Im Falle einer Übernahme tauschen nicht nur Mitarbeitende und Produkte den Eigentümer, sondern auch vielschichtige IT-Landschaften inklusive ihrer Stärken und Defizite. IT-Due-Diligence, also die IT-Risikoprüfung vor Unternehmensübernahme, wird dabei meist unterschätzt. Allerdings wer, dabei Fehler macht, schultert später die Kosten – manchmal mit weitreichenden Folgen…
Bei einer Firmenübernahme stehen Dinge wie Erlöse, Churn-Raten, Synergien, Vermögenswerte und Personal im Fokus. All das sind ohne Zweifel entscheidende Faktoren – doch ein Bereich gerät dabei oft ins Nachsehen: die IT. Sie ist im Tagesgeschäft so selbstverständlich, sodass man sie häufig übersieht. Dabei entscheidet genau sie hierüber, ob Vorgänge reibungslos laufen, Daten gesichert sind und das Unternehmen zukunftsfähig ist. Wer genau hinsieht, findet in vielen Betrieben Serverräume, die seit Jahren nicht modernisiert wurden, überholte Datenbanken oder eine Firewall, die schon lange keine aktuellen Schutzrichtlinien mehr erfüllt. IT ist das unauffällige Rückgrat mehrerer Deals – ehe es knallt.
Aus diesem Grund ist bei einer Firmenübernahme eine sorgfältige IT-Due-Diligence, das heißt die IT-Risikoprüfung vor der Firmenakquisition, im Prinzip zwingend. Auch der Dachverband Deutscher Unternehmensberater erkennt darin einen Schlüssel für mehr Einsicht und optimale Entscheidungen während des Unternehmenskauf. Sie führen in ihrem Beitrag über IT-Due-Diligence ganz eindeutig, dass „beim Kauf eines Unternehmens nicht mehr ausreicht, die IT des zu erwerbenden Unternehmens (Target) nur einer oberflächlichen Risikoanalyse (Red Flag Due Diligence) zu unterziehen“. (Quelle)
Begriffsdefinition und Zielsetzung der IT-Due-Diligence
Ganz ehrlich: Zahlreiche nutzen den Begriff, wenige können ihn wirklich definieren. Im Wesentlichen bedeutet IT-Due-Diligence einfach, dass man die IT eines Zielunternehmens von Kopf bis Fuß durchleuchtet – nicht nur, um Risiken zu entdecken, sondern auch, um den wahren Wert der digitalenGrundstruktur zu verstehen. Es handelt es sich keineswegs um eine Checkliste oder ein Routine-Audit.
Es geht um das Identifizieren von Fallstricken, um vertragliche Abhängigkeiten, Sicherheitslücken, obsolet gewordene Technologien und manchmal sogar um verborgene Schätze. Wer weiß schon, welche internen Entwicklungen über die Jahre im Unternehmen entstanden sind? Oder welche Drittanbieter-Lösungen kritisch für das operative Geschäft wurden? Ziel ist am Ende immer dasselbe: keine bösen Überraschungen in Sachen IT nach der Vertragsunterzeichnung zu machen.
IT-Due-Diligence ist also ein zentraler Baustein von Mergers & Acquisitions (M&A), dem englischen Fachbegriff für Unternehmensfusionen und -übernahmen, weil sie offenlegt, ob die Informationssysteme, Daten und Sicherheitsstrukturen des Zielunternehmens stabil, regelkonform und zukunftssicher sind und in welchen Bereichen Defizite oder gar akuter Handlungsbedarf vorliegt.
Risiken, die oft übersehen werden
Die Liste an Gefahren bei einer Firmenübernahme ist umfangreich, und häufig kann sie nicht mal das eigene Technikteam identifizieren. Es startet bei übersehenen Software-Lizenzen, geht über nicht festgehaltene Verbindungen bis hin zu Plattformen, deren Programmierer längst die Firma verlassen haben. Besonders riskant wird es meist, wenn die IT im Laufe der Jahre zur Spielwiese verschiedener Administratoren und IT-Anbieter geworden ist – dann tauchen plötzlich veraltete Strukturen auf, von denen niemand mehr weiß, wofür sie eigentlich gedacht waren.
Darüber hinaus wird der Datenschutz manchmal nicht ordnungsgemäß umgesetzt, Cloud-Vereinbarungen liegen unbeachtet im Archiv, und spätestens bei Eigenentwicklungen wird es oft intransparent. Wer hier nicht sorgfältig prüft, riskiert, dass mit einer Übernahme nicht nur Infrastrukturen und Daten den Besitzer ändern, sondern auch die Altlasten und Versäumnisse der Vergangenheit. Gerade in regulierten Branchen kann das schnell kostspielig ausfallen – monetäre wie auch reputative Schäden inklusive.
Auch Vertragsverwaltung ist oft ein Problemfeld: Abonnements, deren Kündigungsfristen niemand mehr genau kennt, Software, die in der Cloud läuft, aber mit Informationen umgeht, die eigentlich nicht ins Ausland dürften. Das alles sind keine Nebenaspekte, sondern können einen Deal ausbremsen oder zu Nachverhandlungen führen. Wer hier nur oberflächlich prüft, steht schnell mit dem Rücken zur Wand.
Deshalb ist es für beide Seiten sinnvoll, einen kompetenten Spezialisten einzubeziehen, der eine fachkundige IT-Due-Diligence-Prüfung vornimmt.
So läuft die IT-Prüfung in der Praxis
Bei einer umfassenden IT-Due-Diligence gibt es keinen Standardfahrplan, der auf jedes Unterfangen passt – auch wenn einige Consultants das von sich sagen. Wohl aber lassen sich verschiedene zentrale Schwerpunkte der IT-Due-Diligence definieren, dazu zählen:
• IT-Strategie: Beurteilung der Strategieanbindung an das Business, vorhandene Entwicklungspläne und künftige Entwicklungspläne.
• Mitarbeiter & Organisation: Analyse der Aufbauorganisation, Führungsstrukturen, Abhängigkeiten von Schlüsselkräften sowie Nutzung externer Dienstleister.
• Applikationslandschaft: Bewertung der wichtigsten Softwarelösungen in Hinblick auf ihre Eignung, Kern- und Supportprozesse wirkungsvoll zu tragen.
• Technische Infrastruktur: Betrachtung von Data Centern, Servern, Netzwerken und IT-Schutzmechanismen.
• IT-Prozesse: Einschätzung der relevanten Abläufe in Entwicklung, Operation und Unterstützung.
• Finanzen im IT-Bereich: Vergleich von Kosten und Erlösen sowie Marktvergleichen und Ermittlung möglicher Optimierungsmöglichkeiten.
Eine strukturierte IT-Due-Diligence läuft in mehreren Schritten ab: Zunächst werden alle bestehenden Dokumente zur IT-Infrastruktur und den zentralen Systemen eingesammelt und ausgewertet. Dabei zeigt sich in den meisten Fällen, dass nicht alle Informationen lückenlos oder zeitgemäß sind, weshalb zusätzliche Rückfragen an die IT-Verantwortlichen notwendig werden.
Im nächsten Schritt werden Gespräche geführt, um Offenheiten zu beseitigen und ein Gesamtbild der IT-Umgebung zu gewinnen. Daraufhin folgt die Analyse der Hauptfelder: Welche Anwendungen sind im Einsatz, wie ist die Schutzstruktur aufgestellt, sind alle Lizenzen und Vereinbarungen rechtskräftig und gibt es funktionsfähige Notfallkonzepte? Häufig poppen bei Eigenentwicklungen oder veralteten Integrationen weitere Detailfragen auf.
Am Ende der Untersuchung steht ein Bericht, der die zentralen Ergebnisse, Gefahrenpunkte und Handlungsbedarfe dokumentiert. Dieser Abschlussbericht ist die Basis für Entscheidungen rund um die Übernahme und zeigt, wo eventuell noch Nachbesserungen erforderlich sind.
Erfahrungen und Best Practices aus der Praxis
Papier ist geduldig, Checklisten sind es auch. Nach unserer Praxiserfahrung gilt: Wer IT-Due-Diligence ernst meint, baut auf authentische Dialoge, transparente Austauschprozesse und eine gesunde Portion Skepsis gegenüber zu perfekten Rückmeldungen. Qualitativ hochwertige Resultate resultieren selten im stillen Kämmerlein, sondern dort, wo verschiedene Fachrichtungen kooperieren: IT, Juristik, Compliance, manchmal sogar Personalabteilung. Ein erfahrener Blick auf die Details hilft, Risiken zu identifizieren, die auf keiner Liste stehen. Manchmal kann schon eine scheinbar kleine Rückfrage wie „Wann fand der letzte Notfalltest statt?“ wesentliche Anhaltspunkte auf den Entwicklungsstand der IT geben.
Bedeutsam ist auch, das Resultat nicht in der Ablage verschwinden zu lassen: Die beste Gefährdungsbewertung bringt nichts, wenn sie am Tag nach dem Abschluss niemanden mehr interessiert. Gelungene Eingliederungen leben davon, dass die Erkenntnisse der IT-Due-Diligence auch tatsächlich implementiert und nachgehalten werden. Wer das beherzigt, spart nicht nur Kosten, sondern gewinnt an strukturellen und prozessualen Optimierungen.
Fazit zu IT-Due-Diligence-Prozessen
Am Ende bleibt die Schlussfolgerung: Keine Übernahme ist wie die andere, und keine Systemlandschaft gleicht der nächsten. Wer glaubt, ein paar Dokumente und eine Sammlung mit Passwörtern genügen, unterschätzt die Realität im Maschinenraum.
IT-Due-Diligence ist unbequem, manchmal ernüchternd und nie ganz ohne Überraschungen. Aber genau das macht sie so bedeutsam. Wer ehrlich analysiert, was wirklich gegeben ist, kann nicht nur Schwachstellen minimieren, sondern aus der IT auch echte Werttreiber machen. Es braucht Entschlossenheit, auch die unangenehmen Themen zu stellen – aber noch mehr Charakterstärke, den Antworten nicht aus dem Weg zu weichen.
Noch mehr interessante Blogartikel findest du hier !
