{"id":1041,"date":"2026-02-12T09:23:59","date_gmt":"2026-02-12T08:23:59","guid":{"rendered":"https:\/\/www.g-lorenzen.de\/?p=1041"},"modified":"2026-02-12T09:23:59","modified_gmt":"2026-02-12T08:23:59","slug":"cyber-security-als-erfolgsfaktor-der-it-due-diligence-bei-ma-deals","status":"publish","type":"post","link":"https:\/\/www.g-lorenzen.de\/index.php\/2026\/02\/12\/cyber-security-als-erfolgsfaktor-der-it-due-diligence-bei-ma-deals\/","title":{"rendered":"Cyber Security als Erfolgsfaktor der IT-Due-Diligence bei M&A-Deals"},"content":{"rendered":"

Cyber Security bei M&A-Deals: Die untersch\u00e4tzte Zeitbombe in der IT-Due-Diligence<\/strong><\/p>\n

In der heutigen digitalisierten Welt sind Cyber-Risiken allgegenw\u00e4rtig. Dennoch zeigt die Praxis, dass dieser Aspekt im Rahmen von Mergers & Acquisitions (M&A)<\/strong> oft nur oberfl\u00e4chlich behandelt wird. Dabei kann eine unzureichende Analyse der IT-Sicherheit nach dem Kauf schwerwiegende finanzielle und rechtliche Konsequenzen nach sich ziehen.<\/p>\n

Warum Cyber Security \u00fcber den Deal-Erfolg entscheidet<\/h3>\n

Die IT-Due-Diligence bewertet traditionell die technische Ausstattung und die strategische Bedeutung der IT f\u00fcr das Gesch\u00e4ftsmodell. Die Autoren betonen jedoch, dass Cyber Security ein integraler Baustein sein muss, da Sicherheitsl\u00fccken den Kaufpreis und die Vertragsgestaltung massiv beeinflussen k\u00f6nnen.<\/p>\n

Das mahnende Beispiel:<\/strong> Ein prominenter Fall ist die \u00dcbernahme von Starwood durch Marriott International im Jahr 2018. Erst nach der Akquisition wurde ein jahrelanges Datenleck entdeckt, das 500 Millionen Kunden betraf und zu enormen Bu\u00dfgeldern sowie einem massiven Imageverlust f\u00fchrte.<\/p>\n

Die 5 S\u00e4ulen einer gr\u00fcndlichen Cyber-Due-Diligence<\/h3>\n

F\u00fcr eine fundierte Bewertung des Zielunternehmens sollten laut Nguyen und Hoffmann folgende Kernbereiche gepr\u00fcft werden:<\/p>\n

    \n
  1. Bestandsaufnahme der Sicherheitsarchitektur:<\/strong> Sind Firewalls, Verschl\u00fcsselung und Zugriffsverwaltung auf dem neuesten Stand?. Besonders Legacy-Systeme (Altsysteme)<\/strong> stellen ein hohes Risiko dar, da sie oft das schw\u00e4chste Glied in der Sicherheitskette sind.<\/li>\n
  2. Compliance-Check:<\/strong> Erf\u00fcllt das Unternehmen regulatorische Anforderungen (z. B. DSGVO) und verf\u00fcgt es \u00fcber notwendige Zertifizierungen?.<\/li>\n
  3. Incident-Response-Management:<\/strong> Wie gut ist das Unternehmen auf Angriffe vorbereitet? Gibt es Notfallpl\u00e4ne und eine funktionierende Disaster Recovery?.<\/li>\n
  4. Sicherheitskultur und -bewusstsein:<\/strong> Der \u201eTone at the Top\u201c ist entscheidend. Es muss gepr\u00fcft werden, ob die Gesch\u00e4ftsf\u00fchrung Sicherheit priorisiert und Mitarbeiter regelm\u00e4\u00dfig geschult werden.<\/li>\n
  5. Historie von Cybervorf\u00e4llen:<\/strong> Die Analyse vergangener Vorf\u00e4lle gibt wertvolle Hinweise auf die Verwundbarkeit der Systeme.<\/li>\n<\/ol>\n

    Praxis-Herausforderungen und Risiken<\/h3>\n
      \n
    • Legacy IT und \u201eTrust\u201c-Probleme:<\/strong> Veraltete Architekturen (z. B. alte Active Directory Server) k\u00f6nnen zum Albtraum werden, da kompromittierte Konten sich rasant im Netzwerk ausbreiten k\u00f6nnen.<\/li>\n
    • Gefahren in der Lieferkette:<\/strong> Der Fall Maersk\/NotPetya zeigt, wie ein infizierter PC in einer Niederlassung \u00fcber eine Drittanbieter-Software ein globales Unternehmen lahmlegen kann.<\/li>\n
    • Service Provider Blind Spot:<\/strong> Viele Unternehmen untersch\u00e4tzen die Risiken durch externe Dienstleister. Hier muss gepr\u00fcft werden, ob Sicherheitsvorgaben vertraglich fixiert und auch \u00fcberwacht werden.<\/li>\n
    • Internationale Komplexit\u00e4t:<\/strong> Ein Beispiel aus Kanada verdeutlicht, wie eine \u00dcbernahme durch eine \u201e\u00f6ffentliche Einrichtung\u201c pl\u00f6tzlich strengere lokale Datenspeicherpflichten (FIPPA statt PIPA) ausl\u00f6sen kann, was die Nutzung globaler Cloud-L\u00f6sungen unm\u00f6glich machen k\u00f6nnte.<\/li>\n<\/ul>\n

      Handlungsempfehlungen f\u00fcr die Umsetzung<\/h3>\n
        \n
      • Qualit\u00e4t der Daten:<\/strong> Bevorzugen Sie f\u00fcr die Pr\u00fcfung systembasierte Datenabz\u00fcge<\/strong> (z. B. aus Managementkonsolen wie Splunk oder WSUS) gegen\u00fcber manuell gepflegten Listen, um ein realistisches Bild zu erhalten.<\/li>\n
      • Risikobewertung mit System:<\/strong> Nutzen Sie standardisierte Frameworks wie das Common Vulnerability Scoring System (CVSS)<\/strong>, um technische Schwachstellen objektiv in Risikoklassen einzustufen.<\/li>\n
      • Expertenteams etablieren:<\/strong> Gro\u00dfe Unternehmen sollten st\u00e4ndige M&A-Evaluierungsteams vorhalten; kleinere Betriebe sollten auf spezialisierte externe Berater setzen.<\/li>\n<\/ul>\n

        Fazit:<\/strong> Cyber Security sollte bei M&A-Transaktionen nicht als Kostenfaktor, sondern als Chance verstanden werden. Eine gut durchdachte IT-Due-Diligence deckt kostspielige Risiken fr\u00fchzeitig auf und schafft durch Resilienz einen echten Mehrwert f\u00fcr das neue Gesamtunternehmen.<\/p>\n","protected":false},"excerpt":{"rendered":"

        Cyber Security bei M&A-Deals: Die untersch\u00e4tzte Zeitbombe in der IT-Due-Diligence In der heutigen digitalisierten Welt…<\/p>\n","protected":false},"author":1,"featured_media":770,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2,4],"tags":[],"class_list":["post-1041","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-datenschutz","category-it-audit"],"_links":{"self":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/1041","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/comments?post=1041"}],"version-history":[{"count":1,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/1041\/revisions"}],"predecessor-version":[{"id":1042,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/1041\/revisions\/1042"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media\/770"}],"wp:attachment":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media?parent=1041"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/categories?post=1041"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/tags?post=1041"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}