In der heutigen Geschäftswelt sind digitale Assets und Technologien nicht nur eine optionale Erweiterung, sondern ein unverzichtbarer Kernbestandteil für die meisten Unternehmen und deren Produkte. Im Kampf um Marktanteile sind technologische Vorteile immer häufiger entscheidend und bestimmen über die Wirtschaftskraft des Unternehmens. Unternehmen, die mit ihrer Technologie hervorstechen, gehören zu den wertvollsten und erfolgreichsten der Welt. Es ist daher entscheidend, dass Unternehmen digitale Assets und Technologien als strategische Priorität erkennen und entsprechend in sie investieren.
Diese Investition erfordert eine tiefe, technologieorientierte Bewertung, die über die standardmäßige Commercial Due Diligence hinausgeht. Früher waren Produkt-Charakteristika und deren Mehrwert auch für weniger technikaffine Menschen einfacher verständlich als heute. Durch die zunehmende Komplexität digitaler Produkte und Wertschöpfungen ist es heutzutage ohne Fachwissen nahezu unmöglich, den Nutzen von digitalen Produkten wirklich nachzuvollziehen.
Inhalt
- Was ist der Unterschied zwischen TDD und ITDD?
- Warum sind ITDD und TDD so wichtig und was sind die genauen Ziele?
- Dauer und Schwerpunkte einer (I)TD
- Blickwinkel und Prüftiefen
- Namen und Formate von Due-Diligence-Berichten
Was ist der Unterschied zwischen TDD und ITDD
Während Technologie-Investitionen beträchtliche Chancen bieten, dürfen die potenziellen Risiken nicht unterschätzt werden. Eine gründliche Due Diligence ist entscheidend, um informierte Investitionsentscheidungen zu treffen. Zur Bewertung der technischen Aspekte eines Unternehmens gehören sowohl die Tech Due Diligence (TDD) als auch die IT Due Diligence (ITDD). Die TDD fokussiert sich auf die technologiebasierten Produkte, wohingegen sich die ITDD auf die „klassische“ IT-Organisation und deren Fähigkeiten fokussiert. Da die beiden Bewertungen nicht trennscharf voneinander abzugrenzen sind, werden diese auch regelmäßig gemeinsam betrachtet (ITDD) – dies ist auch empfehlenswert. Der Schwerpunkt der (ITDD) kann je nach Zielunternehmen variieren.
„Die technischen Voraussetzungen und Fähigkeiten eines Targets zu verstehen, ist für uns ein wesentlicher Teil für eine erfolgreiche Investition. Hierdurch können wir Wachstumspotenzial bewerten und geschäfts-kritische Risiken erkennen. So können wir nötige Investitionen häufig auch gleich nach Übernahme angehen.“ – Richard Glatzel, Aurelius Group
Die Investition in digitale Technologien (bspw. digitale Produkte, Automatisierung, IT-Infrastruktur) bietet Chancen in vielen Wettbewerbsdimensionen wie Effizienzsteigerungen, neue Geschäftsmodelle oder verbesserte Kundenerfahrungen. Technologische Entwicklungen sind jedoch oft mit hohen Kosten und Unsicherheiten verbunden. Zudem gibt es immer Risiken im Bereich der Cybersicherheit, des Datenschutzes und der technologischen Obsoleszenz (bspw. veraltete Technologien). Eine sorgfältige Bewertung dieser Risiken ist entscheidend, um fundierte Investitionsentscheidungen zu treffen. Es gibt Unternehmen, die einen klaren Wettbewerbsnachteil nicht in ihrem Service, sondern in ihren unterliegenden Prozessen haben. Noch viel dramatischer kann es werden, wenn es um Cyberattacken geht, die existenzbedrohende Konsequenzen haben können. Zwei sehr prominente Beispiele sind der Equifax Data Breach und das MOVEit-Datenleck.
Equifax-Datenpanne: 2017 erlitt Equifax, eine große Kreditauskunftei, einen massiven Datenverlust. Hacker nutzten eine Schwachstelle in einem Software-Framework, um auf sensible Informationen von über 147 Mio. Verbrauchern zuzugreifen. Im Rahmen eines Vergleichs hat Equifax einer Zahlung von mindestens 575 Mio. und maximal 700 Mio. USD zugestimmt.
MOVEit-Datenleck: 2023 wurde die Software MOVEit Transfer, eine weit verbreitete Lösung für sichere Dateiübertragungen, Ziel eines schwerwiegenden Datenlecks. Hacker nutzten eine Schwachstelle in der Software aus, um auf sensible Informationen von über 40 Millionen Menschen weltweit zuzugreifen. Diese Schwachstelle ermöglichte es der Hackergruppe Cl0p, Daten von Hunderten von Unternehmen und Organisationen (inklusive der Provinzial Versicherung und Banken wie die Comdirect, Direktbank ING und Deutsche Bank) zu kompromittieren. Die betroffenen Organisationen ergriffen Sofortmaßnahmen, einschließlich Patches und Sicherheitsupdates, um die Lücke zu schließen und weitere Angriffe zu verhindern. Der Schaden ist derzeit noch nicht monetär abzuschätzen.
Die heute notwendige Transformation zu immer technologischeren Unternehmen und Prozessen wird durch die ständige Weiterentwicklung von neuen Technologien wie künstlicher Intelligenz, maschinellem Lernen, Big Data, Cloud-Computing und Blockchain immer weiter vorangetrieben. Unternehmen, die diese Technologien nicht zielorientiert adaptieren, werden mittelfristig einen Wettbewerbsnachteil erfahren, sodass eine technologieorientierte Bewertung, umfassender als eine übliche kommerzielle Due Diligence, zwingend erforderlich ist.
Warum sind ITDD und TDD so wichtig, und was sind die genauen Ziele?
Eine (I)TDD ist unerlässlich, um die digitale Reife, die technologischen Risiken und die Innovationsbereitschaft eines Unternehmens zu verstehen. Diese Bewertungen bieten einen umfassenden Überblick über die technologische Landschaft eines Unternehmens und unterstützen das Risikomanagement.
Verständnis der digitalen Reife und technologischen Risiken (Status-quo-Analyse)
Ein wesentlicher Aspekt der (I)TDD ist das Verständnis der digitalen Reife und der damit verbundenen technologischen Risiken. Unternehmen und Produkte, die über eine ausgereifte digitale Infrastruktur verfügen, sind besser in der Lage, auf technologische Veränderungen zu reagieren und Innovationen zu fördern. Die (I)TDD hilft dabei, Schwachstellen und Risiken zu identifizieren, die sich negativ auf die Geschäftsentwicklung auswirken könnten.
Skalierbarkeit, Qualität und zukünftige Lebensfähigkeit der digitalen Assets (Potenzialanalyse)
Ein weiterer wichtiger Aspekt der (I)TDD ist die Bewertung der Skalierbarkeit, Qualität und zukünftigen Lebensfähigkeit der digitalen Assets eines Unternehmens. Besonders Unternehmen und Produkte, die historisch gewachsen sind und möglicherweise einen erheblichen Investitionsrückstand im IT-Bereich haben, müssen genau analysiert werden. Nur weil ein System derzeit funktioniert, bedeutet dies nicht, dass es langfristig gut oder sicher ist. Die (I)TDD hilft Investoren, diese kritischen Aspekte zu bewerten und fundierte Entscheidungen zu treffen.
Dauer und Schwerpunkte einer (I)TDD
Die Dauer und Schwerpunkte einer (I)TDD variieren je nach Komplexität des Zielunternehmens und der untersuchten Technologien. Typischerweise ist ein späterer Zeitpunkt im Investmentprozess aufgrund der notwendigen Informationszugänge heute üblich. Für Unternehmen mit sehr innovativen oder komplexen Technologien kann jedoch eine frühere Phase sinnvoll sein, da sie aus Käufersicht den Wertbeitrag der Technologie verdeutlicht.
Abb.1: In der Tech Due Diligence erfolgt eine technologische Bewertung, die entscheidend zur Analyse des Zielunternehmens beiträgt (Eigene Darstellung).
Eine Integration der (I)TDD in die weiteren Due-Diligence-Bereiche stellt sicher, dass alle relevanten Aspekte eines potenziellen Investments umfassend bewertet werden. Es ist nicht alles überschneidungsfrei in den verschiedenen Unternehmensbewertungen, und häufig sollten die Themen von verschiedenen Seiten betrachtet werden. Die Überschneidungen der (I)TDD sind in der Regel am größten mit der Commercial Due Diligence (CDD) und der Legal Due Diligence (LDD).
Commercial Due Diligence (exemplarisch):
- Marktvalidierung: Abstimmung der technologischen Fähigkeiten mit den Marktanforderungen und der Wettbewerbslandschaft.
- Produkt-Markt-Fit: Überprüfung, ob die Technologie die Bedürfnisse der Zielkunden erfüllt und Wettbewerbsvorteile bietet.
- Markteintrittsbarrieren: Überprüfung, ob die Technologie von Marktteilnehmern oder Wettbewerbern nachgebildet werden kann.
Legal Due Diligence (exemplarisch):
- IP-Rechte und Patente: Überprüfung der Eigentumsrechte an der Technologie, einschließlich Patente, Lizenzen und geistiges Eigentum.
- Vertragsprüfung: Analyse von Verträgen mit Drittanbietern, Kunden und Partnern bezüglich technischer Abhängigkeiten und Verpflichtungen.
- Compliance: Sicherstellung, dass die Technologie und Prozesse des Unternehmens mit relevanten Gesetzen und Vorschriften, wie Datenschutz und IT-Sicherheit, konform sind.
Ebenso sollten auch die Überschneidungen zu weiteren DD-Feldern (bspw. Financial Due Diligence) betrachtet werden, um gegebenenfalls weitere Aspekte aus verschiedenen Blickwinkeln bewerten zu können (bspw. Einsparpotenziale).
Versteckte Potenziale in der IT sind im Rahmen einer Commercial, Legal oder Financial Due Diligence durch deren Experten kaum zu erkennen, da die Expertisen und Erfahrungen dafür fehlen. Eine belastbare Bewertung aus diesen Perspektiven ist oft nicht gegeben.
Blickwinkel und Prüftiefen
Eine (I)TDD wird regelmäßig mit zwei Blickwinkeln durchgeführt:
- Die Risikobewertung identifiziert und bewertet mögliche Gefahren, die den Erfolg der Investition beeinträchtigen könnten. Dazu gehören beispielsweise technische Schwächen, Sicherheitslücken oder operative Ineffizienzen.
- Ist das Unternehmen für eine mögliche Cyberattacke gewappnet?
- Ist ein Business Continuity Management etabliert?
- Gibt es technische Schulden und damit verbunden ein mögliches Investment Backlog?
- Die Analyse der Potenziale hingegen fokussiert sich auf die Chancen und Stärken des Unternehmens, wie Innovationskraft, Marktfähigkeit der Technologie und Wachstumsmöglichkeiten.
- Ist die IT skalierbar und unterstützt entsprechend verschiedene Wachstumsszenarien?
- Ist das digitale Produkt zukunftsfähig?
Die unterschiedlichen Blickwinkel haben alle eine Daseinsberechtigung – variierende Budgets und verschiedene Analyseziele sorgen für eine klare Allokation von Zielen und Fokus.
Hier setzt die (I)TDD an und bewertet die digitalen Assets – im Kontext des Unternehmens und der Erwartungen der Investoren – mit ausgewiesenen Experten und umfangreichen Erfahrungen.
Je nach Wertbeitrag der digitalen Assets können Umfang und Tiefe der Prüfung variieren. Für eine detaillierte und fundierte Bewertung ist meist Exklusivität notwendig, um ausreichenden Zugang zu sensiblen technischen Informationen zu erhalten. Dies erhöht die Genauigkeit der Bewertung erheblich. Der direkte Zugang zu den Entwicklungsteams, technischen Dokumentationen und internen Systemen ist dabei entscheidend für eine gründliche (I)TDD. Auf der anderen Seite sind Outside-in-Bewertungen ohne umfassenden Zugang auf öffentliche Informationen und sekundäre Datenquellen beschränkt und daher in der Analyse weniger wertstiftend.
Namen und Formate von Due-Diligence-Berichten
Zudem gibt es, je nach Kontext und Auftrag, unterschiedliche Namen und Formate, die für Due-Diligence-Berichte verwendet werden:
-
Vendor Due Diligence (DD): Ein von der Verkaufsseite beauftragter Bericht, der potenziellen Käufern zur Verfügung gestellt wird, um Transparenz zu gewährleisten und den Verkaufsprozess zu beschleunigen.
-
Red-Flag Due Diligence/High-Level Critical Evaluation: Eine schnelle Prüfung, die auf die Identifizierung kritischer Probleme („Red Flags“) abzielt, die den Deal gefährden könnten.
-
Selective-Focus Due Diligence/Focused DD: Eine gezielte Prüfung, die sich auf bestimmte, für den Investor besonders relevante Bereiche konzentriert.
-
Full-Scope Due Diligence/Extensive DD: Eine umfassende und detaillierte Prüfung, die alle Aspekte des Zielunternehmens und seiner Technologien abdeckt.
Die Prüftiefe korreliert nicht nur stark mit dem Aufwand und somit auch mit den entstehenden Kosten. Abhängig von der Prüftiefe gibt es einen optimalen Zeitraum für eine (I)TDD.
Abb.2: Bei zunehmender Prüftiefe mit ausführlicheren Analysemethoden bedarf es gleichzeitig eines erhöhten Zugangs zu Dokumenten und Daten (Eigene Darstellung).
Abb.3: Mit zunehmender Zeit flacht die Lernkurve ab und der Erkenntnisgewinn steht nicht im Verhältnis zum zeitlichen Aufwand (Eigene Darstellung).
Viele Faktoren haben Einfluss auf die Dauer und die Qualität der Unternehmensbewertung. Die Dauer der Erstellung eines (I)TDD-Berichts ist also nicht linear.
Eine zu kurze Prüfung kann zu unzureichenden Ergebnissen führen, während eine zu lange Prüfung oft unnötige Details aufdeckt, die wenig geschäftskritisch sind. Aus Erfahrung hat sich gezeigt, dass ein Zeitraum von vier bis acht Wochen optimal ist, um eine fundierte Analyse zu erhalten. Es gilt, ein Gleichgewicht zu finden, um sowohl Tiefe als auch Effizienz sicherzustellen.
„Eine umfassende technische Due Diligence muss vor versteckten technologischen Verbindlichkeiten und Risiken schützen. Durch die sorgfältige Bewertung der IT-Systeme, Cybersicherheit und digitalen Produkte des Zielunternehmens muss den Kunden ermöglicht werden, M&A-Transaktionen mit größter Zuversicht zu meistern.“
– Klaus Mahle, kobaltblau Management Consultants
Es ist spannend, wie sich die Due-Diligence-Praktiken in den nächsten Jahren weiterentwickeln, da noch einige neue Themenfelder hinzukommen werden. Dazu gehören neue Blickwinkel auf das Zielunternehmen und ein tieferer Fokus (bspw. in den Bereichen AI, Cybersecurity und Data). Wir erwarten eine zunehmende Spezialisierung und damit die Betrachtung weiterer technologischer Aspekte als eigenständige Due Diligence.
Uwe Barthel – ist seit 2018 Senior Software Architect bei iteratec. Er ist Ansprechpartner rund um System Reviews und IT-Modernisierung.
Max Schmitt – ist Senior Manager und seit 2018 bei kobaltblau. Dort verantwortet er die Themen IT & Tech in M&A sowie Security & Resilience.
Dieser Beitrag erschien zuerst im M&A REVIEW Digital
Haben Sie Fragen oder benötigen Unterstützung?
Weitere Informationen über die Möglichkeiten von IT-Modernisierung für Ihr Unternehmen, finden Sie auf unserer Website. Kontaktieren Sie uns gerne.