Chief AI Officer 2026: Echte Rolle oder der nächste C-Level-Titel?
Tobias Massow
⏱ 9 Min. Lesezeit Der Chief AI Officer ist die am häufigsten angekündigte und am seltensten ...
Zum Beitrag
⏱ 8 Min. Lesezeit
Drei von vier M&A-Deals verfehlen ihre Wertschöpfungsziele – und der häufigste Grund sind nicht die Finanzen, sondern die IT. Digital Due Diligence analysiert Architektur, Tech Debt, Cybersecurity und Datenqualität systematisch vor dem Signing. Wer diesen Workstream weglässt, kauft blind.
Das Wichtigste in Kürze
- 70-90 % aller M&A-Transaktionen verfehlen ihre Wertschöpfungsziele – IT-Integrationsprobleme sind laut Bain und McKinsey der häufigste Grund nach Cultural Fit.
- Digital Due Diligence als gleichberechtigter Workstream: Sechs Dimensionen – IT-Architektur, Tech Debt, Cybersecurity-Reife, Datenqualität, Team-Abhängigkeiten, Vendor-Lock-ins – müssen vor dem Signing analysiert werden.
- Versteckte technologische Schulden treiben laut McKinsey Digital die IT-Kosten um 10-20 Prozent pro Projekt nach oben – bei schlecht vorbereiteten Integrationen bis zu 60 Prozent jedes IT-Dollars.
- Drei Red Flags als Deal-Killer: undokumentierte Monolithen, fehlende Security-Basics und proprietäre Vendor-Lock-ins ohne Exit-Klauseln.
- ROI der Prüfung: Eine Digital Due Diligence kostet 0,1-0,3 % des Kaufpreises – und verhindert Integrationskosten, die ein Vielfaches davon betragen können.
Wenn die IT-Prüfung fehlt: Drei reale Fälle
Die Geschichte der M&A-Desaster liest sich wie ein Lehrbuch für versäumte IT-Due-Diligence. Hewlett-Packard übernahm 2011 das britische Software-Unternehmen Autonomy für 11,1 Milliarden US-Dollar – und schrieb ein Jahr später 8,8 Milliarden ab. Die Due Diligence hatte zwar die Finanzen geprüft, aber die technologische Substanz der Plattform nicht ausreichend hinterfragt.
Ähnlich bei Microsofts Nokia-Übernahme 2013: 7,6 Milliarden Dollar Kaufpreis, 7,6 Milliarden Abschreibung. Das Smartphone-Ökosystem war technologisch nicht konkurrenzfähig – ein Befund, den eine gründliche Technical Due Diligence hätte liefern müssen. Und Broadcom kämpft seit der 69-Milliarden-Dollar-Übernahme von VMware 2023 mit Integrationsproblemen, Kundenkündigungen und Lizenzkostensteigerungen von bis zu 400 Prozent.
Was diese Fälle verbindet: Die Finanzen waren geprüft, die Technologie nicht. Und genau diese Lücke füllt Digital Due Diligence.
Die 70-Prozent-Falle: Warum M&A an der IT scheitert
McKinsey, Bain und BCG kommen seit Jahren zu ähnlichen Ergebnissen: 70 bis 90 Prozent aller M&A-Transaktionen erreichen die angestrebte Wertschöpfung nicht. Die Bandbreite variiert je nach Studie und Definition von „Erfolg“, aber die Größenordnung ist konsistent.
Was in den Analysen oft untergeht: Die Ursache ist fast nie die finanzielle Bewertung. Laut einer Deloitte M&A-Studie scheitern Integrationen am häufigsten an kulturellen Unterschieden und an technologischer Inkompatibilität. Wenn zwei Unternehmen fusionieren, müssen ERP-Systeme konsolidiert, CRM-Datenbanken migriert, Netzwerke zusammengeführt und Sicherheitsarchitekturen harmonisiert werden. Jedes dieser Projekte kann 12 bis 24 Monate dauern – wenn es nicht vorher geplant wurde, wird daraus schnell das Doppelte.
Die Financial Due Diligence identifiziert Risiken in der Bilanz. Die Legal Due Diligence findet regulatorische Fallstricke. Aber wer identifiziert die technologischen Zeitbomben? In den meisten Transaktionen: niemand.
„Technology is the great hidden risk in M&A. Financial due diligence tells you what a company earned yesterday. Technology due diligence tells you whether it can earn anything tomorrow.“
– Andy West, Senior Partner, McKinsey & Company (McKinsey M&A Insights, 2024)
Was Digital Due Diligence prüft: Sechs Dimensionen
Eine professionelle Digital Due Diligence untersucht sechs Dimensionen – jede einzelne kann zum Deal-Breaker werden:
1. IT-Architektur und Skalierbarkeit. Monolith oder Microservices? Cloud-native oder Legacy? Dokumentiert oder Tribal Knowledge? Die Architektur bestimmt, wie schnell und zu welchen Kosten eine Integration möglich ist. Ein gut dokumentierter, API-basierter Stack lässt sich in Monaten integrieren. Ein undokumentierter Monolith bindet ein ganzes Entwicklerteam für Jahre.
2. Technologische Schulden. Veraltete Frameworks, ungepatchte Systeme, fehlende Tests, kopierte Code-Fragmente ohne Wartungsplan. McKinsey Digital beziffert den Tech-Debt-Aufschlag auf 10 bis 20 Prozent pro IT-Projekt. Bei Übernahmezielen ist dieser Anteil oft deutlich höher, weil technologische Schulden gezielt versteckt werden. Die Software Improvement Group fand in einer Analyse von 531 M&A-Projekten, dass bei 31 Prozent der akquirierten Codebasen schwerwiegende Tech Debt vorlag.
3. Cybersecurity-Reife. Gibt es Penetrationstests? Einen Incident-Response-Plan? End-to-End-Verschlüsselung? Seit NIS2 und DORA sind Security-Lücken im Übernahmeziel nicht mehr nur ein operatives Risiko, sondern ein regulatorisches. Ein Breach nach der Übernahme trifft den Käufer.
4. Datenqualität und Compliance. Sauberkeit der Kundendaten, DSGVO-Compliance, Datenportabilität. Wer Kundendaten übernimmt, übernimmt auch die Haftung. Fehlende Löschmechanismen oder undokumentierte Datenflüsse an Drittanbieter können Bußgelder nach sich ziehen.
5. Team und Wissensverteilung. Key-Person-Dependencies sind das unterschätzteste Risiko. Wenn drei Leute 80 Prozent des Systemwissens tragen, ist jede Kündigung eine Krise. Die Due Diligence muss klären: Wie viele Mitarbeiter sind unverzichtbar, was sind ihre Bleibeanreize, und wie schnell könnte man sie ersetzen?
6. Vendor-Abhängigkeiten. Proprietäre Plattformen, Change-of-Ownership-Klauseln in SaaS-Verträgen, Lizenzkosten die sich bei Eigentümerwechsel verdreifachen. Oracle, SAP und andere Enterprise-Anbieter haben solche Klauseln standardmäßig – wer sie nicht prüft, erlebt teure Überraschungen.
M&A-MISSERFOLG
70-90 %
aller Deals verfehlen ihre Wertschöpfungsziele (McKinsey/Bain/BCG)
TECH-DEBT-KOSTEN
10-20 %
Kostenaufschlag pro IT-Projekt durch Tech Debt (McKinsey Digital)
DD-KOSTEN
0,1-0,3 %
des Kaufpreises für Digital Due Diligence (Branchenstandard)
Red Flags erkennen – und richtig bewerten
Red Flag 1: Keine Dokumentation. Wenn die Architektur nur in den Köpfen einzelner Mitarbeiter existiert, ist jede Integrations-Planung Spekulation. In der Praxis bedeutet das: Das Käufer-Team muss Monate investieren, nur um zu verstehen was es gekauft hat – bevor irgendeine Integration beginnen kann.
Red Flag 2: Kein automatisiertes Testing. Fehlende Tests bedeuten: Jede Änderung ist ein Blindflug. Integration erfordert Änderungen – an Schnittstellen, Datenmodellen, Authentifizierung. Ohne Test-Coverage wird jede Anpassung zum Roulettespiel mit der Produktionsstabilität.
Red Flag 3: Monolithische Eigenentwicklung auf veralteter Technologie. PHP 5.6, .NET Framework 2.0, Java 6 – solche Stacks finden sich häufiger als man denkt. Sie binden Entwicklungsressourcen für Jahre, nur für Wartung. Eine Migration auf moderne Technologie ist oft teurer als eine Neuentwicklung.
Jede einzelne Red Flag sollte den Kaufpreis korrigieren. Alle drei zusammen sind ein Deal-Breaker – oder erfordern eine fundamentale Neubewertung des Integrations-Business-Case.
Integration planen vor dem Signing
Phase 1: Vor dem Signing. Digital Due Diligence quantifiziert Integrationskosten. Mindestens 5 bis 15 Prozent des Kaufpreises für IT-Integration reservieren – als eigene Budget-Position, nicht als Unterposten im operativen Budget. Der CIO muss vom ersten Tag an im Deal-Team sitzen, nicht erst nach dem Closing informiert werden.
Phase 2: Zwischen Signing und Closing. Detaillierte Integrations-Roadmap erstellen: Welche Systeme werden konsolidiert, welche laufen parallel weiter? Der CIO des Käufers arbeitet direkt mit dem Tech-Team des Übernahmeziels zusammen. Kritische Personalrisiken identifizieren und Retention-Pakete schnüren – vor dem Day One, nicht danach.
Phase 3: Erste 100 Tage. Schnelle Sicherheitsmaßnahmen: Netzwerksegmentierung, Zugriffsrechte konsolidieren, Incident-Response-Pläne harmonisieren. Dann Stabilisierung. Kein übereiltes Replatforming. Die goldene Regel: Acquire for value, not for integration speed. Wer in den ersten 100 Tagen die Plattform umbaut, destabilisiert das, wofür er bezahlt hat.
Was eine Digital Due Diligence kostet – und was sie verhindert
Eine professionelle Digital Due Diligence kostet zwischen 30.000 und 150.000 Euro – abhängig von der Komplexität der IT-Landschaft des Übernahmeziels. Bei einem Deal im dreistelligen Millionenbereich sind das 0,1 bis 0,3 Prozent des Kaufpreises.
Was sie verhindert: Integrationskosten die das geplante Budget um ein Vielfaches übersteigen, Security-Breaches die Millionen kosten, Key-Person-Verluste die Projekte um Jahre verzögern, und regulatorische Risiken durch übernommene Compliance-Lücken. Der ROI einer Digital Due Diligence ist in der Regel 10:1 oder höher.
Die Alternative – ohne technische Prüfung kaufen – ist wie ein Haus ohne Bausubstanzgutachten zu erwerben. Die Fassade mag glänzen, aber die Leitungen dahinter erzählen eine andere Geschichte.
Häufige Fragen
Was kostet eine Digital Due Diligence und lohnt sich das bei kleinen Deals?
30.000 bis 150.000 Euro bei Deals im zweistelligen bis dreistelligen Millionenbereich – das entspricht 0,1 bis 0,3 Prozent des Kaufpreises. Auch bei kleineren Übernahmen (5-20 Millionen Euro) lohnt sich ein pragmatischer Tech-Check für 10.000 bis 20.000 Euro. Die häufigsten Überraschungen – undokumentierte Abhängigkeiten, auslaufende Lizenzverträge mit Change-of-Ownership-Klauseln, fehlende DSGVO-Compliance – treten unabhängig von der Deal-Größe auf.
Wie lange dauert eine Digital Due Diligence?
Zwei bis vier Wochen bei guter Datenraumvorbereitung und kooperativem Zielunternehmen. Bei komplexen Multi-System-Landschaften mit mehreren Standorten oder international verteilten Teams bis sechs Wochen. Der kritische Faktor ist nicht die Analyse, sondern der Zugang: Wenn das Zielunternehmen Informationen nur zögerlich bereitstellt, dauert alles länger – und das ist selbst ein Warnsignal.
Soll man bei Red Flags vom Deal zurücktreten?
Nicht automatisch. Red Flags sind zunächst Verhandlungshebel: Kaufpreisreduktion, Rückstellungen für Integrationskosten, technische Garantien im Kaufvertrag (Representations & Warranties), oder Escrow-Konten für nachgelagerte IT-Risiken. Walk-Away empfiehlt sich dann, wenn die geschätzten Integrationskosten den strategischen Wert der Übernahme übersteigen – oder wenn das Zielunternehmen bei der technischen Prüfung nicht kooperiert.
Wer führt eine Digital Due Diligence durch?
Spezialisierte Beratungen wie McKinsey Digital, Bain, BCG, EY-Parthenon oder fokussierte Tech-DD-Boutiquen. Wichtig: Das Team braucht sowohl M&A-Erfahrung als auch technische Tiefe. Ein reines Strategy-Consulting-Team erkennt architektonische Risiken nicht, ein reines IT-Team kann sie nicht in Deal-Impact übersetzen. Die besten Teams kombinieren erfahrene CTOs mit Transaction-Advisory-Spezialisten.
Wie verändert KI die Digital Due Diligence?
KI-gestützte Code-Analyse-Tools können technologische Schulden und Architektur-Risiken heute deutlich schneller identifizieren als manuelle Reviews. Automatisierte Scans erkennen veraltete Dependencies, Security-Vulnerabilities und Code-Qualitätsprobleme in Stunden statt Wochen. Trotzdem bleibt die strategische Bewertung – wie stark beeinflussen die Findings den Deal-Value? – eine menschliche Aufgabe. KI beschleunigt die Analyse, ersetzt aber nicht das Urteil.
Weiterführende Lektüre im Netzwerk
- → CIO-Agenda 2026: Zwischen Kostendruck und Innovationspflicht – Warum IT-Strategie auf die Vorstandsagenda gehört (Digital Chiefs)
- → Digitaler Verwaltungsrat: Board-Kompetenz in Technologie – Warum Tech-Expertise im Aufsichtsrat überlebenswichtig wird (Digital Chiefs)
- → EU AI Act 2026: Was Unternehmen jetzt umsetzen müssen – Regulatorische Compliance als Due-Diligence-Faktor (Digital Chiefs)
- → DORA und NIS2 gleichzeitig: Compliance-Doppeldruck – Security-Compliance bei M&A-Targets prüfen (SecurityToday)
Quelle des Titelbildes: Unsplash / Sebastian Herrmann