Inhaltsverzeichnis

IT Due Diligence im Mittelstand IT-Bewertung & M&A

IT Due Diligence im Mittelstand: Was zwischen den Zeilen der Bilanz steht

Carola Schulte
Carola Schulte 1. April 2026 14 min Lesezeit

Ein Unternehmen wird verkauft. Die Bilanz ist sauber, der Steuerberater nickt, der Kaufpreis steht. Drei Monate nach der Übernahme stellt sich heraus: Die gesamte Auftragsabwicklung läuft über eine Access-Datenbank von 2009, der einzige Mensch, der das Warenwirtschaftssystem versteht, geht in Rente, und die Kundendaten liegen auf einem Server ohne Backup. Das ist kein Horrorszenario. Das ist Mittelstandsalltag.

Kurz gesagt: Bei Unternehmensverkäufen prüfen Steuerberater und Wirtschaftsprüfer Finanzen, Verträge und Steuern. Was sie nicht prüfen: den tatsächlichen Zustand der IT. Genau dort verstecken sich Risiken, die den Wert eines Unternehmens um sechs- bis siebenstellige Beträge verschieben können.

Der blinde Fleck im Verkaufsprozess

Die klassische Due Diligence bei KMU-Transaktionen deckt ab:

  • Financial DD: Bilanzen, GuV, Cashflow, Steuern
  • Legal DD: Verträge, Haftung, Gesellschaftsrecht
  • Commercial DD: Markt, Kunden, Wettbewerb

Was in den meisten Fällen fehlt: eine systematische Prüfung der IT-Landschaft. Und das, obwohl IT in praktisch jedem Unternehmen der operative Kern ist — von der Auftragsbearbeitung über die Lagerhaltung bis zur Kundenkommunikation.

Ein Unternehmen ohne funktionierende IT ist kein funktionierendes Unternehmen. Aber die IT taucht in keiner Bilanzposition auf.

Zwischen der klassischen Prüfung durch Steuerberater und Wirtschaftsprüfer auf der einen Seite und der technischen Bewertung auf der anderen klafft eine Lücke. Keine Seite ist dafür ausgebildet, die andere abzudecken — und genau in dieser Lücke verstecken sich die teuersten Überraschungen. Käufer bezahlen sie nach der Übernahme, Verkäufer verschenken sie als Verhandlungsstärke.

Was eine IT Due Diligence aufdeckt

1. Infrastruktur-Risiken

Die Fragen, die kein Steuerberater stellt:

Server und Netzwerk

  • Wie alt ist die Hardware? (Server über 5 Jahre = tickende Zeitbombe)
  • Gibt es ein Backup-Konzept? Wird es getestet?
  • Wo stehen die Server? Im Keller unter der Heizung?
  • Gibt es redundante Internetanbindung?
  • Wann wurde der letzte Restore-Test durchgeführt?

Typischer Fund: Ein Handwerksbetrieb mit 4 Mio. Jahresumsatz, dessen ERP auf einem Desktop-PC unter dem Schreibtisch des Geschäftsführers läuft. Kein Backup. Kein USV. Kein Plan B.

2. Software-Landschaft

Anwendungen und Lizenzen

  • Welche Software ist im Einsatz? Sind die Lizenzen übertragbar?
  • Gibt es Eigenentwicklungen? Wer hat den Quellcode?
  • Laufen geschäftskritische Prozesse über Excel-Makros?
  • Welche Software ist End-of-Life? (Windows Server 2012, PHP 5.x, Office 2013)
  • Gibt es SaaS-Verträge? An wen sind sie gebunden?

Typischer Fund: Die komplette Preiskalkulation läuft über ein Excel-Sheet mit 47 verschachtelten Makros, erstellt 2014 von einem Werkstudenten, der längst woanders arbeitet. Niemand versteht die Formeln. Alle vertrauen den Ergebnissen.

Technical Debt — die versteckte Verbindlichkeit: In der Software-Entwicklung gibt es den Begriff Technical Debt — technische Schulden, die entstehen, wenn Systeme über Jahre gewachsen sind, ohne modernisiert zu werden. Im M&A-Kontext verhält sich Technical Debt wie eine Verbindlichkeit, die in keiner Bilanz auftaucht: Er verursacht laufende Mehrkosten (Zinsen), bindet Kapazität und senkt den tatsächlichen Unternehmenswert. Wer Technical Debt nicht beziffert, kauft eine unsichtbare Hypothek.

3. Daten und Datenschutz

DSGVO und Datenhaltung

  • Wo liegen Kundendaten? In wie vielen Systemen?
  • Gibt es ein Verzeichnis der Verarbeitungstätigkeiten?
  • Werden Löschfristen eingehalten?
  • Sind Auftragsverarbeitungsverträge mit allen Dienstleistern geschlossen?
  • Gab es Datenschutzvorfälle, die nicht gemeldet wurden?

Typischer Fund: Kundendaten in einer Cloud-Lösung mit US-Hosting, ohne AVV, ohne Rechtsgrundlage. Ein DSGVO-Bußgeld kann bei KMUs schnell 50.000–200.000 Euro bedeuten.

4. Personenabhängigkeiten

Kopfmonopole

  • Wer administriert die IT? Intern oder extern?
  • Gibt es dokumentierte Passwörter und Zugänge?
  • Wie viel Wissen steckt in einzelnen Köpfen?
  • Was passiert, wenn der IT-Verantwortliche morgen kündigt?

Typischer Fund: Der Geschäftsführer ist gleichzeitig der einzige Admin. Root-Passwörter stehen auf einem Post-it. Der externe IT-Dienstleister hat einen Vertrag von 2017, der nie aktualisiert wurde. Kein Notfallplan.

5. Digitalisierungsgrad

Reifegrad und Modernisierungsbedarf

  • Wie digital sind die Kernprozesse? Auftragseingang, Produktion, Auslieferung, Rechnung?
  • Gibt es Medienbrüche? (Auftrag kommt per Mail, wird ausgedruckt, manuell ins System getippt)
  • Welche Prozesse sind automatisiert, welche manuell?
  • Gibt es ein CRM? Oder ist der Vertrieb im Kopf des Inhabers?

Warum das für Käufer relevant ist: Ein niedriger Digitalisierungsgrad bedeutet entweder Investitionsbedarf (Kaufpreisminderung) oder Potenzial (Wertsteigerung durch Modernisierung). Beides muss beziffert werden.

IT-Risiken in Euro

Die Frage ist nicht ob IT-Risiken existieren, sondern was sie kosten. Hier eine realistische Kalkulation für ein typisches KMU mit 20–50 Mitarbeitern:

Risiko Szenario Geschätzte Kosten
Serverausfall ohne Backup Totalverlust Daten, 2 Wochen Stillstand 80.000–250.000 €
Ransomware-Angriff Verschlüsselung, Betriebsunterbrechung, Wiederherstellung 100.000–500.000 €
DSGVO-Verstoß Bußgeld + Schadenersatzforderungen 50.000–200.000 €
Lizenz-Audit Nachlizenzierung + Strafen 20.000–100.000 €
Key-Person-Risiko Wissensträger verlässt Firma, Neuaufbau 50.000–150.000 €
Modernisierungsstau ERP-Migration, Server-Erneuerung, Cloud-Umzug 100.000–400.000 €
Rechnung: Ein KMU mit drei dieser Risiken trägt ein unerkanntes IT-Risiko von 250.000 bis 750.000 Euro. Bei einem Kaufpreis von 2 Millionen Euro sind das 12–37% des Transaktionswertes. Kein Käufer würde das bei einer Immobilie akzeptieren — bei IT ist es Standard.

Wie eine IT Due Diligence abläuft

Eine IT Due Diligence ist kein Monate dauerndes Projekt. Für ein KMU reichen typischerweise 3–5 Tage:

Tag 1–2: Bestandsaufnahme

  • Interview mit IT-Verantwortlichen und Geschäftsführung
  • Erfassung aller Systeme, Software, Verträge, Lizenzen
  • Netzwerk-Scan und Infrastruktur-Dokumentation
  • Sichtung vorhandener Dokumentation (falls vorhanden)

Tag 3: Technische Analyse

  • Server- und Netzwerk-Check (Alter, Zustand, Redundanz)
  • Backup-Prüfung (existiert es? funktioniert es?)
  • Security-Scan (Patches, Firewall, Zugriffsrechte)
  • Code-Review bei Eigenentwicklungen

Tag 4: Bewertung

  • Risiko-Matrix erstellen (Eintrittswahrscheinlichkeit × Schaden)
  • Modernisierungskosten kalkulieren
  • Digitalisierungsgrad bewerten
  • Personenabhängigkeiten identifizieren

Tag 5: Bericht

  • Management-Summary für Käufer/Verkäufer (nicht-technisch)
  • Detaillierter technischer Bericht
  • Priorisierte Handlungsempfehlungen
  • Kostenaufstellung: Was muss sofort, was kann warten

Perspektive Käufer vs. Verkäufer

Für Käufer: Risiken erkennen, Kaufpreis verhandeln

Eine IT Due Diligence schützt vor bösen Überraschungen. Die Ergebnisse liefern:

  • Kaufpreisminderung: Konkrete Zahlen für notwendige IT-Investitionen nach der Übernahme
  • Deal-Breaker erkennen: Gibt es IT-Risiken, die den gesamten Deal infrage stellen?
  • 100-Tage-Plan: Was muss sofort nach der Übernahme passieren?
  • Integrationsstrategie: Wie lässt sich die IT in bestehende Strukturen eingliedern?

Für Verkäufer: Wert dokumentieren, Verhandlungsposition stärken

Ein IT-Assessment vor dem Verkaufsprozess ist ein strategischer Vorteil:

  • Proaktiv statt reaktiv: Wer seine IT-Risiken kennt und einen Maßnahmenplan hat, wirkt professionell
  • Höherer Kaufpreis: Ein nachweisbar guter Digitalisierungsgrad steigert den Unternehmenswert
  • Schnellerer Verkaufsprozess: Weniger Nachfragen, weniger Nachverhandlung
  • Modernisierung vor dem Verkauf: Gezielte Investitionen mit dem höchsten ROI für den Kaufpreis
Typisches Szenario: Ein produzierender Mittelständler mit 8 Mio. Jahresumsatz lässt vor dem geplanten Verkauf ein IT-Assessment durchführen. Ergebnis: 120.000 Euro Investition in Server-Modernisierung, Backup-Konzept und Dokumentation. Der Kaufpreis steigt um 350.000 Euro, weil der Käufer keine IT-Risiken mehr einpreisen muss. ROI: 192%. — Konstruiertes Beispiel auf Basis typischer Projektgrößen im Mittelstand.

Schnellcheck: Braucht dieses Unternehmen eine IT Due Diligence?

Red Flags — Wenn drei oder mehr zutreffen, ist eine IT DD dringend empfohlen

  • Es gibt keine IT-Dokumentation
  • Der IT-Verantwortliche ist eine Einzelperson (intern oder extern)
  • Die Server-Hardware ist älter als 5 Jahre
  • Geschäftskritische Prozesse laufen über Excel oder Access
  • Es gibt kein getestetes Backup- und Recovery-Konzept
  • Passwörter werden geteilt oder sind undokumentiert
  • Software-Updates werden seit Jahren aufgeschoben
  • Es existiert kein Notfallplan für IT-Ausfälle
  • Die Kundendatenbank ist eine einzige große Datei
  • Niemand kann erklären, wie die IT-Kosten zusammengesetzt sind

Die Nachfolgelücke — und warum IT-Bewertung jetzt relevant wird

Im DACH-Raum stehen bis 2030 über 500.000 Unternehmensübergaben an — mit einem geschätzten Transaktionsvolumen von mehreren hundert Milliarden Euro. Allein bis 2027 suchen 190.000 Betriebe in Deutschland, 6.500 in Österreich und 12.000 in der Schweiz einen Nachfolger (Quelle: dealorigination.de).

Die wenigsten dieser Transaktionen werden technisch bewertet. Dabei entscheidet der Zustand der IT zunehmend über den Erfolg einer Übernahme: Kann der Käufer die Prozesse weiterführen? Muss er sofort investieren? Sind die Systeme skalierbar oder ein Engpass?

Für Intermediäre und M&A-Berater bedeutet das: Wer den Digitalisierungsgrad eines Übernahmekandidaten nicht kennt, kann den Kaufpreis nicht seriös bewerten. Und für Unternehmer, die gar nicht ans Verkaufen denken: Dieselben IT-Risiken kosten auch ohne Transaktion — jeden Monat, in langsamen Prozessen, in Ausfällen, in Fachkräften die Workarounds pflegen statt Wertschöpfung zu machen.

Fazit

IT Due Diligence ist kein Luxus für Großkonzerne. Sie ist eine betriebswirtschaftliche Notwendigkeit für jede KMU-Transaktion. Wer ein Unternehmen kauft, kauft auch dessen IT — mit allen Risiken, Schulden und Potenzialen.

Die gute Nachricht: Eine IT Due Diligence ist überschaubar in Aufwand und Kosten. 3–5 Tage, ein klarer Bericht, konkrete Zahlen. Das ist weniger als die meisten Unternehmen für die Anwaltskosten beim Kaufvertrag ausgeben.

Die bessere Nachricht: Auch ohne Verkaufsabsicht ist ein IT-Assessment sinnvoll. Wer seine IT-Risiken kennt, kann sie beheben, bevor sie zum Problem werden.

Denn im Gegensatz zu Bilanzkennzahlen lügt die IT nicht. Sie zeigt genau, wie ein Unternehmen wirklich arbeitet.

Weiterlesen: Im Artikel Technical Debt quantifizieren: Wie Sie Altlasten in Euro umrechnen zeige ich detailliert, wie Sie technische Schulden messen und in Business-Cases übersetzen.
Carola Schulte

Carola Schulte

Software-Architektin mit Fokus auf IT-Bewertung, Legacy-Modernisierung und technische Due Diligence im Mittelstand.

Beratung anfragen

IT Due Diligence für Ihr Vorhaben

Sie planen einen Unternehmenskauf oder -verkauf? Ich prüfe die IT-Landschaft, bewerte Risiken und Potenziale und liefere einen Bericht, der auch Ihr Steuerberater versteht — mit konkreten Zahlen statt technischem Fachjargon.

IT Due Diligence anfragen