Checkliste zur IT-Due Diligence

  • IT Strategie

Liebe Blogleserinnen und Blogleser,

fragt man Managerinnen und Manager nach den Gründen für das Scheitern von M&A Deals wird häufig auf eine mangelhafte Integration verwiesen. Oft gelingt es nicht, unterschiedliche Arbeitswelten oder technische Systeme zusammenzubringen. Als IT-Berater unterstützen wir Kunden bei der Integration von aufgekauften Einheiten im Bereich der IT / OT-Landschaft und des Technology Portfolios. Unsere Beraterinnen und Berater haben eine Checkliste mit den wichtigsten Punkten formuliert, die bei jeder Integration im Rahmen einer IT-Due Diligence behandelt werden sollten. Im Folgenden möchten wir diese kurz vorstellen.

Ziele der IT Due Diligence

Ein umfangreiche IT Due Diligence im Rahmen eines M&A-Deals stellt eine Momentaufnahme der wichtigsten Initiativen und Projekte des Unternehmens dar. Wichtige Strategien, Praktiken, Ressourcen aber auch mögliche Sicherheitsbedrohungen und andere Herausforderungen werden sichtbar. Der Abgleich dieser Informationen mit dem Unternehmen des Käufers ist unabdingbar, um festzustellen, ob sich überhaupt Synergien ergeben.

Nachfolgend haben wir eine Checkliste für die IT und OT Landschaft für Sie zusammengestellt.

Die Vision: Ausrichtung der IT-Landschaft

Der erste Teil der Checkliste befasst sich mit dem „großen Ganzen“ und der Ausrichtung der IT-Landschaft. Hier beschäftigen wir uns mit den folgenden Fragestellungen:

  • Welche Initiativen und Projekte werden derzeit verfolgt oder sind geplant
  • Überblick über die Kernressourcen der IT (Hardware / Software / Menschen)
  • Überblick über die Wachstumskapazitäten der gegenwärtigen IT-Landschaft

Besonders wichtig zu verstehen ist, welche Rolle und welche Ziele das IT-Department in der Organisation verfolgt. Ist man reiner Dienstleister und Cost-Center für das Business oder ist die IT ein Investmentcenter, welche das Geschäftsmodell digital unterstützt und vorantreibt? Um dies festzustellen zu können, werden im ersten Schritt laufende und geplante Initiativen sowie Projekte betrachtet. Immer im Fokus: Spielt die IT eine wesentliche Rolle im Geschäftsmodell. Aber auch ein Blick auf die Kernressourcen und das Staffing der IT-Organisation kann entsprechend Auskunft geben.

IT-Landschaft: Hardware

Der zweite Teil unserer Checkliste befasst sich mit der eingesetzten Hardware. Die folgenden Punkte werden hier besonders interessant für den Erwerber des Unternehmens:

  • Strategien und Praktiken für den Kauf und die Wartung von Hardware
  • Überblick über die wesentliche Hardware, die vom aufzukaufenden Unternehmen verwendet wird und deren physische Standorte
  • Diagramm der technischen Kernarchitektur mit allen relevanten Assets, wie Servern, Speichergeräten, Betriebssystemen und Datenbanken
  • Beschreibung der Netzwerksysteme und deren spezifischen Hardwarekomponenten und Konfigurationen
  • Überblick über alle IT-Dienstleistungen, welche von Drittunternehmen, externen IT-Mitarbeitern und IT-Beratern im Bereich Hardware erbracht werden
  • Überblick über die jährlichen Kosten, welche durch die Wartung, Upgrade sowie Ersatz von Hardware verursacht wird
  • Aktuelle Buchwerte aller Hardware-Assets

Hier sollten alle relevanten Assets der vorhandenen IT-Landschaft und Netzwerkinfrastruktur betrachtet werden. Besonders wichtig ist hier die Betrachtung des Buchwerts der Assets, um festzustellen welches Alter die Assets aufweisen und ob regelmäßig in neues Equipment investiert wurde. Weiterhin ist eine Feststellung der Verträge und Laufzeiten der externen Dienstleister und Rechenzentren sinnvoll, um Kosten und Kündigungsfristen im Rahmen zur Erzielung von Synergieeffekten zu bewerten.

Wenn die Beschaffung möglich ist, dann sind Netzdiagramme und Konfigurationen der Kernarchitektur der IT-Landschaft hilfreich, um bereits erste Indikationen für einen Integrationsansatz zu bewerten.

IT-Landschaft: Software

Analog zum vorherigen Teil befassen wir uns nun im dritten Teil mit den im Unternehmen eingesetzten Softwarelösungen. Die Fragen sind hier ähnlich wie für den Teil der eingesetzten Hardware:

  • Strategien und Praktiken für den Kauf und die Wartung von Software
  • Überblick über die wesentliche Software, die vom aufzukaufenden Unternehmen verwendet wird
  • Buchwerte der entsprechenden Softwarelösungen
  • Überblick über alle IT-Dienstleistungen, welche von Drittunternehmen, externen IT-Mitarbeitern und IT-Beratern im Bereich Software erbracht werden
  • Überblick über alle Verträge für Software und IT-Services
  • Überblick über Eigenentwicklungen

Besonders im Fokus stehen jene Softwarelösungen, welche für den Geschäftsbetrieb unerlässlich sind. Daher sollte eine Klassifizierung der Softwarelösungen nach Kritikalität erfolgen. Auch der Versionsstand ist ein wichtiger Faktor, da dieser Migrationspfade zur Synergieerreichung ggfls. entscheidend beeinflusst.

Essenziell ist auch zu verstehen, in welcher Form Eigenentwicklungen zum Geschäftsbetrieb beitragen. Gegebenenfalls muss hier entsprechendes Fachwissen übernommen oder aufgebaut werden oder durch entsprechende Standardsoftware abgelöst werden.

IT Prozesse und Service Desk

Im vierten Teil konzentrieren wir uns auf die IT-Prozesse und den IT-Service Desk

Gerade im Rahmen einer Integration sollten die folgenden Punkte betrachtet werden, um zu verstehen, wie die angebotenen IT-Services betreut werden:

  • Beschreibung des Servicedesk Konzepts (Hotline, Self Service Points, Chatbots, …)
  • Effizienz des Servicedesks anhand der gängigen KPIs
  • Übersicht der bereitgestellten und betreuten IT-Services
  • Eingesetzte Tools im Rahmen des IT-Servicedesk sowie etablierte Service Management Praktiken

Das Servicedesk Konzept und die entsprechenden Kontaktmöglichkeiten, z.B Self Service Portale sowie Chatbots, können die Last der Supportanfragen mit einer menschlichen Interaktion reduzieren. Weiterhin können durch die entsprechenden KPIs Ableitungen zur Qualität der IT-Services und zum Nutzerverhalten der Belegschaft getroffen werden. Auch die benutzen Tools, Schnittstellen zu anderen IT-Systemen sowie etablierte Service Management Praktiken geben einen Hinweis auf einen Integrationspfad in die bestehende Service Desk Landschaft, um die größtmöglichen Synergien zu erzielen.

Cyber Security in der IT Landschaft

Im vorletzten Teil, dem fünften Teil, unserer Checkliste sollte eine genaue Untersuchung der IT-Security-Maßnahmen des Unternehmens erfolgen. Dieser Bereich wird angesichts der sich schnell ändernden Threat-Landscape und den daraus resultierenden gehäuften Cyberattacken immer wichtiger. Die folgenden Bereiche sollten daher berücksichtigt werden:

  • Detaillierte Zusammenfassung der wichtigsten Sicherheitsprotokolle
  • Beschreibung von Verfahren und Richtlinien für Backups und Notfallwiederherstellungen, Redundanzkonzept
  • Detaillierte Zusammenfassung der Datenschutzrichtlinien und entsprechender Vorgehensweisen
  • Beschreibung von Verfahren und Richtlinien zur Datenspeicherung und Datenverschlüsselung
  • Zusammenfassung von Stresstest Analysen, insbesondere der Lösungsansätze für gefundene Probleme
  • Detaillierte Übersicht der Überwachungs- und Schutzmaßnahmen insbesondere
    • Endpoint Security (Phishing, Device Management, …)
    • Internet & Cloud Security (Cloud Service Usage (AWS, Azure, …)
    • Applikation Security (Containerization)
  • End User Security (User Awareness Kampagnen zur Stärkung der „Human Firewall“)
  • Zusammenfassung aller protokollierten Sicherheitsvorfälle in Bezug auf Cyberattacken, Viren und Malware Vorfällen

Es muss jedoch vermerkt werden, dass es gegebenenfalls Herausforderungen gibt, alle angesprochenen Informationen, insbesondere jede rund um vergangenen oder bestehende Cyber-Security Attacken, zur Due Diligence von der Gegenseite zu erhalten. Dennoch lässt eine Evaluierung der zuvor genannten Punkte einen Rückschluss auf den Security Footprint des Unternehmens zu und welche Angriffsfläche potenziellen Angreifern zur Verfügung steht.

Cyber Security in der OT Landschaft

Sofern es sich um ein produzierendes Unternehmen handelt, ist es in jedem Fall sinnig, die OT-Landschaft und die etablierten Cyber-Security Maßnahmen ebenfalls zu durchleuchten. Durch die Internet Connectivity der OT-Systeme wächst die IT und OT Welt stärker zusammen. Als Ergebnis entstehen zunehmend neue Vulnerabilitäten im OT-Bereich, welche im Sinne der Sicherheit und Kontrolle des Produktionsprozesses mitigiert werden müssen. Dabei ist besonders auf folgende Punkte zu achten:

  • Risikoanalyseprozesse und durchgeführte Security-Audits
  • Netzsegmentierung der OT Systeme
  • Zentrale Nutzerverwaltung und Rechteverwaltung des Bedienerpersonals
  • Identifizierung und Authentifizierung aller OT Assets
  • Konzepte zur Durchführung von Updates
  • Datensicherung der OT-Systeme
  • Vorhandene Richtlinien und Security Prozesse

Wenn keine Cyber-Security Maßnahmen in der OT Landschaft etabliert sind, kann dies auf ein beträchtliches Einfalltor für Cyberattacken auf das Hauptgeschäft des Unternehmens hinweisen. Dieses kann dann oft nur mit einem erheblichen finanziellen Aufwand geschlossen werden. Zudem hilft die Beleuchtung der genannten Punkte einen ersten Rückschluss auf mögliche Integrationsszenarien in die bestehende OT-Landschaft zu ziehen.

Fazit

Abschließend kann festgehalten werden, dass während einer IT-Integration alle Punkte in der Detailtiefe mit entsprechenden Dokumentationen des potenziellen Target-Unternehmens zu belegen sind. Sofern die gewünschten Informationen nicht während der Due Diligence zur Verfügung stehen, müssen Sie die Bewertungen auf Annahmen und öffentlich zugängliche Informationen stützen.

Wir unterstützen Sie mit unserer Expertise in der Durchführung der entsprechenden IT-Due Diligence und Auswertung der gesammelten Informationen. Vereinbaren Sie einen Termin für ein erstes Beratungsgespräch.