OSINT für Pre-Acquisition Due Diligence

Sektor

B2B-Technologie · Erwerber mit westeuropäischem Betrieb · Target ein Startup in der Wachstumsphase · M&A-Transaktion noch nicht öffentlich.

Ausgangslage

Das M&A-Team des Erwerbers musste die finanzielle und rechtliche Due Diligence durch eine unabhängige technische Lesung des Targets ergänzen, ohne direkten Kontakt mit dessen Sicherheitsteam und bevor die Transaktion öffentlich wurde. Das Lieferfenster war kurz, die Vertraulichkeit absolut.

Vorgehen

Wir entwarfen eine OSINT-Due-Diligence in fünf Blöcken: externe technische Lage (Subdomains, Zertifikate, exponierte Dienste, schwache Konfigurationen), Code- und Geheimnishygiene in öffentlichen Repositories, Zugangsdaten-Exposition in historischen Datenpannen rund um die Unternehmensdomain und bekannte Lieferanten, Reputation und Nachverfolgbarkeit zentraler technischer Mitarbeitenden sowie deklarierte Compliance-Lage gegenüber öffentlich verfügbaren Belegen. Die gesamte Aktivität war passiv oder mit niedrigem Profil, ohne Kontakt zu Target-Assets.

Ergebnis

Wir lieferten einen Bericht mit 8 kritischen Befunden (3 mit direkten Auswirkungen auf die Transaktionsbewertung) und 14 mittleren Befunden. Die kritischen Befunde führten zu spezifischen Repräsentations- und Garantieklauseln in der finalen Vereinbarung sowie zu einem 90-tägigen Post-Closing-Integrationsplan.

Lehre

Die öffentliche Oberfläche eines Unternehmens sagt mehr über seine reale Sicherheitsreife aus als jeder selbst ausgefüllte Fragebogen.

Zeit und Aufwand

2-3 Wochen · 40-60 Beratungsstunden · Management-Report + technischer Bericht + Befundmatrix.

Schlagwörter

OSINT · Due Diligence · M&A · Externe Analyse · Risikomanagement · Open Source Intelligence