Cyber-Risikobewertung bei M&A: Ein Rahmenwerk 2026 für eine rigorose Due Diligence

• Die Cyberrisikolandschaft 2026 und...
• Integration von Cyberrisiken über 9 Workstreams
• Die technische vs. operative Due Diligence...
• Quantifizierung von Cyberrisiken für Bewertungsanpassungen
• Skalierung der Due Diligence mit KI-nativen Workspaces

Im Jahr 2026 ist die Korrelation zwischen der Reife der Cybersicherheit und der Deal-Bewertung absolut. Investoren sind nicht mehr bereit, 'Papierrichtlinien' als Beweis für Sicherheit zu akzeptieren. Stattdessen fordern sie einen verifizierten Nachweis der operativen Resilienz. Laut den Daten von IBM aus dem Jahr 2026 identifizieren und beheben Organisationen, die Sicherheits-KI und -Automatisierung einsetzen, Sicherheitsverletzungen 80 Tage schneller als diejenigen, die dies nicht tun, was zu Kosteneinsparungen von fast 1,9 Millionen US-Dollar pro Vorfall führt. Dieses Delta in der Resilienz wirkt sich direkt auf das Risikoprofil des Zielunternehmens und folglich auf den Kaufpreis aus.

Auch das regulatorische Umfeld hat einen Wendepunkt erreicht. Da der EU AI Act für die meisten Betreiber ab dem 2. August 2026 vollständig gilt, müssen Erwerber nun die KI-Systeme des Zielunternehmens auf die Einhaltung risikobasierter Klassifizierungen prüfen. Das Versäumnis, KI-Systeme mit 'inakzeptablem Risiko' zu identifizieren, kann zu obligatorischen Rückrufen oder Geldstrafen von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes führen. Dies macht die Schnittstelle zwischen Legal und Cyber Due Diligence zu einem kritischen Schwerpunktbereich für jede Transaktion mit technologiegestützten Assets.

• US-Verletzungskosten: Erreichten im Jahr 2025 ein Allzeithoch von 10,22 Millionen US-Dollar.
• Gesundheitssektor: Bleibt mit 7,42 Millionen US-Dollar pro Vorfall die teuerste Branche für Verletzungen.
• Drittparteirisiko: 40 % aller Schadensersatzansprüche im Jahr 2026 betreffen einen Drittanbieter oder eine Kompromittierung der Lieferkette.

Die traditionelle Due Diligence behandelt Cybersicherheit oft als eine isolierte technische Übung. Eine rigorose Bewertung erfordert jedoch die gleichzeitige Abbildung von Cyber-Ergebnissen über alle neun wichtigen Workstreams hinweg. Eine Schwachstelle in der kundenorientierten Anwendung eines Zielunternehmens ist nicht nur ein technisches Risiko: Es ist ein kommerzielles Risiko (potenzielle Abwanderung), ein rechtliches Risiko (behördliche Geldstrafen) und ein finanzielles Risiko (Sanierungskosten und Versicherungserhöhungen).

Der KI-native Workspace von Plausity erleichtert diese Workstream-übergreifende Synthese durch die Triangulation von Daten aus Tausenden von Dokumenten. Wenn beispielsweise die Managementkonten eines Zielunternehmens niedrige IT-Ausgaben ausweisen, während ihre Sicherheitsrichtlinien eine 'Zero Trust'-Architektur beanspruchen, kennzeichnet die Plattform die Inkonsistenz zur Überprüfung durch Experten. Dieser begründungsbasierte Ansatz stellt sicher, dass Red Flags aufgrund fragmentierter Analysen nicht übersehen werden.

Eine umfassende Bewertung muss zwischen technischen Kontrollen (dem 'Wie') und operativer Governance (dem 'Wer' und 'Wann') unterscheiden. Im Jahr 2026 gehen anspruchsvolle Käufer zu einem '72-Stunden-Standard' für die erste Cyberrisiko-Prüfung über und konzentrieren sich auf hochwirksame Reifeindikatoren. Dies erfordert einen sofortigen Zugriff auf und eine Analyse von bestimmten Dokumentenklassen innerhalb des virtuellen Datenraums (VDR).

Die folgende Checkliste stellt den minimal erforderlichen Datensatz für eine Cyberrisikobewertung 2026 dar:

• Auditberichte: Aktuelle SOC 2 Typ II-, ISO 27001- oder branchenspezifische Zertifizierungen (z. B. HITRUST für das Gesundheitswesen).
• Technische Bewertungen: Ergebnisse von Penetrationstests der letzten 12 Monate und Nachweis der Behebung von 'kritischen' und 'hohen' Ergebnissen.
• Vorfallprotokolle: Eine dreijährige Historie von Sicherheitsvorfällen, einschließlich Beinahe-Unfällen und Benachrichtigungen über Datenschutzverletzungen.
• Drittanbieterinventar: Eine Liste kritischer Anbieter mit ihren jeweiligen Sicherheitszertifizierungen und Datenverarbeitungsvereinbarungen (DPAs).
• KI-Governance: Dokumentation der KI-Systemklassifizierungen gemäß dem EU AI Act und interne Richtlinien zur KI-Ethik.
• Versicherungspolicen: Cyberversicherungszertifikate mit Schwerpunkt auf Deckungsgrenzen, Ausschlüssen und aktuellen Prämienanpassungen.

Das ultimative Ziel der Cyber Due Diligence ist es, dem Deal-Team umsetzbare finanzielle Erkenntnisse zu liefern. Wenn ein Zielunternehmen erhebliche technische Schulden oder nicht behobene Schwachstellen aufweist, müssen diese quantifiziert und im Deal-Modell berücksichtigt werden. Diese Quantifizierung fällt typischerweise in drei Kategorien: unmittelbare Sanierungskosten, laufende betriebliche Erhöhungen und Eventualverbindlichkeiten.

Wenn einem Zielunternehmen beispielsweise die Multi-Faktor-Authentifizierung (MFA) in seinen Legacy-Systemen fehlt, sollten die Kosten für die Implementierung dieser nach der Akquisition – einschließlich Hardware, Software und Arbeitskosten – als einmalige Anpassung des Unternehmenswerts behandelt werden. Wenn sich die Cyberversicherungsprämien des Zielunternehmens aufgrund eines schlechten Risikoprofils voraussichtlich verdoppeln, muss dies in das Pro-forma-EBITDA einbezogen werden. Ein Big Four Advisory Partner berichtete, dass die automatisierte Analyse von Plausity es ihnen ermöglichte, drei Wochen Commercial und Technical DD in nur fünf Tagen zu komprimieren, was eine schnellere Quantifizierung dieser kritischen Deal-Punkte ermöglicht.

1. Identifizieren Sie die Schwachstelle oder Compliance-Lücke.
2. Schätzen Sie die Kosten für die Sanierung (CAPEX und OPEX).
3. Bewerten Sie die Wahrscheinlichkeit einer Verletzung während der Halteperiode.
4. Quantifizieren Sie das potenzielle regulatorische Risiko (z. B. % des Umsatzes).
5. Passen Sie das Deal-Modell an oder verhandeln Sie Entschädigungsobergrenzen.

Da das Deal-Volumen steigt und die Zeitpläne kürzer werden, ist die manuelle Dokumentenprüfung nicht mehr nachhaltig. M&A-Projektleiter greifen zunehmend auf KI-basierte Arbeitsbereiche wie Plausity zurück, um die analytische und operative Arbeit der Due Diligence zu automatisieren. Im Gegensatz zu einfachen Tools für Dokumenten-Q&A bietet Plausity einen End-to-End-Workflow, der VDR-Ingestion, Dokumentenklassifizierung und dokumentübergreifendes Reasoning abdeckt.

Ein wesentliches Unterscheidungsmerkmal ist die Rückverfolgbarkeit der Quelle. Jedes von der Plattform generierte Ergebnis ist direkt mit dem spezifischen Dokument, der Seite und dem Absatz verknüpft und wird von einem Konfidenzwert begleitet. Dies ermöglicht es erfahrenen Beratern, die Kontrolle über die Schlussfolgerungen zu behalten, während die KI die schwere Arbeit der Datenextraktion und Risikobewertung übernimmt. Dieser 'Human-in-the-Loop'-Ansatz stellt sicher, dass der finale DD-Bericht investorenreif und vollständig auditierbar ist und die hohen Standards von VC- und PE-Fonds erfüllt.

• Gleichzeitige Workstreams: Analysieren Sie Cyber-, Technologie-, Rechts- und Finanzdaten parallel.
• Quellenrückverfolgbarkeit: Verifizieren Sie jedes Risikoergebnis mit einem direkten Link zur VDR-Quelle.
• Investor-Ready Deliverables: Generieren Sie Red-Flag-Zusammenfassungen und Executive Briefings in Word, PPT oder PDF.
• Enterprise Security: SOC 2 Typ II, ISO 27001 und ISO 42001 konforme Infrastruktur.

• Cyberrisiken sind im Jahr 2026 ein wesentlicher Bewertungstreiber, wobei die Kosten für Datenschutzverletzungen in den USA ein Rekordhoch von 10,22 Millionen Dollar erreichen und neuer regulatorischer Druck durch den EU AI Act entsteht.
• Eine rigorose Due Diligence erfordert die Integration von Cyber-Erkenntnissen über 9 Workstreams hinweg, um die vollen kommerziellen, rechtlichen und finanziellen Auswirkungen technischer Schwachstellen zu identifizieren.
• KI-native Arbeitsbereiche wie Plausity unterstützen Deal-Teams, indem sie eine quellenbasierte Analyse ermöglichen und die DD-Zeitpläne von Wochen auf Tage verkürzen, ohne die Tiefe zu beeinträchtigen.