M&A · 12 Min. Lesezeit · 19. Mai 2026

IT-Kosten in der Due Diligence richtig bewerten

Die Bewertung von IT-Kosten in der Due Diligence ist einer der häufigsten Streitpunkte zwischen Käufer und Verkäufer. Ausgewiesene IT-Kosten in der GuV sind selten die echte Run-Rate — und Integrationskosten werden in der Bewertung systematisch unterschätzt. Dieser Leitfaden beschreibt, wie eine belastbare IT-Kostenanalyse aufgesetzt wird.

IT-Kosten sind in der Due Diligence ein wunder Punkt

Die Financial Due Diligence prüft die GuV, die Bilanz und die Cashflow-Statements. IT-Kosten tauchen darin als Sammelposten auf — typischerweise unter "EDV", "Software" oder "IT-Dienstleistungen". Was sich hinter diesen Zeilen wirklich verbirgt, bleibt häufig im Dunkeln. Genau das wird bei der Übernahme zum Problem: Der Käufer übernimmt eine IT-Kostenstruktur, die er nicht versteht, und kalkuliert seine Run-Rate auf einer instabilen Basis.

Eine belastbare Bewertung der IT-Kosten gehört deshalb in jede ernsthafte Due Diligence. Die Aufgabe lautet nicht "wir prüfen die IT" — sondern: Welche IT-Kosten wird das Zielunternehmen in den nächsten 24 Monaten verursachen, und welche davon sind vermeidbar, welche zwangsläufig, welche unterschätzt?

Was Run-Rate-Kosten wirklich bedeuten

Run-Rate-Kosten sind die wiederkehrenden Kosten, die ein Unternehmen jenseits einmaliger Effekte hat. Sie werden in der Praxis oft mit den Buchwerten gleichgesetzt — was selten richtig ist. Eine saubere Run-Rate-Analyse umfasst:

  • Bereinigung um Einmaleffekte: abgeschlossene Migrationsprojekte, einmalige Lizenzkäufe, abgelaufene Wartungsverträge.
  • Normalisierung auf das vereinbarte Volumen: Wenn das Geschäft im Bewertungszeitraum gewachsen ist, müssen IT-Kosten auf die aktuelle Größe hochgerechnet werden.
  • Berücksichtigung kommender Verträge: Welche Wartungsverträge laufen aus? Welche Auto-Renewals werden in den nächsten 18 Monaten greifen? Welche Preiserhöhungen sind kontraktuell vereinbart?
  • Aufdeckung verschobener Investitionen: Wurde Wartung aufgeschoben? Sind kritische Migrationen überfällig?

Run-Rate-Analysen sind in der Praxis gut zugängliche Werkzeuge zur Bewertung wiederkehrender Geschäftsmodelle — die Methodik ist in der SaaS- und Private-Equity-Welt seit Jahren etabliert (siehe etwa Standardmethoden bei wiederkehrenden Umsatzbewertungen). Bei IT-Kosten wird sie häufig sträflich vernachlässigt.

Lizenz-Fallen: der häufigste blinde Fleck

Lizenzkosten gehören zu den IT-Kosten, die in Due Diligences am häufigsten unterschätzt werden. Drei typische Fallen:

Falle 1: Auto-Renewals und Listenpreis-Anpassungen

Viele Software-Verträge enthalten Automatik-Verlängerungen mit Preiseskalation. Microsoft hat im Rahmen der NCE-Umstellung (New Commerce Experience) sukzessive Mechanismen eingeführt, die Verträge nur in engen Zeitfenstern kündbar machen. Adobe, Atlassian, Salesforce und SAP haben ähnliche Modelle. Ein typischer Effekt: nach Closing entdeckt der Käufer, dass Lizenzkosten in den nächsten 12 Monaten um 15 bis 30 Prozent steigen werden — ohne dass sich die Nutzung ändert.

Falle 2: Falsche Lizenzkategorien

Microsoft 365 Business Premium ist auf Tenants mit bis zu 300 Mitarbeitern begrenzt — das bestätigt die offizielle Microsoft-Dokumentation ausdrücklich. Bei Wachstum über 300 Nutzer ist ein Wechsel auf Enterprise-Lizenzen (E3, E5) zwingend, was die Lizenzkosten pro User typischerweise verdoppelt. Wer in der Due Diligence ein Zielunternehmen mit 280 Mitarbeitern und Business Premium prüft, ohne diese Schwelle zu berücksichtigen, unterschätzt die Run-Rate erheblich.

Falle 3: Shelfware

Shelfware bezeichnet zugewiesene, aber nicht genutzte Lizenzen. In mittelständischen Microsoft-Umgebungen sind Shelfware-Anteile von 15 bis 25 Prozent nicht ungewöhnlich. Diese Kosten sind potenziell vermeidbar — sollten aber transparent dokumentiert werden, da ihre Reduzierung Aufwand verursacht und nicht automatisch eintritt.

Technische Schulden sind verzögerte Kosten

Technische Schulden sind keine Bilanzposition. Sie wirken sich erst aus, wenn sie eingelöst werden müssen — und das tun sie früher oder später immer. Eine seriöse IT-Due-Diligence quantifiziert deshalb technische Schulden in EUR und in Monaten.

Typische Kategorien:

  • End-of-Life-Systeme im Produktivbetrieb: Windows Server 2012/R2 ohne Extended Security Updates, ältere Exchange-Versionen On-Premises, nicht mehr supportete Branchensoftware. Eine erzwungene Migration ist kein Wunsch, sondern eine Frist.
  • Undokumentierte Eigenentwicklungen: Branchenanwendungen, die von einem ehemaligen Mitarbeiter oder einem kleinen externen Entwickler stammen. Wenn niemand mehr versteht, wie sie funktionieren, sind sie eine Bombe mit unbestimmter Laufzeit.
  • Versteckte SaaS-Verträge: Tools, die mit Firmenkreditkarte beschafft wurden und nie in die zentrale IT-Liste eingingen. Sie sind real, sie kosten Geld, und sie sind oft DSGVO-relevant.
  • Aufgeschobenes Patching und Upgrades: Wenn eine Software-Version seit drei Jahren nicht aktualisiert wurde, ist die Update-Kaskade beim Käufer ein eigenes Projekt — mit Risiken.

Eine grobe Faustregel aus der Praxis: in mittelständischen Targets entspricht die technische Schuld in EUR häufig 30 bis 60 Prozent des jährlichen IT-Budgets. Diese Schuld muss innerhalb von 18 bis 36 Monaten nach Closing abgebaut werden, sonst materialisiert sie sich als Ausfall.

Personalrisiken sind IT-Kostenrisiken

Bei vielen mittelständischen Unternehmen hängt die IT an wenigen Schlüsselpersonen. Wenn diese das Unternehmen verlassen — was nach M&A-Transaktionen häufig passiert — entstehen Kosten in mehreren Dimensionen:

  • Rekrutierungs- und Einarbeitungskosten für Ersatzpersonal
  • Externe Beratungskosten zur Überbrückung
  • Risikokosten durch reduzierte Reaktionsfähigkeit
  • Im Extremfall: Notwendigkeit, Systeme komplett zu ersetzen, weil das Wissen nicht mehr da ist

In der Due Diligence sollte deshalb der "Bus-Faktor" der IT-Organisation explizit bewertet werden: Wie viele Personen müssten gleichzeitig ausfallen, damit kritische Systeme nicht mehr betrieben werden können? Wenn die Antwort lautet "eine", ist das ein Red Flag mit direkter Kostenkonsequenz.

Sicherheitslücken sind unbekannte Verbindlichkeiten

Cybersecurity ist in der Due Diligence kein optionales Add-on mehr. Eine unentdeckte Datenpanne im Zielunternehmen kann den Käufer Millionen kosten — über DSGVO-Bußgelder, Schadenersatzforderungen, Reputationsschäden. Mit dem Inkrafttreten des deutschen NIS2-Umsetzungsgesetzes im Dezember 2025 ist zusätzlich eine ganze Klasse mittelständischer Unternehmen erstmals direkt reguliert (siehe Post-Merger IT-Integration: 100-Tage-Plan sowie der separate NIS2-Artikel).

Konkret zu prüfen:

  • Wann fand der letzte Penetrationstest statt, und welche Erkenntnisse wurden umgesetzt?
  • Wie ist die Multi-Faktor-Authentifizierungs-Quote tatsächlich?
  • Welche Sicherheitsvorfälle gab es in den letzten 24 Monaten, und wie wurden sie behandelt?
  • Welche Cyber-Versicherung besteht, und welche Ausschlüsse sind formuliert?
  • Wie steht es um Backup-Tests? Funktionieren Wiederherstellungen tatsächlich?

Diese Punkte sollten — anders als oft praktiziert — nicht nur Verträge, sondern aktive Nachweise verlangen: Berichte, Logs, durchgeführte Tests. Aussagen wie "MFA ist überall aktiv" sind ohne technischen Beleg wenig wert.

Cloud-Kosten haben eine eigene Logik

Cloud-Kosten sind eine besondere Herausforderung in der Bewertung, weil sie verbrauchsabhängig sind. Was im Stichtag-Monat 12.000 Euro kostet, kann nach Wachstum oder einer Migration auf 25.000 Euro steigen. Eine seriöse Bewertung berücksichtigt:

  • Reservierte Instanzen vs. On-Demand: Welche Verpflichtungen bestehen für die nächsten 12–36 Monate?
  • Egress-Kosten: Datenabflüsse aus der Cloud sind eine teure Position, die bei Migrationen schlagend wird.
  • Rabatte und Enterprise Agreements: Welche Rabattstufen sind erreicht? Was passiert, wenn das verkaufte Geschäft das EA-Volumen reduziert?
  • FinOps-Reife: Wird Cloud-Spend aktiv gemanagt, oder läuft er ungebremst?

Ein einfaches Bewertungsmodell für die Praxis

Statt langer Excel-Modelle hat sich in der Praxis ein dreistufiges Vorgehen bewährt:

  1. Aktuelle Run-Rate auf Basis der letzten 12 Monate Ist-Kosten, bereinigt um Einmaleffekte.
  2. Adjustierte Run-Rate mit folgenden Aufschlägen:
    • Vertragliche Preiseskalationen der nächsten 18 Monate
    • Erwartete Lizenzanpassungen (z. B. Wachstum über Schwellen wie 300 User)
    • Migrationen, die durch End-of-Life erzwungen sind
    • Sicherheitsmaßnahmen, die durch NIS2 oder Versicherung gefordert werden
  3. Integrations- bzw. Carve-Out-Kosten als separate Einmalposition, mit klarer Trennung zur Run-Rate.

Wichtig ist, dieses Modell mit konkreten Quellen zu untermauern — Vertragsstände, Lizenz-Reports, Hersteller-Roadmaps — und nicht auf bloße Auskünfte der Zielfirma zu vertrauen. Was sich nicht belegen lässt, gehört in einen separaten Risiko-Abschnitt im DD-Report, nicht in die belastbare Run-Rate.

Fazit

IT-Kosten in der Due Diligence sind kein Selbstläufer. Eine seriöse Bewertung adressiert Lizenz-Fallen, technische Schulden, Personalrisiken, Sicherheitslücken und Cloud-spezifische Dynamiken — und liefert dem Käufer eine adjustierte Run-Rate, mit der er rechnen kann. Wer das ernst nimmt, vermeidet die häufigsten Überraschungen nach Closing und schafft die Grundlage für eine realistische Integrationsplanung.

Konkretes Projekt im Sinn?

Wir helfen Ihnen, dieses Thema strukturiert umzusetzen. Vereinbaren Sie ein kostenloses Erstgespräch.

Erstgespräch vereinbaren →

Weiterführende Inhalte

M&A & IT-Integration

Unsere Leistungen rund um M&A und PMI.

Microsoft 365 Security

Festpreis-Hardening in 5 Tagen.

Alle Insights

Weitere Leitfäden und Fachartikel.