Zum Inhalt springen
SecTepe Mit Sicherheit gut aufgestellt!
EN
Compliance

M&A-Due-Diligence Cyber: Was Käufer 2026 in 4 Wochen prüfen – und woran Deals scheitern

SecTepe Redaktion
|
|
6 Min. Lesezeit

Wer 2026 sein Unternehmen verkauft, hat nicht mehr nur Finanzkennzahlen, Verträge und Mitarbeiterverträge im Datenraum. Cyber-Due-Diligence ist zum eigenständigen Workstream geworden – und hat in den letzten 24 Monaten mehrere Deals zerrissen.

Warum Käufer 2026 so genau hinschauen

Drei Treiber:

  • Übernommene Cyber-Risiken werden zu eigenen. Wer ein Unternehmen kauft, kauft seine ungepatchten Server, seine kompromittierten Konten, seine offenen Datenpannen – und seine Haftung dafür.
  • NIS-2 erweitert die Pflichten. Käufer in regulierten Branchen müssen NIS-2-Compliance auch des Targets sicherstellen, sofort.
  • Versicherer prüfen das kombinierte Risiko. Cyber-Police nach Akquisition wird neu verhandelt – mit den schwächeren Standards des Targets.

Was der typische Cyber-DD-Fragenkatalog 2026 enthält

  1. ISMS-Status: Ist eines vorhanden? Nach welchem Standard? Letztes Audit-Datum? Letzte Befunde?
  2. Vorfalls-Historie 36 Monate: alle Sicherheitsvorfälle, mit Schadenshöhe, Aufdeckung, Reaktion, Lessons-Learned.
  3. Datenschutz-Vorfälle: meldepflichtige Pannen mit Behörden-Kommunikation, Geld-Bußen, offene Verfahren.
  4. Asset-Inventar: vollständige Liste mit Schutzbedarf, EOL-Status, Cloud-Verträgen, Lieferanten-Verzeichnis.
  5. Identity-Hygiene: aktive Konten, geschlossene Konten, MFA-Coverage, privilegierte Zugänge.
  6. Patch-Status: kritische CVEs der letzten 12 Monate, Patch-Stand jetzt, mittlere Patch-Latenz.
  7. SIEM/EDR-Coverage: welche Endpoints, welche Server, welche Cloud-Dienste sind tatsächlich überwacht?
  8. Incident Response Plan">Incident-Response-Plan: schriftlich, getestet, wann zuletzt?
  9. Lieferanten-Risiken: TPRM-Status, Schrems-II-Bewertung, Sub-Prozessor-Listen.
  10. Compliance-Lücken: NIS-2, DSGVO, branchenspezifische Frameworks – Stand und Roadmap.

Die drei Findings, die Deals killen

Aus realen DD-Erfahrungen:

  • Verschwiegener Vorfall: Auffällig im Audit-Log oder in alten E-Mails, vom Verkäufer nicht offengelegt. Vertrauensbruch – Deal pausiert oder bricht.
  • Datenpanne ohne Behörden-Meldung: aber meldepflichtig gewesen. Käufer würde mit dem Vorgang in den Aufsichts-Schriftverkehr eintreten – will er nicht.
  • Krasse Identity-Schulden: 30 % Konten ohne MFA, 200 alte Konten verlassener MA, 15 Service-Accounts mit Standard-Passwort. Der Käufer schätzt 6–12 Monate Sanierung – Kaufpreis-Reduktion oder Rückabwicklung.

Was eine integrierte Plattform im DD-Prozess bringt

Mit SecTepe.Core + SecTepe.Comm sind die DD-Fragen beantwortbar in Tagen statt Wochen:

  • ISMS-Export: Statement of Applicability, Risk Register, Maßnahmen-Status als PDF/CSV.
  • Vorfalls-Historie: aus Wazuh + Audit-Log, korrekt zeitgestempelt, ohne Cherry-Picking-Verdacht.
  • Asset-Inventar: lückenlos, mit Schutzbedarf, Lifecycle-Status, Vertragsverknüpfung.
  • MFA/Patch-Coverage: Live-Reports, nicht nur „Stand letzten Quartals".
  • Lieferanten-Liste: aus dem TPRM-Modul mit Risiko-Scores und letzten Re-Assessments.
  • Trust-Center: viele DD-Fragen sind dort schon öffentlich beantwortet – Vertrauen vor dem ersten Termin.

Bewertungs-Effekt: was der Käufer dafür zahlt

Studien aus 2025 zeigen: ein Target mit dokumentiertem ISMS, sauberer Vorfalls-Historie und geringen Cyber-Schulden bekommt im Schnitt 5–8 % Bewertungs-Plus. Andersherum: gravierende Cyber-Schulden ziehen 15–25 % Reduktion oder einen Earn-Out, der an Sanierungs-Meilensteinen hängt.

Bei einem 50-Mio.-Deal sind das 2,5–4 Mio. € Aufschlag oder 7,5–12,5 Mio. € Abschlag. Cyber-Hygiene ist der einzige Hebel, der mit drei-stelligen Tausender-Euros (Plattform + Service) drei-stellige Tausender bis Millionen am Kaufpreis bewegt.

Was der GF jetzt tun sollte – mindestens 12 Monate vor dem Exit

  • ISMS-Foundation abschließen – mit externem Audit oder Pre-Audit.
  • Identity-Cleanup: MFA-Rollout, Account-Lifecycle-Bereinigung, privilegierte Zugänge revidieren.
  • Asset-Inventar vervollständigen, EOL-Status sauber dokumentieren.
  • Lieferanten-TPRM aufsetzen, Top-10 mit aktuellen Bewertungen.
  • Incident-Response-Plan testen, Tabletop dokumentieren.
  • Trust-Center publik machen – signalisiert Reife schon vor dem ersten Käufer-Termin.

Fazit

M&A-Cyber-DD ist 2026 nicht „auch noch dabei", sondern Bewertungs-relevant. Wer die nächsten 24 Monate einen Exit plant, sollte das ISMS-Programm als Teil der Exit-Vorbereitung behandeln – mit derselben Dringlichkeit wie Buchhaltungs-Sauberkeit oder Vertragstypisierung. Der finanzielle Effekt ist messbar und in fast allen Fällen positiv.

Alle Artikel ansehen Mehr aus dieser Kategorie