Due Diligence für IT bei M&A: Die technische Assessment-Checkliste, die Käufer übersehen

Finanzielle Due Diligence bei M&A ist gründlich. IT Due Diligence ist meist ein Nachgedanke — eine kurze Überprüfung des Serverinventars und die Frage, ob Backups existieren.

So entdecken Käufer drei Monate nach Closing, dass das Zielunternehmen nicht lizenzierte Oracle-Datenbanken betreibt (EUR 500K True-up-Risiko), keinen Disaster-Recovery-Plan hat und vollständig von einem Ingenieur abhängt, der gerade kündigt.

IT-Due-Diligence-Bewertungsuebersicht

Kategorie 1: Infrastruktur und Architektur (Punkte 1-8)

1. Cloud- vs. On-Premises-Inventar — Jede Umgebung dokumentieren
2. Aktualität der Architekturdokumentation — Nicht Folien von 2019
3. Technical Debt Assessment — Statische Analyse durchführen
4. Skalierbarkeitsreserve — Kann die Architektur 2× und 5× Last bewältigen?
5. Drittanbieterabhängigkeiten — Change-of-Control-Klauseln prüfen
6. Datenarchitektur und -qualität
7. Integrationskomplexitäts-Score
8. Disaster Recovery und Business Continuity

Kategorie 2: Sicherheitslage (Punkte 9-16)

9. Identity und Access Management — MFA-Abdeckung, Offboarding
10. Schwachstellenmanagement — Scan-Frequenz, Patch-Kadenz
11. Endpunktschutz — EDR, MDM
12. Netzwerksicherheit — Segmentierung, Firewalls
13. Incident Response — Plan vorhanden und getestet?
14. Compliance-Zertifizierungen — ISO 27001, SOC 2, C5
15. Datenschutz und DSGVO
16. Security-Tooling-Investment

Kategorie 3: Lizenzierung und Verträge (Punkte 17-22)

17. Software-Lizenzaudit — Oracle/SAP True-up-Risiken
18. Open-Source-Compliance — GPL/AGPL-Risiken
19. Key-Vendor-Verträge — Kündigungsklauseln
20. SaaS-Wildwuchs — Tatsächliche vs. bekannte Tools
21. IP-Eigentum — Contractor-Vereinbarungen prüfen
22. Datenportabilität

Kategorie 4: Team und Betrieb (Punkte 23-30)

23. Teamstruktur und -fähigkeiten
24. Schlüsselpersonenabhängigkeiten
25. Betriebsreife
26. Entwicklungsgeschwindigkeit — DORA-Metriken
27. Technische Roadmap
28. Retentionsrisiko
29. Dokumentationsqualität
30. Shadow IT

Bewertung und Risikoeinschätzung

Planen Sie eine Akquisition und brauchen unabhängige IT Due Diligence? Kontaktieren Sie uns — wir liefern die technische Bewertung, die Ihre Investition schützt.