt, dass Cyberrisiken in der Prüfung zu kurz kommen. Bei der Zusammenarbeit klaffen Wahrnehmung und Realität oft auseinander: 34 Prozent der General Counsels registrieren eine verbesserte Kooperation während der Transaktionsphase, bei den CISOs selbst sind es nur 17 Prozent.
„Der Befund, dass alle Beteiligten die Bedeutung des CISO anerkennen, ihn aber nicht ausreichend einbinden, ist kein Kommunikationsproblem – es ist ein Governance-Defizit“, sagt Oliver Müller. „Unter NIS2, der neuen EU-Richtlinie für Cybersicherheit in Unternehmen, steigen die Anforderungen an dokumentierte Cyber-Governance deutlich. Wer Cyberrisiken in der Integrationsphase nicht systematisch adressiert, erhöht sein Governance-Risiko und setzt sich auch haftungsseitig zusätzlichem Druck aus. Genau diese Konsequenz wird in vielen Deal-Prozessen immer noch unterschätzt.“
In der Integrationsphase verschärfen sich die Lücken weiter
84 Prozent der Befragten berichten von Schwierigkeiten, die IT-Systeme und Sicherheitsstandards zweier Unternehmen nach einer Übernahme zusammenzuführen – als größte Hindernisse nennen sie unterschiedliche Risikotoleranzen und den Druck, schnell statt sicher zu integrieren. 39 Prozent haben nach dem Closing keinen definierten Plan für die Integration der Cybersicherheit. Während der Transaktion steuern noch 50 Prozent der Befragten ihre Cyberrisiken gezielt und vorausschauend. Nach dem Closing sind es nur noch 23 Prozent.
„Nach dem Closing verlagert sich in vielen Unternehmen der Fokus auf die operative Integration und die Realisierung von Synergien – Cybersicherheit gerät dabei in den Hintergrund, obwohl die Risiken gerade jetzt deutlich steigen“, sagt Hans-Peter Fischer, Senior Managing Director und Leiter Cybersecurity bei FTI Consulting in Deutschland. „Wenn die IT-Systeme zweier Unternehmen zusammengeführt werden, entstehen neue Angriffspunkte – und genau in dieser Phase fehlt es oft an den Grundlagen: keine vollständige Übersicht aller Systeme, keine klaren Regelungen, wer auf welche Daten zugreifen darf. Unter DORA, der neuen EU-Verordnung für digitale Widerstandsfähigkeit im Finanzsektor, wird das für die Geschäftsführung zunehmend schwer zu verantworten.“
Über die Studie / Methodik:
FTI Consulting hat in der Untersuchung CISO Redefined III: Navigating Cybersecurity Risks in Transactions 100 CISOs, 78 M&A-Verantwortliche und 100 General Counsels in Unternehmen mit mindestens 500 Mitarbeitern befragt. Die Mehrheit der teilnehmenden Unternehmen verfügt über eine Marktkapitalisierung von mehr als 5 Milliarden US-Dollar.
Die vollständige Studie finden Sie hier:
Die Zahlen zu den M&A-Aktivitäten in der Versicherungswirtschaft und im Healthcare-Bereich können Sie den folgenden Studien entnehmen.
European Insurance M&A Barometer Report 2025: https://www.fticonsulting.com/insights/reports/insurance-barometer-2025
Healthcare & Life Sciences M&A Transactions Report 2025:
https://www.fti-andersch.com/de/insights/healthcare-and-life-sciences-m-and-a-transactions-report/
Über FTI Consulting
FTI Consulting, Inc. ist eine weltweit führende Beratung für Unternehmen in Krisen und Transformationen mit mehr als 8.100 Expertinnen und Experten in 32 Ländern und Territorien zum 31. Dezember 2025. In bestimmten Ländern werden die Dienstleistungen von FTI Consulting durch eigenständige juristische Einheiten erbracht, die separat kapitalisiert und unabhängig verwaltet werden. FTI Consulting erzielte im Geschäftsjahr 2025 einen Umsatz von 3,8 Milliarden US-Dollar. Weitere Informationen unter www.fticonsulting.com
FTI Consulting Deutschland GmbH
Taunusanlage 9-10 | Marienturm
60329 Frankfurt
Für Presse-Anfragen kontaktieren Sie bitte:
Lynn Lackmann
T: +49 69 2722995429
M: +49 151 14494259
lynn.lackmann@fticonsulting.com
