Due Diligence

Eine IT Due Diligence ist eine systematische Pruefung potenzieller IT-Dienstleister vor Vertragsabschluss. Sie bewertet IT-Sicherheit, Datenschutz-Compliance, technische Faehigkeiten und operationelle Risiken. Im regulierten Umfeld (Banken, Versicherungen) ist sie nach MaRisk AT

9 und EBA-Leitlinien fuer Auslagerungen verpflichtend. Die Pruefung umfasst typischerweise Dokumentenanalyse, Frageboegen, Interviews und bei kritischen Auslagerungen auch Vor-Ort-Assessments.

Eine Due Diligence Checkliste fuer IT-Dienstleister umfasst: IT-Sicherheitszertifizierungen (ISO 27001, SOC 2, TISAX), Datenschutz-Compliance (DSGVO, Auftragsverarbeitung), finanzielle Stabilitaet und Geschaeftskontinuitaet, Business-Continuity- und Disaster-Recovery-Plaene, Referenzen und Track Record, Subdienstleister-Management, regulatorische Anforderungen (MaRisk, BAIT, DORA) sowie Exit-Strategien und Datenrueckgabe-Prozesse.

Im Finanzsektor fordern MaRisk (AT 9), BAIT und die EBA-Leitlinien fuer Auslagerungsvereinbarungen eine dokumentierte Due Diligence vor jeder Auslagerung. Seit Januar

2025 verlangt DORA (Digital Operational Resilience Act) zusaetzlich eine Pruefung der IKT-Risiken bei Drittanbietern. Branchenuebergreifend gelten DSGVO-Anforderungen an die Auftragsverarbeitung sowie NIS2-Pflichten fuer kritische Infrastrukturen.

Die Dauer hängt von der Komplexität und Kritikalität der Auslagerung ab. Ein Basis-Screening dauert

2 bis

4 Wochen, eine umfassende Due Diligence für kritische IT-Dienstleister

6 bis

12 Wochen. Bei regulierten Unternehmen verlängert sich der Zeitrahmen durch zusätzliche Compliance-Prüfungen. Ein risikobasierter Ansatz priorisiert die Prüftiefe nach Kritikalität – nicht jeder Dienstleister braucht eine Vollprüfung.

IT Due Diligence fokussiert auf technische Aspekte: IT-Architektur, Sicherheitskonzepte, Softwarequalitaet und technische Schulden. Vendor Due Diligence (Dienstleister Due Diligence) ist breiter und umfasst auch finanzielle Stabilitaet, Compliance, operative Faehigkeiten und strategische Passung. Bei IT-Auslagerungen ueberschneiden sich beide: Die IT Due Diligence ist dann ein Kernbestandteil der umfassenden Vendor Due Diligence.

Zentrale IT-Sicherheitsaspekte sind: Informationssicherheits-Managementsystem (ISMS nach ISO 27001), Zugangs- und Berechtigungskonzepte, Verschluesselung (Data at Rest und in Transit), Netzwerksicherheit und Segmentierung, Patch- und Vulnerability-Management, Security-Monitoring und Incident-Response-Faehigkeiten, Backup und Disaster Recovery sowie Penetrationstests und Audit-Ergebnisse.

ADVISORI begleitet den gesamten Due-Diligence-Prozess: Von der Entwicklung massgeschneiderter Pruefframeworks und Frageboegen ueber die Durchfuehrung von Assessments (Dokumentenpruefung, Interviews, Vor-Ort-Audits) bis zum abschliessenden Due-Diligence-Bericht mit Risikobewertung und Handlungsempfehlungen. Unser Team bringt regulatorische Expertise (MaRisk, BAIT, DORA, NIS2) und branchenspezifisches Know-how aus dem Finanz- und IT-Sektor mit.