Technische Prüfung bei Online-Startups

Technische Prüfung bei Unternehmens-Exits

Irgendwann ist es immer soweit, das Produkt oder das Unternehmen soll an den Mann, an das Unternehmen. Im Falle einer Veränderung der Beteiligungsverhältnisse kann die Technik geprüft werden, muss sie aber nicht. Wie läuft die technische Due Diligence bei Startups ab, was wird normalerweise geprüft?

Entscheidet man sich für den Verkauf an große Unternehmen und deren Corporate-Venture-Arm, so treten oftmals andere Mechanismen in Gange als bei klassischen VCs. Hier wird nicht nur in Mensch und Idee investiert, sondern auch in die operationale Umsetzung und die Verträglichkeit zum eigenen Unternehmen. Dies bedeutet meist auch, dass das Unternehmen bereits eine gewisse Marktreife und Größe entwickelt hat.

So die technische Prüfung stattfindet – nicht immer ist dies der Fall, und hier spielt oft auch das Thema Compliance mit hinein – werden die folgenden Aspekte betrachtet:

Entwicklungsprozess
Qualitätssicherung
Betrieb
Notfall und Security
Interne IT
System-Lifecycle

Im Einzelnen stellen sich die Fragen, ob die Bereiche verstanden und gelebt werden und im Idealfall auch ausreichend dokumentiert und über mehrere Personen verteilt sind. Es ist selten die Erwartungshaltung, dass ein Reifegrad ähnlich der NASA erreicht wird, man will aber vor Allem sicherstellen, dass die Leute wissen, wovon sie reden, und ihre Systeme und darauf aufbauenden Prozesse samt der dazugehörigen Metriken und Tuning-Möglichkeiten verstehen und beherrschen beziehungsweise damit spielen können.

Die Checks in Development und QA

Im Entwicklungs- und Qualitätssicherungs-Prozess werden Themen abgefragt, wie, welche Projektmethodik zum Einsatz kommt und in welcher Variante, warum man dies so gewählt hat, wie der Code verwaltet und dokumentiert wird, Code Coverage, Entwicklungsaufwände, Anteil Refactoring im Code, Mengengerüste und ein Dive durch das Archiv selbst, um das zuvor Gehörte zu verifizieren.

Wichtig ist natürlich auch die Frage, welche Sprachen und Frameworks eingesetzt werden, und warum exakt diese, und ob der Code frei von fremden Lizenzen ist, beziehungsweise welcher Teil des Codes durch Dritte und Rechte Dritter gesichert ist. In letzter Zeit wird in diesem Block auch neben Continous Integration auch immer mehr Augenmerk auf Continous Deployment und den Übergang zum Betrieb gelegt.

Operational Checks

Im Betriebsblock wird das Augenmerk auf Betrieb, Dokumentation im Betrieb, Verwaltung der Server, Services und Konfigurationen und das Thema Monitoring und Reporting gelegt. Durchgängige Störungsprozesse, SLA Bewusstsein, meist 24/7-Methodik, Schnittstellen zu Qualitätssicherung und Development, aber auch das Verständnis gegenüber der Plattform selbst (Herr der Platform oder nur Verwalter) werden hier abgefragt.

Parallel dazu werden meist die Tools betrachtet und ob diese den Zweck erfüllen. Es mag vielleicht banal klingen, aber man findet immer wieder genug Unternehmen die out oft he box Monitoring-Lösung im Einsatz haben und davon ausgehen dass ein simpler ping reicht um sicherzustellen, dass der Service läuft. Im Idealfall – so die Zeit vorhanden – geht man nicht nur kurz durch die Incident-Datenbank sondern beobachtet auch die Lösung eines aktuellen Incidents und sieht sich das Reporting beziehungsweise Dauer der Störungen je Kritikalität an.

Emergency und Security

Das Thema Notfall und Security wird in letzter Zeit immer dringlicher, hier ändert sich gerade die Wahrnehmung rapide. Gilt es doch nicht nur eine Plattform selbst, sondern vor Allem auch eine ausreichend elastische zu erwerben und diese auch noch entsprechend sicher betreiben zu können. Kein größerer Konzern kann es sich heute erlauben, selbst oder über seine Tochter als unsicher zu gelten. Zu viele Vorfälle bekannter Häuser haben sichtbar gemacht, wie dringlich dieses Thema ist.

Es gilt also sicherzustellen, dass das Thema Sicherheit existiert (zum Beispiel als Regel in der Definition of Done bei Scrum) und dass mit ausreichender Sicherheit die Systeme einigermaßen aktuell gepatched sind, die bekannten Sicherheitslücken auch im Unternehmen bekannt sind und entsprechende vorbeugende Maßnahmen eingeleitet wurden. Ebenso gilt es sicherzustellen, dass ausreichend Verständnis vorhanden ist, wie im Eventualfall umzugehen ist.

Interne IT

Kauft ein großes Unternehmen, so wird meist auch die interne IT geprüft, oftmals ein Stiefkind der Startups – Adminpasswörter für alle, Linux in jedem Flavour, Macs und Windows-PCs im Backoffice, teilweise private Geräte im Einsatz. Das Ganze ist zwar schön und gut und oft auch effektiv im Ramp-up, ein Unternehmen muss aber oftmals seinen Compliance-Rahmen auch über seine Töchter legen und das heißt nun einmal Standardisieren, Dokumentieren (und Zentralisieren beziehungsweise Zusammenfassen).

Zu guter Letzt die Frage nach dem Lifecycle und der strategischen Betrachtung der IT. Welche Services werden wie angeboten, wo stehen Investitionen, Relaunches, Refactorings an, wo will man sein Sourcing in Zukunft verändern, was droht End-Of-Life durch OSS oder Dritte und vieles mehr.

Aus eigener Erfahrung ist dies oft der Punkt, an dem die Frage des Prüfers in einer Frage des zu Prüfenden mündet. Die Frage, wie die Kapazitätserwartungen der nächsten sechs Monate sind, was durch den Einstieg und einen schnelleren Kapazitätsanstieg passieren und wie man darauf reagieren würde, endet zum Beispiel oft in einem Wünsch-dir-was oder auch in einem schlichten und ergreifenden „Hmmmm“.

Neben all dem werden natürlich technisch-kaufmännische Aspekte und das Thema Staffing betrachtet.

Technische Prüfung: Fazit

Die Prüfung deckt nicht alles auf und kann auch nicht alles aufdecken, meist sind einige wenige Tage dafür reserviert. Umso wichtiger ist es in dieser Zeit, einen guten, strukturierten Eindruck zu hinterlassen und glaubhaft darzustellen, dass man seine Plattform beherrscht und versteht. Es geht auch nicht darum, ob man Scrum, Kanban, Wasserfall, DevOps, NoOps oder traditionelles Ops bis zum Exzess betreibt, sondern eine ausreichend gute und verständliche Mechanik entwickelt hat, die alle Aspekte ausreichend berücksichtigt, es geht immer noch um Menschen und Organisationen.

Es geht auch nicht um Powerpoint auf Hochglanz, es geht auch nicht um frisch geschrubbte Excel-Sheets – dies fällt meist sowieso auf – schlicht und ergreifend geht es darum, ob man weiß, was man tut und ob das Gegenüber den selben Eindruck erlangt.