Tech Due Diligence Checkliste

Technische Due Diligence Checkliste

Eine gründliche technische Due Diligence deckt viel Terrain ab. Ob Sie ein VC sind, der ein Startup bewertet, ein Search Fund, der sein erstes Unternehmen akquiriert, oder eine PE-Firma mit Bolt-on-Assessments - diese Checkliste stellt sicher, dass Sie nichts Kritisches übersehen.

Codequalität & Architektur

Zugang zum Code-Repository - Haben Sie Zugang zu allen Quellcode-Repositories?
Aktualität von Sprache und Framework - Werden gewartete, aktuelle Technologien verwendet?
Code-Konsistenz - Gibt es einen einheitlichen Coding-Stil? Sind Linter/Formatter konfiguriert?
Testabdeckung - Welcher Prozentsatz des Codes ist durch automatisierte Tests abgedeckt?
Architektur-Dokumentation - Ist die Systemarchitektur dokumentiert und aktuell?
Dependency-Management - Sind Drittanbieter-Abhängigkeiten aktuell? Bekannte Schwachstellen?
Technical-Debt-Inventar - Trackt und priorisiert das Team Technical Debt?
Code-Review-Praktiken - Werden Pull Requests vor dem Merge gereviewed?

Hosting und Cloud-Setup - Wo wird die Anwendung gehostet? Ist das Setup dokumentiert und reproduzierbar?
CI/CD-Pipeline - Gibt es automatisierten Build, Test und Deployment?
Monitoring und Alerting - Gibt es Dashboards und Alerts für Schlüsselmetriken?
Backup und Disaster Recovery - Gibt es regelmäßige Backups? Wurde der Recovery-Prozess getestet?
Umgebungsparität - Spiegeln Staging/Dev-Umgebungen die Produktion?
Infrastructure as Code - Ist die Infrastruktur in Code definiert (Terraform, CloudFormation etc.)?
Kostentransparenz - Werden Hosting-Kosten getrackt und optimiert?

Authentifizierung und Autorisierung - Wie werden Benutzer authentifiziert? Zugriffskontrollen korrekt implementiert?
Datenverschlüsselung - Sind Daten at-rest und in-transit verschlüsselt?
Secrets-Management - Werden API-Keys, Passwörter und Token sicher gespeichert (nicht im Code)?
Schwachstellen-Scanning - Gibt es regelmäßige Sicherheitsscans? Wann war der letzte Penetrationstest?
DSGVO / Datenschutz - Werden personenbezogene Daten gemäß geltenden Vorschriften behandelt?
Audit-Logging - Werden sicherheitsrelevante Ereignisse protokolliert?
Incident-Response-Plan - Gibt es einen dokumentierten Prozess für Sicherheitsvorfälle?

Teamzusammensetzung - Welche Rollen existieren? Gibt es Lücken?
Schlüsselperson-Abhängigkeiten - Ist kritisches Wissen auf ein oder zwei Personen konzentriert?
Dokumentationskultur - Sind Systeme, Prozesse und Entscheidungen dokumentiert?
Onboarding-Prozess - Wie lange braucht ein neuer Entwickler, um produktiv zu werden?
Entwicklungsmethodik - Agile, Scrum, Kanban? Wie ausgereift ist die Praxis?

Performance-Benchmarks - Gibt es Lasttests? Was sind die aktuellen Performance-Charakteristiken?
Skalierungsplan - Kann die Architektur 10x Wachstum bewältigen?
API-Design - Sind APIs gut designt, versioniert und dokumentiert?
Drittanbieter-Integrationen - Von welchen externen Services hängt das Produkt ab?
Datenarchitektur - Ist das Datenmodell sauber? Werden Migrationen verwaltet?

Open-Source-Compliance - Sind Open-Source-Lizenzen mit dem Geschäftsmodell kompatibel?
IP-Eigentum - Gehört der gesamte Code dem Unternehmen?
Drittanbieter-Lizenzen - Sind alle kommerziellen Softwarelizenzen aktuell und übertragbar?

Nicht jeder Punkt hat das gleiche Gewicht. Die relative Bedeutung hängt vom Deal-Kontext ab:

VCs sollten sich auf Architektur, Skalierbarkeit und Team konzentrieren
Search Funds sollten Schlüsselperson-Risiko, Dokumentation und Infrastruktur priorisieren
Micro PE sollten Integrationskompatibilität und Technical-Debt-Quantifizierung betonen
Family Offices sollten sich auf Sicherheit, Compliance und Gesamtrisiko konzentrieren

Für eine professionelle Bewertung siehe unseren Ablauf und Kostenguide.

Erhalten Sie eine unabhängige technische Bewertung von erfahrenen Ingenieuren. Wissen Sie genau, was Sie kaufen.