Post-Closing Roadmap — vom Closing zur stabilen Sicherheits-Architektur.

Nach dem Closing beginnt der eigentliche Aufwand: Carve-Out, IT-Trennung, Integration in den Käufer-Konzern, Konsolidierung von Sicherheits-Konzepten. Wir liefern eine Roadmap mit Quick Wins und langfristigen Maßnahmen — mandatsspezifisch zugeschnitten, oft mit Übergang in eine laufende Begleitung.

9 Minuten Lesezeit · Themen: Carve-Out, TSA-Management, 100-Tage-Plan
Inhalt
7 Abschnitte · 9 Minuten Lesezeit
  1. 01Warum die Post-Closing-Phase oft unterschätzt wird1 min
  2. 02Die ersten 100 Tage — Quick Wins und Stabilisierung2 min
  3. 03Carve-Out und IT-Trennung im Detail2 min
  4. 04TSA-Management — Risiko-Übergang in der Brückenphase1 min
  5. 05Integration oder Eigenständigkeit?1 min
  6. 06Buy-and-Build — ISMS-Konsolidierung bei Plattform-Strategien1 min
  7. 07Häufig gestellte Fragen3 min

Warum die Post-Closing-Phase oft unterschätzt wird

Der Closing-Termin ist juristisch der Abschluss der Transaktion — operativ ist er der Anfang. Die meisten Käufer haben ein klares Bild vom Investment-Case, aber ein vages Bild davon, wie das erworbene Unternehmen in den ersten sechs bis zwölf Monaten konkret stabilisiert werden muss. Genau hier entstehen häufig die unterschätzten Risiken.

Die Bandbreite reicht von akuten technischen Problemen (Identity-Provider funktioniert nach Trennung nicht mehr) über mittelfristige Compliance-Themen (NIS-2-Registrierung muss neu erfolgen, Zertifikate sind nicht übertragen worden) bis zu strategischen Fragen (sollen Sicherheits-Standards des Käufers übernommen oder eigene beibehalten werden?). Eine Post-Closing Roadmap macht diese Themen sichtbar, priorisiert sie und liefert einen abarbeitbaren Plan.

Der Umfang wird mandatsspezifisch festgelegt: eine Roadmap für die Stabilisierungs-Phase, häufig mit Übergang in ein laufendes Retainer-Modell für die anschließende Begleitung. Tiefe und Dauer richten sich nach Integrationsgrad und Komplexität des Falls.

Die ersten 100 Tage — Quick Wins und Stabilisierung

Die ersten 100 Tage nach Closing haben eine eigene Dynamik. Es geht weniger um strategische Entscheidungen als um Stabilisierung — was muss sofort funktionieren, damit der operative Betrieb nicht gefährdet ist?

Typische Quick-Win-Themen:

  • Identity- und Access-Management — wer hat welche Zugriffe, welche Konten gehören abgeschaltet
  • Notfall-Kontakte und Incident-Response-Prozesse — wer wird informiert, wenn jetzt etwas passiert
  • Backup-Strategie — wo liegen die Backups, wer hat Zugriff, wer trägt die Verantwortung
  • Mail-Domain und Authentifizierung — DMARC, SPF, DKIM nach Eigentümer-Wechsel
  • Verträge mit kritischen IT-Dienstleistern — sind sie nach Change-of-Control noch gültig?
  • Regulatorische Meldungen — muss eine neue BSI-Registrierung erfolgen, eine TISAX-Meldung, eine Datenschutz-Behörden-Meldung?

Aus diesen Quick Wins entsteht parallel die längerfristige Roadmap: Welche Themen sind in 100 Tagen abgearbeitet, welche brauchen sechs Monate, welche zwölf, welche sind strategische Mehrjahres-Programme. Wichtig ist die saubere Priorisierung — nicht alles ist gleich wichtig, und nicht alles muss sofort entschieden sein.

Carve-Out und IT-Trennung im Detail

Wenn ein Geschäftsbereich aus einem Konzern herausgelöst wird (Carve-Out), entstehen besonders viele technische Trennungs-Themen. Was vorher gemeinsam war, muss jetzt eigenständig sein:

  • Active Directory. Trennung der Benutzer-Verwaltung, Migration der Konten, neue Identity-Provider-Struktur
  • Mail- und Kalender-Systeme. Neue Domains, Migration der Postfächer, Übergangs-Routing
  • ERP- und Geschäfts-Systeme. Lizenz-Übergang, Datenmigration, ggf. parallel-Betrieb mit dem Verkäufer-System
  • Netzwerk-Trennung. Eigene Internet-Anbindung, Firewall-Konfiguration, ggf. Trennung von gemeinsamen VPN-Strukturen
  • Backup-Systeme. Neue Backup-Verträge, Eigentums-Klärung bei Archiven, Compliance-relevante Aufbewahrungs-Pflichten
  • Sicherheits-Tools. SIEM, EDR, Antivirus — Lizenzen sind oft an die alte Rechtsperson gebunden

Carve-Outs sind ISMS-technisch besonders kritisch, weil viele dieser Trennungen parallel laufen und gegenseitig abhängig sind. Eine strukturierte Roadmap mit klaren Abhängigkeiten, Verantwortlichkeiten und Meilensteinen ist hier nicht optional, sondern existenziell. Die typische Carve-Out-Phase dauert zwischen sechs und 18 Monaten — selten kürzer.

TSA-Management — Risiko-Übergang in der Brückenphase

Wenn nach Closing nicht sofort alle Systeme getrennt werden können, entsteht eine Brückenphase: Der Verkäufer stellt bestimmte Services für eine Übergangszeit weiter bereit — geregelt in einem TSA (Transition Service Agreement). Typische TSA-Services: Mail-Hosting, ERP-Zugang, Helpdesk, gemeinsame Telefonanlage, IT-Infrastruktur in geteilten Rechenzentren.

TSAs sind aus ISMS-Sicht komplex:

  • Wer ist datenschutzrechtlich Verantwortlicher für die personenbezogenen Daten während des TSA?
  • Wer verantwortet einen Sicherheits-Vorfall, der durch das TSA-System verursacht wird?
  • Welche Logs und Audit-Trails muss der Verkäufer bereitstellen?
  • Was passiert, wenn ein TSA-Service ausfällt und der Käufer noch keine Alternative aufgebaut hat?

Ein gutes TSA-Management adressiert diese Themen früh, dokumentiert sie sauber und bereitet den Übergang in den Eigenbetrieb strukturiert vor. Die Praxis-Erfahrung zeigt: Wer das TSA-Ende nicht von Anfang an plant, wird zum Ende der Brückenphase überrascht — und das selten angenehm.

Integration oder Eigenständigkeit?

Nach Carve-Out und TSA-Übergang steht eine strategische Frage: Soll das erworbene Unternehmen vollständig in den Käufer-Konzern integriert werden — oder eigenständig weitergeführt? Aus ISMS-Sicht hat das erhebliche Konsequenzen:

Die Integrations-Variante bedeutet: Eigene ISMS-Strukturen werden abgelöst, Konzern-Standards übernommen, Zertifikate ggf. konsolidiert. Vorteil: einheitliche Sicherheits-Architektur. Nachteil: hoher Migrations-Aufwand, ggf. Verlust spezifischer ISMS-Reife im erworbenen Unternehmen, möglicherweise Anpassungs-Aufwand bei Kunden-Verträgen, die auf die alten Zertifikate verweisen.

Die Eigenständigkeits-Variante bedeutet: Das erworbene Unternehmen behält seine ISMS-Strukturen, wird aber in das Konzern-Reporting integriert. Vorteil: weniger Migrations-Aufwand, Schutz vorhandener Zertifikate und Kunden-Verträge. Nachteil: keine Synergien bei Tools und Lizenzen, parallele Strukturen erzeugen langfristig höhere Kosten.

In der Praxis ist häufig ein Mischmodell sinnvoll: Konzernweite Steuerung in Risiko-Management und Berichtswesen, lokale Eigenständigkeit bei operativen Sicherheits-Maßnahmen. Wir entwickeln das passende Modell gemeinsam mit dem Käufer-Team auf Basis von Investment-Case und ISMS-Reife des erworbenen Unternehmens.

Buy-and-Build — ISMS-Konsolidierung bei Plattform-Strategien

Eine besondere Konstellation entsteht bei Buy-and-Build-Strategien: Ein Plattform-Unternehmen wird über mehrere Jahre durch Add-On-Akquisitionen ergänzt. Aus zwei werden fünf, aus fünf werden zehn Unternehmen mit jeweils eigener ISMS-Reife, eigenen Tools, eigenen Zertifikaten.

Ohne strukturierte Steuerung entsteht ein Flickenteppich. Mit jedem Zukauf wird das Bild komplexer, die Kosten steigen, die Reporting-Qualität sinkt. Spätestens nach drei bis vier Add-Ons ist eine konzernweite ISMS-Strategie nicht mehr verschiebbar.

Ein guter Buy-and-Build-Ansatz aus ISMS-Sicht kennzeichnet sich durch drei Eigenschaften:

  1. Standardisiertes Onboarding-Programm. Jedes neue Add-On wird nach demselben Schema in die Plattform integriert — mit klaren Meilensteinen für Sicherheits-Tools, Reporting und Zertifikate.
  2. Konzernweite Risiko-Sicht. Ein konsolidiertes Risiko-Register über alle Portfolio-Unternehmen, mit einheitlicher Bewertungslogik.
  3. Skalierbare Zertifizierungs-Strategie. Frühzeitige Entscheidung, ob jedes Unternehmen einzeln zertifiziert wird, oder eine Gruppen-Zertifizierung aufgebaut wird.

Für PE-Fonds mit aktiver Buy-and-Build-Strategie wird die Post-Closing Roadmap so zur wiederkehrenden Leistung — bei jedem neuen Add-On wieder eingesetzt, mit standardisierter Methodik und reduziertem Aufwand pro Mandat.

Häufig gestellte Fragen

Sechs Fragen, die in fast jedem Post-Closing-Erstgespräch vorkommen. Klicken Sie eine Frage an, um die Antwort zu sehen.

Wir hatten keine Governance-DD vor Closing — können Sie trotzdem helfen?

Ja. Wir beginnen in dem Fall mit einer Post-Closing-Bestandsaufnahme, die methodisch einer Red-Flag Review entspricht, aber unter veränderten Voraussetzungen erfolgt (kein Datenraum, voller Zugriff, kein Zeitdruck der Verhandlung). Aus dieser Bestandsaufnahme entwickeln wir dann die Roadmap. Das ist ein anderer Einstieg, aber methodisch gut tragfähig.

Wie unterscheidet sich Ihre Roadmap von einer klassischen PMI-Beratung?

Klassische PMI-Beratung fokussiert in der Regel auf Geschäfts-Integration: Vertriebs-Strukturen, HR-Themen, Reporting-Strukturen, Marken-Strategie. ISMS- und Compliance-Themen sind dabei häufig ein eigener Workstream, für den spezialisierte Begleitung sinnvoll ist. Wir bringen genau diese Spezialisierung ein und ergänzen PMI-Projekte als Compliance-Workstream — in enger Abstimmung mit dem führenden PMI-Berater des Käufers.

Wie lange dauert ein typisches Mandat?

Der zeitliche Ablauf hängt stark vom Integrationsgrad ab: Auf die initiale Roadmap-Phase mit Quick-Win-Begleitung folgt häufig der Übergang in ein Retainer-Modell für die Stabilisierungs-Phase mit abnehmendem Aufwand. Bei größeren Carve-Outs und komplexeren Integrationen zieht sich die Gesamtphase entsprechend länger. Den konkreten Rahmen legen wir nach dem Scoping-Gespräch fest.

Können Sie als externer ISB die laufende Funktion übernehmen?

Ja — in Mid-Cap-Strukturen ist eine externe ISB-Funktion oft die wirtschaftlichste Lösung, weil eine interne Vollzeit-Stelle nicht ausgelastet wäre. Wir bieten diese Rolle als laufendes Mandat an, mit definierten Tagesaufwand pro Monat und klar geregelten Eskalations-Wegen. Die Mandanten-Anforderungen unterscheiden sich von einem Beratungs-Mandat — das klären wir im Einzelfall.

Was kostet eine Post-Closing Roadmap?

Die Preisstellung erfolgt mandatsspezifisch und aufwandsbasiert. Der Aufwand für die initiale Roadmap-Phase hängt von Umfang und Komplexität ab — bei größeren Carve-Outs und Integrationen entsprechend höher. Für die anschließende laufende Begleitung vereinbaren wir ein Retainer-Modell auf Basis des tatsächlichen Tages-Aufwands. Die konkrete Kalkulation folgt dem Scoping-Gespräch.

Was passiert, wenn sich nach Closing herausstellt, dass eine Garantie verletzt wurde?

Das ist juristisch ein SPA-Thema (Rep & Warranty-Verletzung), bei dem die begleitende M&A-Kanzlei und ggf. der W&I-Versicherer aktiv werden. Wir liefern die fachliche Bewertung des Sachverhalts: Was wurde im SPA garantiert, wie sah der tatsächliche Zustand aus, welche Schadenshöhe ergibt sich realistisch. Diese Bewertung fließt in die Schadensersatz-Verhandlungen ein, ist aber selbst keine Rechtsberatung.

Unser Ansatz

Wie wir Käufer und Portfolio-Unternehmen begleiten.

Wir arbeiten als Compliance-Workstream parallel zu klassischen PMI-Beratern oder als eigenständiger ISMS-Begleiter direkt mit dem erworbenen Unternehmen. Unser Vorgehen ist methodisch klar strukturiert: Erst Bestandsaufnahme, dann Quick-Win-Phase, dann strukturierte Roadmap, dann Stabilisierungs-Begleitung. Unser Liefergegenstand sind abarbeitbare Arbeitspakete mit klaren Meilensteinen, keine reinen Konzeptpapiere.

Bei PE-Fonds mit aktiver Buy-and-Build-Strategie entwickeln wir auf Wunsch ein standardisiertes Onboarding-Programm, das bei jedem neuen Add-On angewendet werden kann — mit reduziertem Aufwand und konsistenter Methodik. Auf Wunsch übernehmen wir auch die externe ISB-Funktion als laufendes Mandat.

Erstgespräch zur Post-Closing Roadmap.

30 Minuten. Wir klären die Deal-Struktur, die aktuelle Übergangs-Situation und die wichtigsten ISMS-Themen für die ersten 100 Tage — mit konkreter Indikation zu Zeitplan und Honorar.

Erstgespräch buchen Methodik kennenlernen →
Verwandte Themen

Was vor und parallel zur Post-Closing-Phase steht.

In der Transaktions-Begleitung verbinden sich häufig folgende Themen:

Red-Flag Review Die Pre-Closing-Phase mit fokussierter Governance-DD Distressed Readiness Wenn die Transaktion aus einer Sondersituation kommt Informationssicherheits-Managementsystem Aus der Roadmap wird häufig ein ISMS-Aufbau-Mandat