Ihr IT-Systemhaus TTG Daten- und Bürosysteme GmbH für Unternehmen aus Nordthüringen und Südniedersachsen

KONTAKT

IT-Prüfung vor der Übernahme

Inhaltsverzeichnis

Im Falle einer Übernahme wechseln nicht nur Mitarbeitende und Produkte den Eigentümer, sondern auch komplexe IT-Landschaften inklusive ihrer Vorzüge und Schwächen. IT-Due-Diligence, also die IT-Risikoprüfung vor Firmenakquisition, wird dabei oft unterschätzt. Allerdings wer hier Fehler begeht, trägt nachfolgend die Ausgaben – manchmal mit tiefgreifenden Konsequenzen…

Bei einer Firmenübernahme sind Dinge etwa Umsätze, Churn-Raten, Synergien, Aktiva und Personal im Fokus. All das sind ohne Zweifel entscheidende Aspekte – doch ein Bereich tritt dabei oft ins Nachsehen: die IT. Sie ist im Alltag so selbstverständlich, dass man sie leicht übersieht. Dabei bestimmt genau sie hierüber, ob Prozesse störungsfrei laufen, Daten geschützt sind und das Unternehmen beständig ist. Wer genau hinsieht, findet in etlichen Firmen Serverräume, die schon seit Jahren nicht erneuert worden sind, veraltete Datenbanken oder eine Firewall, die längst keine derzeitigen Sicherheitsstandards mehr erfüllt. IT ist das stille Rückgrat vieler Deals – bis es knallt.

Aus diesem Grund ist bei einer Geschäftsakquisition eine gründliche IT-Due-Diligence, das heißt die IT-Risikoprüfung vor der Firmenakquisition, im Prinzip unerlässlich. Auch der Dachverband Deutscher Unternehmensberater sieht darin einen Weg für mehr Einsicht und optimale Beschlüsse während des Unternehmenskauf. Sie schreiben in ihrem Beitrag über IT-Due-Diligence ganz klar, dass „beim Kauf eines Unternehmens nicht mehr ausreicht, die IT des zu erwerbenden Unternehmens (Target) nur einer oberflächlichen Risikoanalyse (Red Flag Due Diligence) zu unterziehen“ (bdu.de).

1. Was ist Ethical Hacking?

Ganz ehrlich: Zahlreiche nutzen den Terminus, wenige können ihn tatsächlich definieren. Im Wesentlichen heißt IT-Due-Diligence schlicht, dass man die IT eines Zielunternehmens von Kopf bis Fuß durchleuchtet – nicht bloß, um Risiken zu entdecken, vielmehr auch, um den wahren Wert der digitalen Grundstruktur zu begreifen. Es handelt sich nicht um eine Checkliste oder ein Standard-Audit.

Es geht um das Identifizieren von Fallstricken, um juristische Verflechtungen, Schwachstellen, veraltete Technologien und manchmal sogar um versteckte Schätze. Wer weiß schon, welche internen Entwicklungen über die Jahre im Keller entstanden sind? Oder welche externen Softwareprodukte unverzichtbar für das Tagesgeschäft wurden? Absicht ist am Ende immer dasselbe: keine bösen Überraschungen in Sachen IT nach der Unterschrift zu erleben.

IT-Due-Diligence ist also ein wesentlicher Bestandteil von Mergers & Acquisitions (M&A), dem englischsprachigen Ausdruck für Firmenzusammenschlüsse und Akquisitionen, weil sie aufdeckt, ob die IT-Systeme, Datenbestände und Sicherheitsstrukturen des akquirierten Unternehmens robust, regelkonform und zukunftssicher sind und in welchen Faktoren Defizite oder gar dringender Verbesserungsbedarf vorliegt.

Was steckt hinter IT-Due-Diligence?

Die Aufzählung an Gefahren bei einer Unternehmensakquisition ist lang, und häufig kann sie nicht mal das eigene IT-Team identifizieren. Es startet bei übersehenen Software-Lizenzen, geht über nicht dokumentierte Schnittstellen bis hin zu Systemen, deren Entwickler längst die Firma verlassen haben. Besonders riskant wird es meist, wenn die IT im Laufe der Jahre zur Experimentierfläche verschiedener Administratoren und IT-Anbieter geworden ist – dann poppen plötzlich Altlasten auf, von denen niemand mehr nachvollziehen kann, wofür sie eigentlich gedacht waren.

Darüber hinaus wird der Datenschutz manchmal nicht ordnungsgemäß umgesetzt, Cloud-Vereinbarungen verstauben im Schrank, und spätestens bei selbst entwickelter Software wird es oft undurchsichtig. Wer hier nicht gründlich hinsieht, riskiert, dass mit einer Übernahme nicht nur Systeme und Informationen den Besitzer wechseln, sondern auch die Altlasten und Versäumnisse der Vergangenheit. Gerade in stark regulierten Sektoren kann das schnell teuer ausfallen – finanzielle wie auch imageschädigende Schäden inbegriffen.

IT-Due-Diligence Experten analysieren IT-Infrastruktur vor Unternehmensuebernahme

Typische IT-Probleme bei Übernahmen

Auch Vertragsmanagement ist oft ein Problemfeld: Abonnements, deren Kündigungsfristen niemand mehr genau kennt, Software, die in der Cloud läuft, aber mit Daten arbeitet, die eigentlich nicht ins andere Länder dürften. Das alles sind keine Randthemen, sondern können einen Deal verzögern oder zu erneuten Gesprächen zwingen. Wer hier nur flüchtig analysiert, steht schnell in einer schwierigen Lage.

Deshalb ist es für beide Seiten sinnvoll, einen kompetenten Spezialisten hinzuzuziehen, der eine professionelle IT-Due-Diligence-Analyse vornimmt.

IT-Analyse bei M&A-Transaktion – Sicherheitsrisiken und Schwachstellen aufdecken

Bei einer umfassenden IT-Due-Diligence gibt es keinen Standardfahrplan, der auf jedes Unternehmen passt – auch wenn einige Consultants das behaupten. Wohl aber lassen sich verschiedene zentrale Schwerpunkte festlegen:

  • IT-Strategie: Beurteilung der Strategieanbindung an das Geschäft, vorhandene und künftige Entwicklungspläne.
  • Mitarbeiter & Organisation: Analyse der Aufbauorganisation, Leitungsebenen, Verflechtungen von Schlüsselpersonen sowie Einbindung externer Dienstleister.
  • Applikationslandschaft: Bewertung der zentralen Anwendungen in Hinblick auf ihre Eignung, Haupt- und Unterstützungsprozesse effizient zu tragen.
  • Technische Infrastruktur: Analyse von Data Centern, Serverstrukturen, Netzwerken und IT-Schutzmechanismen.
  • IT-Prozesse: Bewertung der relevanten Abläufe in Softwareentwicklung, Betrieb und Support.
  • Finanzen im IT-Bereich: Gegenüberstellung von Kosten und Erlösen sowie Branchen-Benchmarks und Identifizierung möglicher Einsparungspotenziale.

Wie eine IT-Due-Diligence abläuft

Eine professionelle IT-Due-Diligence verläuft in mehreren Phasen ab: Zunächst werden alle vorhandenen Dokumente zur IT-Infrastruktur und den wichtigsten Systemen eingesammelt und ausgewertet. Dabei zeigt sich in den meisten Situationen, dass nicht alle Informationen lückenlos oder zeitgemäß sind, weshalb Nachfragen an die IT-Leitungspersonen notwendig sind.

Im nächsten Schritt werden Interviews durchgeführt, um Offenheiten zu klären und ein Gesamtbild der IT-Landschaft zu gewinnen. Anschließend folgt die Analyse der Hauptfelder: Welche Anwendungen sind im Einsatz, wie ist die Sicherheitsarchitektur organisiert, sind alle Nutzungsrechte und Verträge rechtskräftig und gibt es aktuelle Notfallkonzepte?

Am Ende der Untersuchung steht ein Report, der die wichtigsten Ergebnisse, Gefahrenpunkte und Handlungsbedarfe festhält. Dieser Abschlussbericht ist die Grundlage für Beschlüsse rund um die Übernahme und zeigt, wo eventuell noch Nachbesserungen nötig sind.

Lehren aus vergangenen Deals

Papier ist geduldig, Checklisten sind es auch. Nach unserer Praxiserfahrung gilt: Wer IT-Due-Diligence wirklich betreibt, baut auf authentische Gespräche, transparente Kommunikation und eine angemessene Dosis Skepsis gegenüber übermäßig glatten Rückmeldungen. Qualitativ hochwertige Resultate entstehen selten im stillen Kämmerlein, sondern dort, wo verschiedene Disziplinen zusammenarbeiten: IT, Recht, Compliance, manchmal sogar HR. Ein erfahrener Blick auf die Details hilft, Risiken aufzudecken, die auf keiner Liste verzeichnet sind.

Wichtig ist auch, das Resultat nicht in der Ablage versanden zu lassen: Die gründlichste Gefährdungsbewertung nützt nichts, wenn sie am Tag nach dem Abschluss niemanden mehr interessiert. Erfolgreiche Integrationen profitieren davon, dass die Befunde der IT-Due-Diligence auch tatsächlich umgesetzt und verfolgt werden. Wer das beherzigt, spart nicht nur Geld, sondern gewinnt an strukturellen und ablaufbezogenen Optimierungen.

IT-Infrastruktur-Bewertung im Rahmen der IT-Due-Diligence bei Unternehmenskauf

Die wichtigsten Erkenntnisse auf einen Blick

Am Ende bleibt die Schlussfolgerung: Keine Akquisition ist wie die andere, und keine Systemlandschaft gleicht der nächsten. Wer denkt, ein paar Formulare und eine Liste mit Passwörtern reichen, unterschätzt die Wirklichkeit im Back-End.

IT-Due-Diligence ist unbequem, manchmal ernüchternd und nie ganz ohne Überraschungen. Aber genau das macht sie so bedeutsam. Wer ehrlich prüft, was wirklich gegeben ist, kann nicht nur Schwachstellen reduzieren, sondern aus der IT auch echte Werttreiber machen. Es braucht Entschlossenheit, auch die unangenehmen Themen zu adressieren – aber noch mehr Charakterstärke, den Antworten nicht aus dem Weg zu gehen.

Wer beim Firmenkauf auf Sicherheit setzen will, sollte keine Abstriche eingehen! Wir stehen Ihnen als Ansprechpartner rund um IT-Prüfungen zur Seite – sprechen Sie uns jederzeit an.

Jetzt Kontakt aufnehmen

Comments are closed.

Vielen Dank für Ihre Anfrage!

Preview Image ProvenExpert.com entsperren ProvenExpert.com immer entsperren Mehr Informationen