Im Falle einer Akquisition tauschen nicht nur Belegschaftsmitglieder und Erzeugnisse den Eigentümer, sondern auch komplexe IT-Landschaften samt ihrer Stärken und Schwächen. IT-Due-Diligence, also die IT-Risikoprüfung ehe Unternehmensübernahme, wird dabei meist unterschätzt. Doch wer, hier Fehler macht, trägt nachfolgend die Ausgaben – manchmal mit tiefgreifenden Konsequenzen…
Bei einer Geschäftsakquisition stehen Dinge wie Erlöse, Churn-Raten, Synergien, Vermögenswerte und Personal im Fokus. All das sind ohne Zweifel zentrale Aspekte – aber ein Bereich tritt dabei oft ins Hintertreffen: die IT. Sie ist im Alltag so gewohnt, sodass man sie leicht ignoriert. Dabei entscheidet genau sie darüber, ob Prozesse reibungslos laufen, Daten gesichert sind und das Geschäft beständig ist. Wer präzise hinsieht, entdeckt in vielen Betrieben Serverräume, die seit Jahren nicht modernisiert worden sind, veraltete Datenbanken oder eine Firewall, die längst keine aktuellen Schutzrichtlinien mehr gewährleistet. IT ist das unauffällige Rückgrat vieler Deals – bis es kracht.
Aus diesem Grund ist im Falle einer Geschäftsakquisition eine sorgfältige IT-Due-Diligence, das heißt die IT-Risikoprüfung vor der Unternehmensübernahme, im Grunde unerlässlich. Auch der Bundesverband Deutscher Unternehmensberater sieht darin einen Weg für mehr Transparenz und bessere Beschlüsse beim Unternehmenskauf. Sie führen in ihrem Beitrag über IT-Due-Diligence ganz klar, dass „beim Kauf eines Unternehmens nicht mehr ausreicht, die IT des zu erwerbenden Unternehmens (Target) nur einer oberflächlichen Risikoanalyse (Red Flag Due Diligence) zu unterziehen“.
IT-Due-Diligence – Grundgedanken
Hand aufs Herz: Viele verwenden den Begriff, die Wenigsten können ihn tatsächlich erklären. Im Wesentlichen bedeutet IT-Due-Diligence einfach, dass man die IT eines Zielunternehmens einer vollständigen Prüfung unterzieht – nicht nur, um Gefahren zu entdecken, vielmehr auch, um den tatsächlichen Nutzen der IT-Grundstruktur zu begreifen. Es geht keineswegs um eine Checkliste oder ein Standard-Audit.
Es geht um das Identifizieren von Stolperfallen, um juristische Abhängigkeiten, Schwachstellen, veraltete Techniklösungen und manchmal sogar um verborgene Potenziale. Wer weiß schon, welche internen Entwicklungen über die Jahre im Unternehmen entwickelt wurden? Oder welche externen Softwareprodukte unverzichtbar für das Tagesgeschäft wurden? Absicht ist am Ende immer dasselbe: keine unangenehmen Entdeckungen in Sachen IT nach der Vertragsunterzeichnung zu machen.
IT-Due-Diligence ist also ein wesentlicher Baustein von Mergers & Acquisitions (M&A), dem englischsprachigen Ausdruck für Unternehmensfusionen und -übernahmen, weil sie offenlegt, ob die IT-Systeme, Datenbestände und Sicherheitsstrukturen des akquirierten Unternehmens stabil, compliant und zukunftssicher sind und in welchen Faktoren Schwächen oder gar akuter Handlungsbedarf vorliegt.
Typische IT-Probleme bei Übernahmen
Die Liste an Gefahren bei einer Firmenübernahme ist lang, und oft kann sie nicht mal das eigene IT-Team identifizieren. Es beginnt bei vergessenen Software-Lizenzen, geht über nicht festgehaltene Schnittstellen bis hin zu Plattformen, deren Programmierer längst die Firma verlassen haben. Besonders gefährlich wird es oftmals, wenn die IT im Laufe der Jahre zur Spielwiese verschiedener Administratoren und IT-Anbieter geworden ist – dann tauchen plötzlich Altlasten auf, von denen niemand mehr weiß, wofür sie eigentlich gut waren.
Darüber hinaus wird der Datenschutz manchmal nicht ordnungsgemäß eingehalten, Cloud-Verträge verstauben im Archiv, und spätestens bei selbst entwickelter Software wird es oft intransparent. Wer hier nicht sorgfältig prüft, läuft Gefahr, dass mit einer Transaktion nicht nur Infrastrukturen und Informationen den Besitzer ändern, sondern auch die Altlasten und Fehler der früheren Jahre. Gerade in stark regulierten Sektoren kann das schnell kostspielig ausfallen – finanzielle wie auch imageschädigende Schäden inklusive.
Auch Vertragsverwaltung ist oft ein Problemfeld: Abonnements, deren Beendigungsfristen niemand mehr genau kennt, Software, die in der Cloud läuft, aber mit Daten umgeht, die eigentlich nicht ins Ausland übertragen werden sollten. Das alles sind keine Nebenaspekte, sondern können einen Abschluss verzögern oder zu erneuten Gesprächen zwingen. Wer hier nur oberflächlich analysiert, steht schnell in einer schwierigen Lage.
Deshalb ist es für beide Seiten sinnvoll, einen kompetenten Dienstleister hinzuzuziehen, der eine fachkundige IT-Due-Diligence-Prüfung durchführt.
Von der IT-Due-Diligence-Vorbereitung bis zum Bericht
Bei einer gründlichen IT-Due-Diligence gibt es keinen einheitlichen Ablaufplan, der auf jedes Unternehmen passt – auch wenn einige Berater das behaupten. Wohl aber lassen sich verschiedene zentrale Bereiche der IT-Due-Diligence definieren, dazu gehören:
- IT-Strategie: Beurteilung der Strategieanbindung an das Business, bestehende Entwicklungspläne und künftige Entwicklungspläne.
- Mitarbeiter & Organisation: Analyse der Organisationsstruktur, Führungsstrukturen, Verflechtungen von Schlüsselpersonen sowie Nutzung externer Partnerunternehmen.
- Applikationslandschaft: Prüfung der wichtigsten Softwarelösungen in Hinblick auf ihre Eignung, Haupt- und Unterstützungsprozesse wirkungsvoll zu tragen.
- Technische Infrastruktur: Analyse von Data Centern, Servern, Netzwerken und IT-Sicherheitsmaßnahmen.
- IT-Prozesse: Bewertung der relevanten Abläufe in Softwareentwicklung, Operation und Support.
- Finanzen im IT-Bereich: Vergleich von Ausgaben und Einnahmen sowie Marktvergleichen und Ermittlung möglicher Optimierungsmöglichkeiten.
Eine strukturierte IT-Due-Diligence verläuft in mehreren Schritten ab: Zunächst werden alle bestehenden Unterlagen zur IT-Systemlandschaft und den wichtigsten Systemen angefordert und analysiert. Dabei zeigt sich in den meisten Situationen, dass nicht alle Informationen vollständig oder zeitgemäß sind, weshalb zusätzliche Rückfragen an die IT-Leitungspersonen notwendig sind.
Im nächsten Schritt werden Gespräche durchgeführt, um Unklarheiten zu beseitigen und ein umfassendes Verständnis der IT-Umgebung zu gewinnen. Anschließend folgt die Auswertung der Kernbereiche: Welche Anwendungen sind im Einsatz, wie ist die Sicherheitsarchitektur aufgestellt, sind alle Lizenzen und Vereinbarungen gültig und gibt es funktionsfähige Notfallpläne? Häufig poppen bei internen Lösungen oder alten Schnittstellen weitere Detailfragen auf.
Am Ende der Untersuchung steht ein Bericht, der die wichtigsten Erkenntnisse, Risiken und Handlungsbedarfe dokumentiert. Dieser Endbericht ist die Basis für Beschlüsse rund um die Übernahme und zeigt, wo eventuell noch Korrekturen nötig sind.
Was sich in der Praxis bewährt hat
Papier ist geduldig, Prüflisten sind es auch. Nach unserer Erfahrung gilt: Wer IT-Due-Diligence ernst meint, baut auf authentische Dialoge, transparente Kommunikation und eine angemessene Dosis Misstrauen gegenüber übermäßig glatten Antworten. Gute Ergebnisse entstehen selten im stillen Kämmerlein, sondern dort, wo verschiedene Fachrichtungen kooperieren: IT, Juristik, Compliance, manchmal sogar Personalabteilung. Ein erfahrener Blick auf die Einzelheiten unterstützt dabei, Risiken aufzudecken, die auf keiner Checkliste verzeichnet sind. Manchmal kann schon eine unauffällige Frage wie „Wann fand der letzte Notfalltest statt?“ wesentliche Hinweise auf den Entwicklungsstand der IT liefern.
Wichtig ist auch, das Ergebnis nicht in der Ablage versanden zu lassen: Die beste Risikoanalyse bringt nichts, wenn sie am Tag nach dem Abschluss niemanden mehr interessiert. Gelungene Eingliederungen leben davon, dass die Erkenntnisse der IT-Due-Diligence auch tatsächlich umgesetzt und verfolgt werden. Wer das verinnerlicht, spart nicht nur Geld, sondern gewinnt an fundamentalen und ablaufbezogenen Optimierungen.
Fazit: Was Entscheider aus erfolgreichen IT-Due-Diligence-Prozessen lernen können
Am Ende bleibt die Schlussfolgerung: Keine Übernahme ist wie die andere, und keine Technologieumgebung gleicht der nächsten. Wer glaubt, ein paar Formulare und eine Sammlung mit Passwörtern genügen, verkennt die Realität im Back-End.
IT-Due-Diligence ist unbequem, manchmal enttäuschend und nie ganz ohne Überraschungen. Aber genau das macht sie so bedeutsam. Wer gründlich prüft, was wirklich vorhanden ist, kann nicht nur Risiken minimieren, sondern aus der IT auch echte Werttreiber machen. Es braucht Entschlossenheit, auch die unangenehmen Themen zu stellen – aber noch mehr Mut, den Antworten nicht aus dem Weg zu weichen.
Wer beim Firmenkauf auf Nummer sicher gehen will, sollte keine Kompromisse machen! Wir stehen Ihnen als Ansprechpartner rund um IT-Due-Diligence zur Seite – sprechen Sie uns jederzeit an.
