M&A · 12 Min. Lesezeit · 14. Mai 2026

IT Due Diligence Checkliste für M&A-Transaktionen

Bei jeder M&A-Transaktion entscheidet die IT mit über den Deal-Wert. Eine strukturierte IT Due Diligence deckt versteckte Risiken auf — von ungültigen Lizenzen über kritische Sicherheitslücken bis zu Vendor-Lock-ins. Diese Checkliste fasst 47 Prüfpunkte zusammen, die wir bei Pre-Deal-Mandaten konsequent abarbeiten.

1. Warum IT Due Diligence über den Deal entscheidet

Klassische Financial und Legal Due Diligence reichen heute nicht mehr aus. Laut Bain & Company wirken sich IT-Risiken bei 70 % aller mittelständischen M&A-Transaktionen direkt auf den Kaufpreis aus — sei es durch nachzuverhandelnde Garantien, Integrationskosten oder verschwiegene Cyberzwischenfälle.

Die wichtigsten Risikoklassen:

  • Lizenz- und Vertragsrisiken: nicht erfasste Subscriptions, ungültige Open-Source-Lizenzen, Auto-Renewals
  • Cybersecurity: unentdeckte Vorfälle, fehlende MFA, veraltete Endpunkte
  • Technische Schulden: EoL-Systeme, undokumentierte Eigenentwicklungen, Single-Person-Dependencies
  • Compliance: DSGVO-Verstöße, fehlende Auftragsverarbeitung, NIS2-Lücken

2. Die 47 Prüfpunkte im Überblick

Wir gliedern die Prüfung in sieben Domänen. Jeder Punkt wird als kritisch, relevant oder informativ klassifiziert.

2.1 Infrastruktur & Architektur (8 Punkte)

  1. Netzwerk-Topologie und Standorte dokumentiert?
  2. Cloud vs. On-Prem Anteil — Tenant-Inventur (Microsoft 365, Azure, AWS, GCP)?
  3. Backup-Strategie nach 3-2-1-Regel umgesetzt?
  4. Disaster-Recovery-Plan vorhanden und getestet (RTO/RPO)?
  5. End-of-Life-Systeme im Produktivbetrieb?
  6. Anzahl und Größe Hyper-V/VMware-Hosts, Storage-Auslastung?
  7. VPN- und Remote-Access-Lösung (Zero Trust oder klassisch)?
  8. Monitoring & Observability (SIEM, Logs, Alerting)?

2.2 Lizenzen & Verträge (9 Punkte)

  1. Microsoft Volumenlizenz oder NCE-Subscriptions — vollständige Lizenzliste?
  2. Adobe, Atlassian, Salesforce, SAP — aktuelle Vertragsstände?
  3. Auto-Renewals der nächsten 18 Monate?
  4. Change-of-Control-Klauseln in IT-Verträgen?
  5. Open-Source-Komponenten in Eigenentwicklungen (Lizenz-Audit)?
  6. Hosting- und Domain-Verträge inkl. Eigentümer-Nachweis?
  7. Telefonie/SIP-Trunks und Mobilfunk-Rahmenverträge?
  8. SLAs und Vertragsstrafen bei externen Dienstleistern?
  9. Schatten-IT — nicht autorisierte Subscriptions in Buchhaltung suchen

2.3 Cybersecurity (10 Punkte)

  1. Multi-Faktor-Authentifizierung flächendeckend aktiv?
  2. Conditional Access Policies konfiguriert (siehe auch M365 Security Hardening)?
  3. EDR/XDR im Einsatz (Defender, CrowdStrike, SentinelOne)?
  4. Patch-Management nach SLA?
  5. Penetration-Tests in den letzten 24 Monaten?
  6. Cyber-Versicherung — Deckungssumme und Ausschlüsse?
  7. Incident-Response-Plan und letzter Vorfall?
  8. Privileged Access Management (PAM)?
  9. NIS2-Betroffenheit geprüft?
  10. Anzahl Admin-Accounts und Rotation?

2.4 Daten & Compliance (6 Punkte)

  1. Datenklassifizierung vorhanden?
  2. DSGVO-Auftragsverarbeitungen (AVV) vollständig?
  3. Verzeichnis der Verarbeitungstätigkeiten aktuell?
  4. Externer DSB bestellt?
  5. Datenresidenz (EU vs. US) bei Cloud-Diensten?
  6. Datenschutz-Folgenabschätzungen für Hochrisikoverarbeitungen?

2.5 Anwendungen & Eigenentwicklungen (7 Punkte)

  1. Inventar aller Geschäftsanwendungen (Business Capability Map)?
  2. Eigenentwicklungen — Quellcode-Eigentum geklärt?
  3. Technologie-Stack und Wartbarkeit?
  4. Abhängigkeiten von Einzelpersonen (Bus-Factor)?
  5. Dokumentation & Source-Control?
  6. Test-Coverage und CI/CD-Reife?
  7. Roadmap und offene Tech-Debt-Posten?

2.6 Personal & Organisation (4 Punkte)

  1. IT-Organisation, Headcount, Fluktuation?
  2. Schlüsselpersonen mit Retention-Risiko?
  3. Outsourcing-Anteil und Abhängigkeiten?
  4. Zertifizierungen (ISO 27001, TISAX, ISAE 3402)?

2.7 Integrationsperspektive (3 Punkte)

  1. Tenant-Migration vs. Multi-Tenant-Setup — Aufwand?
  2. Identity-Strategie (Entra ID, Federation, B2B)?
  3. Erwartete TSA-Dauer (Transition Services Agreement)?

3. Typischer Ablauf in der Praxis

Eine vollständige IT Due Diligence dauert bei mittelständischen Targets typischerweise 3 bis 6 Wochen. Wir empfehlen folgenden Ablauf:

  1. Kick-off & Datenraum-Zugang (Woche 1)
  2. Dokumentenanalyse — Verträge, Architekturpläne, Inventories (Woche 1–2)
  3. Management-Interviews mit CIO/CTO, IT-Leiter, Security-Verantwortlichem (Woche 2–3)
  4. Technische Tiefenprüfung — Tenant-Audits, Lizenzabgleich, Security-Scan (Woche 3–4)
  5. Red-Flag-Report nach 2 Wochen (Interim), Final-Report mit Bewertung und Integration-Kosten-Schätzung (Woche 4–6)

4. Was Sie heute tun können

Wenn ein konkreter Deal absehbar ist, lohnen sich drei sofortige Vorarbeiten:

  1. Daten-Hygiene: Eigene Lizenz- und Vertrags-Inventur als Vorbereitung auf Sell-Side-DD
  2. Security-Baseline: Microsoft 365 Secure Score, MFA-Coverage, EDR-Status dokumentieren
  3. NIS2-Status: Betroffenheits-Check, da Compliance-Lücken im DD-Prozess Bewertung kosten

Gerne unterstützen wir Sie sowohl auf Buy-Side als auch Sell-Side — mit standardisierten DD-Reports, Red-Flag-Workshops und der Anschluss-Integration.

Konkretes Projekt im Sinn?

Wir helfen Ihnen, dieses Thema strukturiert umzusetzen. Vereinbaren Sie ein kostenloses Erstgespräch.

Erstgespräch vereinbaren →

Weiterführende Inhalte

M&A & IT-Integration

Unsere Leistungen rund um M&A und PMI.

Microsoft 365 Security

Festpreis-Hardening in 5 Tagen.

Alle Insights

Weitere Leitfäden und Fachartikel.