Mit der offiziellen Verkündung eines Unternehmenskaufs beginnt für die IT die eigentliche Arbeit. Während Management, Recht und Finanzen den Deal verhandeln, liegt die Verantwortung für Integration, Stabilität und Sicherheit bei den Administratoren. In der Praxis zeigt sich schnell: Der Erfolg einer Integration entscheidet sich nicht auf strategischer Ebene, sondern in der technischen Umsetzung. Unklare Zielbilder, fehlende Transparenz oder Zeitdruck führen dazu, dass improvisierte technische Workarounds entstehen – und genau diese werden später zum Sicherheitsrisiko.

Ohne IT-Security-Check keine Integration

Ein strukturierter IT-Security-Check gehört zu den ersten Pflichtaufgaben. Erfolgt er bereits während der Due Diligence, lässt er sich geplant und systematisch durchführen, etwa mit Unterstützung externer Spezialisten oder auf Basis vorhandener Tools und Reports. Kommt die IT hingegen erst nach dem Closing ins Spiel, muss dieser Schritt unter Zeitdruck nachgeholt werden.

Ziel ist kein abstraktes Audit, sondern ein realistisches Lagebild. Dabei sind insbesondere die folgenden Fragen entscheidend: Wie aktuell sind Systeme tatsächlich? Welche Schwachstellen sind bekannt, aber nicht behoben? Wie werden Berechtigungen real genutzt? Und welche Systeme sind geschäftskritisch, aber unzureichend abgesichert? Das alles ergibt sich erst bei einem gründlichen Blick in Konfigurationen, Patchstände und Berechtigungsstrukturen. In der Praxis weichen diese Erkenntnisse oft deutlich von den Annahmen aus den Verkaufsunterlagen ab.

Wichtig ist dabei auch die Kommunikation: Ein solcher Security-Check ist kein Misstrauensvotum gegenüber der bestehenden IT, sondern ein notwendiger Schritt, um Transparenz zu schaffen. Die IT gewinnt damit ein belastbares Bild der Umgebung und kann auf dieser Basis fundierte Entscheidungen für die Integration treffen. Für Administratoren gehört dieses Vorgehen zum Alltag – sie müssen jede neue Umgebung zunächst verstehen und bewerten, bevor sie sie sicher betreiben.

Integration aus Sicht der Käufer-IT

Wird die IT früh eingebunden, lassen sich Playbooks, Zielarchitekturen und Mindeststandards definieren. In der Praxis ist dieses Szenario jedoch eher die Ausnahme. Häufig beginnt die eigentliche Arbeit erst nach der offiziellen Verkündung.

Der erste Schritt besteht darin, die oft vagen Erwartungen des Managements in ein technisch belastbares Zielbild zu übersetzen. "Integration" kann vieles bedeuten: von der reinen Konsolidierung von Reporting-Strukturen bis zur vollständigen Migration zentraler Systeme wie ERP, Identitätsplattform oder Collaboration-Umgebung. Ohne diese Klarheit lassen sich weder Aufwand noch Risiko seriös bewerten.

Darauf aufbauend gilt es, das Vorgehen zu strukturieren. Bewährt hat sich eine Aufteilung entlang technischer Domänen wie Identitätsmanagement, Netzwerk, Arbeitsplatzsystemen, Anwendungen und Daten. Diese Bereiche lassen sich weitgehend unabhängig planen, sind aber in der Umsetzung eng miteinander verzahnt.

Besonders kritisch ist das Identity & Access Management. Die Integration des Active Directory kann über Trusts, schrittweise Migrationen oder einen kompletten Neuaufbau erfolgen. Trusts sind schnell eingerichtet, schaffen jedoch direkte Verbindungen zwischen den Umgebungen und erhöhen die Angriffsfläche. Saubere Migrationen sind aufwendiger, bieten aber langfristig deutlich mehr Kontrolle.

Auch im Netzwerk entstehen häufig Risiken. Eine schnelle Kopplung von Standorten per VPN führt oft zu flachen Strukturen ohne ausreichende Segmentierung. Besonders kritisch wird dies, wenn das Zielunternehmen bereits kompromittiert ist, ohne es zu wissen. In diesem Fall kann eine vorschnelle Kopplung der Netze dazu führen, dass sich Angreifer unmittelbar in der Umgebung des Käufers ausbreiten. Technisch sinnvoll ist daher, kritische Systeme zunächst getrennt zu halten und Kommunikationspfade gezielt freizugeben, zum Beispiel über dedizierte Firewalls oder segmentierte VLAN-Strukturen.

Ein weiterer zentraler Punkt ist die Transparenz. Ohne konsolidiertes Logging bleiben sicherheitsrelevante Ereignisse während der Integrationsphase oft unentdeckt. Daher sollten Administratoren zentrale Systeme wie Domaincontroller, Firewalls und sicherheitsrelevante Anwendungen frühzeitig in bestehende Monitoring- oder SIEM-Plattformen einbinden.

Unter Erwartungsdruck sind gezielte Quick Wins entscheidend. Neben sicherheitsrelevanten Maßnahmen wie dem Schließen unnötig exponierter Dienste – etwa öffentlich erreichbarer RDP-Zugänge oder unsicher konfigurierter VPN-Endpunkte – spielen auch Verbesserungen für die Anwender eine wichtige Rolle. So kann bereits eine einfache Organization Relationship zwischen Microsoft-365-Tenants dafür sorgen, dass Frei-/Gebucht-Zeiten in Outlook sichtbar werden. Auch die Vereinheitlichung von Identitäten für zentrale Tools wie Teams oder SharePoint reduziert sofort Reibungsverluste im Alltag. Solche Maßnahmen sind technisch überschaubar, haben aber unmittelbare Wirkung auf Zusammenarbeit und Akzeptanz.

Gleichzeitig ist es wichtig, realistisch zu entscheiden, welche Aufgaben intern leistbar sind. Komplexe Migrationen des Active Directory, von Microsoft-365-Tenants oder ERP-Systemen erfordern Erfahrung und spezialisierte Werkzeuge. Externe Unterstützung ist hier oft kein Zusatz, sondern Voraussetzung für eine stabile Umsetzung.

Die IT im übernommenen Unternehmen: Zwischen Anpassung und Gestaltung

Im übernommenen Unternehmen ist der Administrator entweder frühzeitig eingebunden oder erfährt erst mit der offiziellen Verkündung von der Übernahme. Im ersten Fall kann er aktiv zur Due Diligence beitragen, indem er Transparenz schafft. Dazu gehören aktuelle Inventare, nachvollziehbare Netzwerkpläne, dokumentierte Abhängigkeiten und belastbare Aussagen zur Funktionsfähigkeit von Sicherheitsmechanismen wie Backup und Recovery. Diese Informationen sind nicht nur für die Bewertung des Unternehmens entscheidend, sondern auch für die spätere Integration.

Sieht sich der Administrator hingegen unvorbereitet mit der neuen Situation konfrontiert, steht zunächst Orientierung im Vordergrund. Es gilt, neue Zielarchitekturen, Sicherheitsstandards und Werkzeuge zu verstehen und einzuordnen. Gerade hier liegt eine oft unterschätzte Chance. Lokales Wissen über gewachsene Strukturen, Sonderlösungen und implizite Abhängigkeiten ist in keiner Dokumentation vollständig abgebildet. Wer dieses Wissen strukturiert einbringt, etwa durch gezielte Dokumentation oder den direkten Austausch mit dem übernehmenden Team, wird schnell zu einem zentralen Ansprechpartner.

Auch technisch übernimmt der Administrator eine aktive Rolle. Bei der Bereinigung von Identitäten, der Analyse bestehender Systeme oder der Vorbereitung von Datenmigrationen ist das Detailwissen über die eigene Umgebung entscheidend. Je sauberer diese Vorarbeit erfolgt, desto geringer ist das Risiko von Fehlern und Ausfällen in späteren Projektphasen.

Neue Sicherheitsstandards wie strengere Zugriffskontrollen oder zentralisiertes Logging erfüllen dabei einen klaren Zweck: Sie schaffen Transparenz und machen Abläufe nachvollziehbar. Entscheidend ist, dass Administratoren diese Standards gemeinsam mit der übernehmenden IT so umsetzen, dass sie im operativen Alltag funktionieren.

Die ersten 100 Tage: Struktur statt Aktionismus

Gerade nach dem Abschluss der Übernahme entscheidet die Anfangsphase über den weiteren Verlauf der Integration. Ein strukturierter Ansatz hilft, Prioritäten richtig zu setzen und Risiken früh zu kontrollieren:

Tag 1–10: Sichtbarkeit und Absicherung

• Überblick über externe Angriffsflächen (VPN, RDP, Webdienste)
• Kritische Accounts prüfen und absichern
• Erste Logquellen anbinden (zum Beispiel Domain Controller, Firewalls)

Tag 10–50: Stabilisierung und Reduktion von Risiken

• Bereinigung von Identitäten und Berechtigungen
• Einführung grundlegender Sicherheitsstandards
• Erste Netzwerksegmentierung und Kontrolle von Kommunikationspfaden

Tag 50–100: Gezielte Integration

• Planung und Umsetzung von Migrationen (zum Beispiel AD, M365, Anwendungen)
• Konsolidierung von Systemen und Tools
• Aufbau nachhaltiger Betriebs- und Sicherheitsprozesse

Dieser strukturierte Ansatz verhindert, dass aus kurzfristigen Notlösungen langfristige Risiken entstehen.

Typische Fehler aus der Praxis

In vielen Projekten wiederholen sich ähnliche Muster. Typische Fehler entstehen vor allem dort, wo Teams bestehende Strukturen ungeprüft übernehmen oder Übergangskonstrukte dauerhaft beibehalten. Dazu gehören etwa bestehenbleibende AD-Trusts mit weitreichenden Berechtigungen oder parallele Identitäten ohne klare Strategie, die Inkonsistenzen erzeugen und zusätzliche Angriffsflächen öffnen.

Ein weiteres Risiko entsteht, wenn Verantwortliche die technische Integration unter Zeitdruck vorantreiben. So koppeln sie Netzwerke oft vorschnell, ohne sie ausreichend zu segmentieren. Flache Strukturen erlauben dann eine ungehinderte laterale Bewegung über beide Umgebungen hinweg. Ähnlich problematisch ist es, wenn Teams Alt-Systeme ohne aktuellen Patchstand oder Support übernehmen, statt sie zunächst zu isolieren.

Auch bei Migrationen zeigen sich typische Schwächen. Übernehmen Administratoren Accounts, Gruppen und Berechtigungen ungeprüft, übertragen sie bestehende Fehler und Unsicherheiten direkt in die neue Umgebung. Hinzu kommen provisorische Maßnahmen wie temporäre Firewall-Regeln, die Teams unter Zeitdruck einrichten und später nicht konsequent zurückbauen.

Ein oft unterschätzter Punkt ist die Absicherung im Hintergrund. Viele Organisationen gehen davon aus, dass ihre Backupkonzepte funktionieren, testen diese jedoch nicht regelmäßig. Im Ernstfall stellen sie dann fest, dass sich Daten nicht wie erwartet wiederherstellen lassen.

Gerade in der Integrationsphase, in der Teams viele Schutzmechanismen parallel anpassen, wächst die Angriffsfläche deutlich. Fehler in dieser Phase wirken oft langfristig nach und lassen sich später nur mit erheblichem Aufwand korrigieren.

Fazit – Der Erfolg entscheidet sich im Maschinenraum

Für die IT sind M&A-Prozesse keine Randthemen, sondern operative Herausforderungen, die unmittelbar über Sicherheit und Stabilität entscheiden: Transparenz durch Security-Checks, klare Zielarchitekturen und eine saubere technische Umsetzung. IT-Administratoren sind auf beiden Seiten der Übernahme die zentrale Instanz, die aus zwei gewachsenen Umgebungen eine sichere und funktionierende Gesamtarchitektur formt. Wer dabei strukturiert vorgeht und technische Risiken früh adressiert, legt die Grundlage für eine erfolgreiche Integration.

Über den Autor: Max Giessler ist geschäftsführender Gesellschafter und Management Consultant bei bitformer.