Bei einer Übernahme tauschen nicht nur Mitarbeitende und Produkte den Eigentümer, sondern auch vielschichtige IT-Landschaften samt ihrer Vorzüge und Schwächen. IT-Due-Diligence, also die IT-Risikoprüfung ehe Firmenakquisition, wird dabei meist unterschätzt. Doch wer, dabei Fehler begeht, trägt später die Kosten, manchmal mit weitreichenden Folgen…
Im Falle einer Firmenübernahme sind Dinge wie Umsätze, Churn-Raten, Synergien, Vermögenswerte und Personal im Mittelpunkt. All das sind fraglos zentrale Faktoren – doch ein Bereich gerät dabei oft ins Hintertreffen: die IT. Sie ist im Tagesgeschäft so gewohnt, sodass man sie leicht übersieht. Dabei bestimmt genau sie darüber, ob Prozesse reibungslos ablaufen, Daten geschützt sind und das Unternehmen beständig bleibt. Wer genau schaut, findet in etlichen Betrieben Serverräume, die seit Jahren nicht erneuert worden sind, veraltete Datenbanken oder eine Firewall, die längst keine aktuellen Schutzrichtlinien mehr erfüllt. IT ist das stille Rückgrat vieler Deals, ehe es kracht.
Deshalb ist im Falle einer Firmenübernahme eine sorgfältige IT-Due-Diligence, also die IT-Risikoprüfung vor der Unternehmensübernahme, im Prinzip zwingend. Auch der Bundesverband Deutscher Unternehmensberater sieht darin einen Schlüssel für mehr Einsicht und bessere Beschlüsse beim Unternehmenskauf. In ihrem Beitrag über IT-Due-Diligence führen sie ganz eindeutig aus, dass es „beim Kauf eines Unternehmens nicht mehr ausreicht, die IT des zu erwerbenden Unternehmens (Target) nur einer oberflächlichen Risikoanalyse (Red Flag Due Diligence) zu unterziehen“.
IT-Due-Diligence – Grundgedanken
Ganz ehrlich: Zahlreiche nutzen den Terminus, wenige können ihn tatsächlich definieren. Im Wesentlichen heißt IT-Due-Diligence einfach, dass man die IT eines Zielunternehmens einer vollständigen Prüfung unterzieht – nicht bloß, um Gefahren zu ermitteln, vielmehr auch, um den tatsächlichen Nutzen der IT-Grundstruktur zu verstehen. Dabei handelt es sich nicht um eine Checkliste oder ein Standard-Audit.
Es geht um das Identifizieren von Fallstricken, um vertragliche Verflechtungen, Schwachstellen, obsolet gewordene Technologien und manchmal sogar um versteckte Potenziale. Wer weiß schon, welche Eigenentwicklungen über die Jahre im Unternehmen entwickelt wurden? Oder welche Drittanbieter-Lösungen unverzichtbar für das Tagesgeschäft geworden sind? Ziel ist am Ende immer dasselbe: keine unangenehmen Entdeckungen in Sachen IT nach der Unterschrift zu machen.
IT-Due-Diligence ist also ein wesentlicher Bestandteil von Mergers & Acquisitions (M&A), dem englischen Fachbegriff für Firmenzusammenschlüsse und Akquisitionen, weil sie offenlegt, ob die Informationssysteme, Daten und Schutzmechanismen des akquirierten Unternehmens robust, regelkonform und zukunftsfähig sind und in welchen Bereichen Schwächen oder gar akuter Handlungsbedarf vorliegt.
Die häufigsten Schwächen in der IT
Die Liste an Risiken bei einer Firmenübernahme ist umfangreich, und häufig kann sie nicht einmal das eigene Technikteam identifizieren. Es beginnt bei übersehenen Software-Lizenzen, geht über nicht dokumentierte Schnittstellen bis hin zu Systemen, deren Programmierer längst die Organisation verlassen haben. Besonders gefährlich wird es meist, wenn die IT im Laufe der Jahre zur Spielwiese verschiedener Administratoren und IT-Anbieter geworden ist, dann tauchen plötzlich Altlasten auf, von denen niemand mehr nachvollziehen kann, wofür sie eigentlich gut waren.
Zudem wird der Datenschutz manchmal nicht perfekt eingehalten, Cloud-Vereinbarungen verstauben im Schrank, und spätestens bei Eigenentwicklungen wird es oft undurchsichtig. Wer hier nicht sorgfältig prüft, riskiert, dass mit einer Übernahme nicht nur Systeme und Daten den Eigentümer ändern, sondern auch die veralteten Komponenten und Versäumnisse der Vergangenheit. Gerade in regulierten Branchen kann das schnell kostspielig ausfallen, monetäre wie auch reputative Schäden inklusive.
Auch Vertragsverwaltung ist oft ein Minenfeld: Abos, deren Kündigungsfristen niemand mehr genau kennt, Software, die in der Cloud betrieben wird, aber mit Daten arbeitet, die eigentlich nicht in andere Länder dürften. Das alles sind keine Nebenaspekte, sondern können einen Abschluss ausbremsen oder zu erneuten Gesprächen zwingen. Wer hier nur oberflächlich analysiert, steht schnell mit dem Rücken zur Wand.
Deshalb ist es für beide Seiten ratsam, einen kompetenten Spezialisten einzubeziehen, der eine professionelle IT-Due-Diligence-Prüfung durchführt.
Der Prozess hinter der IT-Due-Diligence
Bei einer umfassenden IT-Due-Diligence gibt es keinen Standardfahrplan, der auf jedes Unterfangen passt, auch wenn einige Berater das behaupten. Wohl aber lassen sich verschiedene wesentliche Schwerpunkte der IT-Due-Diligence festlegen, dazu zählen:
- IT-Strategie: Bewertung der Ausrichtung an das Business, bestehende Roadmaps und künftige Vorhaben.
- Mitarbeiter & Organisation: Analyse der Aufbauorganisation, Führungsstrukturen, Verflechtungen von Schlüsselpersonen sowie Nutzung externer Partnerunternehmen.
- Applikationslandschaft: Bewertung der zentralen Anwendungen in Hinblick auf ihre Eignung, Kern- und Supportprozesse effizient zu tragen.
- Technische Infrastruktur: Analyse von Data Centern, Serverstrukturen, Netzwerken und IT-Schutzmechanismen.
- IT-Prozesse: Bewertung der relevanten Abläufe in Softwareentwicklung, Operation und Unterstützung.
- Finanzen im IT-Bereich: Gegenüberstellung von Kosten und Erlösen sowie Marktvergleichen und Identifizierung möglicher Optimierungsmöglichkeiten.
Eine strukturierte IT-Due-Diligence verläuft in mehreren Phasen ab: Zunächst werden alle vorhandenen Dokumente zur IT-Systemlandschaft und den wichtigsten Systemen eingesammelt und analysiert. Dabei zeigt sich in den meisten Situationen, dass nicht alle Informationen vollständig oder zeitgemäß sind, weshalb Nachfragen an die IT-Leitungspersonen erforderlich werden.
Im nächsten Schritt werden Gespräche geführt, um Offenheiten zu beseitigen und ein Gesamtbild der IT-Umgebung zu gewinnen. Daraufhin folgt die Analyse der Hauptfelder: Welche Systeme sind im Einsatz, wie ist die Sicherheitsarchitektur organisiert, sind alle Lizenzen und Verträge rechtskräftig und gibt es aktuelle Notfallkonzepte? Häufig tauchen bei Eigenentwicklungen oder veralteten Integrationen weitere Einzelfragen auf.
Am Ende der Untersuchung steht ein Bericht, der die zentralen Ergebnisse, Risiken und Optimierungsempfehlungen festhält. Dieser Abschlussbericht ist die Basis für Entscheidungen rund um die Übernahme und zeigt, wo eventuell noch Korrekturen nötig sind.
Tipps aus der IT-Due-Diligence-Praxis
Papier ist geduldig, Prüflisten sind es auch. Nach unserer Erfahrung gilt: Wer IT-Due-Diligence wirklich betreibt, baut auf authentische Dialoge, transparente Austauschprozesse und eine gesunde Portion Skepsis gegenüber zu perfekten Rückmeldungen. Gute Ergebnisse resultieren selten im stillen Kämmerlein, sondern dort, wo verschiedene Disziplinen kooperieren: IT, Juristik, Compliance, manchmal sogar Personalabteilung. Ein erfahrener Blick auf die Einzelheiten unterstützt dabei, Schwachstellen zu identifizieren, die auf keiner Liste stehen. Manchmal kann schon eine unauffällige Frage wie „Wann fand der letzte Notfalltest statt?“ wesentliche Hinweise auf den Reifegrad der IT geben.
Bedeutsam ist auch, das Resultat nicht in der Schublade versanden zu lassen: Die gründlichste Gefährdungsbewertung bringt nichts, wenn sie am Tag nach dem Deal niemanden mehr interessiert. Erfolgreiche Integrationen profitieren davon, dass die Befunde der IT-Due-Diligence auch tatsächlich umgesetzt und verfolgt werden. Wer das beherzigt, reduziert nicht nur Kosten, sondern gewinnt an fundamentalen und ablaufbezogenen Verbesserungen.
Fazit: Was Entscheider aus erfolgreichen IT-Due-Diligence-Prozessen lernen können
Am Ende bleibt die Einsicht: Keine Übernahme ist wie die andere, und keine IT gleicht der nächsten. Wer denkt, ein paar Dokumente und eine Sammlung mit Zugangsdaten reichen, verkennt die Realität im Maschinenraum.
IT-Due-Diligence ist unbequem, manchmal enttäuschend und nie ganz ohne Überraschungen. Aber genau das macht sie so wertvoll. Wer ehrlich prüft, was wirklich gegeben ist, kann nicht nur Risiken minimieren, sondern aus der IT auch echte Werttreiber machen. Es braucht Mut, auch die kritischen Fragen zu adressieren – aber noch mehr Mut, den Antworten nicht aus dem Weg zu weichen.
Wer beim Unternehmenskauf auf Nummer sicher gehen will, sollte keine Kompromisse machen! Wir stehen Ihnen als Experten rund um IT-Prüfungen zur Seite. Kontaktieren Sie uns gerne.
