Der M&A-Markt ist zurück. Die Cyber-Diligence muss mithalten.

Im Februar 2026 hat McKinsey & Company den jährlichen M&A-Ausblick veröffentlicht: 2026 M&A trends — Navigating a rapidly rebounding market. Die Zahlen beschreiben einen Deal-Markt, der sich nicht nur erholt hat, sondern strukturell in eine neue Phase übergegangen ist. Für Private Equity, Venture Capital, Family Offices und M&A-Advisory in der DACH-Region ist der Report im Kern ein Planungsdokument — und eine stille Neubewertung des Cyber-Risikos in jeder Transaktion.

Ziel dieses Beitrags ist eng gefasst: McKinseys Kennzahlen durch die Linse der Cyber Due Diligence zu lesen und sichtbar zu machen, an welchen Stellen die DD-Pipeline aus 2024 dem Markt von 2026 nicht mehr gewachsen ist.

Was sich erholt hat — und wie deutlich

McKinseys Zahlen für das Gesamtjahr 2025, auf denen der 2026-Ausblick aufsetzt, liefern die stärkste Basis seit fast einem Jahrzehnt:

• Das globale Deal-Volumen erreichte 4,7 Billionen USD — ein Plus von 43 Prozent gegenüber 3,3 Billionen im Vorjahr und etwa 20 Prozent über dem Zehnjahresdurchschnitt von 3,9 Billionen.
• Die Anzahl der Transaktionen oberhalb von 10 Milliarden USD stieg auf 60 — der höchste Stand seit dem letzten M&A-Peak. Das kombinierte Megadeal-Volumen legte um 112 Prozent zu.
• Private Equity wuchs +54 Prozent auf 1,2 Billionen USD, mit einer durchschnittlichen PE-Deal-Größe von rund 890 Mio. USD. PE Dry Powder verharrt bei etwa 2,2 Billionen USD.
• Der Sektor Technologie, Medien und Telekommunikation (TMT) stand für 23 Prozent des Gesamtvolumens — 1,1 Billionen USD, plus 61 Prozent gegenüber Vorjahr. Zehn der zwanzig größten Deals 2025 hatten ein TMT-Target.
• Cross-Regional-Deals stiegen auf 19 Prozent des Gesamtvolumens (2024: 15 Prozent). Inbound-Aktivität aus den Americas in EMEA-Targets wuchs +68 Prozent auf 144 Mrd. USD.
• PE Hold-Times liegen im Mittel bei 6,2 Jahren — gegenüber 4,0 Jahren in 2009.
• Aktivisten-Kampagnen erreichten ein Fünfjahreshoch, plus 15 Prozent gegenüber Vorjahr — rund ein Drittel davon mit M&A-Bezug.

Der vollständige Report ist frei zugänglich auf der McKinsey-Website. Unsere Lesart unten setzt die Zahlen als gegeben voraus.

Warum die TMT-Konzentration für Cyber-DD relevant ist

Das strukturell wichtigste Muster für Cyber Due Diligence liegt im Sektor-Mix. Kapital kauft digitale Geschäftsmodelle im Rekordtempo. Code-Bases, Daten-Architekturen, Cloud-Footprints, Identity-Stacks, Vendor-Ketten, AI-Modelle. Wenn ein Viertel des globalen Deal-Volumens — und die Hälfte der allergrößten Transaktionen — Tech-getrieben sind, hängt die Bewertung des marginalen Targets vollständig an der Integrität seiner Software, seiner Daten und seiner Drittparteien.

Cyber wird damit nicht länger ein abgegrenzter Workstream neben Legal, Tax und Financial DD. Cyber wird zur tragenden Komponente der Bewertung selbst. Findings hier verschieben Kaufpreis, Escrow-Größen, SPA-Formulierungen und R&W-Versicherbarkeit. Das ist keine 2026er Prognose — das spiegelt sich bereits in der Vertragspraxis aus 2025.

Drei strukturelle Verschiebungen, die die DD-Pipeline absorbieren muss

1. Längere Hold-Times bedeuten längere Cyber-Exposition

Bei einer durchschnittlichen Hold-Time von 6,2 Jahren ist eine Portfolio-Co am Exit-Tag nicht mehr das Unternehmen, das erworben wurde. Tech-Stack, Vendor-Mix, regulatorischer Perimeter und Threat-Modell haben sich verschoben. Eine einmalige Cyber-DD am Closing-Tag hat eine kurze Halbwertszeit — und jeder Operating Partner, der sich darauf jenseits von Monat 18 verlässt, managt in der Praxis ein Risiko, das er nicht mehr misst.

Das ist das strukturelle Argument für ein kontinuierliches Cyber-Posture-Management über die Haltedauer hinweg, anstelle eines einmaligen Pre-Deal-Scans. Ein Compliance Sprint adressiert das Closing-Window-Baseline. Ein vCISO-Mandat hält dieses Niveau über die nachfolgenden Jahre belastbar.

2. 28 Prozent der Aktivität liegt in Megadeals — und Megadeals bedeuten Integration

Wenn ein einzelner Käufer ein Target jenseits von 10 Mrd. USD absorbiert, ist das dominante Risiko nach Closing nicht strategisch — es ist operativ. Die am stärksten unterbudgetierte Position in PE-Integrationsplänen seit 2022 ist nicht Headcount, nicht Real Estate. Sie ist die Integration heterogener IT- und Sicherheits-Stacks — Identity, Endpoint, Network, Data, GRC und Vendor-Exposure — die in der DD-Phase gegen einen schmaleren Scope dimensioniert wurden, als der Deal sie letztlich erforderte.

Die Korrektur ist kein dickerer DD-Report. Sie ist ein DD-Prozess, dessen Findings sich direkt in einen Integrationsplan mit benannten Workstreams, Ownern und Budgets übersetzen — vor Signing, nicht danach. Das ist, was wir unter einer M&A Cyber Due Diligence verstehen, die den Closing-Tag überlebt.

3. KI beschleunigt den Deal-Zyklus, ohne die DD-Qualität zu beschleunigen

McKinsey berichtet von einer Verkürzung der Deal-Zyklen um 10 bis 30 Prozent und einer Reduktion der gesamten M&A-Kosten um etwa 20 Prozent durch generative KI-Werkzeuge. Das ist eindeutig nützlich — und im gleichen Maße gefährlich.

Eine Confirmatory DD, die von sechs Wochen auf zehn Tage komprimiert wird, liefert nur dann ein besseres Ergebnis, wenn der Cyber-Workstream entsprechend industrialisiert ist. Verdoppelt sich der operative Durchsatz des Deal-Teams, während die Cyber-Komponente eine maßgeschneiderte, langsame, generalistische Übung bleibt, zahlt der Käufer für schnellere Entscheidungen auf dünnerer Informationsbasis. Ehrlich formuliert: Geschwindigkeit ohne Struktur importiert systematische Blind-Spots ins Portfolio.

Was sich im Cross-Border-Bild verändert

Zwei weitere Verschiebungen aus dem McKinsey-Report verdienen einen separaten Hinweis für DACH-basierte Investoren und Berater.

Erstens steigt der Cross-Regional-Anteil deutlich, und der stärkste einzelne Korridor heißt Americas → EMEA, mit einem Plus von 68 Prozent im Inbound-Volumen. US-Käufer setzen Kapital in europäische Tech-Assets in einem Tempo ein, das eine andere Compliance-Erwartung mitbringt — gebaut um US-Frameworks wie SOC 2, HIPAA und die SEC-Cyber-Disclosure-Regeln, übergelegt auf DACH-Targets, die nach BSI IT-Grundschutz, NIS2 und DSGVO konzipiert sind. Diese Frameworks in der DD-Phase miteinander zu reconciliieren ist günstiger als in der Integrations-Phase.

Zweitens: Aktivisten-Kampagnen auf einem Fünfjahreshoch — etwa ein Drittel davon mit M&A-Bezug — bedeutet, dass Cyber Governance Disclosure zunehmend zur Erwartung an die Board-Ebene wird, nicht mehr nur zu einer operativen Frage auf CISO-Ebene. Die regulatorische Aufmerksamkeit weist in dieselbe Richtung: siehe die jüngsten US-UK-Warnungen an systemrelevante Banken, die wir in unserem Beitrag "AI Has Made It Worse" gesondert beleuchtet haben.

Wie die Cyber-DD-Pipeline 2026 aussehen muss

Akzeptiert man die McKinsey-Zahlen, sind die Implikationen für Cyber Due Diligence in DACH-Transaktionen klar umrissen:

• Pre-LOI-Cyber-Scans, die in fünf Werktagen liefern — nicht in drei Wochen. So formen Findings das Gebot, statt es nur zu bestätigen.
• Confirmatory Due Diligence, die Risiko auf Bewertung in EUR mappt, mit benannten SPA-Verhandlungs-Asks — und mit einem Reliance-Letter, der zu R&W-Versicherungen kompatibel ist.
• Post-Merger Cyber Integration als 12-Monats-Workstream gescoped, mit messbarem Fortschritt gegen einen definierten Remediation-Plan — nicht als generischer „Sicherheits-Posture verbessern"-Posten.
• Continuous Portfolio Cyber Watch zwischen Closing und Exit, mit monatlicher Reporting-Kadenz an den Operating Partner — in der Anerkennung, dass eine 6,2-jährige Hold-Time sich nicht über eine jährliche Momentaufnahme steuern lässt.
• Exit-Readiness-Review sechs bis zwölf Monate vor dem Verkauf, damit die Cyber-Findings des nächsten Käufers nicht als Preisabschlag im ungünstigsten Moment des Prozesses auftauchen.

Jede dieser Stufen ist eine eigene Phase im Lebenszyklus einer Portfolio-Co. Jede ist eine Stufe, an der Cyber-Findings — gut aufbereitet oder schlecht aufbereitet — das EUR-Ergebnis der Transaktion beeinflussen.

Eine Beobachtung für Operating Partners und CIOs

Es gibt keine ehrliche Lesart des McKinsey-2026-Ausblicks, die Cyber Due Diligence dort lässt, wo sie 2024 gestanden hat. Der Markt ist größer, schneller, tech-lastiger und cross-border-intensiver geworden, als die DD-Prozesse, die die meisten DACH-PE-Häuser, Family Offices und M&A-Boutiquen vor zwei Zyklen ausgelegt haben.

Die Entscheidungen, die sich jetzt lohnen, sind nicht dramatisch. Sie sind strukturell: Wenn ein Target im Q3 2026 das LOI erreicht — ist der Cyber-Workstream bereit, in Tagen statt Wochen zu liefern? Wenn eine Portfolio-Co im vierten Haltejahr steht — wird ihre Cyber-Posture monatlich gemessen, oder wird sie angenommen? Wenn der nächste Megadeal landet — hat der Integrationsplan einen benannten Owner für den Cyber-Workstream, oder steht der Punkt auf der inoffiziellen Sorgenliste des Operating Partners?

Das sind die Gespräche, die wir im Q2 und Q3 2026 mit DACH-PE-Operating-Partners, Family Office CIOs und M&A-Advisory-Partnern führen. Wenn eine aktuelle Deal-, Holding- oder Pipeline-Frage von einem kurzen Gespräch profitieren würde — das ist der nützlichste Startpunkt.

Sprechen wir →

---

Quellen und weiterführende Links:

• McKinsey & Company. 2026 M&A trends — Navigating a rapidly rebounding market. Februar 2026.
• BSI. IT-Grundschutz-Framework.
• Europäische Kommission. NIS2-Richtlinie.