IT-Überprüfung beim Unternehmenskauf

Beim Kauf oder Verkauf eines Unternehmens wechseln nicht nur Mitarbeitende, Kundenbeziehungen und Verträge den Eigentümer. Die gesamte IT-Landschaft geht mit, inklusive aller Risiken, Altlasten und versteckten Kosten.

Gerade im Mittelstand ist die IT häufig über viele Jahre „historisch gewachsen“. Solange alles läuft, fällt das kaum auf. Spätestens bei einer Firmenübernahme kann eine unklare oder veraltete IT aber richtig teuer werden: durch unerwartete Investitionen, Sicherheitslücken, Ausfälle oder Datenschutzprobleme.

Genau hier setzt die IT-Prüfung beim Unternehmenskauf an. Sie wird im Fachjargon häufig als IT Due Diligence bezeichnet. Ziel ist es, vor der Unterschrift transparent zu machen:

Welche IT-Risiken übernehmen Sie mit dem Unternehmen?
Welche Folgekosten sind realistisch zu erwarten?
Welche Chancen und Optimierungspotenziale stecken in der bestehenden IT?

Warum eine IT-Prüfung beim Unternehmenskauf unverzichtbar ist

In vielen Transaktionen liegt der Fokus zunächst auf den klassischen Kennzahlen: Wie entwickeln sich Umsatz, Gewinn und Cashflow? Wie sieht die Kundenstruktur aus, wie hoch sind die Churn-Raten? Wie ist die Organisation aufgestellt und welche Synergien in Vertrieb und Produktion lassen sich heben? Die IT wird in solchen Gesprächen oft nur am Rande erwähnt. Sinngemäß heißt es dann oft: „Da gibt es einen Serverraum, ein paar Cloud-Lösungen und einen externen IT-Dienstleister. Das läuft schon.“

Unsere Erfahrung zeigt jedoch: Genau in diesem „Das läuft schon“ verbergen sich häufig die größten Überraschungen. Nicht selten stellt sich kurz nach dem Kauf heraus, dass zentrale Server und wichtige Softwareversionen kurz vor dem Supportende stehen und dringend ersetzt werden müssen. Oder es kommt ans Licht, dass eine zuvor kaum erwähnte Eigenentwicklung geschäftskritisch ist, aber weder dokumentiert wurde noch jemand im Unternehmen die Funktionsweise wirklich kennt, weil der ursprüngliche Entwickler das Haus längst verlassen hat.

Hinzu kommt, dass Sicherheitskomponenten wie die Firewall oder das Backup-Konzept häufig nicht dem aktuellen Stand der Technik entsprechen. Ein Sicherheitsvorfall ist dann nicht mehr nur ein theoretisches Risiko, sondern eine sehr reale Bedrohung für den laufenden Betrieb. Auch im Bereich Lizenzen und Cloud-Verträge zeigt sich in der Praxis oft ein unübersichtliches Bild: Konditionen sind unklar, Lösungen überteuert oder rechtlich heikel; etwa, wenn Daten ungeprüft in Drittländer übertragen werden.

Ohne eine gezielte IT-Prüfung übernehmen Käufer in solchen Situationen nicht nur das eigentliche Geschäft, sondern auch die gewachsenen Altlasten und Versäumnisse der vergangenen Jahre, mit allen finanziellen und operativen Folgen.

Typische Folgen für Käufer im Mittelstand

Gerade für mittelständische Unternehmen, die meist keine große eigene IT-Abteilung im Haus haben, können die Folgen erheblich sein. Ungeplante Investitionen sind dabei häufig der erste spürbare Effekt: Plötzlich werden fünf- oder sogar sechsstellige Beträge für neue Hardware, zusätzliche Softwarelizenzen oder längst überfällige Modernisierungen fällig.

Parallel dazu steigt das Betriebsrisiko, weil alte oder schlecht gesicherte Systeme die Wahrscheinlichkeit von Ausfällen und Cyberangriffen deutlich erhöhen. Kommt es in diesem Zusammenhang zu Datenschutzverstößen oder Sicherheitsvorfällen, sind Reputationsschäden kaum zu vermeiden, Kundenvertrauen und Marke leiden unmittelbar. Hinzu kommt, dass sich die Integration der übernommenen IT in die bestehende Umgebung oft deutlich länger hinzieht als geplant, wenn grundlegende Probleme erst nach dem Kauf sichtbar werden. Eine strukturierte IT-Prüfung beim Unternehmenskauf reduziert genau diese Risiken und stellt sicher, dass Sie Ihre Entscheidung auf einer klaren, transparenten Informationsbasis treffen, statt auf Annahmen und Bauchgefühl.

Was genau ist eine IT-Prüfung beim Unternehmenskauf?

Viele Verantwortliche sagen zunächst: „Wir schauen uns die IT schon an.“ Gemeint ist damit in der Praxis jedoch meist nur ein sehr begrenzter Überblick, etwa ein kurzer Rundgang durch den Serverraum, ein paar Fragen an die IT-Verantwortlichen oder eine stichprobenartige Sichtung einzelner Verträge.

Eine professionelle IT-Prüfung beim Unternehmenskauf geht deutlich weiter. Sie ist strukturiert, dokumentiert und risikoorientiert angelegt. Ziel ist es, ein möglichst vollständiges Bild der gesamten IT-Landschaft zu gewinnen , von der technischen Infrastruktur und den eingesetzten Anwendungen über Verträge und Lizenzmodelle bis hin zu Prozessen, Sicherheitsniveau und organisatorischen Abhängigkeiten.

IT Due Diligence

Hierzu hat sich der Begriff IT Due Diligence etabliert. Gemeint ist damit die systematische IT-Prüfung im Rahmen einer Unternehmens- oder Anteilsübernahme.

Konkret beantwortet eine IT Due Diligence u. a. folgende Fragen:

Sind die Informationssysteme stabil und skalierbar?
Entsprechen die Sicherheitsmaßnahmen dem aktuellen Stand der Technik?
Gibt es Compliance-Risiken, z. B. im Datenschutz oder bei Lizenzen?
Welche IT-Kosten entstehen kurz- und mittelfristig nach der Übernahme?
Wo liegen Synergie- und Einsparpotenziale?

In diesem Leitartikel verwenden wir bewusst den verständlicheren Begriff „IT-Prüfung beim Unternehmenskauf“ und erklären dabei, was hinter der IT Due Diligence steckt.

Für wen ist eine IT-Prüfung sinnvoll?

Eine IT-Prüfung ist besonders wichtig für alle, die im Rahmen eines Unternehmenskaufs oder einer Nachfolgeregelung Verantwortung tragen. Dazu gehören vor allem:

Geschäftsführer und Inhaber, die ein Unternehmen zukaufen oder eine Nachfolge gestalten,
CFOs und kaufmännische Leiter, die finanzielle Risiken und Folgekosten im Blick behalten müssen,
IT-Leiter und IT-Verantwortliche, die später mit der übernommenen IT arbeiten und sie betreiben sollen,
Unternehmensverkäufer, die sich auf einen geplanten Verkauf vorbereiten und ihre IT rechtzeitig „aufräumen“ und dokumentieren möchten.

Ob Sie auf der Käufer- oder auf der Verkäuferseite stehen: Eine strukturierte IT-Prüfung schafft Transparenz, liefert belastbare Entscheidungsgrundlagen und stärkt Ihre Position in den Verhandlungen.

Typische IT-Risiken bei Firmenübernahmen

In vielen mittelständischen Unternehmen ist die IT über Jahre organisch gewachsen. In der Praxis begegnen uns dabei immer wieder ähnliche Muster: Server laufen noch mit veralteten Betriebssystemen, Herstellerwartungen sind bereits ausgelaufen oder stehen kurz davor, Firewalls verfügen nicht über aktuelle Sicherheitsfunktionen und das Netzwerk ist gar nicht oder nur unzureichend segmentiert. Solche Umgebungen sind besonders anfällig für Ausfälle und Angriffe. Für Käufer bedeutet das in der Regel einen erheblichen Investitionsbedarf direkt nach dem Closing, oft deutlich höher, als ursprünglich eingeplant.

Lizenz- und Vertragschaos (On-Prem & Cloud)

Lizenzen und Verträge sind ein Klassiker unter den IT-Risiken beim Unternehmenskauf:

unklare oder fehlende Lizenznachweise,
mehr oder weniger Nutzer als lizenziert,
Cloud-Abonnements, deren Kündigungsfristen niemand kennt,
Software-as-a-Service-Lösungen, bei denen Daten ungeklärt ins Ausland übertragen werden.

Ohne Transparenz riskieren Käufer ungeplante Nachlizenzierungen, Vertragsstrafen oder rechtliche Probleme.

Abhängigkeit von Einzelpersonen

Gerade im Mittelstand gibt es oft Eigenentwicklungen, die über Jahre gewachsen sind:

individuelle Datenbanklösungen,
selbst programmierte Schnittstellen,
spezielle Tools für Produktion oder Verwaltung.

Wenn diese Lösungen nicht dokumentiert sind und das Wissen bei einzelnen Mitarbeitenden konzentriert ist, spricht man von einem Klumpenrisiko. Verlässt diese Person das Unternehmen, wird der Betrieb der Lösung kritisch.

Datenschutz- und Compliance-Probleme

Unternehmen verarbeiten heute in nahezu allen Bereichen personenbezogene Daten, von Mitarbeitenden, Kunden, Lieferanten und Partnern.

Typische Schwachstellen:

unklare oder fehlende Auftragsverarbeitungsverträge mit IT-Dienstleistern,
unsichere E-Mail-Kommunikation oder Dateiablagen,
fehlende oder nicht getestete Backup- und Notfallkonzepte,
Löschkonzepte, die nur auf dem Papier existieren.

Für Käufer bedeutet das: erhöhtes Risiko für Datenschutzvorfälle, Bußgelder und Imageschäden.

Ablauf einer professionellen IT-Prüfung

Eine gute IT-Prüfung beim Unternehmenskauf folgt einem klaren, aber flexibel anpassbaren Vorgehen. Es geht bei der Bewertung nicht unbedingt darum, alle Eventualitäten auszuschließen, das wäre der nächste Schritt, sondern eine Bestandsaufnahme zu machen, die einer Überprüfung standhält.

Vorbereitung

Zu Beginn werden vorhandene Dokumente und Informationen angefordert, zum Beispiel:

Übersicht über Server, Clients, Netzwerk und Sicherheitskomponenten,
Liste der eingesetzten Anwendungen und Cloud-Dienste, inklusive Hersteller und Versionen,
Verträge mit IT-Dienstleistern und Software-Anbietern,
Richtlinien zu IT-Sicherheit, Backup und Notfallmanagement.

In der Praxis zeigt sich oft: Vieles ist unvollständig oder veraltet. Dann sind Rückfragen an interne IT-Verantwortliche und externe Dienstleister notwendig.

Interdisziplinäre Zusammenarbeit

Im nächsten Schritt werden strukturierte Interviews geführt:

mit der Geschäftsführung oder Inhaberfamilie,
mit der IT-Leitung bzw. den Systemadministratoren,
ggf. mit Fachbereichen, die stark von IT-Systemen abhängen (z. B. Produktion, Logistik, Vertrieb).

Ziel ist es, zu verstehen:

welche Prozesse besonders kritisch sind,
wo im Alltag Engpässe oder Risiken erlebt werden,
welche Pläne und Projekte es bereits gibt.

Analyse

Anschließend werden die wichtigsten IT-Bereiche systematisch bewertet:

IT-Strategie & Organisation

Passt die IT-Ausrichtung zur Geschäftsstrategie?
Gibt es eine klare Rollen- und Aufgabenverteilung?
Welche Tätigkeiten übernimmt der interne IT-Bereich, was leisten externe Partner?

Infrastruktur & Sicherheit

Server, Storage, Netzwerke, Firewalls, WLAN
Patch- und Update-Stand
Sicherheitsarchitektur (z. B. VPN, E-Mail-Schutz, Endpoint-Security)

Applikationslandschaft & Eigenentwicklungen

Welche Anwendungen sind geschäftskritisch?
Sind sie zukunftsfähig, updatefähig und integrierbar?
Gibt es Schatten-IT oder „Bastellösungen“ ohne Dokumentation?

Verträge, Lizenzen & Cloud-Dienste

Lizenzsituation (On-Prem, Subscriptions, User-/Geräte-basierte Lizenzen)
Vertragslaufzeiten, Kündigungsfristen, Verlängerungsbedingungen
Datenverarbeitung in der Cloud (Standorte, Datenschutz, Verschlüsselung)

Abschlussbericht

Am Ende steht ein strukturierter Bericht, der insbesondere folgende Fragen beantwortet:

Welche IT-Risiken sind akut, mittelfristig oder langfristig?
Welche Investitionen sind in den nächsten 1–3 Jahren zu erwarten?
Welche konkreten Maßnahmen sind nötig, um die IT stabil, sicher und zukunftsfähig aufzustellen?

Dieser Bericht ist eine wichtige Grundlage für:

Kaufpreisfindung und mögliche Anpassungen,
Vertragsgestaltung (z. B. Garantien, Zusicherungen),
Planung der Integration der übernommenen IT in die bestehende Umgebung.

Handlungsempfehlungen für Käufer

Klären Sie, welche Rolle die IT im Geschäftsmodell des Zielunternehmens spielt.
Fragen Sie nach einer aktuellen Übersicht über Systeme, Anwendungen und Dienstleister.
Vereinbaren Sie frühzeitig, dass eine IT-Prüfung (IT Due Diligence) Teil des Prozesses ist.

In der Due-Diligence-Phase

Beauftragen Sie einen externen IT-Spezialisten, der unabhängig bewertet.
Stellen Sie sicher, dass sowohl Geschäftsführung als auch IT-Verantwortliche des Zielunternehmens in die Gespräche einbezogen werden.
Bitten Sie um konkrete Aussagen zu Risiken, Kosten und Prioritäten, nicht nur um technische Details.

Nach dem Kauf

Nutzen Sie den Abschlussbericht als Fahrplan für die ersten 12–24 Monate.
Priorisieren Sie zunächst Sicherheits- und Stabilitätsthemen (z. B. Backups, Firewalls, veraltete Systeme).
Planen Sie im zweiten Schritt Optimierungen und Modernisierungen, z. B. durch Cloud-Lösungen oder Managed Services.

10 zentrale Fragen

Welche Systeme sind geschäftskritisch und was passiert, wenn sie ausfallen?
Wie alt sind die wichtigsten Server und Anwendungen – und sind sie noch supportet?
Gibt es eine Dokumentation der IT-Landschaft und der wichtigsten Schnittstellen?
Wie sieht das Backup-Konzept aus – und wurde es in den letzten 12 Monaten getestet?
Welche externen Dienstleister sind eingebunden und welche Verträge bestehen?
Wie ist die Lizenzsituation bei wichtiger Software (On-Prem und Cloud)?
Welche Sicherheitsmaßnahmen (Firewall, Endpoint-Schutz, MFA) sind im Einsatz?
Gibt es bekannte IT-Probleme, die bislang nur provisorisch gelöst wurden?
Welche Investitionen in die IT sind dem Management bereits bekannt oder geplant?
Gab es in den letzten Jahren Sicherheitsvorfälle oder Datenschutzprobleme?

Diese Fragen helfen Ihnen, einen ersten Eindruck zu gewinnen – ersetzen aber keine strukturierte IT-Prüfung.

Unsere Werkzeuge für Ihren IT-Check

Als IT-Systemhaus mit Sitz in Paderborn unterstützen wir Unternehmen in Ostwestfalen-Lippe (OWL) und darüber hinaus dabei, IT-Risiken transparent zu machen und fundierte Entscheidungen zu treffen.

Dabei haben sich zwei Bausteine besonders bewährt:

ITQ-Basisprüfung

Mit der ITQ-Basisprüfung erhalten Sie eine kompakte, standardisierte Analyse Ihrer bestehenden IT-Landschaft. Sie eignet sich ideal für Unternehmen, die:

einen schnellen, aber fundierten Überblick über ihren IT-Status benötigen,
sich auf einen geplanten Unternehmenskauf oder -verkauf vorbereiten,
erste Risikobereiche und Handlungsfelder identifizieren möchten.

Die Ergebnisse der ITQ-Basisprüfung zeigen Ihnen klar, wo Sie stehen – und welche Themen Sie vor oder im Rahmen eines Unternehmenskaufs vertiefen sollten.

Infrastrukturanalyse

Wenn Sie einen Schritt weiter gehen möchten, empfehlen wir unsere Infrastrukturanalyse. Hier betrachten wir unter anderem:

Server- und Netzwerkstrukturen,
Sicherheitsarchitektur (Firewalls, VPN, Endpoint-Security),
Performance- und Verfügbarkeitsanforderungen,
vorhandene Schwachstellen und Modernisierungsbedarf.

Die Infrastrukturanalyse liefert Ihnen detaillierte technische und organisatorische Einblicke, und ist damit eine ideale Grundlage, um eine IT-Prüfung beim Unternehmenskauf oder eine spätere Integration sauber zu planen.

In vielen Projekten bewährt sich eine Kombination aus ITQ-Basisprüfung und Infrastrukturanalyse. Die ITQ-Basisprüfung dient dabei als strukturierte Einstiegssichtung und liefert eine erste, klare Risikobewertung, während die Infrastrukturanalyse in besonders kritischen oder komplexen Bereichen in die Tiefe geht. Auf diese Weise erhalten Sie sowohl einen managementtauglichen Überblick als auch die technische Detailtiefe, die für wirklich fundierte Entscheidungen im Rahmen eines Unternehmenskaufs erforderlich ist.

Ohne IT-Prüfung kein sicherer Unternehmenskauf

Keine Übernahme ist wie die andere, und keine IT-Umgebung gleicht der nächsten. Wer bei einer Firmenübernahme nur auf Bilanzen, Kundenlisten und Mitarbeitende schaut, übersieht leicht den eigentlichen Maschinenraum des Unternehmens: die IT.

Eine IT-Prüfung beim Unternehmenskauf, also eine IT Due Diligence, ist dabei manchmal unbequem und nicht selten ernüchternd, aber fast immer geld- und nervenschonend. Sie hilft Ihnen, IT-Risiken frühzeitig zu erkennen, Investitionsbedarfe realistisch einzuplanen und die IT des Zielunternehmens von Anfang an als echten Erfolgsfaktor zu nutzen.

Wenn Sie einen Unternehmenskauf, eine Beteiligung oder eine Nachfolgeregelung planen und sicherstellen möchten, dass die IT kein unkalkulierbares Risiko, sondern ein stabiler Baustein Ihres Deals wird, unterstützen wir Sie gerne.

Die Gröpper IT-Systemtechnik ist Ihr IT-Partner für den Mittelstand in Ostwestfalen-Lippe (OWL) und darüber hinaus. Nehmen Sie Kontakt zu uns auf, gemeinsam besprechen wir, welche Form der IT-Prüfung in Ihrer Situation sinnvoll ist und wie wir Sie konkret begleiten können.