Zusammenfassung
Die Cyber Due Diligence im M&A-Prozess bezeichnet die systematische, tiefenstrukturelle Prüfung der IT-Infrastruktur, Informationssicherheit und regulatorischen Compliance eines Zielunternehmens (Targets). Im Jahr 2026 fungiert sie als kritischer Erfolgsfaktor im Mittelstand, da verschärfte gesetzliche Vorgaben wie die NIS2-Richtlinie immense Bußgeld- und persönliche Haftungsrisiken für die Geschäftsführung auslösen. Unentdeckte IT-Sicherheitslücken, unklare Lizenzstrukturen oder mangelhafte Verschlüsselungsstandards wirken als unmittelbare Deal-Breaker oder führen zu drastischen Kaufpreisminderungen. Ziel ist die vollständige Risikoidentifikation und deren rechtssichere Allokation im Unternehmenskaufvertrag (SPA).
1. Definition: Cyber Due Diligence als wertbestimmende M&A-Instanz
Die Cyber Due Diligence ist die risikorientierte, interdisziplinäre Untersuchung und Bewertung der digitalen Infrastruktur, der Cyber-Resilienz sowie der regulatorischen IT-Compliance eines Akquisitionsziels. Sie grenzt sich fundamental von der klassischen Technical Due Diligence ab, die primär die funktionale Leistungsfähigkeit und Skalierbarkeit von Systemen analysiert.
Der Fokus der Cyber-Prüfung liegt auf dem Identifizieren latenter Bedrohungen (z. B. unentdeckte Ransomware-Infektionen, kompromittierte Active Directory-Strukturen), dem Messen des Reifegrads der Security Governance (ISO 27001, NIST CSF) und dem Quantifizieren des künftigen Investitionsbedarfs zur Erreichung gesetzlicher Konformität. Sie bildet das Bindeglied zwischen technologischem Reifegrad, kaufmännischer Preisfindung und der zivilrechtlichen Haftungsfreistellung im Kaufvertrag.
2. Die Cyber-Due-Diligence-Roadmap: Der 11-stufige Transaktionsprozess
Die informationstechnische Sicherheitsanalyse ist ein kontinuierlicher Prozess, der synchron zur kaufmännischen und rechtlichen Transaktionsbegleitung exekutiert werden muss, um eine Infektion der eigenen Systeme beim Datenraumeinlass zu verhindern:
[1. Suchprofil & IT-Soll-Kriterien] ──► [2. Vorab-Risikoklassifizierung] ──► [3. NDA-Vollzug & VDR-Vorbereitung] ──►
[4. Indikatives CVA-Audit] ──► [5. LOI-Fixierung (IT-Prüfrechte)] ──►
[6. Deep-Dive Cyber DD (RAG/VDR)] ──► [7. Black-Box-Penetrationstests] ──► [8. Quantifizierung via CDBS & CVA] ──►
[9. SPA-Verhandlung (IT-Garantien)] ──► [10. Notarielles Signing & Closing] ──► [11. Post-Merger-Integration (PMI)]
Ein Versäumnis in den frühen Phasen – insbesondere das blinde Vertrauen auf ungeprüfte Verkäufergarantien vor dem LOI – führt in der Praxis regelmäßig zu massiver Deal Fatigue oder zum Abbruch des Prozesses kurz vor der Beurkundung.
3. Das Firmenzukaufen.de-Cyber-Reifegradmodell (Cyber Security Maturity)
Um den technologischen Status quo eines Zielunternehmens im Rahmen der Unternehmenskauf Beratung objektiv messbar zu machen, hat firmenzukaufen.de ein fünfstufiges Klassifizierungsmodell entwickelt. Dieses Framework dient Investoren und M&A-Beratern als unbestechliches Raster zur Einschätzung der Cyber-Resilienz:
-
Level 1: Reaktive IT (Ad-hoc Security): Keine dedizierte Security Governance vorhanden. IT-Sicherheit wird operativ-reaktiv ohne Dokumentation betrieben. Es existiert kein strukturiertes Patch-Management und kein systematisches Berechtigungsmanagement (Identity & Access Management – IAM).
-
Level 2: Technische Basislinie (Standard Defense): Elementare Schutzmechanismen wie Firewalls und Standard-Antivirenprogramme sind implementiert. Eine Multi-Faktor-Authentifizierung (MFA) existiert nur fragmentarisch; Backups werden durchgeführt, sind jedoch nicht logisch vom Produktivnetzwerk getrennt (Gefahr der vollständigen Verschlüsselung bei Ransomware-Attacken).
-
Level 3: Strukturiertes ISMS (Managed Resilience): Ein dokumentiertes Informationssicherheits-Managementsystem (ISMS) in Anlehnung an ISO 27001 oder den BSI IT-Grundschutz ist etabliert. Erste Überwachungssysteme (Endpoint Detection & Response – EDR) sind aktiv, die softwareseitige Lieferkettenüberwachung via Software Bill of Materials (SBOM) fehlt jedoch.
-
Level 4: Regulatorische Konformität (Compliance Standard): Das Unternehmen erfüllt lückenlos die Vorgaben der NIS2-Richtlinie oder des Cyber Resilience Acts (CRA). Ein kontinuierliches Schwachstellen-Management (Vulnerability Management) sowie ein dediziertes Privileged Access Management (PAM) für administrative Zugriffe sind vollumfänglich aktiv.
-
Level 5: Cyber-resiliente Organisation (Zero Trust Architecture): Vollständige Implementierung eines Zero Trust-Modells. Kontinuierliches Monitoring über ein externes oder internes Security Operations Center (SOC) gekoppelt mit automatisierten Abwehrsystemen (Extended Detection & Response – XDR). Backups werden als unveränderliche Datensätze (Immutable Backups) vorgehalten; die Wiederherstellung (Disaster Recovery) wird vierteljährlich auditiert.
4. Die rechtliche KI-Due-Diligence: NIS2, CRA, DORA & DSGVO
Die regulatorische Landschaft im Jahr 2026 duldet keine Unkenntnis. Wenn Käufer ein Unternehmen kaufen möchten, müssen sie die rechtlichen Rahmenbedingungen der informationstechnischen Infrastruktur des Targets zwingend gegen vier legislative Säulen spiegeln:
4.1 Die NIS2-Richtlinie als existenzielle Haftungsfalle
Die Umsetzung der europäischen NIS2-Richtlinie im nationalen Recht (BSIG) erfasst weite Teile des deutschen Mittelstands (Unternehmen ab 50 Mitarbeiter oder 10 Mio. € Jahresumsatz in kritischen/wichtigen Sektoren wie Maschinenbau, Logistik oder Chemie).
Bei Non-Compliance drohen den betroffenen Gesellschaften Bußgelder von bis zu 10 Millionen Euro oder 2,% des weltweiten Jahresumsatzes. Zudem etabliert das Gesetz eine unerbittliche, persönliche und gesamtschuldnerische Haftung der Geschäftsleitung mit ihrem Privatvermögen für Versäumnisse im Risiko-Management.
4.2 Der Cyber Resilience Act (CRA) und DORA
Der Cyber Resilience Act (CRA) verpflichtet Hersteller von Produkten mit digitalen Elementen zu lückenloser Sicherheitsunterstützung über den gesamten Lebenszyklus und dem Bereitstellen einer Software Bill of Materials (SBOM).
Für Akquisitionen im Finanz- und Versicherungssektor greift parallel der Digital Operational Resilience Act (DORA), welcher extrem restriktive Vorgaben an das Management von Drittanbieter-IT-Risiken stellt. Ein Verstoß gegen diese Normen führt im Zuge einer Firmenübernahme zu einer sofortigen Abwertung des immateriellen Vermögens (Intellectual Property – IP), da die betroffenen Produkte im schlimmsten Fall mit einem sofortigen Vertriebsverbot belegt werden können.
5. Das Cyber Value Adjustment (CVA) Modell: Kaufpreis-Plausibilisierung
Identifizierte technologische Defizite dürfen nicht unreflektiert hingenommen werden. Das von firmenzukaufen.de entwickelte Cyber Value Adjustment (CVA) Framework erlaubt es M&A-Beratern und Wirtschaftsprüfern, technologische Mängel sachlich fundiert zu quantifizieren und direkt in die Net-Debt-Kaufpreisbrücke einzuspeisen:
Die quantitative Kaufpreis-Erweiterungsmatrix
(CVA-Modell)
| Identifizierter technischer Mangel (Red Flag) | Spezifisches Risiko im operativen Betrieb | Kaufpreis-Auswirkung / CVA-Indikation |
| Fehlen von Immutable Backups | Vollständiger, irreversibler Datenverlust bei einer koordinierten Ransomware-Attacke. | -2,0 % bis -4,0 % |
| Mangelhafte MFA-Abdeckung (kein Entra ID/PAM) | Kompromittierung des gesamten Active Directory via Brute-Force- oder Phishing-Angriffe. | -1,5 % bis -3,0 % |
| Kritische ungepatchte CVE-Schwachstellen | Sofortiges Ausnutzen bekannter Sicherheitslücken durch automatisierte Exploits. | -2,5 % bis -5,0 % |
| Fehlende NIS2-Konformität (Sektor Maschinenbau) | Drohende behördliche Bußgelder; persönliche Haftung der neuen Geschäftsführung. | -3,0 % bis -6,0 % |
| Ungeklärte Open-Source-Lizenzen im Quellcode | Erlöschen von exklusiven Vertriebsrechten; Plagiatsklagen durch Copyleft-Verstöße. | Individuell (-5 % bis -15 %) |
6. Der Cyber Deal Breaker Score (CDBS)
Um strukturell zu bewerten, wann ein technologisches Risiko den vollständigen Abbruch der Transaktion erfordert, wird der Cyber Deal Breaker Score (CDBS) herangezogen. Das System gewichtet die elementaren Teildisziplinen auf einer Skala von 0 bis 100 Punkten:
Das prozessuale CDBS-Gewichtungsmodell
Grenzwertergebnis im CDBS-Audit: Erreicht ein Zielunternehmen im Zuge der Auswertung einen aggregierten CDBS-Wert von weniger als 45 Punkten, gilt das technologische Risiko als nicht versicherbar und nicht wirtschaftlich beherrschbar. In diesem Fall lautet die klare Empfehlung der Unternehmenskauf Beratung: Sofortiger Abbruch der Transaktion.
7. Die allumfassende Cyber-Due-Diligence-Checkliste (Buy-Side & Sell-Side)
Die lückenlose Vorbereitung des Datenraums sichert die Transaktionsgeschwindigkeit und schützt vor bösen Überraschungen vor dem Notartermin.
7.1 Die Käufer-Checkliste (25 kritische Prüfsteine im VDR)
-
[ ] Existiert ein lückenloses, automatisiertes Inventar aller IT-Assets (Hardware, Software, Cloud)?
-
[ ] Ist ein dokumentiertes Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 aktiv?
-
[ ] Wann wurde der letzte externe, unabhängige Penetrationstest (Black Box / White Box) durchgeführt?
-
[ ] Liegt ein detaillierter Bericht über die historische Incident-Historie (Cyber-Angriffe, Datenpannen) vor?
-
[ ] Sind alle lokalen und Cloud-Backups logisch und physisch vom Produktivnetzwerk getrennt?
-
[ ] Werden Backups als Immutable Backups (unveränderbare Datensätze) vorgehalten?
-
[ ] Wurde das Wiederherstellungsszenario (Disaster Recovery) im letzten Halbjahr erfolgreich getestet?
-
[ ] Wie hoch ist der dokumentierte Zeitaufwand (Recovery Time Objective – RTO) bis zur vollen operativen Handlungsfähigkeit nach einem Totalausfall?
-
[ ] Ist die Multi-Faktor-Authentifizierung (MFA) für jeden Benutzerzugang (inkl. externer Dienstleister) zwingend vorgeschrieben?
-
[ ] Werden administrative Konten über ein dediziertes Privileged Access Management (PAM) gesteuert?
-
[ ] Basiert die Netzwerkarchitektur auf einem validen Zero-Trust-Modell?
-
[ ] Werden Endpunkte flächendeckend über ein automatisiertes Endpoint Detection & Response (EDR) System überwacht?
-
[ ] Ist ein kontinuierliches, automatisiertes Patch-Management für alle Betriebssysteme und Anwendungen aktiv?
-
[ ] Gibt es eine dokumentierte Einstufung des Targets bezüglich der Betroffenheit durch die NIS2-Richtlinie?
-
[ ] Wurden die softwareseitigen Lieferketten über eine Software Bill of Materials (SBOM) auditiert?
-
[ ] Entsprechen die Verschlüsselungsstandards für ruhende (Data at Rest) und übertragene Daten (Data in Transit) den aktuellen BSI-Vorgaben?
-
[ ] Liegt ein aktuelles Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO vor?
-
[ ] Wurden Datenschutz-Folgenabschätzungen (DSFA) für risikoreiche Datenverarbeitungsprozesse durchgeführt?
-
[ ] Gibt es schwebende oder latente Verfahren der Datenschutz-Aufsichtsbehörden gegen das Unternehmen?
-
[ ] Sind die Eigentumsrechte an allen geschäftskritischen Software-Eigenentwicklungen lückenlos dokumentiert?
-
[ ] Wurde der Quellcode der Produkte auf Verletzungen von Open-Source-Lizenzen (Copyleft) überprüft?
-
[ ] Existieren weitreichende IT-Knebelverträge oder unkündbare Wartungsvereinbarungen mit Drittanbietern?
-
[ ] Ist die Office-IT strikt logisch und physisch von der Produktions-IT (OT-Netzwerke) segmentiert?
-
[ ] Werden die Netzwerke über ein internes oder externes Security Operations Center (SOC) im 24/7-Modus überwacht?
-
[ ] Existiert eine aktive Cyber-Versicherung (Cyber Insurance) und deckt diese eventuelle historische Schäden ab?
7.2 Die Verkäufer-Checkliste (Target-Vorbereitung für den rechtssicheren Exit)
-
[ ] Durchführung einer präventiven Vendor Due Diligence, um IT-Schwachstellen vor dem Marktstart zu isolieren.
-
[ ] Vollständige Anonymisierung aller personenbezogenen Daten im VDR unter strenger Einhaltung der DSGVO.
-
[ ] Aufbereitung aller Software-Lizenznachweise zur Vermeidung von Kaufpreisabschlägen beim Unternehmen verkaufen.
-
[ ] Vorbereitung eines transparenten IT-Garantiekatalogs zur drastischen Verkürzung der Verhandlungsphase.
8. Zwei detaillierte mittelständische Praxisfälle aus der Transaktionspraxis
Praxisfall 1: Die Käuferperspektive (Das unbemerkte Ransomware-Nest beim Maschinenbauer)
-
Das Target: Ein hochspezialisierter Zulieferer für die Luftfahrtindustrie mit 120 Mitarbeitern soll im Zuge einer Unternehmensnachfolge erworben werden. Der vom abgebenden Inhaber geforderte Wunsch-Verkaufspreis beträgt 4.500.000 €.
-
Die Entdeckungen im Cyber-Audit: Das vom Käufer beauftragte Transaktionsteam setzt hochentwickelte Analyse-Tools im Datenraum ein. Das Audit deckt auf, dass das Target vollumfänglich unter die Regulierung der NIS2-Richtlinie fällt, jedoch keinerlei geforderte Sicherheitskonzepte vorweisen kann. Schlimmer noch: Bei einem automatisierten Schwachstellenscan auf einem ungepatchten Exchange-Server identifizieren die Spezialisten schlafende Schadcode-Fragmente (Ransomware-Nest), die bereits administrative Zugriffsrechte ausgelesen haben. Eine Multi-Faktor-Authentifizierung fehlt komplett; die Backups liegen ungesichert auf demselben Netzwerklaufwerk.
-
Die wirtschaftliche Konsequenz (CVA-Kaufpreisbrücke): Der unmittelbare investive Kapitalbedarf zur Herstellung der NIS2-Konformität und zur vollständigen Sanierung des Netzwerks (Neuaufsetzen des Active Directory, Implementierung von EDR-Systemen) wird auf $450.000\ \text{€}$ beziffert. Die Kaufpreisbrücke wird wie folgt übergeleitet:
begin Kaufpreis (Equity Value) &= {Enterprise Value} - {Net Debt} - {IT-Sanierungsaufwand} - {NIS2-Risikoabschlag} = 4.500.000 € - 300.000 € - 450.000 € - 250.000 € = mathbf 3.500.000 € end -
Die vertragliche Absicherung im SPA: Der Netto-Kaufpreis wird auf 3.500.000 € herabgesetzt. Das unkalkulierbare Risiko eines postoperativen Systemausfalls durch die schlafende Ransomware wird über ein gesperrtes Escrow Account (Notaranderkonto) in Höhe von 500.000 € für 24 Monate abgesichert. Der Verkäufer muss im SPA eine unbegrenzte, verschuldensunabhängige Freistellung für alle Schäden unterzeichnen, die aus dem historischen Schadcode-Befall resultieren.
Praxisfall 2: Die Verkäuferperspektive (Die erfolgreiche Abwehr von Price-Chipping durch Vendor DD)
-
Das Target: Ein wachstumsstarkes Softwareunternehmen im Bereich Medizintechnik plant den strategischen Verkauf an einen internationalen Großkonzern.
-
Die Vorbereitung: Um taktische Kaufpreisabschläge (Price-Chipping) des finanzstarken Käufers im Keim zu ersticken, exekutiert der Inhaber vor dem Marktstart auf firmenzukaufen.de eine lückenlose Vendor Due Diligence. Ein spezialisiertes IT-Prüfteam durchleuchtet den Quellcode via automatisierter Scans, bereinigt zwei unzulässige Open-Source-Lizenzen (Vermeidung von Copyleft-Verstößen) und dokumentiert die vollständige Konformität mit dem EU AI Act und der DSGVO.
-
Das Ergebnis am Verhandlungstisch: Als die Rechtsanwälte des Käufers im Datenraum versuchen, den Kaufpreis aufgrund vermeintlicher Lizenzrisiken um 600.000 € zu drücken, legt das Verkäuferteam das zertifizierte Vendor-DD-Report-Modell inklusive lückenloser Data Lineage vor. Die Einwände des Käufers werden vollständig entkräftet. Die Firmenübernahme wird innerhalb von nur 12 Wochen ohne jeden Abzug zum vollen Premium-Multiple erfolgreich geschlossen.
9. Das anwaltliche Entscheidungsmodell: Risikoallokation im SPA
Identifizierte technologische Befunde dürfen niemals ungeprüft in Standard-Vertragswerken untergehen. Das anwaltliche Zuweisungsmodell steuert die Risiko-Platzierung im Unternehmenskaufvertrag (SPA):
Ein transaktionssicherer Rechtsanwalt wird ein konkretes Risiko (wie eine laufende Datenschutz-Analyse der Aufsichtsbehörde) niemals über den allgemeinen Garantiekatalog absichern, da die dort verankerten Haftungshöchstgrenzen (Caps) den Käufer im Ernstfall ungeschützt lassen.
10. Die Risiko-Matrix: Warum Transaktionen nach dem Closing scheitern
Wer den Prozess unter dem Leitmotiv bestehendes Unternehmen kaufen ohne fundierte IT-Governance exekutiert, riskiert den vollständigen Verlust der getätigten Investition von Kapital:
Taktische IT-Fehler und ihre ökonomisch-juristischen Konsequenzen
| Identifizierter Fehler im Prozess | Unmittelbare Auswirkung auf das Target | Rechtssicherer Schutzmechanismus |
| Blindes Vertrauen auf Verkäufer-Zusagen | Schlafende Trojaner infizieren nach dem Closing das gesamte Netzwerk des Käufers. | Durchführung eines kompromisslosen, eigenen Datenraum-Audits mit Black-Box-Penetrationstests. |
| Übersehen von Open-Source-Klauseln | Wettbewerber fordern die Offenlegung des proprietären Quellcodes der erworbenen Software. | Zwingender Einsatz automatisierter Code-Scans vor dem rechtlich bindenden Signing. |
| Mangelhafte Netztrennung bei der PMI | Ein infiziertes Altsystem des Targets infiziert die IT-Infrastruktur des Mutterkonzerns. | Isolation des Targets in einer Sandbox; schrittweise Systemharmonisierung unter SOC-Überwachung. |
| Ignorieren von NIS2-Fristen | Die Aufsichtsbehörde verhängt direkt nach dem Closing ein drakonisches Bußgeld gegen die Firma. | Einbeziehen der Sanierungskosten in die Net-Debt-Kaufpreisbrücke vor dem Notartermin. |
| Vergessen des Registerausschlusses (§ 25 HGB) | Gläubiger des alten Inhabers fordern die Begleichung historischer IT-Leasingrückstände beim Käufer. | Unverzügliche Anmeldung und Eintragung des Haftungsausschlusses im Handelsregister nach dem Closing. |
Mittelstands-Insight von Jürgen Penno: „Aus den statistischen Auswertungen von über 500 Transaktionsanbahnungen auf firmenzukaufen.de geht unbarmherzig hervor: Ein Unternehmenskauf scheitert in den finalen Metern fast nie an mangelnder Liquidität, sondern fast ausnahmslos an der psychologischen Reaktanz des abgebenden Gründers, wenn transaktionsunfahrene IT-Prüfer den Risikobericht als moralisches Fehlurteil formulieren, anstatt die Mängel partnerschaftlich und gesichtswahrend über flexible Kaufpreismechanismen abzufedern.“
11. Taktische Verhandlungspsychologie: Das Deeskalieren des Inhaber-Egos
Die fachliche Differenzierung gegenüber rein technokratischen IT-Leitfäden liegt im tiefen Verständnis der psychologischen Mechanismen bei einer Unternehmensnachfolge. Ein Firmenverkauf ist für den abgebenden Unternehmer der emotionalste Akt seiner Karriere.
-
Die Abwehr von Reaktanz beim Inhaber: Tritt der Käufer nach dem Cyber-Audit im Verhandlungsgespräch rein fordernd auf, reduziert das Target auf technologische Schwachstellen und diktiert aggressive Risikoabschläge, schaltet der Gründer auf Blockade. Er empfindet das Auftreten als respektlose Demontage seines Lebenswerks und bricht den Prozess trotz wirtschaftlicher Attraktivität abrupt ab.
-
Die gesichtswahrende Kaufpreis-Strukturierung über den Lead-Advisor: Der M&A-Berater des Käufers moderiert diese Phase als neutraler Puffer. Nutzen Sie die Ergebnisse der Cyber Due Diligence als psychologisches Deeskalationsinstrument über gestaffelte Earn-out-Modelle oder Verkäuferdarlehen (Vendor Loans): „Wir haben tiefen Respekt vor der von Ihnen aufgebauten Marktstellung und der herausragenden Qualität Ihrer operativen Prozesse. Damit unsere finanzierende Partnerbank den Kapitalbedarf freigibt und wir die langfristige Kapitaldienstfähigkeit des Modells nach der Geschäftsübernahme sichern, müssen wir die zukünftigen IT-Sanierungskosten zur Erreichung der gesetzlichen NIS2-Konformität berücksichtigen. Lassen Sie uns dieses technologische Ergebnis nutzen, um den Kaufpreis gesichtswahrend über ein zinsgünstiges Verkäuferdarlehen abzufedern, sodass Sie Euro für Euro am realen künftigen Erfolg des Betriebs partizipieren.“ Das nimmt dem Inhaber das Gefühl der Enteignung, wahrt die absolute Augenhöhe und führt die Transaktion sicher zum erfolgreichen Abschluss beim Unternehmen verkaufen.
FAQ: Cyber Due Diligence, NIS2-Richtlinie & IT-Haftungsrisiken im M&A-Prozess
1. Ist eine Cyber Due Diligence beim Unternehmenskauf gesetzlich vorgeschrieben? Eine explizite, isolierte gesetzliche Pflicht zur Durchführung einer Cyber Due Diligence existiert nicht. Allerdings ergibt sich die zwingende Notwendigkeit mittelbar aus den gesellschaftsrechtlichen Sorgfaltspflichten der Geschäftsführung (Sorgfaltsmaßstab des ordentlichen Geschäftsleiters gem. § 43 GmbHG / § 93 AktG). Wer ein Unternehmen ohne fundierte IT-Risikoprüfung erwirbt und dadurch Vermögensverluste für die Gesellschaft verursacht, haftet den Gesellschaftern persönlich mit seinem Privatvermögen.
2. Welche Unternehmen und Branchen sind konkret von der NIS2-Richtlinie betroffen? Die NIS2-Richtlinie erfasst alle Unternehmen mit mehr als 50 Mitarbeitern oder einer Jahresbilanzsumme von über 10 Millionen Euro, die in „besonders kritischen“ oder „kritischen“ Sektoren operieren. Hierzu zählen Energie, Transport, Bankenwesen, Gesundheit, Trinkwasser, digitale Infrastrukturen, Weltraum, Chemie, Post- und Kurierdienste, Abfallwirtschaft sowie das gesamte verarbeitende Gewerbe (insb. Maschinenbau, Fahrzeugbau und Medizintechnik).
3. Wie beeinflusst ein negatives Cyber-Audit konkret den Kaufpreis eines Unternehmens? Identifizierte IT-Sicherheitsmängel werden über das Cyber Value Adjustment (CVA) Modell finanzmathematisch quantifiziert. Die ermittelten Kosten für die Mängelbereinigung (z. B. Implementierung eines ISMS, Behebung kritischer CVE-Schwachstellen, Herstellung der NIS2-Konformität) werden als zinstragende Verbindlichkeiten direkt vom Enterprise Value abgezogen und mindern somit Euro für Euro den finalen Netto-Kaufpreis (Equity Value).
4. Welche Cyber-Risiken führen in der Praxis zu einem sofortigen Abbruch der Transaktion (Deal Breaker)? Ein sofortiger Abbruch der Verhandlungen ist unumgänglich, wenn das Target im Cyber Deal Breaker Score (CDBS) weniger als 45 Punkte erreicht. Typische Ausschlusskriterien sind ein aktiver, unkontrollierter Ransomware-Befall im Netzwerk, das vollständige Fehlen einer logisch getrennten Backup-Infrastruktur, existenzbedrohende Urheberrechtsverletzungen am Kernprodukt (Copyleft-Verstöße) oder das bewusste Verschweigen stattgefundener Datenpannen durch den Verkäufer.
5. Welche Unterlagen und technischen Nachweise müssen für eine Cyber Due Diligence bereitgestellt werden? Der Verkäufer muss im virtuellen Datenraum (VDR) IT-Sicherheitskonzepte, Netzwerkarchitekturpläne, Patch-Management-Protokolle, Inventarlisten aller Hard- und Software-Assets, Berichte historischer Penetrationstests, Verzeichnisse von Verarbeitungstätigkeiten (VVT) nach DSGVO, Nachweise über Schulungsmaßnahmen der Mitarbeiter sowie die Dokumentation der Backup- und Disaster-Recovery-Prozesse offenlegen.
6. Welche Rolle spielt die ISO 27001 Zertifizierung im M&A-Prozess? Ein gültiges Zertifikat nach ISO/IEC 27001 (oder dem BSI IT-Grundschutz) ist für den Käufer das stärkste Trust-Signal bezüglich der Security Governance des Targets. Es beweist, dass ein funktionierendes Informationssicherheits-Managementsystem (ISMS) implementiert ist, wodurch sich der zeitliche und finanzielle Aufwand für die Cyber Due Diligence drastisch verkürzt und das Haftungsrisiko minimiert wird.
7. Welche spezifische Bedeutung hat DORA für Transaktionen im Finanzsektor? Der Digital Operational Resilience Act (DORA) etabliert einen extrem restriktiven, harmonisierten Rechtsrahmen für die digitale Betriebsstabilität im europäischen Finanzsektor. Bei einer Akquisition in diesem Segment muss die Cyber Due Diligence penibel prüfen, ob das Target die strengen gesetzlichen Vorgaben bezüglich des Managements von IT-Drittanbieterrisiken und den Echtzeit-Meldepflichten erfüllt, da ansonsten ein sofortiges Verbot des Geschäftsbetriebs durch die BaFin droht.
8. Welche Auswirkungen hat der Cyber Resilience Act (CRA) auf Software- und Hardware-Targets? Der Cyber Resilience Act (CRA) verpflichtet Hersteller von Produkten mit digitalen Elementen dazu, über den gesamten Lebenszyklus hinweg lückenlose Sicherheitsupdates bereitzustellen und eine vollständige Software Bill of Materials (SBOM) vorzulegen. Die Cyber Due Diligence muss prüfen, ob das Target diese Auflagen erfüllt, da Produkte ohne CRA-Konformität mit einem sofortigen europaweiten Vertriebsverbot und drakonischen Bußgeldern belegt werden.
9. Wer haftet nach dem Closing für Cyber-Schäden, die vor dem Kauf verursacht wurden? Beim klassischen Share Deal haftet die erworbenen Gesellschaft (und damit mittelbar der Käufer) vollumfänglich für alle historischen Altlasten und Schäden. Um sich vor diesem existenzgefährdenden Risiko zu schützen, muss das Beraterteam des Käufers im Kaufvertrag (SPA) verschuldensunabhängige, betraglich ungedeckelte Spezifische Freistellungen (Cyber Indemnities) verankern, die den Verkäufer zur vollständigen finanziellen Schadloshaltung verpflichten.
10. Wie lange dauert eine professionelle Cyber Due Diligence im Mittelstand? Nach dem vollständigen Befüllen des virtuellen Datenraums beansprucht die tiefe, interdisziplinäre Cyber Due Diligence inklusive des Durchführens externer Penetrationstests und Code-Scans in der mittelständischen Praxis üblicherweise 2 bis 4 Wochen, gefolgt vom Verfassen des finalen Risikoberichts (Cyber-DD-Report).
Referenzen & Externe Autorität
-
IT-Sicherheit & Regulatorik:
Bundesamt für Sicherheit in der Informationstechnik (BSI) - Richtlinien und Vorgaben zur Umsetzung der NIS2-Richtlinie in Deutschland -
Unternehmensbewertung & M&A:
Institut der Wirtschaftsprüfer (IDW) - IDW S1 Standard zur Durchführung von Unternehmens- und Anteilswertbewertungen -
Gesellschaftsrecht:
Gesetz betreffend die Gesellschaften mit beschränkter Haftung (GmbHG) - § 15 GmbHG Formvorschriften und Notarpflicht bei Anteilskauf
Autorenbox
Jürgen Penno, Dipl.-Betriebsw. (FH). Experte für Unternehmensnachfolge und M&A-Transaktionen. Seit 2006 begleitet Jürgen Penno mittelständische Inhaber und Investoren dabei, den hochsensiblen Brückenschlag zwischen historischen Tabellenwerten und realen Marktpreisen erfolgreich zu gestalten. Mit dem TRANSACTION-STRATEGY-PROTOKOLL™ transformiert er modernste Cyber-Due-Diligence- und IT-Compliance-Verfahren in rechtssichere, wertschöpfende und verhandlungstaktisch optimierte Transaktions-Modelle, um den wirtschaftlichen Erfolg der Firmenübernahme von Beginn an abzusichern.
Rechtlicher Hinweis: Dieser Beitrag dient der Information und ersetzt keine individuelle Beratung. Jede Investition von Kapital, jede Firmenübernahme und jede vertragliche Ausgestaltung einer Unternehmensnachfolge sollte stets von qualifizierten M&A-Experten, Wirtschaftsprüfern, IT-Auditoren oder Fachanwälten für IT-Recht strategisch und juristisch begleitet werden.