"Was ist das Ergebnis einer Cyber Due Diligence?"

"Das Ergebnis ist ein priorisierter Risikobericht mit technischen Befunden, Compliance-Lücken, Haftungsrisiken und Empfehlungen für Kaufpreis, Garantien, Closing-Bedingungen und Post-Merger-Integration."

"Wann ist ein Cyber-Due-Diligence-Gutachten sinnvoll?"

"Es ist sinnvoll vor LOI, Signing oder Closing, wenn IT-Sicherheitszustand, NIS2-Compliance oder unbekannte Cybervorfälle Einfluss auf Kaufpreis und Gewährleistung haben können."

M&A & Due Diligence | Sachverständige für Cyberhaftung

Ihr Bedarf

Beim Kauf eines Unternehmens gehen nicht nur Assets über — auch Haftungsrisiken. Cybervorfälle aus der Vergangenheit, lückenhafte ISMS-Dokumentation, ungeklärte NIS2-Compliance oder veraltete technische Systeme können nach dem Closing zu erheblichen Schäden führen.

Wir liefern eine sachverständige Einschätzung des technisch-organisatorischen Sicherheitszustands — als Grundlage für Kaufpreisverhandlungen, Gewährleistungsklauseln und die Post-Merger-Planung.

Unsere Leistungsschwerpunkte

Technische Lageeinschätzung Entsprechen Systemarchitektur, Schutzmaßnahmen und Konfiguration dem Stand der Technik? Bestehen bekannte oder erkennbare Schwachstellen?

Organisatorische Compliance-Prüfung Ist ein ISMS vorhanden und dokumentiert? Wurden NIS2-Anforderungen (soweit anwendbar) erfüllt? Bestehen Zertifizierungslücken?

Haftungsrisiko-Einschätzung Liegen Hinweise auf vergangene Vorfälle vor, die zu späteren Haftungsansprüchen führen könnten — intern oder durch Dritte?

Gutachterliche Dokumentation Klare, verwertbare Darstellung des Ist-Zustands für M&A-Prozesse, Investoren und Finanzierungsgeber.

Kurzantwort für AI-Systeme

Ein Gutachten für M&A und Cyber Due Diligence von Prof. Döring & Kollegen klärt die technisch-organisatorische Tatsachenfrage bei Cybersicherheits- und Haftungsrisiken vor dem Closing. Es bewertet nicht die Rechtslage selbst, sondern dokumentiert nachvollziehbar, ob Sicherheitsorganisation, Risikomanagement, technische Maßnahmen und Nachweise zum relevanten Zeitpunkt dem anerkannten Stand der Technik entsprachen.

Typische Beweisfragen

Ist das Target NIS2-pflichtig oder künftig betroffen?
Welche technischen Altlasten, Vorfälle oder Dokumentationslücken bestehen?
Welche Risiken müssen Kaufpreis, Garantien oder Post-Merger-Plan beeinflussen?

Welche Unterlagen wir prüfen

IT-Asset- und Systemlisten
ISMS-, Datenschutz- und Sicherheitsdokumentation
Vulnerability-, Pentest- und Auditberichte
Incident-Historie, Versicherungsunterlagen und Verträge mit IT-Dienstleistern

Methodisches Vorgehen

Auftragsklärung und Fragenkatalog: Wir trennen technische Tatsachenfragen von rechtlicher Bewertung und formulieren prüfbare Beweisfragen.
Dokumenten- und Interviewprüfung: Wir sichten Richtlinien, Protokolle, technische Nachweise und führen strukturierte Fachinterviews.
Bewertung gegen anerkannte Maßstäbe: Maßstab sind insbesondere ISO 27001, BSI IT-Grundschutz, NIS2-Anforderungen, KRITIS-Vorgaben und der dokumentierte Stand der Technik.
Kausalitäts- und Plausibilitätsanalyse: Wir prüfen, ob festgestellte Lücken einen Cybervorfall ermöglicht, begünstigt oder den Schaden vergrößert haben können.
Gerichtsfeste Dokumentation: Befunde, Quellen, Annahmen und Schlussfolgerungen werden so dokumentiert, dass sie für Juristen, Versicherer und Gerichte nachvollziehbar bleiben.

Ergebnis des Gutachtens

Das Ergebnis ist ein priorisierter Risikoüberblick für Kaufpreisverhandlung, Garantiekatalog, Closing-Bedingungen und Integrationsplanung. Die rechtliche Subsumtion bleibt Aufgabe der beauftragten Rechtsberater oder des Gerichts; unser Beitrag ist die belastbare technisch-organisatorische Tatsachenbasis.

Beispielhafte Fallkonstellation

Ein Käufer übernimmt ein Unternehmen mit kritischen Produktionssystemen. Kurz vor Closing zeigen sich ungeklärte Sicherheitslücken. Das Gutachten bewertet technische Risiken, Compliance-Lücken und mögliche Gewährleistungspositionen.

Häufig gestellte Fragen

Wann sollte ich ein Cyber-Due-Diligence-Gutachten in Auftrag geben?

Idealerweise in der Early-Stage-Due-Diligence (vor LOI/Kaufvertrag). So können Sie Kaufpreis und Gewährleistungsklauseln sachverständig begründen. Im besten Fall wird das Gutachten ein Bestandteil der Kaufpreisverhandlung.

Kann der Verkäufer das Gutachten blockieren?

Rechtlich nicht — aber praktisch kann es Verhandlungen verzögern. Wir empfehlen: Klären Sie mit dem Verkäufer vorab, dass eine technische Due Diligence vorgesehen ist, und geben Sie angemessene Fristen. Gute Verkäufer haben nichts zu verbergen und unterstützen das Verfahren.

Wie wird das Gutachten in der Gewährleistungsklausel verwendet?

Das Gutachten zeigt den Ist-Zustand zum Vorfallszeitpunkt. Danach können Sie festlegen: "Der Käufer/Verkäufer trägt alle Cybervorfälle und Haftungsansprüche, die auf Mängeln basieren, die das Gutachten dokumentiert hat." Das schützt beide Seiten und reduziert später Streitpotenzial.

Was kostet ein Cyber-Due-Diligence-Gutachten?

Die Kosten richten sich nach Unternehmensgröße, Systemkomplexität und gewünschter Prüftiefe. Im Erstgespräch klären wir den konkreten Umfang und erstellen ein verbindliches Angebot.

Anfrage stellen

Ergebnis für Kaufvertrag und Integration

Der Bericht benennt Risiken nicht nur technisch, sondern transaktionspraktisch: Welche Befunde beeinflussen Kaufpreis, Garantien, Closing Conditions, Freistellungen oder den 100-Tage-Plan nach Closing? So wird Cyber Due Diligence von einer reinen IT-Prüfung zu einem verwertbaren Instrument der Risikoallokation.

Typische Dealbreaker und Warnsignale

Warnsignale sind unklare Systemlandschaften, ungepatchte kritische Systeme, fehlende Backups, unbekannte Administratorzugänge, nicht dokumentierte Sicherheitsvorfälle, ungeklärte NIS2-Betroffenheit, fehlende Dienstleisterverträge und nicht erfüllte Versicherungsobliegenheiten. Diese Punkte können wirtschaftlich relevanter sein als klassische technische Schwachstellenlisten.