Red-Flag Review — ISMS-Risiken in M&A-Transaktionen sichtbar machen.

Wer ein Unternehmen erwirbt, übernimmt nicht nur Maschinen und Verträge, sondern auch jedes nicht erkannte Compliance-Risiko. Eine Red-Flag Review der Governance-Due-Diligence prüft die kritischen ISMS- und Compliance-Punkte in ein bis zwei Wochen — fokussiert, strukturiert, in Deal-Sprache übersetzt.

9 Minuten Lesezeit · Themen: SPA-Empfehlungen, Reps & Warranties, W&I-Versicherung
Inhalt
7 Abschnitte · 9 Minuten Lesezeit
  1. 01Was ist eine Red-Flag Review — und was nicht?1 min
  2. 02Abgrenzung zu Cyber-DD, Legal-DD und Voll-DD2 min
  3. 03Die kritischen Prüfthemen einer Governance-DD2 min
  4. 04Der Prozess von LOI bis Closing1 min
  5. 05Was im Bericht steht — SPA-Empfehlungen statt ISO-Audit1 min
  6. 06Verbindung zu W&I-Versicherung und W&I-Brokern1 min
  7. 07Häufig gestellte Fragen3 min

Was ist eine Red-Flag Review — und was nicht?

Eine Red-Flag Review ist eine fokussierte Variante der Due-Diligence: Statt eines umfassenden Berichts über 60–80 Themen werden nur die kritischen Risikopunkte geprüft — typischerweise 10 bis 15 Themenblöcke mit hoher Käufer-Relevanz. Diese Fokussierung reduziert Aufwand und Kosten gegenüber einer vollständigen Due-Diligence spürbar, weil nur die deal-relevanten Punkte vertieft werden.

Was eine Red-Flag Review ist: eine schnelle, fokussierte Risiko-Sicht für die Käuferseite. Sie liefert die zentralen Befunde, die in die SPA-Verhandlung einfließen müssen — Reps & Warranties (vertragliche Garantien), Covenants (Verhaltensauflagen), Disclosure Letter (offengelegte Sachverhalte). Sie ist Entscheidungs-Grundlage, nicht Vollerhebung.

Was eine Red-Flag Review nicht ist: kein vollständiger ISO-Audit-Bericht, keine forensische Prüfung, keine technische Schwachstellen-Analyse mit Penetrationstest. Diese Grenzen werden im Engagement-Letter explizit gezogen und im Bericht klar benannt. Was nicht geprüft wurde, kann nicht in der Haftung sein.

Abgrenzung zu Cyber-DD, Legal-DD und Voll-DD

Governance-Due-Diligence ist keine Konkurrenz zu den etablierten DD-Disziplinen, sondern ergänzt sie. Drei Abgrenzungen sind wichtig:

  • Cyber-Due-Diligence prüft die technische Cyber-Sicherheit — Penetrationstest-Ergebnisse, Schwachstellen-Management, External Attack Surface, Cyber-Versicherung, Vorfalls-Historie. Sie sagt: „Diese technischen Risiken sind sichtbar.“ Sie sagt nicht: „So reif ist das Managementsystem.“ Governance-DD und Cyber-DD ergänzen sich.
  • Legal-Due-Diligence prüft Vertragslagen, IP, Datenschutz aus juristischer Sicht. Sie identifiziert vertragliche Lücken und rechtliche Risiken. Sie bewertet aber in der Regel nicht die operative Reife der Sicherheits-Prozesse — und nicht den Status regulatorischer Compliance-Themen mit technisch-organisatorischem Charakter wie NIS-2 oder KRITIS.
  • Voll-DD-Workstreams größerer Wirtschaftsprüfungs-Gesellschaften decken Cyber- und IT-DD inhaltlich mit ab — häufig als Annex, seltener als eigenständige Governance-Sicht. Hier ergibt sich oft eine Subcontracting-Konstellation: Der Hauptberater liefert die Voll-DD, wir liefern den ISMS-Workstream als Spezial-Modul.

Die eigentliche Marktlücke liegt zwischen den genannten Disziplinen: Die Bewertung der ISMS-Reife im Sinne von ISO 27001 oder BSI IT-Grundschutz, die Prüfung regulatorischer Betroffenheit (NIS-2, DORA, KRITIS, TISAX), die Übersetzung in käufer-relevante Findings und konkrete SPA-Empfehlungen. Genau hier setzt eine Red-Flag Review der Governance-Due-Diligence an.

Die kritischen Prüfthemen einer Governance-DD

In den meisten Mandaten lassen sich die kritischen Themen in sechs Cluster gruppieren:

  1. ISMS-Reife und Dokumentations-Qualität. Existiert ein dokumentiertes Managementsystem? Wie aktuell ist die Dokumentation? Wer ist Informationssicherheitsbeauftragter und welche Befugnisse hat die Rolle?
  2. Regulatorische Betroffenheit. Ist das Target NIS-2-pflichtig (wesentlich oder wichtig)? KRITIS-Betreiber? DORA-relevant? TISAX-pflichtig? Welche Pflichten laufen, welche Meldungen sind offen?
  3. Status laufender Zertifizierungen. Welche Zertifikate sind aktuell, wann läuft die nächste Überwachungs-Audit-Phase? Drohen Aussetzungen wegen identifizierter Mängel?
  4. Vorfälle und offene Findings. Gab es in 24 Monaten meldepflichtige Vorfälle? Welche Audit-Findings sind noch offen? Welche Maßnahmenpläne laufen?
  5. Lieferanten- und IT-Outsourcing-Risiken. Wer hat Zugriff auf produktive Systeme? Wie wird das Lieferanten-Risiko gesteuert (Stichwort NIS-2 Lieferkette)? Welche Verträge sind kündbar bei Change-of-Control?
  6. Datenschutz und Auftragsverarbeitung. Ist das Verarbeitungsverzeichnis aktuell? Wurden DSFAs durchgeführt? Bestehen valide Auftragsverarbeitungs-Vereinbarungen mit allen relevanten Dienstleistern?

Der genaue Themen-Mix hängt von Branche, Größe und Deal-Struktur ab. In einem Health-Tech-Deal stehen DSGVO und KRITIS im Vordergrund, in einem Automotive-Zulieferer-Deal TISAX und Lieferkette, in einem SaaS-Deal Cloud-Sicherheit und Datenschutz-Architektur.

Der Prozess von LOI bis Closing

Das ideale Zeitfenster für eine Red-Flag Review liegt zwischen LOI (Letter of Intent) und Signing. Typischer Ablauf:

  1. Scoping-Gespräch (Tag 0). 30–60 Minuten mit dem Käufer-Team. Klärung der Deal-Struktur, der spezifischen Risiko-Hypothesen, des Untersuchungsumfangs.
  2. Datenraum-Sichtung (Tag 1–3). Strukturierte Bewertung der relevanten Dokumente, vorbereitend für die Interviews.
  3. Management-Interviews (Tag 4–6). Typischerweise drei bis fünf Gespräche mit Informationssicherheitsbeauftragten, IT-Leitung, Datenschutzbeauftragten, ggf. Geschäftsleitung.
  4. Berichts-Entwurf (Tag 7–9). Strukturierter Bericht mit Findings, Bewertung, SPA-Empfehlungen.
  5. Abstimmung und Finalisierung (Tag 10–12). Abstimmung mit dem Käufer-Team und der begleitenden Kanzlei.

Bei besonders engem Zeitfenster lässt sich der Prozess auf eine Woche komprimieren — das ist allerdings methodisch riskanter und sollte die Ausnahme bleiben. Bei umfangreicheren Deals dehnt sich der Prozess auf drei Wochen oder mehr.

Was im Bericht steht — SPA-Empfehlungen statt ISO-Audit

Der Bericht ist in der Sprache der Transaktion geschrieben, nicht in der Sprache des ISO-Audits. Typische Inhalte:

  • Executive Summary in Deal-Sprache — Gesamtbewertung des Risiko-Profils in zwei bis drei Absätzen, geeignet für das Käufer-Investment-Komitee.
  • Top-Findings tabellarisch — mit Bewertung der Käufer-Relevanz, geschätzter Aufwand für die Behebung, Empfehlungen für die SPA-Verhandlung.
  • Konkrete SPA-Empfehlungen — welche Reps & Warranties der Käufer-Anwalt verlangen sollte, welche Covenants (Verhaltensauflagen zwischen Signing und Closing), welche Themen ins Disclosure Letter gehören.
  • Quantifizierte Remediation-Aufschätzung — was wird es nach Closing kosten, identifizierte Lücken zu schließen.
  • PMI-Roadmap-Skizze — was sind die ersten 100 Tage nach Closing, welche Themen brauchen langfristige Begleitung.
  • Explizite Scope-Grenzen — was nicht geprüft wurde, mit klarer Begründung. Das schützt beide Seiten.

Der Bericht ist typischerweise 20–30 Seiten lang — ausreichend für eine fundierte Entscheidung, knapp genug für das Käufer-Investment-Komitee. Auf Wunsch liefern wir auch eine Kurz-Version (5–8 Seiten) für die Vorlage in Gremien.

Verbindung zu W&I-Versicherung und W&I-Brokern

In den meisten Mid-Cap-Deals heute wird eine W&I-Versicherung (Warranty & Indemnity Insurance) abgeschlossen. Sie deckt Garantieverletzungen des Verkäufers ab, sobald sich nach Closing herausstellt, dass eine Rep & Warranty unrichtig war.

Der Zusammenhang zur Governance-DD: W&I-Underwriter (AIG, Liberty, Tokio Marine, Euclid u. a.) prüfen die zugrunde liegenden DD-Berichte intensiv — und schließen aus, was nicht geprüft wurde. Wenn keine Governance-DD vorliegt oder die ISMS- und Compliance-Reps schlecht belegt sind, sind diese Reps faktisch nicht versichert.

Das erzeugt einen konkreten finanziellen Hebel für den Käufer: Mit einer belastbaren Governance-DD wird die W&I-Versicherung oft günstiger oder deckt mehr ab. W&I-Broker (Aon M&A Solutions, Marsh JLT Specialty, WTW Transaction Solutions, Howden M&A, Lockton Transactional Risk) haben damit ein wirtschaftliches Eigeninteresse, eine substanzielle Governance-DD im Prozess zu sehen.

Häufig gestellte Fragen

Sechs Fragen, die in fast jedem Red-Flag-Erstgespräch vorkommen. Klicken Sie eine Frage an, um die Antwort zu sehen.

Brauche ich eine Governance-DD zusätzlich zur Cyber-DD?

In den meisten Mid-Cap-Deals: ja. Cyber-DD prüft Technik und externe Angriffsfläche — das ist relevant, deckt aber Governance-Reife, regulatorische Betroffenheit und ISMS-Strukturen nicht ab. In stark regulierten Branchen (Health, Energie, Finance, Automotive) und bei NIS-2-/KRITIS-Betroffenheit ist die Governance-Sicht der wichtigere Teil. Bei reinen Cyber-getriebenen Risiken kann eine Cyber-DD allein ausreichend sein.

Wie früh im Prozess sollte die Governance-DD beauftragt werden?

Idealerweise nach LOI und vor der intensiven Datenraum-Phase. Wer früher beauftragt, hat noch keinen vollständigen Datenzugang. Wer später beauftragt, bringt seine Findings nicht mehr in die SPA-Verhandlung ein — und verliert damit den wichtigsten Hebel. Das Zeitfenster zwischen LOI und Signing ist das produktive Fenster.

Kann der Bericht für die W&I-Versicherung verwendet werden?

In der Regel ja — mit einem Reliance-Letter, der dem W&I-Underwriter erlaubt, sich auf den Bericht zu verlassen. Die Haftungs-Obergrenze des Reliance-Letters wird im Voraus mit Käufer und W&I-Broker abgestimmt. Wer plant, eine W&I-Versicherung abzuschließen, sollte das im Scoping-Gespräch erwähnen, damit der Bericht entsprechend strukturiert wird.

Was passiert, wenn wir während der Review schwerwiegende Mängel finden?

Wir kommunizieren akute Mängel sofort an das Käufer-Team. In schwerwiegenden Fällen (etwa fundamentale Compliance-Lücke, drohendes Bußgeldverfahren beim Target, nicht offengelegter Sicherheits-Vorfall) wird der Käufer typischerweise in Verhandlungsgespräche mit dem Verkäufer eintreten — entweder mit Preisabschlag, schärferen Reps, Treuhand-Mechanismen oder im Extremfall einem Deal-Abbruch.

Können Sie auch eine Vendor-DD für die Verkäufer-Seite machen?

Ja. Eine Vendor-Governance-DD wird vom Verkäufer beauftragt und allen potenziellen Bietern im Investorenprozess zur Verfügung gestellt — mit Reliance-Letter. Die methodische Tiefe ist vergleichbar, die Haftungs-Struktur unterscheidet sich (mehrere Reliance-Empfänger). Vendor-DD ist sinnvoll, wenn ein geordneter Verkaufsprozess vorbereitet wird.

Was kostet eine Red-Flag Review?

Die Preisstellung erfolgt mandatsspezifisch und aufwandsbasiert. Der Aufwand hängt von Deal-Größe, Branchen-Komplexität und Anzahl der Standorte ab — bei reiner Red-Flag-Logik mit eng begrenztem Themenkatalog ist er geringer, bei größeren Mandaten oder Mid-Cap-Deals mit komplexer Struktur entsprechend höher. Die konkrete Kalkulation folgt dem Scoping-Gespräch.

Unser Ansatz

Wie wir mit M&A-Teams arbeiten.

Wir richten unsere Leistung an Käufer, M&A-Boutiquen, Mid-Tier-Wirtschaftsprüfer (im Subcontracting-Modell für den ISMS-Workstream) und W&I-Broker als spezialisiertes Compliance-Modul. Unser Vorgehen ist transaktions-orientiert: Wir sprechen die Sprache des Deals, liefern Findings in käufer-relevanter Form und übersetzen sie in SPA-tauglicheres Vokabular.

Methodisch arbeiten wir auf Basis von ISO 27001 und BSI IT-Grundschutz, ergänzt um regulatorische Spezial-Themen (NIS-2, DORA, KRITIS, TISAX, DSGVO). Engagement-Letter und Reliance-Letter haben Standard-Strukturen, die wir im Erstgespräch erläutern. Auf Wunsch begleiten wir den Käufer auch in der Post-Closing-Phase mit einer abgestimmten Roadmap.

Erstgespräch zur Red-Flag Review.

30 Minuten. Wir klären die Deal-Struktur, die spezifischen Risiko-Hypothesen und den passenden Untersuchungsumfang — mit konkreter Indikation zu Zeitplan und Honorar.

Erstgespräch buchen Methodik kennenlernen →
Verwandte Themen

Was vor, neben und nach der Red-Flag Review steht.

In der Transaktions-Begleitung verbinden sich häufig folgende Themen:

Post-Closing Roadmap Nach Closing folgen Carve-Out, Integration und PMI-Themen Distressed Readiness Die Sondersituations-Variante für Insolvenz und Restrukturierung NIS-2-Umsetzung NIS-2-Betroffenheit ist in fast jeder Red-Flag Review ein Kernthema