Die IT Due Diligence Checkliste 2026: Ein strategischer Rahmen für M&A

• Die strategische Rolle der IT Due...
• Checkliste für Infrastruktur- und Cloud-Betrieb
• Softwarearchitektur und technische Schulden
• Cybersecurity und Datenschutz-Compliance
• IT-Organisation und Reifegrad der Governance
• Beschleunigung der IT Due Diligence mit Plausity

IT Due Diligence hat sich von einer einfachen Bestandsaufnahme von Vermögenswerten zu einer komplexen Bewertung des Ausführungsvertrauens entwickelt. Im Jahr 2026 hat sich der Fokus auf die Bewertung der "Intelligence Layer" eines Unternehmens verlagert. Deal-Teams müssen nun feststellen, ob die KI-Fähigkeiten eines Zielunternehmens proprietär und verteidigungsfähig sind oder lediglich eine Hülle um Drittanbieter-APIs mit erheblichen Abhängigkeitsrisiken darstellen.

Die Kosten für die Aufsicht sind so hoch wie nie zuvor. Der IBM-Bericht "Cost of a Data Breach Report" aus dem Jahr 2025 zeigt, dass die durchschnittlichen Kosten einer Datenschutzverletzung in den Vereinigten Staaten 10,22 Millionen Dollar erreicht haben. Darüber hinaus verursacht das Aufkommen von "Shadow AI" – der nicht genehmigten Nutzung von KI-Tools durch Mitarbeiter – zusätzliche Kosten von durchschnittlich 670.000 Dollar. Ein rigoroser ITDD-Prozess identifiziert diese versteckten Verbindlichkeiten, bevor sie zu Krisen nach dem Abschluss werden.

Moderne Infrastruktur zeichnet sich durch ihre Elastizität und Kosteneffizienz aus. Ziel dieses Workstreams ist es, zu validieren, dass die Umgebung des Zielunternehmens die Investitionsthese unterstützen kann, ohne dass eine vollständige Re-Architektur erforderlich ist.

• Cloud-Architektur: Überprüfen Sie die Nutzung von AWS, Azure oder GCP. Bewerten Sie den Reifegrad der Containerisierung (Kubernetes, Docker) und der serverlosen Implementierungen.
• Skalierbarkeitsgrenzen: Identifizieren Sie Engpässe im aktuellen Setup. Kann das System eine Verzehnfachung der Benutzerlast ohne eine lineare Erhöhung der Kosten bewältigen?
• Disaster Recovery (DR): Überprüfen Sie das Vorhandensein von getesteten DR-Plänen und Business Continuity Plans (BCP). Überprüfen Sie die Metriken RTO (Recovery Time Objective) und RPO (Recovery Point Objective).
• Vendor Dependencies: Erfassen Sie kritische Drittanbieter von Dienstleistungen. Bewerten Sie das Konzentrationsrisiko, wenn ein einzelner Anbieter schwer zu ersetzen ist.
• Kostenoptimierung: Analysieren Sie die Ausgabenmuster für die Cloud. Suchen Sie nach "Zombie"-Ressourcen oder ineffizienter Instanzdimensionierung, die unmittelbare Synergieeffekte darstellen.

Technische Schulden sind ein stiller Killer des Deal-Wertes. Sie lenken Engineering-Ressourcen von Innovation zu Wartung um und wirken effektiv wie ein hochverzinsliches Darlehen gegen zukünftiges Wachstum. ITDD muss diese Schulden quantifizieren, um die Bewertung oder das Budget nach dem Abschluss anzupassen.

Framework zur Bewertung technischer Schulden:

1. Code-Qualität: Bewerten Sie die Verwendung von Versionskontrolle, automatisierten Tests und CI/CD-Pipelines. Ein hoher Anteil an undokumentiertem oder komplexem Code ist ein Warnsignal.
2. Modulare Architektur: Bewerten Sie den Grad der Entkopplung. Monolithische Systeme sind schwieriger zu integrieren und zu skalieren als Architekturen, die auf Microservices basieren.
3. Open-Source-Compliance: Überprüfen Sie die Verwendung von Open-Source-Bibliotheken. Stellen Sie die Einhaltung der Lizenzen (GPL, Apache, MIT) sicher, um eine Kontamination des geistigen Eigentums zu vermeiden.
4. API-Reifegrad: Überprüfen Sie die interne und externe API-Dokumentation. Eine gut dokumentierte API ist für eine schnelle Post-Merger-Integration unerlässlich.
5. KI-Integration: Bewerten Sie bei Unternehmen mit KI-Funktionen die Modellherkunft, die Qualität der Trainingsdaten und die Kosten der Inferenz in großem Maßstab.

Cybersecurity hat sich zu einer vorrangigen Aufgabe auf Vorstandsebene entwickelt. Im Jahr 2026 ist die Regulierungslandschaft aggressiver denn je, wobei der EU AI Act neben der DSGVO eine wichtige Compliance-Hürde darstellt. Bis zum 2. August 2026 müssen die meisten Organisationen strenge Regeln für KI-Systeme mit hohem Risiko einhalten.

Kritische Bereiche des Sicherheitsaudits:

• Sicherheitslage: Überprüfen Sie die Zertifizierungen SOC 2 Typ II, ISO 27001 oder ISO 42001. Überprüfen Sie die letzten Ergebnisse von Penetrationstests und Protokolle zur Behebung von Fehlern.
• Identity and Access Management (IAM): Bestätigen Sie die Verwendung von Multi-Faktor-Authentifizierung (MFA) und Zero-Trust-Prinzipien. 97 % der KI-bezogenen Verstöße im Jahr 2025 traten in Organisationen auf, denen es an angemessenen Zugriffskontrollen mangelte.
• Vorfallhistorie: Überprüfen Sie das Protokoll vergangener Sicherheitsvorfälle. Analysieren Sie die Effektivität der Reaktion und alle daraus resultierenden Rechtsstreitigkeiten oder behördlichen Bußgelder.
• Data Governance: Erfassen Sie den Fluss von personenbezogenen Daten (PII). Stellen Sie sicher, dass sensible Daten nicht unsachgemäß zum Trainieren von KI-Modellen verwendet werden.
• EU AI Act Readiness: Bewerten Sie für Ziele, die in der EU tätig sind, die Klassifizierung ihrer KI-Systeme (verboten, hohes Risiko, begrenzt oder minimal) und ihre Fortschritte in Richtung der Compliance-Frist August 2026.

Die Technologie eines Unternehmens ist nur so effektiv wie das Team, das sie verwaltet. Dieser Abschnitt bewertet die menschliche Komponente und die Prozesse, die die technische Ausführung steuern.

• Teamstruktur: Überprüfen Sie die Anzahl der Mitarbeiter in den Bereichen Engineering und IT. Identifizieren Sie „Key-Person-Abhängigkeiten“, bei denen kritisches Wissen von einer einzelnen Person gehalten wird.
• Entwicklungsgeschwindigkeit: Messen Sie die Bereitstellungshäufigkeit und die Vorlaufzeit für Änderungen. Dies gibt Aufschluss über die Agilität der Engineering-Organisation.
• IT-Ausgaben: Analysieren Sie das IT-Budget als Prozentsatz des Umsatzes. Vergleichen Sie es mit Branchen-Benchmarks, um Unterinvestitionen oder Verschwendung zu identifizieren.
• Governance-Richtlinien: Überprüfen Sie die Richtlinien für die Datenspeicherung, die akzeptable Nutzung und die KI-Ethik. 63 % der Unternehmen verfügen derzeit nicht über formelle KI-Governance-Richtlinien, was ein erhebliches Compliance-Risiko darstellt.
• Vertragliche Verpflichtungen: Überprüfen Sie IT-bezogene Verträge auf Change-of-Control-Klauseln, die durch die Transaktion ausgelöst werden könnten.

Die traditionelle IT Due Diligence ist oft fragmentiert, wobei die Ergebnisse in statischen Tabellenkalkulationen vergraben sind. Plausity verwandelt diesen Prozess in einen hochgeschwindigkeitsfähigen, KI-nativen Workflow. Durch die Automatisierung der Aufnahme von Tausenden von technischen Dokumenten ermöglicht Plausity den Deal-Teams, 9 DD-Workstreams gleichzeitig durchzuführen, darunter Cybersecurity, Tech DD und Website Compliance.

Die Plattform bietet 100 % Quellennachverfolgbarkeit und verknüpft jeden Befund mit dem spezifischen Dokument, der Seite und dem Absatz. Dieses Maß an Strenge ist der Grund, warum ein Big Four Advisory Partner berichtete, eine Commercial DD Timeline bei einer Mid-Market-Transaktion von drei Wochen auf fünf Tage verkürzt zu haben. Plausity ersetzt nicht das menschliche Urteilsvermögen; es erweitert es, indem es wesentliche Risiken aufzeigt und investorenreife Berichte in Stunden, nicht in Wochen, erstellt.

Mit Security auf Enterprise-Niveau (SOC 2 Typ II, ISO 27001, ISO 42001) und Compliance mit dem EU AI Act stellt Plausity sicher, dass sensible Deal-Daten geschützt und niemals zum Trainieren von KI-Modellen verwendet werden. Deal-Experten können nun mit beispielloser Geschwindigkeit und Überzeugung von der Datenraumaufnahme zu einer priorisierten Risikoroadmap übergehen.

• Die IT Due Diligence im Jahr 2026 muss die KI-Readiness und die Einhaltung von Vorschriften, insbesondere des EU AI Act, priorisieren, um erhebliche Verbindlichkeiten nach Abschluss der Transaktion zu vermeiden.
• Cybersecurity ist ein primärer Werttreiber, wobei die Kosten für Datenschutzverletzungen in den USA 10 Millionen Dollar übersteigen und Shadow AI sich zu einem neuen Risikofaktor von 670.000 Dollar entwickelt.
• KI-native Arbeitsbereiche wie Plausity verkürzen die DD-Zeitpläne von Wochen auf Tage, indem sie die Dokumentenanalyse über 9 Workstreams mit vollständiger Quellennachverfolgbarkeit automatisieren.