Die 4-Mio-Frage — wie Cyber Due Diligence den Kaufpreis bewegt

"What if I could take 4 million off your next acquisition price — before you sign?"

Diese Frage sitzt im Zentrum jedes Cyber-DD-Mandats, das wir bei Woodlands führen. Sie ist nicht hyperbolisch. Sie ist konservativ. Auf einem typischen DACH-Mid-Market-Target von €120 Mio Enterprise Value bewegt eine seriös durchgeführte Cyber Due Diligence im Erwartungswert zwischen €2,4 Mio und €9,6 Mio. Die 4 Mio sitzen sauber im unteren Drittel dieses Intervalls.

Dieser Beitrag ist die analytische Grundlage hinter dem Satz. Er nennt die dokumentierten Präzedenzfälle, beziffert die Breach-Ökonomie über die etablierten Industrie-Standardreports, beschreibt die Underwriter-Mechanik aus der Praxis und zeigt die Rechnung für ein €120-Mio-Target im Detail. Jede in diesem Beitrag genannte Zahl ist mit einer institutionellen oder regulatorischen Primärquelle hinterlegt.

1. Der dokumentierte Fall — Verizon ↔ Yahoo (2017)

Wenn jemand fragt, ob Cyber-Findings den Kaufpreis tatsächlich bewegen, ist der Verweis auf einen einzigen Deal ausreichend.

• Juli 2016: Verizon kündigt die Übernahme des Yahoo-Kerngeschäfts für 4,83 Mrd USD an.
• September 2016: Yahoo offenbart einen Breach von 2014 — 500 Mio Accounts.
• Dezember 2016: Yahoo offenbart einen weiteren Breach von 2013 — zunächst 1 Mrd, später korrigiert auf 3 Mrd Accounts.
• 21. Februar 2017: Die Parteien einigen sich auf eine Preisanpassung von −350 Mio USD. Finaler Kaufpreis: 4,48 Mrd USD. Zusätzlich vereinbart: hälftige Teilung künftiger Litigations- und Regulierungskosten zwischen Käufer und Verkäufer (mit Ausnahme von SEC-Verfahren und Aktionärsklagen, die Yahoo allein zu tragen hatte).

Effektive Bewegung: rund 7,25 Prozent des Enterprise Value. Dokumentiert. Öffentlich. SEC-gefiled.

Dieser Fall hat die M&A-Praxis nachhaltig verändert. Er ist heute Standard-Referenz in Due-Diligence-Trainings großer PE-Häuser und Investmentbanken — und der Grund, warum R&W-Underwriter ab 2018 begannen, Cyber-Carve-outs in ihre Policen einzubauen.

Primärquellen: SEC 8-K Yahoo (21.02.2017), Aufbereitung bei TechCrunch und CNN Money.

2. Der Gegenfall — Marriott ↔ Starwood (2016/2020)

Verizon-Yahoo zeigt, was Cyber DD bewegt, wenn sie zwischen Signing und Closing greift. Marriott-Starwood zeigt, was es kostet, sie nicht zu führen.

• 2016: Marriott übernimmt Starwood Hotels für 13 Mrd USD.
• September 2018: Marriott entdeckt einen Breach im Starwood-Reservierungssystem. Der Angriff lief bereits seit 2014 — also lange vor der Akquisition.
• Exponiert: hunderte Millionen Datensätze weltweit, davon über 30 Millionen Datensätze von Personen mit EWR-Bezug.
• Oktober 2020: Das UK Information Commissioner's Office (ICO) verhängt ein Bußgeld von £18,4 Mio (ursprünglich angekündigt: £99,2 Mio).

Die für unsere Diskussion zentrale Feststellung der ICO — wörtlich aus der Aufbereitung bei Mishcon de Reya und Herbert Smith Freehills:

"Despite undertaking due diligence, these historic issues had not been discovered."

Mit anderen Worten: Marriott hatte Due Diligence gemacht. Aber die durchgeführte DD war nicht in der Lage, die Cyber-Probleme aufzudecken, die seit 2014 im Starwood-Netzwerk schlummerten. Genau das ist die Grenze klassischer M&A-DD, die Cyber als Compliance-Checklist behandelt — statt als technisch verstandene Risikoanalyse.

Die direkten Folgekosten gehen weit über das ICO-Bußgeld hinaus. Marriott hat in den Jahresberichten seitdem mehrere US-Sammelklagen, ein 52-Mio-USD-Settlement mit US-Bundesstaaten (Oktober 2022) und kontinuierliche Untersuchungs-, Forensik- und Remediations-Kosten ausgewiesen. Die Summe der dokumentierten Belastungen liegt im hohen neun-, eher zehnstelligen USD-Bereich, je nach Abgrenzung.

Primärquellen: Kommentierung der ICO-Sanktion bei Mishcon de Reya, Herbert Smith Freehills, Debevoise & Plimpton und in der Marriott-Investor-Mitteilung.

3. Die Ökonomie eines Breaches — was ein Vorfall kostet, ist bezifferbar

Eine Preisanpassung in einem M&A-Deal ist nichts anderes als die Voraus-Internalisierung erwarteter Breach-Kosten. Diese Kosten sind durch zwei jährliche Industrie-Standardreports öffentlich bezifferbar.

IBM / Ponemon: Cost of a Data Breach Report 2024

Auf Basis der Auswertung von 604 dokumentierten Breaches weltweit:

• Globaler Durchschnitt: 4,88 Mio USD pro Vorfall — der höchste je gemessene Wert, mit dem stärksten Jahresanstieg seit der Pandemie.
• Deutschland (2024er Erhebung): 5,31 Mio USD pro Vorfall. Damit gehört Deutschland zu den Top-5 der teuersten Länder für Datenvorfälle weltweit.
• Sektor-Spitzen: Healthcare 9,77 Mio USD, Financial Services 6,08 Mio USD.

Dieser Wert ist der Erwartungswert pro Breach — auf einer Risikoanalyse-Basis. Für die SPA-Verhandlung bedeutet das: Wenn die DD eine konkrete Schwachstelle identifiziert, die mit substantieller Wahrscheinlichkeit zu einem Breach führt, ist 5 Mio USD die Anker-Zahl für den Underwriter-Diskurs.

Primärquelle: IBM Newsroom — Release zur 2024er-Ausgabe (30.07.2024) und IBM Cost of a Data Breach Report (Hauptseite).

Verizon Data Breach Investigations Report (DBIR) 2024

Die granularste öffentliche Aufschlüsselung tatsächlicher Breach-Vektoren — DBIR 2024 auf Basis von über 30.000 ausgewerteten Sicherheitsvorfällen:

• 68 Prozent aller Breaches involvieren einen menschlichen Faktor (Phishing, Misuse, Error). Der Wert ist seit Jahren bemerkenswert stabil.
• 15 Prozent aller Breaches involvieren einen Third-Party-Vektor — ein Anstieg von +68 Prozent gegenüber dem Vorjahresbericht. Treiber: die anhaltenden Supply-Chain-Wellen rund um MOVEit und die Cleo-File-Transfer-Schwachstellen.
• Die Zeit zur Ausnutzung neu publizierter Schwachstellen ist 2023/2024 deutlich gesunken — Patch-Hygiene ist messbar zur Bewertungsfrage geworden.

Primärquelle: Verizon 2024 Data Breach Investigations Report und Verizon News Release zum DBIR 2024.

ENISA und BSI — der EU-Kontext

Die EU-Cybersicherheitsagentur ENISA und das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigen das Bild in ihren jährlichen Lageberichten. Der ENISA Threat Landscape stuft Ransomware und Supply-Chain-Angriffe weiterhin als dominierende Bedrohungen für den EU-Raum ein; der BSI Lagebericht klassifiziert die Bedrohungslage in Deutschland erstmals durchgehend als besorgniserregend — mit besonderem Fokus auf KMU-Risiko und Supply-Chain-Pfade.

4. R&W-Insurance — wo Cyber-Findings monetarisiert werden

Representations & Warranties (R&W)-Versicherungen sind in der Mehrzahl institutioneller Mid-Market-Deals heute Standard. Sie sind der Punkt, an dem Cyber-Findings ihren konkreten Preis bekommen.

Die Underwriter-Mechanik ist seit dem Verizon-Yahoo-Präzedenz eingespielt:

1. Carve-out / Exclusion im Policy-Wording — Cyber-Risiken sind dann gar nicht von der R&W gedeckt. Der Käufer muss eine separate, in der Regel teurere Cyber-Specific-Indemnity oder einen Escrow verhandeln.
2. Erhöhte Retention (Self-Insured Threshold) — der Käufer trägt mehr Schaden selbst, bevor die Policy greift.
3. Specific Indemnity Demand — der Underwriter zwingt den Käufer, eine spezifische Verkäufer-Indemnity in den SPA aufzunehmen. Das wandert direkt in die Kaufpreisverhandlung.

Marsh und Aon — die beiden dominanten R&W-Broker — dokumentieren Cyber als wachsenden Treiber von Claims und Policy-Anpassungen in ihren jährlichen Transaction-Risk-Reports. Wer einmal mit einem Underwriter über einen Tech-Target gesprochen hat, der einen offenen RDP-Port und eine bekannte CVE im Auth-Service hatte, kennt die Mechanik.

5. Die €120-Mio-Rechnung im Detail

Die Industriewerte und Präzedenzfälle übersetzen sich für einen typischen DACH-Mid-Market-Target von €120 Mio Enterprise Value wie folgt:

• Identity-Stack-Sprawl (z.B. Snowflake-Pattern, geleakte OAuth-Tokens, fehlende MFA auf Admin-Konten): 1–5 Prozent EV, also €1,2–6,0 Mio. Mechanik: Remediation + Underwriter-Carve-out.
• Vendor-Concentration / Supply-Chain (Single-Vendor-Risk wie der Change-Healthcare-Komplex 2024): 2–4 Prozent EV, also €2,4–4,8 Mio. Mechanik: R&W-Exclusion + spezifische SPA-Indemnity.
• Crown-Jewel / Code-Exposure (kritische CVE, exponierte Secrets, Source-Code-Leaks): 3–8 Prozent EV, also €3,6–9,6 Mio. Mechanik: Walkaway-Risiko oder strukturelle SPA-Restruktur.

Konservativ aggregiert: 2–8 Prozent EV → €2,4–9,6 Mio Preisbewegung im Erwartungswert. Die behauptete "4 Mio off"-Range sitzt im unteren Drittel dieses Intervalls. Sie ist statistisch eher unter- als überdurchschnittlich.

Das Verhältnis Investition zu Hebel

• Cyber-DD-Investition Pre-Close: im Bereich €25.000–€60.000 für ein fokussiertes Mid-Market-Audit (variiert mit Scope, Tech-Stack und Geographie).
• Erwartungswert der Preisbewegung: €2,4–9,6 Mio bei einem €120-Mio-Target.
• ROI-Faktor: 40× bis 380×.

Es gibt wenige Workstreams in einem Due-Diligence-Prozess, deren Hebel so klar bezifferbar und so klar dokumentiert ist.

6. Der "Found Nothing"-Outcome — auch hier gewinnt der Käufer

Die unbequemste Wahrheit der Cyber DD: Selbst die Mandate, in denen wir nichts Materielles finden, sind wertbestimmend.

Konkret bedeutet "nichts Materielles":

• Schnellerer Close. Kein letzte-Minute-Nachverhandlungs-Loop nach dem Closing-Memo, kein Re-Underwriting durch die R&W-Versicherung, kein nervöser Co-Investor.
• Günstigeres Akquisitions-Financing. Lender akzeptieren einen sauberen Cyber-Status als Risikominderung — was sich in Spread und Covenants niederschlägt.
• Year-One ohne Cyber-Incident, der die Synergie-These zerschießt. Die meisten Post-Close-Cyber-Vorfälle sind nicht Pech, sondern Folge dessen, was die DD nicht gesehen hat.

In jedem dieser Outcomes ist die DD-Investition bereits zurückverdient — bevor man von den Deals spricht, in denen 4, 6 oder 8 Mio in den SPA verhandelt wurden.

7. Warum Woodlands

Wir sind keine Generalisten. Wir sind eine Boutique mit einem klaren Spezialgebiet: Cyber Due Diligence für institutionelles Kapital in DACH.

Was uns von der Mehrheit der DD-Anbieter trennt:

• Founder-verantwortete Mandate. Jedes Mandat wird vom Gründer verantwortet — Fabian Hausner, hauptberuflich SAP Global Security Advisory Lead. Operative Threat-Intelligence-Verantwortung in einem der größten Software-Unternehmen Europas fließt direkt in die Bewertungslogik jedes Mandats ein. Die Delivery erfolgt durch ein kuratiertes Team aus Senior-Praktikern mit Cloud-, Identity-, AppSec- und Compliance-Schwerpunkt — kein Outsourcing, keine Junior-Substitution.
• M&A-Integration-Erfahrung aus der Buy-Side. Hausner hat als Teil des SAP-Integrationsteams in der Signavio-Übernahme operativ Cyber-Integration verantwortet. Was wir in der DD prüfen, kennen wir aus der Perspektive der Post-Close-Reality.
• Ein Technologie- und Beratungsnetzwerk, das skaliert, wenn der Scope es verlangt. Implementierungspartnerschaften mit Vanta, Kertos und Aikido decken GRC-Automation und Application Security ab. Kanzlei-Partner für Engagement Letters und regulatorische Fragen, externe Forensik-Teams für Incident Response auf Abruf — strukturiert eingebunden, nicht ad hoc improvisiert.
• Investor-Grade Governance. Markel Insurance SE Cyber- und Berufshaftpflicht-Deckung in Höhe von 5 Mio EUR. HRB 756933 AG Mannheim. Procurement-fähig für die größten PE-Häuser in DACH.
• Kapazitätsdiszipliniert. Wir nehmen pro Quartal eine klar begrenzte Zahl von Mandaten an. Das ist keine Marketing-Pose — es ist die Voraussetzung dafür, dass jedes Mandat die Tiefe bekommt, die ein investmentrelevantes Finding verdient.

Wir sind die Boutique, die man anruft, wenn der LOI im nächsten Briefing-Slot unterschrieben werden soll und der Cyber-Workstream im Standard-DD-Setup nicht greift. Wir liefern technisch belastbare Findings — keine Compliance-Theater-PDFs.

Erstgespräch

Wenn Sie eine konkrete Transaktion im Blick haben und prüfen möchten, ob ein Cyber-DD-Mandat für Ihr Setup sinnvoll ist, vereinbaren Sie ein 20-minütiges Erstgespräch. Unverbindlich, vertraulich, auf Augenhöhe.

→ Erstgespräch buchen

Wer die Argumentation lieber im Live-Format hört: am 15. Juli 2026, 16:30 CET führen wir ein vertrauliches Briefing für PE-, VC-, Family-Office- und M&A-Advisory-Entscheider zu genau diesem Thema. Cyber Due Diligence in M&A — Webinar-Details.