M&A Cyber Due Diligence: Die Checkliste für Zielunternehmen
Viele Unternehmen erfahren ihre Sicherheitslücken erst im Verkaufsprozess – wenn es zu spät ist, sie ohne Preisabschlag zu schließen. Zwölf Bereiche, die Käufer systematisch prüfen, und wie Sie sich vorbereiten.
Unternehmen, die einen Verkaufsprozess starten, erleben regelmäßig eine unangenehme Überraschung: Im Rahmen der technischen Due Diligence stoßen Käufer auf Sicherheitsprobleme, die der eigenen Geschäftsführung unbekannt waren. Was intern als „funktioniert" gilt, ist aus externer Prüfperspektive oft Grundlage für einen Preisabschlag.
Das Problem lässt sich vermeiden. Voraussetzung ist, dass das Zielunternehmen die gleichen Prüfpunkte kennt und adressiert, die professionelle Käufer ohnehin anwenden.
Was Käufer heute systematisch prüfen
Die folgende Checkliste spiegelt den Standard, den PE-Investoren, strategische Käufer und deren technische Berater in M&A-Prozessen anlegen. Sie ist nicht vollständig – aber sie deckt die Bereiche ab, in denen Transaktionen regelmäßig ins Stocken geraten oder an Preis verlieren.
1. Dokumentiertes Information Security Management System (ISMS)
Existiert ein ISMS? Ist es schriftlich dokumentiert? Wurde es zuletzt aktualisiert? Ein ISMS muss nicht ISO 27001-zertifiziert sein – aber es muss erkennbar existieren und gepflegt werden. Fehlt jede Dokumentation, signalisiert das strukturelle Reife-Defizite, die den Kaufpreis belasten.
2. Aktuelle Penetrationstests
Wann wurde zuletzt ein externes Penetrationstest durchgeführt? Wurden die Ergebnisse dokumentiert und sind identifizierte Schwachstellen nachweislich behoben worden? Käufer wollen nicht nur den Bericht sehen – sondern auch die Maßnahmen, die darauf gefolgt sind.
3. External Attack Surface
Welche Systeme, Dienste, Subdomains und Ports sind aus dem Internet erreichbar? Gibt es ein Verzeichnis dieser Angriffsoberfläche? Exponierten Dienste mit veralteter Software oder abgelaufenen Zertifikaten werden direkt als Risikopunkte eingestuft.
4. Zugriffsmanagement und Identitätssicherheit
Gibt es ein strukturiertes Identity and Access Management? Werden Zugriffsrechte regelmäßig überprüft? Sind Privileged Accounts besonders geschützt (MFA, Logging)? Wie werden ausgeschiedene Mitarbeiter aus Systemen entfernt?
5. Kritische Drittanbieter und Supply-Chain-Sicherheit
Welche externen Partner haben Zugriff auf Unternehmenssysteme oder -daten? Existieren Sicherheitsanforderungen für diese Partner? Werden sie überprüft? Supply-Chain-Kompromittierungen sind eine der häufigsten Angriffsvektoren – Käufer prüfen sie entsprechend.
6. Backup und Business Continuity
Wie wird gesichert? Wie oft? Wo liegen Backups – auch außerhalb der Produktionsumgebung? Werden Wiederherstellungen getestet? Unternehmen ohne Offsite-Backups oder ohne dokumentierte Recovery-Verfahren tragen in Käufer-Augen ein erhöhtes Ransomware-Risiko.
7. Incident-Response-Fähigkeit
Gibt es einen Incident-Response-Plan? Wurde er jemals getestet? Wer ist im Fall eines Sicherheitsvorfalls verantwortlich, und in welchem Zeitfenster kann reagiert werden? Ein dokumentierter Plan ist kein Luxus – er ist Voraussetzung für viele Unternehmensversicherungen.
8. Regulatorische Compliance-Position
Welche Compliance-Verpflichtungen bestehen – NIS2, ISO 27001, SOC 2, DORA, GDPR? Welche davon sind erfüllt, welche offen? Gibt es laufende Audits oder bekannte Verstöße? Offene Compliance-Lücken werden in Kaufverträgen regelmäßig als Risikoübernahme verhandelt.
9. Datenschutz und Datenklassifizierung
Wo liegen welche personenbezogenen Daten? Sind Auftragsverarbeitungsverträge mit Dienstleistern abgeschlossen? Gab es bekannte Datenpannen oder DSGVO-Meldepflichten? Strukturelle DSGVO-Defizite sind in europäischen Transaktionen seit 2018 ein Standardthema.
10. Sicherheitskultur und Awareness
Gibt es regelmäßige Security-Trainings für Mitarbeiter? Werden Phishing-Simulationen durchgeführt? Wie ist die Sicherheitskultur im Unternehmen verankert? Käufer wissen, dass technische Maßnahmen wenig nützen, wenn Mitarbeiter die schwächste Stelle bleiben.
11. Logging und Monitoring
Werden sicherheitsrelevante Ereignisse geloggt? Gibt es ein SIEM oder zumindest eine strukturierte Log-Aggregation? Wie lange werden Logs aufbewahrt? Ohne Monitoring hat das Unternehmen keine Sichtbarkeit auf Angriffe – und damit auch keine Möglichkeit, einen laufenden Vorfall zu erkennen.
12. Bekannte offene Risiken
Existieren bekannte, ungepatchte Schwachstellen in produktiven Systemen? Gibt es technische Schulden in der Security, die dokumentiert, aber unbehandelt sind? Was ist der Plan, diese zu schließen? Offene Risiken, die intern bekannt aber nicht kommuniziert wurden, sind in Due-Diligence-Prozessen potenziell eine Warranty-Verletzung.
Warum Vorbereitung vor dem Prozess entscheidend ist
Die meisten dieser Punkte lassen sich beheben – wenn genug Zeit vorhanden ist. Ein Penetrationstest braucht Vorlaufzeit. Ein ISMS aufzubauen erfordert Wochen. Zugriffsrechte zu bereinigen ist Arbeit, keine Entscheidung.
Wer diese Prüfpunkte erst unter Käufer-Druck adressiert, verhandelt auf der schwächeren Seite. Wer sie proaktiv aufarbeitet, positioniert sich als reifes, gut geführtes Unternehmen – und verhindert, dass Sicherheitslücken zum Kaufpreisargument werden.
Woodlands Advisory führt vorbereitende Cyber Due Diligence für Zielunternehmen durch – als strukturierter Readiness-Prozess vor dem Verkauf. Das Ergebnis: dokumentierte Sicherheitslage, geschlossene Lücken, verhandlungssichere Position.
Sprechen wir über Ihr konkretes Thema.
30 Minuten. Vertraulich. Unverbindlich.
Erstgespräch vereinbaren →← Zurück zu allen Artikeln