IT-Due-Diligence: IT als Risiko bei Firmenübernahmen

vor 5 Stunden

Im Falle einer Akquisition wechseln nicht nur Belegschaftsmitglieder und Erzeugnisse den Eigentümer, sondern auch vielschichtige IT-Landschaften samt ihrer Vorzüge und Defizite. IT-Due-Diligence, also die IT-Risikoprüfung ehe Firmenakquisition, wird dabei oft verkannt. Allerdings wer, dabei Fehler begeht, trägt nachfolgend die Ausgaben – manchmal mit weitreichenden Konsequenzen…

Bei einer Geschäftsakquisition sind Dinge wie Erlöse, Churn-Raten, Synergien, Aktiva und Personal im Mittelpunkt. All das sind ohne Zweifel zentrale Faktoren – aber ein Bereich tritt dabei oft ins Hintertreffen: die IT. Sie ist im Alltag so gewohnt, sodass man sie leicht übersieht. Dabei bestimmt genau sie hierüber, ob Prozesse reibungslos ablaufen, Daten gesichert sind und das Unternehmen beständig ist. Wer genau schaut, entdeckt in vielen Firmen Serverräume, die schon seit Jahren nicht erneuert wurden, überholte Datenbanken oder eine Firewall, die schon lange keine derzeitigen Schutzrichtlinien mehr gewährleistet. IT ist das stille Rückgrat vieler Deals – bis es knallt.

Aus diesem Grund ist bei einer Geschäftsakquisition eine sorgfältige IT-Due-Diligence, also die IT-Risikoprüfung vor der Firmenakquisition, im Prinzip zwingend. Auch der Dachverband Deutscher Unternehmensberater sieht darin einen Schlüssel für mehr Transparenz und bessere Entscheidungen beim Unternehmenskauf. Sie schreiben in ihrem Artikel über IT-Due-Diligence ganz klar, es „beim Kauf eines Unternehmens nicht mehr ausreicht, die IT des zu erwerbenden Unternehmens (Target) nur einer oberflächlichen Risikoanalyse (Red Flag Due Diligence) zu unterziehen“ (https://www.bdu.de/fachthemenportal/digitales-und-it-beratung/it-due-diligence-die-analyse-der-it-bei-ma-transaktionen).

Was steckt hinter IT-Due-Diligence?

Hand aufs Herz: Zahlreiche nutzen den Terminus, die Wenigsten können ihn wirklich erklären. Im Kern heißt IT-Due-Diligence einfach, dass man die IT eines Zielunternehmens von Kopf bis Fuß durchleuchtet – nicht bloß, um Gefahren zu ermitteln, vielmehr auch, um den wahren Wert der IT-Infrastruktur zu verstehen. Es handelt es sich keineswegs um eine Checkliste oder ein Routine-Audit.

Es geht um das Identifizieren von Stolperfallen, um vertragliche Verflechtungen, Sicherheitslücken, veraltete Techniklösungen und manchmal sogar um versteckte Potenziale. Wer weiß schon, welche internen Entwicklungen über die Jahre im Unternehmen entwickelt wurden? Oder welche externen Softwareprodukte kritisch für das operative Geschäft wurden? Absicht ist am Ende immer dasselbe: keine bösen Überraschungen in Sachen IT nach der Unterschrift zu erleben.

IT-Due-Diligence ist also ein zentraler Baustein von Mergers & Acquisitions (M&A), dem englischsprachigen Ausdruck für Firmenzusammenschlüsse und Akquisitionen, weil sie offenlegt, ob die IT-Systeme, Daten und Sicherheitsstrukturen des Zielunternehmens robust, regelkonform und zukunftsfähig sind und in welchen Bereichen Schwächen oder gar dringender Verbesserungsbedarf besteht.

Wo bei der IT echte Risiken lauern

Die Liste an Gefahren bei einer Firmenübernahme ist umfangreich, und häufig kann sie nicht mal das eigene Technikteam identifizieren. Es startet bei vergessenen Software-Lizenzen, geht über nicht festgehaltene Schnittstellen bis hin zu Systemen, deren Programmierer längst die Organisation verlassen haben. Besonders riskant wird es oftmals, wenn die IT im Laufe der Jahre zur Spielwiese verschiedener Administratoren und Dienstleister geworden ist – dann tauchen plötzlich Altlasten auf, von denen niemand mehr nachvollziehen kann, wofür sie eigentlich gedacht waren.

Zudem wird der Schutz personenbezogener Daten manchmal nicht perfekt eingehalten, Cloud-Vereinbarungen verstauben im Archiv, und spätestens bei Eigenentwicklungen wird es oft undurchsichtig. Wer hier nicht gründlich prüft, riskiert, dass mit einer Übernahme nicht nur Infrastrukturen und Informationen den Besitzer wechseln, sondern auch die veralteten Komponenten und Fehler der Vergangenheit. Gerade in stark regulierten Sektoren kann das schnell kostspielig ausfallen – monetäre wie auch reputative Schäden inbegriffen.

Auch Vertragsmanagement ist oft ein Problemfeld: Abonnements, deren Beendigungsfristen niemand mehr genau weiß, Software, die in der Cloud betrieben wird, aber mit Informationen umgeht, die eigentlich nicht ins Ausland übertragen werden sollten. Das alles sind keine Nebenaspekte, sondern können einen Abschluss verzögern oder zu erneuten Gesprächen führen. Wer hier nur flüchtig prüft, steht schnell mit dem Rücken zur Wand.

Deshalb ist es für beide Seiten sinnvoll, einen erfahrenen Dienstleister hinzuzuziehen, der eine fachkundige IT-Due-Diligence-Prüfung durchführt.

Der Prozess hinter der IT-Due-Diligence

Bei einer umfassenden IT-Due-Diligence gibt es keinen Standardfahrplan, der auf jedes Unterfangen anwendbar ist – auch wenn einige Consultants das behaupten. Wohl aber lassen sich verschiedene wesentliche Schwerpunkte der IT-Due-Diligence festlegen, dazu gehören:

• IT-Strategie: Bewertung der Strategieanbindung an das Geschäft, bestehende Roadmaps und künftige Vorhaben.
• Mitarbeiter & Organisation: Untersuchung der Organisationsstruktur, Führungsstrukturen, Verflechtungen von Schlüsselkräften sowie Einbindung externer Partnerunternehmen.
• Applikationslandschaft: Prüfung der wichtigsten Anwendungen in Hinblick auf ihre Fähigkeit, Haupt- und Unterstützungsprozesse wirkungsvoll zu tragen.
• Technische Infrastruktur: Analyse von Rechenzentren, Serverstrukturen, Netzarchitekturen und IT-Schutzmechanismen.
• IT-Prozesse: Bewertung der wichtigen Abläufe in Softwareentwicklung, Betrieb und Unterstützung.
• Finanzen im IT-Bereich: Gegenüberstellung von Kosten und Erlösen sowie Marktvergleichen und Identifizierung möglicher Optimierungsmöglichkeiten.

Eine professionelle IT-Due-Diligence verläuft in mehreren Schritten ab: Zunächst werden alle vorhandenen Dokumente zur IT-Infrastruktur und den zentralen Systemen angefordert und analysiert. Dabei zeigt sich in den meisten Situationen, dass nicht alle Informationen vollständig oder aktuell sind, weshalb Nachfragen an die IT-Verantwortlichen erforderlich werden.

Im anschließenden Schritt werden Interviews durchgeführt, um Unklarheiten zu klären und ein Gesamtbild der IT-Umgebung zu gewinnen. Anschließend folgt die Analyse der Kernbereiche: Welche Systeme sind im Einsatz, wie ist die Sicherheitsarchitektur organisiert, sind alle Nutzungsrechte und Verträge gültig und gibt es aktuelle Notfallkonzepte? Häufig tauchen bei Eigenentwicklungen oder alten Schnittstellen weitere Einzelfragen auf.

Am Ende der Prüfung steht ein Bericht, der die zentralen Erkenntnisse, Risiken und Optimierungsempfehlungen dokumentiert. Dieser Endbericht ist die Basis für Entscheidungen rund um die Akquisition und zeigt, wo eventuell noch Nachbesserungen nötig sind.

Erkenntnisse aus echten IT-Prüfungen

Papier ist nachsichtig, Checklisten sind es auch. Nach unserer Praxiserfahrung gilt: Wer IT-Due-Diligence wirklich betreibt, setzt auf authentische Dialoge, offene Austauschprozesse und eine angemessene Dosis Misstrauen gegenüber zu perfekten Antworten. Qualitativ hochwertige Resultate entstehen selten im stillen Kämmerlein, sondern dort, wo verschiedene Fachrichtungen kooperieren: IT, Juristik, Compliance, manchmal sogar HR. Ein geübtes Auge auf die Details unterstützt dabei, Schwachstellen zu identifizieren, die auf keiner Liste verzeichnet sind. Manchmal kann schon eine scheinbar kleine Frage wie „Wann fand der letzte Notfalltest statt?“ wesentliche Anhaltspunkte auf den Entwicklungsstand der IT geben.

Wichtig ist auch, das Resultat nicht in der Schublade versanden zu lassen: Die beste Risikoanalyse bringt nichts, wenn sie am Tag nach dem Deal niemanden mehr beschäftigt. Gelungene Eingliederungen leben davon, dass die Befunde der IT-Due-Diligence auch tatsächlich implementiert und verfolgt werden. Wer das beherzigt, reduziert nicht nur Kosten, sondern profitiert von fundamentalen und ablaufbezogenen Optimierungen.

Fazit: Was Entscheider aus erfolgreichen IT-Due-Diligence-Prozessen lernen können

Am Ende bleibt die Einsicht: Keine Übernahme ist wie die andere, und keine Technologieumgebung gleicht der nächsten. Wer glaubt, ein paar Formulare und eine Liste mit Passwörtern reichen, unterschätzt die Realität im Maschinenraum.

IT-Due-Diligence ist unbequem, manchmal ernüchternd und nie ganz ohne Überraschungen. Aber genau das macht sie so wertvoll. Wer gründlich prüft, was wirklich gegeben ist, kann nicht nur Schwachstellen reduzieren, sondern aus der IT auch echte Werttreiber machen. Es braucht Mut, auch die kritischen Fragen zu adressieren – aber noch mehr Charakterstärke, den Ergebnissen nicht aus dem Weg zu weichen.

Wer beim Firmenkauf auf Sicherheit setzen will, sollte keine Abstriche eingehen! Wir stehen Ihnen als Ansprechpartner rund um IT-Due-Diligence zur Seite – sprechen Sie uns jederzeit an.

Vorheriger Beitrag

Härtetest für Cybersecurity: Red Teaming und moderne Bedrohungen

Alle News & Infos gibt’s hier im Überblick

Security

Härtetest für Cybersecurity: Red Teaming und moderne Bedrohungen

vor 1 Monat

Digitale Attacken gehören längst zum Alltag moderner Unternehmen. Erpressungssoftware, Phishing oder der Diebstahl von Zugangsdaten treffen heute nicht mehr nur…

Awareness Security

So wirken Phishing-Simulationen im Arbeitsalltag

vor 2 Monaten

Phishing ist seit Jahren der Klassiker unter den Online-Attacken und bleibt trotzdem brandgefährlich. E-Mails, die täuschend echt aussehen, gefälschte Absender…

Datenschutz Management Security

Data Loss Prevention im Überblick: Grundlagen, Nutzen und Grenzen

vor 3 Monaten

Ein Klick – und sensible Daten geraten irgendwo hin, wo sie nicht hingehören. Für Unternehmen kann das teuer werden: Bußgelder,…

Kryptografie Security

Datenflut unter Kontrolle: Deep Packet Inspection als Schutzschild

vor 4 Monaten

Cyberangriffe auf den Mittelstand nehmen zu – und oft bemerken Unternehmen nicht einmal, dass sie angegriffen werden. Mit Deep Packet…

Security

Die verborgene Bedrohung: Wie Firmen Zero-Day-Exploits begegnen

vor 5 Monaten

Wie schützt man sich vor einer Gefahr, die niemand vorausahnt? Zero-Day-Exploits treffen Unternehmen unvorbereitet – und ihre Auswirkungen können katastrophal…

Security

Wie Ethical Hacking die digitale Sicherheit stärkt

vor 6 Monaten

Jeden Tag werden weltweit Unternehmen Opfer von Cyberangriffen – oft mit verheerenden Konsequenzen. Dabei sind es nicht die großen Konzerne,…

IT-Service Management

Zero-Touch Deployment: Revolution der IT-Bereitstellung

vor 7 Monaten

Mit Zero-Touch Deployment können neue Geräte in Ihrem Unternehmen automatisch eingerichtet werden, ohne dass IT-Mitarbeiter manuell einschreiten müssen. Durch den…

Management Netzwerk

Software Defined Networking: Die neue Art des Netzwerkmanagements

vor 8 Monaten

Wie können mittelständische Unternehmen ihre Netzwerke fit für die kommenden Anforderungen machen? Software Defined Networking (SDN) bietet einen völlig neuen…

Kryptografie

Post-Quanten-Kryptografie: Vorbereitung auf die Ära der Quantencomputer

vor 8 Monaten

Quantenrechner sind keine Zukunftsmusik mehr. Doch sind Ihre Kryptosysteme denen überhaupt schon gewachsen? Lesen Sie in diesem Online-Beitrag, wie quantenresistente…

KI Management

IT-Management der Zukunft: Die Rolle der KI bei Prozessen und Ressourcenplanung

vor 10 Monaten

Stellen Sie sich vor, Ihre IT-Einheit arbeitet nicht nur effizienter, sondern auch vorausschauend – Abläufe laufen automatisch, Mittel werden exakt…