Bei einer Übernahme tauschen nicht nur Belegschaftsmitglieder und Erzeugnisse den Eigentümer, sondern auch vielschichtige IT-Landschaften samt ihrer Stärken und Schwächen. IT-Due-Diligence, also die IT-Risikoprüfung ehe Firmenakquisition, wird dabei meist verkannt. Allerdings wer, hier Fehler begeht, trägt später die Kosten – manchmal mit weitreichenden Folgen…
Im Falle einer Firmenübernahme stehen Dinge etwa Umsätze, Churn-Raten, Synergien, Aktiva und Belegschaft im Fokus. All das sind fraglos zentrale Aspekte – aber ein Sektor tritt dabei oft ins Nachsehen: die IT. Sie ist im Alltag so selbstverständlich, sodass man sie häufig übersieht. Dabei bestimmt eben sie darüber, ob Prozesse störungsfrei laufen, Daten gesichert sind und das Unternehmen beständig bleibt. Wer genau hinsieht, entdeckt in vielen Firmen Serverräume, die schon seit Jahren nicht modernisiert wurden, überholte Datenbanken oder eine Firewall, die längst keine derzeitigen Sicherheitsstandards mehr gewährleistet. IT ist das stille Fundament mehrerer Deals – bis es knallt.
Aus diesem Grund ist bei einer Geschäftsakquisition eine sorgfältige IT-Due-Diligence, das heißt die IT-Risikoprüfung vor der Unternehmensübernahme, im Grunde unerlässlich. Auch der Dachverband Deutscher Unternehmensberater sieht darin einen Weg für mehr Einsicht und optimale Entscheidungen beim Unternehmenskauf. Sie führen in ihrem Beitrag über IT-Due-Diligence ganz klar, es „beim Kauf eines Unternehmens nicht mehr ausreicht, die IT des zu erwerbenden Unternehmens (Target) nur einer oberflächlichen Risikoanalyse (Red Flag Due Diligence) zu unterziehen“ (https://www.bdu.de/fachthemenportal/digitales-und-it-beratung/it-due-diligence-die-analyse-der-it-bei-ma-transaktionen).
Warum IT-Due-Diligence wichtig ist
Hand aufs Herz: Zahlreiche nutzen den Terminus, wenige können ihn wirklich definieren. Im Wesentlichen heißt IT-Due-Diligence einfach, dass man die IT eines Zielunternehmens von Kopf bis Fuß durchleuchtet – nicht bloß, um Risiken zu ermitteln, vielmehr auch, um den tatsächlichen Wert der IT-Grundstruktur zu begreifen. Dabei geht keineswegs um eine Checkliste oder ein Routine-Audit.
Es geht um das Erkennen von Stolperfallen, um vertragliche Abhängigkeiten, Sicherheitslücken, veraltete Technologien und manchmal sogar um versteckte Schätze. Wer weiß schon, welche Eigenentwicklungen über die Jahre im Unternehmen entwickelt wurden? Oder welche externen Softwareprodukte kritisch für das operative Geschäft geworden sind? Ziel ist am Ende immer dasselbe: keine unangenehmen Entdeckungen in Sachen IT nach der Unterschrift zu erleben.
IT-Due-Diligence ist also ein zentraler Baustein von Mergers & Acquisitions (M&A), dem englischen Fachbegriff für Unternehmensfusionen und -übernahmen, weil sie offenlegt, ob die IT-Systeme, Datenbestände und Sicherheitsstrukturen des Zielunternehmens robust, regelkonform und zukunftsfähig sind und in welchen Faktoren Defizite oder gar akuter Handlungsbedarf besteht.
IT-Risiken, die oft übersehen werden
Die Aufzählung an Risiken bei einer Unternehmensakquisition ist lang, und oft kann sie nicht mal das eigene Technikteam identifizieren. Es startet bei vergessenen Software-Lizenzen, geht über nicht dokumentierte Schnittstellen bis hin zu Plattformen, deren Entwickler längst die Organisation verlassen haben. Besonders riskant wird es oftmals, wenn die IT im Laufe der Jahre zur Experimentierfläche verschiedener Systemverwalter und IT-Anbieter wurde – dann poppen plötzlich veraltete Strukturen auf, von denen niemand mehr nachvollziehen kann, wofür sie eigentlich gedacht waren.
Darüber hinaus wird der Schutz personenbezogener Daten manchmal nicht ordnungsgemäß umgesetzt, Cloud-Verträge liegen unbeachtet im Archiv, und spätestens bei selbst entwickelter Software wird es oft intransparent. Wer hier nicht gründlich prüft, läuft Gefahr, dass mit einer Übernahme nicht nur Systeme und Informationen den Eigentümer wechseln, sondern auch die Altlasten und Versäumnisse der Vergangenheit. Gerade in stark regulierten Sektoren kann das schnell teuer werden – monetäre wie auch imageschädigende Schäden inbegriffen.
Auch Vertragsverwaltung ist oft ein Minenfeld: Abos, deren Beendigungsfristen niemand mehr genau weiß, Software, die in der Cloud betrieben wird, aber mit Daten arbeitet, die eigentlich nicht ins andere Länder übertragen werden sollten. Das alles sind keine Nebenaspekte, sondern können einen Deal verzögern oder zu Nachverhandlungen führen. Wer hier nur oberflächlich analysiert, steht schnell in einer schwierigen Lage.
Deshalb ist es für beide Seiten ratsam, einen kompetenten Dienstleister hinzuzuziehen, der eine fachkundige IT-Due-Diligence-Prüfung vornimmt.
Von der IT-Due-Diligence-Vorbereitung bis zum Bericht
Bei einer umfassenden IT-Due-Diligence gibt es keinen Standardfahrplan, der auf jedes Unternehmen passt – auch wenn einige Consultants das von sich sagen. Wohl aber lassen sich verschiedene wesentliche Bereiche der IT-Due-Diligence definieren, dazu gehören:
• IT-Strategie: Bewertung der Ausrichtung an das Business, bestehende Entwicklungspläne und zukünftige Entwicklungspläne.
• Mitarbeiter & Organisation: Analyse der Aufbauorganisation, Leitungsebenen, Verflechtungen von Schlüsselpersonen sowie Einbindung externer Partnerunternehmen.
• Applikationslandschaft: Bewertung der wichtigsten Anwendungen in Hinblick auf ihre Eignung, Haupt- und Unterstützungsprozesse wirkungsvoll zu unterstützen.
• Technische Infrastruktur: Betrachtung von Data Centern, Serverstrukturen, Netzwerken und IT-Schutzmechanismen.
• IT-Prozesse: Bewertung der wichtigen Abläufe in Softwareentwicklung, Operation und Support.
• Finanzen im IT-Bereich: Gegenüberstellung von Ausgaben und Einnahmen sowie Branchen-Benchmarks und Identifizierung möglicher Einsparungspotenziale.
Eine strukturierte IT-Due-Diligence läuft in mehreren Schritten ab: Zunächst werden alle vorhandenen Unterlagen zur IT-Systemlandschaft und den wichtigsten Plattformen eingesammelt und ausgewertet. Dabei zeigt sich in den meisten Situationen, dass nicht alle Daten lückenlos oder zeitgemäß sind, weshalb zusätzliche Rückfragen an die IT-Verantwortlichen erforderlich sind.
Im nächsten Schritt werden Interviews geführt, um Unklarheiten zu klären und ein Gesamtbild der IT-Umgebung zu erhalten. Daraufhin folgt die Auswertung der Hauptfelder: Welche Systeme sind im Betrieb, wie ist die Sicherheitsarchitektur aufgestellt, sind alle Lizenzen und Verträge gültig und gibt es aktuelle Notfallpläne? Häufig poppen bei Eigenentwicklungen oder alten Schnittstellen weitere Detailfragen auf.
Am Ende der Prüfung steht ein Report, der die wichtigsten Erkenntnisse, Risiken und Optimierungsempfehlungen dokumentiert. Dieser Endbericht ist die Basis für Beschlüsse rund um die Übernahme und zeigt, wo eventuell noch Korrekturen nötig werden.
Was sich in der Praxis bewährt hat
Papier ist geduldig, Prüflisten sind es auch. Nach unserer Praxiserfahrung gilt: Wer IT-Due-Diligence ernst meint, setzt auf echte Dialoge, offene Kommunikation und eine gesunde Portion Misstrauen gegenüber übermäßig glatten Antworten. Qualitativ hochwertige Resultate resultieren selten im Alleingang, sondern dort, wo verschiedene Disziplinen zusammenarbeiten: IT, Recht, Regeltreue, manchmal sogar HR. Ein geübtes Auge auf die Einzelheiten unterstützt dabei, Schwachstellen zu identifizieren, die auf keiner Checkliste verzeichnet sind. Mitunter kann schon eine unauffällige Rückfrage wie „Wann fand der letzte Notfalltest statt?“ entscheidende Anhaltspunkte auf den Entwicklungsstand der IT liefern.
Wichtig ist auch, das Resultat nicht in der Ablage verschwinden zu lassen: Die gründlichste Gefährdungsbewertung nützt nichts, wenn sie am Tag nach dem Abschluss niemanden mehr beschäftigt. Erfolgreiche Integrationen leben davon, dass die Befunde der IT-Due-Diligence auch tatsächlich umgesetzt und nachgehalten werden. Wer das verinnerlicht, spart nicht nur Geld, sondern profitiert von strukturellen und prozessualen Verbesserungen.
Die wichtigsten Erkenntnisse auf einen Blick
Am Ende bleibt die Einsicht: Keine Firmenübernahme ist wie die andere, und keine Technologieumgebung gleicht der nächsten. Wer denkt, ein paar Formulare und eine Sammlung mit Zugangsdaten genügen, unterschätzt die Tatsachen im Maschinenraum.
IT-Due-Diligence ist herausfordernd, manchmal ernüchternd und nie ganz ohne Überraschungen. Aber genau das macht sie so bedeutsam. Wer ehrlich prüft, was wirklich vorhanden ist, kann nicht nur Risiken reduzieren, sondern aus der IT auch echte Werttreiber machen. Es braucht Entschlossenheit, auch die kritischen Fragen zu stellen – aber noch mehr Charakterstärke, den Ergebnissen nicht aus dem Weg zu gehen.
Wer beim Unternehmenskauf auf Nummer sicher gehen will, sollte keine Kompromisse eingehen! Wir stehen Ihnen als Experten rund um IT-Prüfungen zur Seite – sprechen Sie uns jederzeit an.
