72 Prozent. 3,4 Millionen. Was zwei internationale PE-Reports für DACH bedeuten.

Im November 2025 hat Russell Reynolds Associates einen Beitrag unter dem Titel Creating Value with Cyber Security: What Leading PE Firms Are Getting Right veröffentlicht. Parallel dazu führt RSM US seit längerem eine Service-Line für Private-Equity-Cybersecurity mit einer Plattform namens RSM Sentry — Portfolio-weite Dashboards, AI-gestützte Auswertung, zentrale Sichtbarkeit über die Cyber-Posture der Beteiligungen hinweg.

Die beiden Stücke sind unabhängig voneinander entstanden, aber sie sagen, gegeneinandergehalten, das Gleiche: Cyber im PE-Portfolio ist eine Wertschöpfungs-Frage geworden, und der überwiegende Teil der Häuser ist operativ nicht darauf eingerichtet. Für DACH-PE, Family Offices und M&A-Advisory ist die Frage nicht, ob diese Befunde übertragbar sind — sondern wie viel Zeit bleibt, sie ohne eigenes Lehrgeld zu adaptieren.

Die Zahlen, die ein Operating Partner kennen sollte

Russell Reynolds' Erhebung über PE-Häuser in den USA und Europa liefert die belastbarste Datengrundlage, die wir aktuell zu diesem Thema haben:

• 72 Prozent der befragten PE-Häuser meldeten innerhalb der letzten drei Jahre einen ernsten Cyber-Vorfall in einer ihrer Portfolio-Companies. Durchschnittsschaden pro Vorfall: 3,4 Millionen USD.
• Rund ein Drittel der Portfolio-Co-Leader nennt Cyber-Risiko unter ihren drei größten operativen Herausforderungen. Fast ebenso viele geben offen zu, dafür nicht aufgestellt zu sein.
• Nur 38 Prozent der PE-Organisationen planen proaktiv für technologischen Wandel — die übrigen 62 Prozent reagieren.
• 52 Prozent der Führungskräfte erwarten, dass die Einführung von KI bestehende Cyber-Sicherungen brechen wird.
• Über die Hälfte der Befragten aus PE-finanzierten Unternehmen sieht ihre Organisation als nicht ausreichend aufgestellt, um vor "AI Negligence" — fahrlässigem KI-Einsatz innerhalb der eigenen Belegschaft — zu schützen.

RSM ergänzt diese Sicht aus der Berater-Perspektive mit einer einzigen, präzisen Diagnose: "Limited visibility into a portfolio company's cybersecurity practices, combined with the challenge of defining effective cybersecurity standards, often hampers a fund's cybersecurity risk management efforts."

Anders gesagt: Die Häuser, die wissen, wie es um ihre Portfolio-Cyber-Posture steht, sind in der Minderheit. Diejenigen, die es proaktiv steuern, in einer noch kleineren.

Die zentrale These: Value Protection ist Value Creation

Der vielleicht wichtigste Satz aus dem Russell-Reynolds-Stück lautet:

"Value protection is inseparable from value creation — but most firms still run them on separate tracks."

Die Trennung zwischen "Cyber als Compliance-Kostenstelle" und "Cyber als Bewertungsfaktor" hat in den USA in den vergangenen 18 Monaten begonnen sich aufzulösen — getrieben von realer Schadenshäufigkeit und einer zunehmend technischen Board-Aufmerksamkeit. Russell Reynolds zitiert dazu einen befragten Operating Partner sinngemäß: Boards stellen heute taktische Fragen — "Ist MFA überall ausgerollt?" — wo sie vor zwei Jahren noch Strategie-Fragen gestellt haben. Das ist kein Fortschritt im engeren Sinn. Es ist die Anerkennung, dass die Grundlagen oft fehlen.

Eine zweite Zeile aus dem Stück trifft den Kern: "Most firms find religion through pain." Übersetzt heißt das: Die Mehrzahl der PE-Häuser professionalisiert ihre Cyber-Steuerung erst, nachdem ein Vorfall ein Asset, eine Bewertung oder einen Exit-Prozess beschädigt hat. Die 72 Prozent von oben sind die quantitative Form dieser Beobachtung.

Der Lebenszyklus, den die Reports beschreiben — und was er für DACH bedeutet

Russell Reynolds skizziert ein Modell, in dem Cyber an fünf Punkten im Investment-Zyklus aktiv eingewoben wird, statt einmal am Closing-Tag geprüft zu werden:

1. Due Diligence — Risiko-Pricing über technische Tests (Penetration, Cloud-Audit, Identity-Review) statt über Self-Assessment-Fragebögen.
2. Value Creation — Remediation-Roadmap, die direkt an den Value-Creation-Plan gekoppelt ist; gemessen über Kennzahlen wie Mean Time to Detect und Mean Time to Respond.
3. Exit Protection — Red-Team-Übungen und Compliance-Attestate, deren Zweck ausdrücklich der Bewertungsschutz ist, nicht das Audit-Häkchen.
4. Operating Model — Übergang vom reaktiven Modell (fragmentiert, beraterabhängig, projektgetrieben) zum institutionalisierten Modell (datengetrieben, Dashboard-gestützt, standardisiert).
5. Leadership & Governance — Vergütung im Portfolio-Management an messbare Verbesserungen der Cyber-Maturity gekoppelt.

In der DACH-Realität sieht das, was wir bei M&A Cyber Due Diligence sehen, fast immer anders aus: Cyber-DD wird, wenn überhaupt, einmalig am Closing eingekauft, gerne als Nebenposten zu Legal- und Financial-DD. Danach übernimmt die Portfolio-Co die Verantwortung selbst — meist ohne CISO, ohne Reporting-Struktur, ohne definiertes Reifegrad-Ziel.

Die Lücke wird in der Hold-Time sichtbar. Wenn eine Portfolio-Co bei einer durchschnittlichen Haltedauer von über sechs Jahren (siehe McKinsey-Analyse in unserem vorigen Beitrag) ohne kontinuierliche Cyber-Steuerung läuft, ist die Sicherheits-Posture am Exit-Tag eine andere als die am Closing-Tag — meist eine schlechtere, fast immer eine schlechter dokumentierte. Genau das macht Exit-DD-Findings des Käufers zur teuersten Form aller Cyber-Befunde.

Wo internationale Beobachtungen an die DACH-Realität stoßen

Drei Friktionspunkte sind beim Übertragen der internationalen Befunde auf DACH-Strukturen relevant:

Erstens, die Skalierungsfrage. RSM operiert mit 2.900+ PE/VC-Kundenbeziehungen und 4.500+ Portfolio-Companies — das ist eine Plattform-Logik, die ein Dashboard wie RSM Sentry technisch und kommerziell überhaupt erst trägt. Eine DACH-Boutique mit drei laufenden Portfolio-Mandaten wird kein gleichwertiges Tooling betreiben — sie braucht stattdessen einen Reporting-Rhythmus, der dieselbe Sichtbarkeit produziert: monatliches Posture-Update, einseitiger Operating-Partner-Brief, vierteljährliche Heatmap. Das ist organisatorische Disziplin, kein Software-Stack.

Zweitens, die Regulatorik-Lage. Die US-Diskussion läuft entlang von SOC 2, HIPAA, der SEC-Cyber-Disclosure-Regel und dem Texas SB 5 Data Privacy Act. Die DACH-Lage hat eine ganz andere Geometrie: NIS2-Pflichten mit persönlicher Geschäftsführer-Haftung (siehe unsere Erklärung dazu), DSGVO als Daueraufgabe, die DORA-Umsetzung im Finanzdienstleistungs-Umfeld. Ein DACH-PE-Haus, das einen US-Best-Practice-Stack 1:1 importiert, importiert das falsche Regulatorik-Modell — und übersieht eine reale Haftungsfrage, die in den USA so nicht existiert.

Drittens, das KI-Risiko. Russell Reynolds beschreibt KI als "democratizing force" — sowohl für Angreifer als auch für ungeschulte Mitarbeiter. Die Hälfte der Befragten sieht die eigenen Prozesse gegen AI Negligence unzureichend aufgestellt. In DACH-Portfolio-Companies kommt eine zusätzliche Dimension hinzu, die wir bei jeder zweiten DD seit Q4 2025 sehen: Schatten-KI-Nutzung mit personenbezogenen Daten. Mitarbeiter laden Kundendaten in Consumer-LLM-Dienste, ohne ein durchgesetztes Policy-Framework. Das ist juristisch (DSGVO Art. 32 / 28) und kommerziell (Vertragsstrafen, B2B-Glaubwürdigkeit) eine Position, die im Cyber-DD-Bericht 2024 noch fehlte und in jedem ernsthaften DD-Bericht 2026 stehen muss.

Was Operating Partner jetzt anders machen können

Aus den beiden Reports lassen sich vier Verschiebungen ableiten, die für eine DACH-PE-Struktur unmittelbar greifbar sind — ohne dass man dafür ein internes Cyber-Team aufbauen muss:

Cyber im Investment-Komitee als wiederkehrender Standing-Item. Nicht als 30-Sekunden-Hinweis im Risk-Block, sondern als einseitige Cyber-Page neben Trading, Operations und Pipeline. Wer das nicht hat, weiß nicht, was er managt.

Pre-Deal-Cyber als Bewertungs-Input, nicht als Confirmatory-Häkchen. Findings, die nach dem Pricing-Beschluss eintreffen, ändern selten den Deal. Findings, die vor dem Pricing eintreffen, ändern den Deal regelmäßig. Das ist der ganze ROI-Hebel der DD-Phase.

Cyber-Posture mit messbaren Kennzahlen, die jeder Operating Partner versteht. Anzahl ungepatchter kritischer CVEs > 30 Tage, Anzahl Identitäten ohne MFA, Anteil EDR-Coverage über alle Endpoints, Zeit bis Wiederanlauf-Test. Vier Zahlen reichen für ein erstes Reporting. Sie ersetzen die abstrakte "Maturity-Score"-Diskussion durch belastbare Vergleichbarkeit über das Portfolio hinweg.

Exit-Readiness 6 bis 12 Monate vor Verkauf, nicht in der Datenraum-Phase. Die teuerste Stelle, an der ein Cyber-Finding auftauchen kann, ist der DD-Bericht des Käufers im laufenden Exit. Eine eigene Exit-Readiness-Prüfung am richtigen Punkt im Prozess kostet einen Bruchteil dessen, was ein Bewertungs-Abschlag im laufenden Verfahren kostet.

Ein laufendes vCISO-Mandat liefert für jede dieser vier Verschiebungen die organisatorische Heimat. Ein Compliance Sprint schließt das wahrscheinlichste Audit- oder Vertrags-Loch im Portfolio. Eine M&A Cyber Due Diligence macht Cyber im Deal-Flow zur Bewertungsinput-Größe, statt zur Beruhigungs-Übung am Closing-Tag.

Eine ehrliche Note zum Schluss

Russell Reynolds beendet den Beitrag mit einer Zeile, die wir bei Woodlands so unterschreiben würden:

"Cyber resilience starts as a control problem but ends as a leadership one."

Die belastbarsten Cyber-Posture-Verbesserungen in PE-Portfolios, die wir in den letzten Jahren begleitet haben, hatten zu Beginn nie Technik im Mittelpunkt — sondern eine Klarstellung auf Investor-Ebene, wer Cyber-Risiko im Portfolio steuert, wer es misst und wem es zugerechnet wird. Erst aus dieser Klarstellung kommen MFA-Rollouts, EDR-Coverage und Vendor-Reviews überhaupt erst in eine Reihenfolge, die dem Wert der Beteiligung gerecht wird.

Beide Reports sind frei zugänglich und wir empfehlen die Originallektüre. Wenn eine konkrete Portfolio-, Deal- oder Exit-Frage von einem kurzen Gespräch profitieren würde — Operating Partner zu Operating Partner — das ist der nützlichste Startpunkt.

Sprechen wir →

---

Quellen:

• Russell Reynolds Associates. Creating Value with Cyber Security: What Leading PE Firms Are Getting Right. November 2025.
• RSM US LLP. Private equity cybersecurity services and dashboards.
• Europäische Kommission. NIS2-Richtlinie.