KI im Due Diligence Prozess

17. September 2025

 

KI im Due-Diligence-Prozess: Einsatz von LLMs zur Bewertung

Wie verändert KI den Blick auf Technologie und Softwarequalität?

 

 

Achtung!  Die meisten LLMs laufen auf externen Servern, deren Einsatz ist für vertrauliche Informationen nicht zulässig. Ein Artikel, wie ihr am einfachsten euer privates LLM lokal betreibt und Daten sicher wieder löscht folgt demnächst!

 

Zudem neigen LLMs zur Vereinfachung und können komplexe technologische Abhängigkeiten übersehen. Ihre Einschätzungen müssen daher immer im Kontext bewertet und durch menschliche Expertise abgesichert werden.

 

____________________________________________

 

Due-Diligence-Prozesse im Technologiebereich sind traditionell geprägt von manueller Analyse, Experteninterviews und punktuellen Code-Reviews. Technische Due Diligence (TDD) bedeutet oft, unter erheblichem Zeitdruck eine Vielzahl komplexer Themen wie Architektur, Sicherheit, Skalierbarkeit, Codequalität oder Open-Source-Nutzung zu bewerten. In den letzten Monaten zeigt sich jedoch eine neue Entwicklung: Der Einsatz von generativer KI, insbesondere Large Language Models (LLMs), beginnt diese Prozesse zu verändern.

 

LLMs können längst mehr als Chatbots bedienen. Sie sind in der Lage, Quellcode zu analysieren, Architekturdokumentationen zu interpretieren, API-Definitionen zu kommentieren oder sicherheitsrelevante Konfigurationen zu bewerten. Das Potenzial liegt darin, dass sie unstrukturierte technische Informationen schneller erfassen und in strukturierte Aussagen überführen können. Die zentrale Frage ist dabei nicht, ob sie menschliche Experten ersetzen. Vielmehr geht es um Geschwindigkeit, Vergleichbarkeit und die Möglichkeit, bisher schwer bewertbare Themen systematisch zu durchdringen.

 

 

Können LLMs Quellcode wirklich bewerten?

 

Die Analyse von Quellcode gehört zu den bekanntesten Anwendungen generativer KI. LLMs können den Stil und die Struktur von Code interpretieren, Antipatterns erkennen und Empfehlungen aussprechen. In einer Due Diligence lassen sich so erste Indikationen zu Wartbarkeit, Modularität, Code-Duplikaten oder technischer Schuld gewinnen.

 

Natürlich ersetzt dies kein vollständiges Static Code Analysis Tool und schon gar kein menschliches Urteil. Aber in frühen Phasen oder bei stichprobenartiger Analyse großer Codebasen kann ein LLM dabei helfen, Auffälligkeiten zu identifizieren, die im Nachgang vertieft untersucht werden sollten.

 

Beispiel: In einem Projekt mit einer Java-Codebasis von über zwei Millionen Zeilen half ein LLM dabei, veraltete Frameworks zu erkennen und unzureichend dokumentierte Klassen zu identifizieren. Diese wurden dann gezielt von Entwicklern im Detail geprüft. Der Gewinn lag in der strukturierten Vorauswahl.

 

 

Wie hilfreich ist ein LLM bei der Architekturbeurteilung?

 

Architekturdokumentation ist häufig unvollständig oder veraltet. Dennoch bildet sie die Grundlage für viele Entscheidungen im Rahmen einer TDD. LLMs können helfen, fragmentierte Dokumentationen zu analysieren, Begriffe zu normalisieren und Muster zu erkennen.

 

Beispiel: Bei einem Review einer hybriden SaaS-Plattform lagen Whitepapers, UML-Diagramme und API-Dokumentationen in mehreren Formaten vor. Ein LLM half, Gemeinsamkeiten zu extrahieren und die Hauptkomponenten zu identifizieren. Darüber hinaus konnte es typische Schwächen benennen, etwa unklare Servicegrenzen oder fehlende Monitoring-Konzepte.

 

Dabei entsteht kein vollständiges Architektur-Gutachten. Wohl aber ein strukturierter Überblick, der als Basis für eine gezielte menschliche Beurteilung dient. Gerade wenn unterschiedliche Beteiligte an einem Deal beteiligt sind, können diese standardisierten Zusammenfassungen helfen, Diskussionen zu versachlichen.

 

 

Können LLMs auch bei Sicherheitsanalysen unterstützen?

 

Sicherheitsanalysen gehören zu den sensibelsten Bereichen einer TDD. Zwar sind LLMs nicht in der Lage, vollständige Penetration Tests zu ersetzen. Sie können jedoch Konfigurationen, Codeausschnitte und Policies analysieren, um häufige Schwachstellen zu identifizieren.

 

Beispielsweise lassen sich CI/CD-Konfigurationen, Dockerfiles, IAM-Policies oder Authentifizierungsroutinen in einer Voranalyse durch ein LLM untersuchen. Dabei zeigt sich oft, ob einfache Sicherheitsmaßnahmen wie Rollenprüfung, Protokollierung oder Verschlüsselung umgesetzt wurden.

 

Besonders interessant ist der Einsatz von LLMs in der Vorbereitung auf Security-Fragen: Sie helfen dabei, Lücken in der Dokumentation sichtbar zu machen und technische Risiken im Vorfeld von Interviews zu strukturieren.

 

 

Wie sieht der Einsatz in der Praxis aus?

 

LLMs lassen sich bereits heute sinnvoll in die TDD-Praxis integrieren, unter bestimmten Voraussetzungen. Entscheidend ist die Form der Eingabe. Statt Prompts im Chat-Stil ist es zielführender, strukturierte Input-Dokumente bereitzustellen. Code-Repositories, Markdown-Dateien, Architektur-Diagramme und API-Specs eignen sich besonders gut.

 

Ein typischer Ablauf könnte so aussehen:
    •    Auswahl relevanter Repository-Ausschnitte
    •    LLM-basierte Codeanalyse mit Kommentierung
    •    Auswertung der Architekturtexte und API-Dokumentation
    •    Clustering der erkannten Technologien und Frameworks
    •    Zusammenfassung der technischen Risiken nach Kategorien

 

Daraus entstehen strukturierte Einschätzungen zu Skalierbarkeit, technischer Schuld, Sicherheitsniveau oder technischer Reife, als erste Orientierung für tiefergehende Analysen.

Einige Due-Diligence-Teams setzen LLMs bereits als Standardwerkzeug in der Vorprüfung ein. Andere nutzen sie gezielt zur Vorbereitung von Workshops mit den Tech-Leads des Targets.

 

 

Wo liegen die Grenzen und Risiken?

 

LLMs sind nicht objektiv. Ihre Ausgaben beruhen auf Wahrscheinlichkeiten und Trainingsdaten, nicht auf überprüfbaren Fakten. In einer Due Diligence kann das gefährlich werden, wenn die Ergebnisse nicht kritisch geprüft werden.

 

 

Fazit: Wie sinnvoll ist der Einsatz von LLMs in der TDD?

 

LLMs sind kein Ersatz für Erfahrung. Aber sie sind ein Werkzeug, das die technische Due Diligence strukturiert, beschleunigt und an manchen Stellen qualitativ erweitert.

 

Wer sie gezielt einsetzt, zur Vorstrukturierung, Analyse von Dokumentation oder Unterstützung von Bewertungen, kann Zeit gewinnen und blinde Flecken reduzieren. Die Voraussetzung ist eine klare Methodik, saubere Daten und eine kritische Haltung gegenüber den Ergebnissen.

 

In der Praxis zeigt sich: LLMs sind besonders dann hilfreich, wenn die Zeit knapp ist, das Team heterogen und die Informationslage fragmentiert. Dann liefern sie nicht die finale Antwort, aber die besseren Fragen.

 

 

Experten mit Struktur und auf Augenhöhe

finden Sie bei der F&P Executive Solutions AG.

 

Wir benötigen Ihre Zustimmung zum Laden der Übersetzungen

Wir nutzen einen Drittanbieter-Service, um den Inhalt der Website zu übersetzen, der möglicherweise Daten über Ihre Aktivitäten sammelt. Bitte überprüfen Sie die Details in der Datenschutzerklärung und akzeptieren Sie den Dienst, um die Übersetzungen zu sehen.