Inside Corporate Banking

Abonnements

Startseite Deals Due Diligence IT Due Diligence: Das müssen Finanzabteilungen wissen

IT Due Diligence: Das müssen Finanzabteilungen wissen

Wie sicher ist der Datenraum des Zielunternehmens wirklich? Auch diese Frage sollten sich Käufer im Rahmen einer IT Due Diligence stellen. Foto: Corona Borealis - stock.adobe.com
Wie sicher ist der Datenraum des Zielunternehmens wirklich? Auch diese Frage sollten sich Käufer im Rahmen einer IT Due Diligence stellen. Foto: Corona Borealis - stock.adobe.com

39 Prozent: So viele M&A– und Private-Equity-Spezialisten haben bereits die Erfahrung gemacht, dass die Ziele einer Übernahme aufgrund von IT-Problemen, die während der Post-Merger-Integration aufgetreten sind, nicht erreicht worden sind.

Das hat eine Umfrage der Unternehmensberatungen Lünendonk und Kobaltblau Management Consultants ergeben. Der Grund: „Die IT eines Unternehmens wird noch zu oft nur als Kostenfaktor mit Einsparungs- und ohne Wertschöpfungspotential wahrgenommen. Dementsprechend wird die IT Due Diligence bei einem M&A-Deal häufig vernachlässigt“, bemängelt Joachim Winterstein, Director bei Kobaltblau.

Info

Doch das Risiko, dass durch eine nachlässige IT Due Diligence nach einer M&A-Transaktion horrende Zusatzkosten für die Aufrüstung oder Umstellung von IT-Strukturen entstehen, ist groß. Bei einem gehobenen mittelständischen Unternehmen könnten alleine für die Umstellung des ERP-Systems rasch zweistellige Millionenbeträge anfallen, schätzt der M&A-Berater.

„Eine Unternehmensgruppe sollte direkt nach dem Abschluss der Post-Merger-Integration verkauft werden. Doch nach dem Abschluss der Transaktion traten IT-Probleme auf, deren Behebung fast zwei Jahre dauerte“, nennt Winterstein ein Beispiel. Besonders ärgerlich dabei: Es entstehen nicht nur zusätzliche Kosten, sondern Synergien können dadurch meist auch erst viel später als ursprünglich geplant gehoben werden – ein doppelter Rückschlag. Damit das nicht geschieht, sollten CFOs und M&A-Verantwortliche einige Punkte beachten.

IT Due Diligence sollte konkret, nicht detailverliebt sein

Der erste Aspekt: Eine IT Due Diligence sollte eine konkrete Bestandsaufnahme der IT-Strukturen im Zielunternehmen liefern. Die Betonung liegt dabei auf konkret: „Sie sollte grundlegende Informationen darüber enthalten, wie groß die IT ist, wie viele Mitarbeiter in der Abteilung tätig sind oder welche Systeme genutzt werden“, sagt Mario Zillmann, Partner bei Lünendonk. Auch relevant sind dem Berater zufolge, auf welchem Stand die ERP-Systeme sind, wo Modernisierungsbedarf besteht und was es kostet, die IT so aufzurüsten, dass sie nach der Übernahme problemlos (weiter) genutzt werden kann.

Zudem sollte die IT Due Diligence auf den jeweiligen Investment-Case zurechtgeschnitten sein. „Handelt es sich etwa um einen Carve-out, nach dem das Unternehmen eigenständig agieren soll, müssen zum Beispiel der funktionale Umfang sowie die Stabilität der IT für den ‚Stand-alone‘-Betrieb über die nächsten Jahre hinweg gründlicher unter die Lupe genommen werden“, sagt Winterstein. Ist die Übernahme hingegen ein Restrukturierungsfall, geht es meist darum, erst einmal Kosten zu senken und die IT nach Einsparpotentialen zu untersuchen.

Welche künftigen Trends bei IT-Technologien in den nächsten Jahren relevant werden könnten, muss dem Berater zufolge für eine aktuelle Übernahme und Integration hingegen nicht unbedingt untersucht werden: „Das ist nicht zielführend und man läuft Gefahr, sich in Details zu verlieren, mit denen ein Investor nur wenig anfangen kann.“

Alles zum Thema

Due Diligence

Die Due Diligence differenziert sich immer weiter aus. Welche Bereiche CFOs prüfen sollten und welche Besonderheiten gelten, zeigt die FINANCE-Themenseite.

IT-Abteilung muss auch überprüft werden

Der zweite Aspekt: Bei einer IT Due Diligence dürfen Unternehmen nicht nur auf die klassischen IT-Strukturen wie Rechenzentren, Server oder Netze und Applikationen schauen. „Die Mitarbeiter in einer IT-Abteilung und deren Wissen sind neben den Systemen der Kern der gesamten Unternehmens-IT“, weiß Joachim Winterstein von Kobaltblau. Auch hier müssen Kaufinteressenten untersuchen: Wie sind die Prozesse und Arbeitsabläufe in der IT-Abteilung? Wie wird mit Daten umgegangen? Und wie wird das Wissen in der IT-Abteilung auch nach einer Übernahme gesichert?

Denn die Abwanderung von Schlüsselmitarbeitern ist eine reelle Gefahr: „In einem Fall haben nach einer Übernahme sämtliche IT-Experten das gekaufte Unternehmen verlassen“, berichtet Friedrich Wimmer von der Sicherheitsberatung Corporate Trust. Die Folge: „Aus einigen Systemen waren die Unternehmen erst einmal ausgesperrt, weil die Administratoren weg waren.“ Entsprechend wichtig sei es zu beobachten, ob ganze Teams ein Wechsel anstreben, weil sie die Übernahme kritisch sehen. „Da braucht es viel Kommunikation seitens des Managements.“

Ebenfalls zu prüfen ist Berater Winterstein zufolge, wie die IT-Mitarbeiter mit den anderen Konzernabteilungen interagieren. „Die IT-Mitarbeiter wirken nach außen zuweilen als ‚nerdige Techies‘, sie sind aber essentiell für den Geschäftsbetrieb und Innovationen, und das nicht nur im IT-Bereich“, sagt Winterstein.

Wenn Abteilungen in Silos denken, das Zusammenspiel von Fachabteilung und IT sich auf Statusreporte beschränkt oder die Kommunikation zwischen den einzelnen Mitarbeitern hapert, können das Frühwarnsignale für eine dysfunktionale IT sein, die nach dem Closing als böse Überraschung auftaucht. Und auch ein fehlerhafter Umgang mit Daten sowie in Vergessenheit geratene Lizenzen könnte in der Compliance-Abteilung des Käufers die Alarmglocken schrillen lassen.

Käufer sollten eigene IT-Experten befragen

Der dritte Punkt: „Käufer benötigen zwar externe Due-Diligence-Experten, die die IT des Zielunternehmens unter die Lupe nehmen“, sagt Mario Zillmann. Darüber hinaus sollten Unternehmen auch ihre eigenen IT-Experten bei der IT Due Diligence einbeziehen: „IT-Mitarbeiter können die Vorzüge und Schwachstellen einer fremden IT möglicherweise schneller entdecken als jemand Fachfremdes“, so der Marktforscher. Was banal klinge, werde leider noch immer zu selten wirklich umgesetzt.

Wer die Expertise im eigenen Haus nutzt, profitiert davon meistens, wie das folgende Negativbeispiel eines Klienten von Winterstein zeigt: Ein Zielunternehmen nutzte eine „selbstgestrickte“ Anwendung zur Abrechnung von Händlerprovisionen, die bei einem oberflächlichen IT-Check nicht aufgefallen war.

Das Problem: Lange Release-Zyklen des veralteten Systems sorgten dafür, dass erst eineinhalb Jahre nach der Übernahme ein neues, optimiertes System an den Start gebracht werden konnte. Währenddessen war es nicht möglich, Handelsprovisionen zu errechnen und auszuzahlen, der Käufer musste in der Folge den fest eingeplanten Umsatz des Produktsegments für diesen Zeitraum abschreiben. „Hätte ein IT-Experte des Deal-Teams kurz darauf geschaut, wären ihm die Probleme mit diesem selbstprogrammierten System sicherlich aufgefallen“, ist sich Zillmann sicher.

IT Due Diligence hört nicht beim Unternehmen auf

Ein weiterer Knackpunkt: Viele Unternehmen glauben, bei einer IT Due Diligence muss lediglich die IT des Zielunternehmens geprüft werden. „Nur den Mutterkonzern anzuschauen ist nicht ausreichend“, warnt Joachim Winterstein. Tochter- und Landes-, sowie Vertriebs- und Produktionsgesellschaften müssten ebenfalls auf Herz und Nieren geprüft werden. Diese Gesellschaften hätten nicht selten andere Betriebssysteme, Datenstrukturen und IT-Prozesse, deren Kompatibilität nicht immer gegeben sei. Immer wieder hört man von Konzernen, die eine Vielzahl von verschiedenen, kostspieligen ERP-Systemen im Einsatz haben.

„Nur den Mutterkonzern anzuschauen ist nicht ausreichend. Tochter- und Landesgesellschaften müssen ebenfalls geprüft werden.“

Joachim Winterstein, Director bei Kobaltblau

Und auch die Verzahnung von Tochter- und Muttergesellschaften – vor allem in der Zeit nach der Übernahme – muss analysiert und eindeutig definiert werden. „Ein Transformation Service Agreement (TSA) stellt sicher, dass die veräußerte Gesellschaft für einen gewissen Übergangszeitraum die IT des Mutterkonzerns nutzen kann und sogar noch IT-Dienstleistungen bezieht“, erklärt Winterstein. Daher muss von Anfang an klar sein, wann die Muttergesellschaft ihre Leistungen abstellt. Denn möchte die Tochtergesellschaft die Services über den vereinbarten Zeitraum weiter nutzen, könne es richtig teuer werden.

„Cyber Due Diligence“ gehört dazu

Die Berater machen noch auf einen letzten Punkt aufmerksam: Das Thema Cybersecurity. Speziell der Hack des IT-Dienstleisters Kaseya hat vor Augen geführt, wie schnell eine Schwachstelle im Kosmos der Konzern-IT zu einem Hack führen kann. Kaseya wurde vor wenigen Wochen Opfer einer Cyberattacke, in den Tagen darauf infizierte der Ransomware-Trojaner schätzungsweise 1.500 Kunden der US-Amerikaner.

„Das Problem ist, dass man vor dem Kauf gar nicht tief in die Cybersicherheitsstrukturen schaut“, sagt Corporate-Trust-Berater Wimmer. Es gebe aber Möglichkeiten, eine Indikation des Sicherheitsniveaus des Targets zu bekommen: „Spezialisten können überprüfen, ob es in der Vergangenheit vermehrt Sicherheitsvorfälle gab.“ Zudem gebe es offizielle Datenquellen zum Überprüfen der Sicherheitsstrukturen. „Wenn etwa ein Softwareentwickler viele IT-Vorfälle hatte oder schlecht konfigurierte Sicherheitssysteme hat, kann man diese Informationen letztlich nutzen, um den Kaufpreis zu drücken. Wenn man das Unternehmen überhaupt noch kaufen möchte.“ 

Allerdings muss das Thema Cybersecurity nicht immer offiziell Teil der IT Due Diligence sein, sagt Marktanalyst Zillmann. „Negative Findings in der IT sind nur in den seltensten Fällen ein Dealbreaker“, sagt er. Genauer hinschauen sollten Unternehmen seiner Meinung nach vor allem in Branchen mit hohem Digitalisierungsgrad und Internet-basierten Geschäftsmodellen.

olivia.harder[at]finance-magazin.de

+ posts

Olivia Harder ist Redakteurin bei FINANCE und verfolgt schwerpunktmäßig die aktuellen Entwicklungen im M&A-Geschäft. Sie hat Philosophie, Politikwissenschaften, Soziologie und Geographie an der Justus-Liebig-Universität in Gießen studiert, wo sie auch einen Lehrauftrag innehatte. Vor FINANCE arbeitete Olivia Harder in den Redaktionen mehrerer Wochen- und Tageszeitungen, unter anderem beim Gießener Anzeiger.