IT-Governance-Vakuum: Das unterschätzte Risiko in jeder Post-Merger-Integration
Fusionen und Übernahmen erzeugen Druck: Synergien müssen realisiert, Systeme integriert und Kosten gesenkt werden. Doch während Finanz- und Operations-Teams mit klaren Mandaten in die Integrationsphase starten, hinterlässt das Closing in der IT regelmäßig eine gefährliche Lücke. Niemand weiß, wer entscheidet. Diese Unklarheit kostet Unternehmen in der PMI-Phase oft mehr als die technische Systemintegration selbst.
Warum das IT-Governance-Vakuum das vielleicht am stärksten unterschätzte, strukturelle Risiko jeder Post-Merger-Integration ist – und welche drei Hebel in den ersten Wochen nach dem Closing wirklich greifen, erklären wir in diesem Blog.
Der Moment des Closings markiert offiziell den Start der Post-Merger-Integration. Gleichzeitig ist er der Beginn einer Phase, in der niemand mit Sicherheit sagen kann, wer für bestimmte Domänen zuständig ist. Bis zum Closing hatte jede Seite eigene CIOs, eigene IT-Budgets, eigene Entscheidungsgremien. Mit der Unterschrift existieren de facto zwei Parallelstrukturen nebeneinander – zunächst unabgestimmt.
Beide IT-Organisationen treffen weiterhin Entscheidungen für ihr jeweils eigenes Haus. Beschaffungen laufen weiter. Verträge werden verlängert. Systeme werden weiterentwickelt – ohne Koordination, ohne gemeinsame Richtung und oft ohne zu wissen, was auf der anderen Seite passiert. Das ist kein Versagen von Personen, sondern das strukturelle Ergebnis eines fehlenden Governance-Rahmens.
In den ersten Wochen funktioniert die alte Welt meist noch. Beide IT-Organisationen arbeiten ihre bestehenden Backlogs ab, Tickets laufen über die gewohnten Wege, niemand merkt das Vakuum. Der Bruch kommt zwischen Woche zwei und Woche vier – und er kommt nicht laut, sondern leise.
Drei Eskalationsmuster zeigen sich dabei besonders deutlich.
Vertragsverlängerungen, Lizenz-Audits, Preisanpassungen – ein langjähriger Anbieter ruft an, möchte mit „dem neuen CIO“ sprechen, und erhält von beiden Seiten widersprüchliche Auskünfte. Im schlechtesten Fall nutzt der Anbieter genau diese Unklarheit für Konditionen, die er regulär nie durchsetzen würde.
Ein SIEM-Alarm aus einem System der akquirierten Einheit erreicht ein SOC, das nicht weiß, ob es zuständig ist. Wer entscheidet über das Containment? Wer informiert die Geschäftsführung – die alte oder die neue? In dieser Zeit entstehen Verzögerungen, die später in regulatorischen Meldungen erklärungsbedürftig werden.
Spätestens in Woche drei tauchen die Fragen auf, die niemand offiziell stellt: Wessen Ticket-System bleibt? Wessen ERP-Strategie gewinnt? Welche Standorte verlieren ihre lokale IT-Verantwortung? Mitarbeiter mit Sensorium für solche Dynamiken fangen an, sich Optionen zu sichern – manche durch interne Allianzen, manche durch Abwanderung. Das Integrationsteam verbringt zunehmend Zeit mit Symbolfragen statt mit Architekturentscheidungen.
IT-Governance bezeichnet im Kern die Klärung zweier Fragen: Wer darf welche IT-Entscheidungen treffen – und wer ist dafür verantwortlich, dass diese Entscheidungen im Sinne der Unternehmensziele getroffen werden? In einem stabilen Betrieb sind diese Fragen meist implizit beantwortet. In einer PMI müssen sie explizit und schnell beantwortet werden – denn das neue Gesamtunternehmen existiert real, bevor seine Governance-Strukturen etabliert sind.
Die relevanten Entscheidungsfelder in einer IT-PMI umfassen typischerweise:
IT-Strategie & Zielarchitektur:
Welche Systeme werden langfristig betrieben, welche werden abgelöst?
Investitions- & Beschaffungs-Entscheidungen
Wer genehmigt neue IT-Vorhaben während der Integrationsphase?
IT-Sicherheit & Compliance
Welcher Standard gilt – der des Käufers, der des Akquisitionsobjektes oder ein neu definierter Zielstandard?
Lieferanten- & Vertragsmanagement
Wer verhandelt mit bestehenden Anbietern, wer beendet Doppelverträge?
Priorisierung von Integrationsprojekten:
Wer entscheidet, was zuerst integriert wird?
Ohne klare Antworten auf diese Fragen entstehen parallele Entscheidungspfade – und damit erhöhte Kosten, Sicherheitslücken und Compliance-Risiken.
Ein Beispiel aus einer vergangenen IT-PMI illustriert, wie schnell aus einem Governance-Vakuum harte Zahlen werden. Bei der Konsolidierung der Vertragslandschaften zweier mittelständischer Unternehmen – stellte sich in kürzester Zeit heraus, dass beide Seiten unabhängig voneinander Verträge mit denselben SaaS-Anbietern unterhielten: Marketing-Tools, eine HR-Plattform, ein BI-Werkzeug, mehrere Sicherheits-Tools, ein E-Signature-Dienst etc.
Das Einsparungspotenzial lag im niedrigen sechsstelligen Bereich an Jahreslizenzen, die parallel weiterliefen, weil niemand mandatiert war, sie zu kündigen oder konsolidiert neu zu verhandeln. Der eigentliche Schaden war jedoch ein anderer: Mehrere dieser Verträge hatten in den ersten Wochen nach Closing Automatic-Renewal-Klauseln ausgelöst, deren Kündigungsfristen inzwischen verstrichen waren. Die Konsolidierung verschob sich um eine volle weitere Vertragsperiode – mit entsprechend laufenden Doppelkosten.
In einem regulierten Umfeld wäre der Schaden ungleich größer ausgefallen: Mehrere der betroffenen SaaS-Lösungen waren IKT-Drittdienstleister im Sinne der DORA-Definition.
Schatten-IT existiert in jedem Unternehmen. Was die PMI-Phase besonders macht, ist nicht die Entstehung, sondern die Eskalation bestehender Schatten-IT zu einem akuten Sicherheitsproblem.
Drei Dynamiken treiben das.
Bislang akzeptierte Insellösungen werden plötzlich kritisch:
Das Marketing-Team der akquirierten Einheit nutzt seit Jahren ein eigenes Analytics-Tool, das nie offiziell freigegeben, aber stillschweigend toleriert wurde. Mit der Integration werden Datenflüsse aus dem zentralen CRM angebunden – und ein lokales Hilfsmittel wird zur ungesicherten Schnittstelle zwischen zwei Unternehmensdatenbeständen.
Bestehende Inventare verlieren ihren Wert:
Beide Seiten hatten typischerweise eine ungefähre Vorstellung davon, was in ihrer eigenen Organisation von statten ging. Diese Lagebilder waren nie vollständig, aber arbeitsfähig. In dem Moment, in dem zwei unvollständige Inventare zusammengeführt werden sollen, verstärken sich die Lücken multiplikativ: Was auf der einen Seite Schatten-IT war, taucht im Inventar der anderen Seite gar nicht erst auf – und niemand sucht aktiv danach.
Fachabteilungen entscheiden bei Unklarheit selbst:
Wenn die Integrationsphase vier Wochen dauert, akzeptieren Fachbereiche das. Wenn sie sich – wie üblich – auf zwölf bis achtzehn Monate streckt, beschaffen sich Teams die Tools, die sie zum Arbeiten brauchen. Jede Woche ohne klare Governance-Antwort erzeugt neue Schatten-IT, die später aufwendig zurückgeführt werden muss.
Das Ergebnis: Zwei Unternehmen, deren Systeme im Integrationsprozess zunehmend verbunden werden, haben unkontrollierte Zugänge, unbekannte Datenflüsse und nicht-inventarisierte Applikationen – in einem Moment, in dem das gemeinsame Angriffsprofil ohnehin größer ist als das der Einzelunternehmen.
Für regulierte Unternehmen wird das Governance-Vakuum nicht nur teuer, sondern justiziabel. Zwei Vorgaben werden in der PMI-Phase regelmäßig zum Problem.
DORA verlangt ein vollständiges Register aller IKT-Drittdienstleister – mit klarer Zuordnung kritischer und wichtiger Funktionen. In einer PMI-Phase, in der niemand mandatiert ist, beide Vertragslandschaften zusammenzuführen, ist dieses Register systematisch lückenhaft. Verstöße können für Finanzunternehmen Bußgelder bis 2 % des Jahresumsatzes nach sich ziehen; für direkt beaufsichtigte kritische IKT-Drittanbieter sieht DORA tägliche Zwangsgelder von bis zu 1 % des durchschnittlichen weltweiten Tagesumsatzes vor – über bis zu sechs Monate.
NIS2 verlangt, schwerwiegende Sicherheitsvorfälle binnen 24 Stunden zu melden, DORA sogar binnen vier Stunden nach Klassifizierung. Wer in Woche drei nach Closing nicht zweifelsfrei weiß, wer einen Vorfall klassifiziert und wer ihn meldet, verfehlt diese Fristen mit hoher Wahrscheinlichkeit. Die Folgen reichen über das Bußgeld hinaus: NIS2 sieht bei besonders wichtigen Einrichtungen Bußgelder bis 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes vor, je nachdem welcher Betrag höher ist – und beide Regelwerke etablieren eine persönliche Haftung der Geschäftsleitung. Bei grober Fahrlässigkeit können nationale Behörden zudem vorübergehende Berufsverbote für leitende Manager verhängen.
Das ist der Punkt, an dem aus einem internen Strukturproblem eine Haftungsfrage für die Geschäftsleitung wird – mit Konsequenzen, die kein Integrationsbudget auffangen kann.
Aus der Beratungspraxis lassen sich drei Muster identifizieren, die sich immer wieder zeigen:
Die Erfahrung aus IT-PMI-Projekten zeigt, dass eine wirksame Governance-Struktur in dieser Phase drei Dinge leisten muss – und zwar schnell:
- Klare Entscheidungsrechte: Wer darf was in welchem Rahmen entscheiden – ohne wöchentliche Eskalation?
- Ein temporäres Steuerungsgremium: Ein IT-PMI-Lenkungskreis mit Vertretern beider Seiten und klarem Mandat. Nicht für immer – aber für die Integrationsphase.
- Dokumentierte Leitplanken: Welche IT-Prinzipien gelten während der Integration? Keine neuen großen Investitionen ohne Abstimmung. Kein Abschalten ohne Impact-Analyse. Kein Aufbau neuer Systeme außerhalb der definierten Zielarchitektur.
Diese Hebel zeigen große Wirkung und erzeugen den Unterschied zwischen einer PMI, die ihr Integrationsziel in 18 Monaten erreicht – und einer, die nach drei Jahren noch immer zwei parallele Welten betreibt.
Das IT-Governance-Vakuum nach dem Closing ist kein Zufall und kein individuelles Versagen, sondern das strukturelle Ergebnis unzureichender Vorbereitung. Wer in einer PMI zu spät mit der Klärung von Entscheidungsstrukturen beginnt, zahlt dafür – in Form von unnötigen Mehrkosten, Compliance-Risiken und verlorenem Integrationsmomentum.
Eine wirksame IT-Governance muss nicht perfekt sein, aber sie muss von Tag 1 an handlungsfähig machen. Drei klare Elemente – Entscheidungsverantwortung, Steuerungsgremium, Leitplanken – geben in der gefährlichsten Phase einer Integration Orientierung.