Cyber Due Diligence vor dem Closing.
Vor jeder M&A-Transaktion bewerten wir die verborgenen Cyber-Risiken des Zielobjekts. Technische Schulden, undokumentierte Sicherheits-Vorfälle, IP-Diebstahl-Indikatoren, Infrastruktur-Schwachstellen. Wir liefern Fakten, die in keiner Bilanz stehen und die Sie am Verhandlungstisch brauchen.
Vier Cyber- Risiko-Vektoren.
Hidden-Breach-Detection
Hat das Zielobjekt einen laufenden oder vergangenen Vorfall, der nicht offen gelegt wurde? Dark-Web-Suche nach Datenleaks, Threat-Intelligence-Korrelation, Forensik-Spuren in Backup-Strukturen, Anomalien im Mitarbeiter-Turnover (versteckte Insider-Vorfälle).
Pre-Acquisition-Audit
Externe Bewertung der Angriffsfläche: was sieht ein Angreifer von außen? OSINT-Profiling, Subdomain-Enumeration, Tech-Stack-Identifikation, bekannte CVEs in eingesetzter Software, Cloud-Konfigurations-Bewertung über öffentlich sichtbare Metadaten.
Infrastruktur-Risiko
Bewertung der internen IT-Architektur: technische Schulden, End-of-Life-Systeme, Patch-Stand, Backup-Strategie, Disaster-Recovery-Pläne. Schätzung der Re-Build-Kosten für nicht mehr unterstützte Kernsysteme.
Negotiation-Intelligence
Verhandlungs-relevante Findings, präzise quantifiziert. Beispiel: 'Modernisierung der Kern-Plattform ab 2027 erforderlich, geschätzte CAPEX 2,4 Mio EUR über 18 Monate' geht in die Kaufpreis-Argumentation und in die Reps & Warranties.
Was wir typisch in 80 Prozent der Targets finden
Diese Beispiele entstammen unserer Due-Diligence-Praxis bei Mid-Market-Targets in DACH. Jeder einzelne Punkt kann verhandlungs-relevant sein.
- >_Mindestens ein End-of-Life-System in der Core-Infrastruktur ohne Migrationsplan
- >_Undokumentierte Schatten-IT (durchschnittlich 8 bis 15 SaaS-Verträge unbekannt)
- >_Mitarbeiter-Konten von Ex-Personal weiterhin aktiv (Offboarding-Lücke)
- >_Keine oder veraltete Backup-Tests, Recovery-Zeit unbekannt
- >_Source-Code-Repos mit eingebetteten Credentials in der Commit-History
- >_DSGVO-Verfahrensverzeichnis unvollständig oder fehlend
- >_Mindestens ein laufender Compliance-Verstoß (NIS2, KRITIS, branchen-spezifisch)
- >_Verschwiegene Ransomware-Reste (verschlüsselte Backup-Volumes, ungelöschte Erpresser-Notizen)
- >_Lizenz-Verstöße bei kommerzieller Software, geschätzte Nachzahlung 50.000 bis 500.000 EUR
- >_Veraltete Verträge ohne Cybersecurity-Klauseln gegenüber kritischen Lieferanten
Was Sie am Verhandlungstisch in der Hand haben.
Investment-Committee-Bericht
10 bis 20 Seiten Executive-Summary in Investment-Memo-Struktur. Top-Risiken mit CVSS- und Geschäfts-Impact-Bewertung, Auswirkung auf Kaufpreis-Range, empfohlene Reps & Warranties.
Technischer Anhang
50 bis 200 Seiten Detail-Bericht für die Käufer-Seite. Reproduzierbare Findings, CVE-Mapping, Remediation-Aufwand-Schätzung. Auch nach Closing nutzbar als Roadmap für den neuen CISO.
Verhandlungs-Briefing
1 bis 2 Seiten Talking-Points für Käufer-Anwalt und M&A-Berater. Quantifizierte Findings, vorgeschlagene Vertragsklauseln, Eskalations-Punkte mit Beweis-Stärke.
Post-Closing-Roadmap
100-Tage-Plan und 18-Monats-Plan für die Integration. CISO-Mandat optional übernehmbar als interim-Lösung, bis ein interner CISO eingearbeitet ist.
Typische Cyber Due Diligence in 6 Phasen
- >_Phase 0: NDA, Scoping-Call mit M&A-Berater und Käufer, Budget-Range bestätigen
- >_Phase 1: Externe Bewertung des Zielobjekts ohne Zielobjekt-Kontakt (3 bis 5 Werktage)
- >_Phase 2: Q&A über VDR oder direkter Vorstellungstermin mit Ziel-CTO oder Ziel-IT-Leiter
- >_Phase 3: Optional Vor-Ort-Termin oder Remote-Audit der Kern-Systeme
- >_Phase 4: Findings-Konsolidierung, CVSS- und Geschäftsimpact-Bewertung
- >_Phase 5: Investment-Committee-Bericht, Verhandlungs-Briefing, Walkthrough-Call
- >_Phase 6 (optional): Post-Closing Integration Audit, 100-Tage-Plan, interim CISO
Was Mandanten typischerweise vorher wissen wollen.
Wann brauche ich eine Cyber Due Diligence?
Bei jedem Asset-Deal mit signifikanter IT-Komponente, bei jedem Share-Deal ab Mid-Market-Größe, bei jedem Tech-Buy-Out und bei jedem Carve-Out aus einem größeren Konzern. Faustregel: Wenn das Zielobjekt Kundendaten verarbeitet, eigene Software entwickelt oder kritische Infrastruktur betreibt, ist eine Cyber-DD im Investment-Memo zwingend.
Was kostet eine Cyber Due Diligence?
Vier Festpreis-Stufen: Pre-Acquisition Quick-Audit ab 12.900 EUR (5 Werktage, extern), Full Due Diligence ab 34.900 EUR (10 bis 15 Werktage, intern und extern), Mega-Deal ab 89.000 EUR (Transaktionen 50 Mio EUR+, mehrere Standorte), Post-Closing Integration Audit ab 18.900 EUR. Alle Preise verbindlich nach NDA und Scoping.
Welche Findings sind verhandlungs-relevant?
Klassiker: laufende oder verschwiegene Ransomware-Reste, kompromittierte Source-Code-Repos, undokumentierte Schatten-IT, übersehene Lizenz-Verstöße bei kommerzieller Software, Geräte mit Spyware oder Hardware-Implants im Vorstand-Umfeld, technische Schulden mit Re-Build-Kosten in Millionen, fehlende DSGVO-Konformität mit absehbaren Bußgeld-Risiken. Jeder dieser Findings kann den Kaufpreis um 5 bis 30 Prozent korrigieren.
Wie diskret läuft die Due Diligence ab?
NDA vorab Standard. Wir arbeiten unter dem Namen des M&A-Beraters oder direkt im Auftrag des Käufers. Vor-Ort-Termine wenn nötig, vorwiegend Remote-Bewertung über Q&A-VDR-Zugang. Beim Zielobjekt erscheinen wir als externer IT-Auditor, nicht als Cyber-Spezialist des Käufers. Reports sind Investment-Committee-tauglich und juristisch durchhaltbar.
Arbeitet ihr mit M&A-Beratern und Anwälten zusammen?
Ja. Wir liefern unsere Findings in die Investment-Memo-Struktur des M&A-Beraters und stimmen Reps & Warranties mit den transaktionsbegleitenden Anwälten ab. Bei kritischen Findings koordinieren wir gemeinsame Calls mit Käufer-Anwalt und Verkäufer-Seite zur Klärung.
Post-Closing: was bietet ihr nach dem Closing?
Integration Audit: 100-Tage-Plan für den neuen CISO der akquirierten Einheit. Bewertung der Sicherheits-Posture des Zielobjekts gegen die Standards der erwerbenden Gruppe, Lücken-Analyse, Roadmap. Optional übernehmen wir interim das CISO-Mandat während der Integration.
30 Minuten Erstberatung, kostenfrei.
Wir besprechen Ihr konkretes Anliegen, schätzen Aufwand und Preisrahmen ein und klären, ob wir der richtige Partner sind. Unverbindlich.