NDA-First · Junges Angebot · Pioneer-Pricing
[ Transaction Intelligence ]

Cyber Due Diligence vor dem Closing.

Methodik-gestützte Cyber-Bewertung des Zielobjekts vor Closing einer M&A-Transaktion. Technische Schulden, undokumentierte Sicherheits-Vorfälle, IP-Diebstahl-Indikatoren, Infrastruktur-Schwachstellen. Junges Angebot, Methodik basiert auf Pentest- und ISMS-Praxis von Deniz Ceylan (IHK-zertifiziert, CompTIA Security+ und PenTest+). Erste M&A-DD-Engagements sind Pioneer-Mandate, dementsprechend transparente Pricing-Logik.

Vertrauliche M&A-Anfrage Executive Protection
[ 01 / Was wir prüfen ]

Vier Cyber- Risiko-Vektoren.

Hidden-Breach-Detection

Hat das Zielobjekt einen laufenden oder vergangenen Vorfall, der nicht offen gelegt wurde? Dark-Web-Suche nach Datenleaks, Threat-Intelligence-Korrelation, Forensik-Spuren in Backup-Strukturen, Anomalien im Mitarbeiter-Turnover (versteckte Insider-Vorfälle).

Pre-Acquisition-Audit

Externe Bewertung der Angriffsfläche: was sieht ein Angreifer von außen? OSINT-Profiling, Subdomain-Enumeration, Tech-Stack-Identifikation, bekannte CVEs in eingesetzter Software, Cloud-Konfigurations-Bewertung über öffentlich sichtbare Metadaten.

Infrastruktur-Risiko

Bewertung der internen IT-Architektur: technische Schulden, End-of-Life-Systeme, Patch-Stand, Backup-Strategie, Disaster-Recovery-Pläne. Schätzung der Re-Build-Kosten für nicht mehr unterstützte Kernsysteme.

Negotiation-Intelligence

Verhandlungs-relevante Findings, präzise quantifiziert. Beispiel: 'Modernisierung der Kern-Plattform ab 2027 erforderlich, geschätzte CAPEX 2,4 Mio EUR über 18 Monate' geht in die Kaufpreis-Argumentation und in die Reps & Warranties.

[ 02 / Typische Audit-Findings ]

Findings, mit denen bei Mid-Market-Targets häufig zu rechnen ist

Diese Liste fasst Findings zusammen, die in der allgemeinen Cyber-Audit-Literatur (BSI-Lagebericht, Sophos State of Ransomware, IBM Cost of a Data Breach) regelmäßig dokumentiert sind und sich mit unserer Pentest- und ISMS-Erfahrung decken. Welche davon im konkreten Target auftauchen, klärt das Audit.

  • >_Mindestens ein End-of-Life-System in der Core-Infrastruktur ohne Migrationsplan
  • >_Undokumentierte Schatten-IT (durchschnittlich 8 bis 15 SaaS-Verträge unbekannt)
  • >_Mitarbeiter-Konten von Ex-Personal weiterhin aktiv (Offboarding-Lücke)
  • >_Keine oder veraltete Backup-Tests, Recovery-Zeit unbekannt
  • >_Source-Code-Repos mit eingebetteten Credentials in der Commit-History
  • >_DSGVO-Verfahrensverzeichnis unvollständig oder fehlend
  • >_Mindestens ein laufender Compliance-Verstoß (NIS2, KRITIS, branchen-spezifisch)
  • >_Verschwiegene Ransomware-Reste (verschlüsselte Backup-Volumes, ungelöschte Erpresser-Notizen)
  • >_Lizenz-Verstöße bei kommerzieller Software, geschätzte Nachzahlung 50.000 bis 500.000 EUR
  • >_Veraltete Verträge ohne Cybersecurity-Klauseln gegenüber kritischen Lieferanten
[ 03 / Reporting ]

Was Sie am Verhandlungstisch in der Hand haben.

Investment-Committee-Bericht

10 bis 20 Seiten Executive-Summary in Investment-Memo-Struktur. Top-Risiken mit CVSS- und Geschäfts-Impact-Bewertung, Indikation zur Kaufpreis-Range, Vorschläge für Reps & Warranties zur Übergabe an Ihren M&A-Anwalt.

Technischer Anhang

50 bis 200 Seiten Detail-Bericht für die Käufer-Seite. Reproduzierbare Findings, CVE-Mapping, Remediation-Aufwand-Schätzung. Auch nach Closing nutzbar als Roadmap.

Verhandlungs-Briefing

1 bis 2 Seiten Talking-Points zur Übergabe an Ihren Käufer-Anwalt und M&A-Berater. Quantifizierte Findings, Vertragsklausel-Vorschläge zur Prüfung, Eskalations-Punkte mit Beweis-Stärke.

Post-Closing-Roadmap

100-Tage-Plan und 18-Monats-Plan für die Integration. Übergabe an Ihr internes IT-Team oder den durch Sie mandatierten CISO. Wir bieten kein eigenes laufendes CISO-Mandat.

[ 04 / Ablauf ]

Typische Cyber Due Diligence in 6 Phasen

  • >_Phase 0: NDA, Scoping-Call mit M&A-Berater und Käufer, Budget-Range bestätigen
  • >_Phase 1: Externe Bewertung des Zielobjekts ohne Zielobjekt-Kontakt (3 bis 5 Werktage)
  • >_Phase 2: Q&A über VDR oder direkter Vorstellungstermin mit Ziel-CTO oder Ziel-IT-Leiter
  • >_Phase 3: Optional Vor-Ort-Termin oder Remote-Audit der Kern-Systeme
  • >_Phase 4: Findings-Konsolidierung, CVSS- und Geschäftsimpact-Bewertung
  • >_Phase 5: Investment-Committee-Bericht, Verhandlungs-Briefing, Walkthrough-Call
  • >_Phase 6 (optional): Post-Closing Integration Audit, 100-Tage-Plan, interim CISO
[ Häufige Fragen ]

Was Mandanten typischerweise vorher wissen wollen.

Wann brauche ich eine Cyber Due Diligence?

Bei jedem Asset-Deal mit signifikanter IT-Komponente, bei jedem Share-Deal ab Mid-Market-Größe, bei jedem Tech-Buy-Out und bei jedem Carve-Out aus einem größeren Konzern. Faustregel: Wenn das Zielobjekt Kundendaten verarbeitet, eigene Software entwickelt oder kritische Infrastruktur betreibt, ist eine Cyber-DD im Investment-Memo zwingend.

Was kostet eine Cyber Due Diligence?

Vier Festpreis-Stufen: Pre-Acquisition Quick-Audit ab 12.900 EUR (5 Werktage, extern), Full Due Diligence ab 34.900 EUR (10 bis 15 Werktage, intern und extern), Mega-Deal ab 89.000 EUR (Transaktionen 50 Mio EUR+, mehrere Standorte), Post-Closing Integration Audit ab 18.900 EUR. Alle Preise verbindlich nach NDA und Scoping.

Welche Findings sind typischerweise verhandlungs-relevant?

Aus der allgemeinen Cyber-Audit-Literatur und unserer Pentest- und ISMS-Praxis sind das u.a.: laufende oder verschwiegene Ransomware-Reste, kompromittierte Source-Code-Repos, undokumentierte Schatten-IT, übersehene Lizenz-Verstöße bei kommerzieller Software, technische Schulden mit hohen Re-Build-Kosten, fehlende DSGVO-Konformität mit absehbaren Bußgeld-Risiken. Solche Findings führen in der M&A-Praxis regelmäßig zu Kaufpreis-Anpassungen oder erweiterten Reps & Warranties.

Wie diskret läuft die Due Diligence ab?

NDA vorab Standard. Wir treten gegenüber dem Zielobjekt entweder unter eigenem Namen als externer IT-Auditor oder unter dem Namen des vom Käufer beauftragten M&A-Beraters auf, je nach Wunsch. Vorwiegend Remote-Bewertung über VDR-Zugang, Vor-Ort-Termine wenn nötig.

Habt ihr feste M&A-Berater- oder Anwalts-Partner?

Nein. Wir arbeiten ausschließlich mit den von Ihnen bzw. Ihrer Kanzlei mandatierten Beratern und Anwälten zusammen. Wir liefern unsere technischen Findings, die juristische Übersetzung in Reps & Warranties übernimmt Ihr M&A-Anwalt.

Wie viele M&A-DDs habt ihr schon gemacht?

Das Angebot ist neu (2026 aufgesetzt, parallel zur erweiterten Pentest- und ISMS-Praxis). Wir haben langjährige Pentest- und Compliance-Erfahrung, die direkt in eine Cyber-DD übersetzbar ist. Die ersten M&A-DD-Mandate laufen als Pioneer-Engagements mit transparenter Pricing-Logik. Wenn Sie nach einem etablierten Big-Four-DD-Anbieter suchen, sind wir die falsche Adresse. Wenn Sie persönliche Betreuung und reale technische Tiefe wollen, sprechen wir.

Post-Closing: bietet ihr Integration-Begleitung?

Ja, optional. Integration Audit: priorisierte Lücken-Analyse gegen Ihre Konzern-Standards, Maßnahmen-Roadmap, Bewertung des bestehenden IT-Teams. Ein dauerhaftes CISO-Mandat ist nicht Teil unseres Angebots: wir bereiten den Boden, ein interner oder spezialisierter CISO übernimmt dann.

[ Erstgespräch ]

30 Minuten Erstberatung, kostenfrei.

Wir besprechen Ihr konkretes Anliegen, schätzen Aufwand und Preisrahmen ein und klären, ob wir der richtige Partner sind. Unverbindlich.

admin@dc-infosec.de