Software Due Diligence

Schutz der Software-IP in einer Software Due Diligence:  Effektive Strategien für Sell- und Buy-side

Was sind effektive Strategien zum Schutz der Software-IP während einer DD? Entdecken Sie rechtliche und technische Maßnahmen, die über das Übliche hinausgehen.

Egon Wuchner
Jul 8, 2025
Schutz der Software-IP in einer Software Due Diligence:  Effektive Strategien für Sell- und Buy-side
5:28

In Teil 1 der Blogreihe zum Thema "Software Due Diligence: zu der Schlüssel zu erfolgreichen M&A-Deals" ging es um den Einfluss der Unternehmensgröße und -organisation auf die Durchführung und die Schwerpunkte einer Software Due Diligence.

Hier in Teil 2 gehen wir ausführlich auf den Schutz der Software IP und passender Strategien ein.

Externe Expertise schützt sensible Software-IP

Um die geistigen Eigentumsrechte (IP) der Software eines Targets während einer M&A-Transaktion zu schützen, wird in der Regel ein spezialisierter externer Dienstleister mit der Durchführung der Software Due Diligence beauftragt. Dieser Ansatz hat sich bewährt, da er sicherstellt, dass weder der Investor noch andere unautorisierte Parteien direkten oder indirekten Zugriff auf den Quellcode oder die zugrunde liegenden Datenquellen erhalten.

Ein rechtsverbindliches Non-Disclosure Agreement (NDA) zwischen Verkäufer, Investor und Analyse-Dienstleister stellt sicher, dass die Vertraulichkeit während und nach der Software Due Diligence gewahrt bleibt. Der Analyse-Dienstleister – etwa Cape of Good Code – erstellt auf der Basis dieser Informationszugänge einen Bericht, der dem Investor die Bewertung der Software ermöglicht, ohne die IP offenzulegen.

Vorteile für Investoren:
Schutz vor Haftungsrisiken

Diese Vorgehensweise schützt nicht nur die IP des Targets, sondern bietet auch dem Investor rechtliche Sicherheit. Sollte die Transaktion scheitern, kann der Investor nachweisen, dass er zu keinem Zeitpunkt Zugriff auf die IP hatte – ein wichtiger Schutz gegen mögliche Regressforderungen.

Technische Maßnahmen zur Sicherung der Software-IP

Der technische IP-Schutz beginnt bereits bei der Durchführung der Analyse: Sie erfolgt ausschließlich auf den Rechnern des Targets – typischerweise über Virtual Machines (VMs), die speziell für diesen Zweck bereitgestellt werden. Der Zugang zu diesen VMs wird zusätzlich abgesichert, etwa durch:

  • Virtual Private Networks (VPNs) zur verschlüsselten Verbindung,
  • IP-Whitelisting, um nur bestimmten IP-Adressen Zugriff zu gewähren.

Auf den VMs wird in der Regel eine Kopie oder ein minimaler Export der benötigten Daten bereitgestellt. Für Tools wie DETANGLE von Cape of Good Code reicht es beispielsweise aus, ausgewählte Datensätze aus einem Bug-Tracker zu exportieren sowie ein Code-Repository zu klonen. Dabei werden nur notwendige Metadaten – wie Ticket-ID, Titel, Typ und etwaige Hierarchien – extrahiert.

In einigen Fällen ist ein direkter Lesezugriff notwendig, etwa um Daten aus DevOps-Tools zu analysieren. Das Ziel: Rückschlüsse auf die Qualität technischer Prozesse wie Testabdeckung oder Code-Reviews.

Wenn kein Zugriff auf Quellcode erlaubt ist: Alternativen zum klassischen Software-Scan

Manche Verkäufer untersagen jeglichen Zugriff auf Quellcode oder Repositories – etwa aus Sorge um die IP. Dennoch müssen sie ausreichend Informationen zur Software bereitstellen, damit Investoren eine fundierte Risikoeinschätzung vornehmen können.

Für solche Fälle bietet Cape of Good Code spezielle Tools, die vom Verkäufer selbst eingesetzt werden können, um:

  • den Quellcode (in Code-Repositories) unkenntlich zu machen,
  • aus Code-Scannern, durchgeführt vom Verkäufer, Qualitätsmetriken zu exportieren.

Auf dieser Basis können erfahrene Berater trotz eingeschränkter Datenlage eine fundierte Einschätzung zur Softwarequalität und zu den Entwicklungsprozessen treffen. Tiefergehende technische Fragen – etwa zur Architektur oder der technischen Schulden – werden in Q&A-Sessions mit dem Target geklärt. Die Richtigkeit dieser Informationen sollte vertraglich für den Investor abgesichert werden.

Sicherheit und Compliance: Open-Source-Analysen durch das Target

Zur Minimierung rechtlicher Risiken im Bereich Open Source wird das Target aufgefordert, bewährte Analyse-Tools einzusetzen, um potenzielle Sicherheits- oder Lizenzprobleme bei Open-Source-Abhängigkeiten zu identifizieren. Die Ergebnisse dieser Scans stellt das Target dem Analyse-Dienstleister zur Verfügung – ein wichtiger Beitrag zur Risikoprävention auf Käuferseite.

Aussagekräftige Analysen trotz anonymisiertem Quellcode

Auch wenn der Code unkenntlich gemacht wurde, erlaubt das DETANGLE Tool von Cape of Good Code fundierte Aussagen zu:

  • Architekturqualität und Modularität, einschließlich Erweiterbarkeit und Cloud-Fähigkeit,
  • Codequalität, etwa durch Metriken zur Komplexität des Codes oder versteckter Fehler,
  • Technische Schulden, deren Stand und Auswirkungen (in Form von Wartungsaufwänden) auf die Weiterentwicklung der Software.

Dies zeigt: Auch ohne direkten Quellcode-Zugriff sind belastbare Analysen möglich – sofern die richtigen Tools und Experten eingesetzt werden.

Trend in den USA: Noch strengerer Schutz der IP

In den USA lehnen Verkäufer zunehmend die Nutzung von Analyse-Tools mit direktem Zugriff auf den Quellcode ab. Ein möglicher Grund: In den USA ist es deutlich einfacher als in Europa, Software zu patentieren. Der Schutz der IP gewinnt daher bereits vor der Patenterteilung an hoher Relevanz. Auch hier gilt: mit erfahrenen Berater und indirektem Tool-Einsatz lassen sich trotzdem entscheidungsrelevante Informationen über den Status und die Risiken der Software gewinnen.

Links

[0] Photo by Engin Akyurt
Software Due Diligence

Similar posts

Wiki

Software Due Diligence

Was ist eine Software Due Diligence? Und warum wird sie immer relevanter? Erfahren Sie mehr in unserem Wiki-Artikel!

Egon Wuchner Feb 15, 2023