Wie IT-Infrastruktur sauber getrennt wird, wenn Zeit, Kooperation und Budget begrenzt sind
Tobias Schüle ist Senior Microsoft 365-Architekt und Gründer von Opsora, mit über einem Jahrzehnt Erfahrung in der IT-Transformation europäischer mittelständischer Unternehmen.
Ein Carve-out ist keine Migration. Es ist eine Trennung — und der Unterschied ist wichtiger, als er klingt. Bei einer Standardmigration kooperieren beide Organisationen typischerweise, Zeitpläne sind flexibel, und die ausführenden Personen haben Zugang zu dem, was sie brauchen. Bei einem Carve-out wird die IT-Infrastruktur, von der Sie sich trennen, von einer Organisation kontrolliert, die andere Interessen hat, der Zeitplan wird von Rechtsanwälten festgelegt, nicht von der IT-Kapazität, und Ihr Zugang zu Daten, Systemen und Dokumentation ist verhandelt, nicht selbstverständlich.
Für das IT-Team, das für den Carve-out verantwortlich ist, bedeutet das, unter Einschränkungen zu operieren, die bei keiner anderen Art von Migration gelten.
Drei Einschränkungen definieren Carve-outs und prägen jede Entscheidung im Programm:
Politische Einschränkungen beim Zugang. Das Mutterunternehmen kontrolliert die Infrastruktur — den Microsoft 365-Mandanten, das Active Directory, das Netzwerk, die Geräteverwaltungsplattform. Je nach Deal-Struktur und Beziehung können sie ein variables Maß an Kooperation bereitstellen. Bei feindlichen Trennungen stellen sie möglicherweise das Minimum bereit, das durch die Trennungsvereinbarung erforderlich ist. Jede Zugriffsanfrage ist eine Verhandlung, und Verzögerungen beim Zugang führen direkt zu Programmverzögerungen.
Festgelegte Zeitpläne. Das "Day 1"-Datum — das Datum, an dem das ausgegliederte Unternehmen unabhängig operieren muss — wird typischerweise durch den Deal festgelegt, nicht durch die IT-Bereitschaft. Wenn der rechtliche und finanzielle Abschluss an einem bestimmten Datum erfolgt, muss die IT zu diesem Datum bereit sein.
Unvollständige Dokumentation. Das IT-Team des Mutterunternehmens pflegt Dokumentation für die gesamte Umgebung, nicht für den Teilbereich, den Sie trennen. Was im Carve-out-Anteil des Mandanten existiert, ist häufig undokumentiert, inkonsistent oder aktiv strittig.
Die Due Diligence für einen Carve-out beginnt, bevor der Deal abgeschlossen ist, idealerweise bevor er unterzeichnet wird. Die zu beantwortenden Fragen:
Identität. Wie werden die Benutzer des Unternehmens verwaltet — im Entra ID-Mandanten des Mutterunternehmens oder bereits in einem separaten Mandanten? Sind Geräte im Intune des Mutterunternehmens registriert? Gibt es gemeinsame Dienstkonten, die das ausgegliederte Unternehmen und das Mutterunternehmen überspannen?
Daten. Wo liegen die Daten des Unternehmens? Wenn sie sich in SharePoint-Websites befinden, die auch Daten des Mutterunternehmens enthalten, wie werden die Daten getrennt?
Integrationen. Welche SaaS-Anwendungen nutzt das Unternehmen, und sind diese auf Mutterunternehmen- oder Unternehmensebene lizenziert? ERP-Systeme, HR-Plattformen, Finanztools müssen möglicherweise neu vertraglich vereinbart werden.
Lizenzen. Was für Microsoft 365-Lizenzen nutzt das Unternehmen, und sind diese Teil eines Enterprise Agreement auf Mutterunternehmensebene?
Das Ergebnis der Due Diligence ist ein Trennungsumfang-Dokument: was getrennt, was repliziert, was zurückgelassen und was neu aufgebaut wird. Dieses Dokument ist das Fundament des Programmplans.
Opsora führt strukturierte Bewertungen für europäische IT-Teams durch. Sprechen Sie direkt mit einem erfahrenen Architekten — kein Vertriebsteam, keine vorbereitete Präsentation.
Briefing anfragenSobald die Due Diligence abgeschlossen ist, müssen der neue Mandant und die Infrastruktur parallel zur bestehenden Umgebung aufgebaut werden.
Die Kernaufgaben in dieser Phase:
Mandanten-Einrichtung. Ein neuer Microsoft 365-Mandant mit den erforderlichen Domain-Namen, den Lizenzen des Unternehmens und der grundlegenden Sicherheitskonfiguration. Das wird vor jeder Benutzermigration durchgeführt — die Zielumgebung ist bereit und getestet, bevor Benutzer wechseln.
Sicherheits-Baseline. Conditional-Access-Richtlinien, Defender für Endpoint, Purview-Sensibilitätslabels und DLP-Richtlinien werden alle auf den neuen Mandanten angewendet, bevor Benutzer migrieren. Benutzer in einen ungesicherten Mandanten zu migrieren und dann zu versuchen, Sicherheitskontrollen nachträglich anzuwenden, schafft ein Expositionsfenster.
Kommunikations- und Kollaborationsinfrastruktur. Exchange Online-Domain-Routing, Teams-Meeting-Infrastruktur und SharePoint-Websites müssen eingerichtet und getestet werden. Die Koexistenz mit dem Mutterunternehmen — damit Benutzer während der Migrationsperiode weiterhin kommunizieren können — erfordert explizite Konfiguration.
Alle auf einmal zu migrieren ist bei einem Carve-out nicht machbar. Nicht alle Benutzer haben dieselben Abhängigkeiten. Das Risiko muss auf Wellen verteilt werden.
Die Wellensequenzierung sollte auf drei Kriterien basieren:
Komplexität. Benutzer mit einfachen Setups migrieren in frühen Wellen. Benutzer mit komplexen Abhängigkeiten migrieren in späteren Wellen mit mehr Vorbereitungszeit.
Unternehmenskritikalität. Geschäftskritische Rollen sollten nicht in der ersten Welle sein. Unerwartete Probleme in Welle eins sind normal — kritische Benutzer sollten in Welle zwei oder drei wechseln.
Geografische Ausrichtung. Wo möglich sollten Benutzer am selben geografischen Standort in derselben Welle migrieren.
Für Geräte folgt die Wellensequenzierung derselben Logik, aber die Gerätmigration hat eine zusätzliche Überlegung: physischer Zugang. Bei einem Carve-out ist der Gerätepark oft auf mehrere Standorte verteilt. Ein Gerätmigrierungstool, das remote operiert — die Geräteregistrierung vom Mutterunternehmen-Intune-Mandanten in den neuen Mandanten ohne physischen Zugang oder Wipe — ist für verteilte Carve-outs von wesentlicher Bedeutung.
Die 12 Stunden vor dem Day-1-Cutover sind nicht der Zeitpunkt, um Probleme zu entdecken. Sie sind der Zeitpunkt, um einen vorvalidierten Plan auszuführen.
Day-1-Bereitschaft bedeutet:
Das Day-1-Cutover-Fenster sollte eine DNS-Änderung und eine Lizenzübergabe sein, kein Migrationsereignis. Wenn Migrationsarbeit am Day 1 noch im Gange ist, ist das Programm hinter dem Plan.
Die Woche nach Day 1 ist typischerweise die support-intensivste Periode des Programms. Benutzer entdecken Abhängigkeiten, die bei der Planung nicht identifiziert wurden.
Die Stabilisierungsplanung sollte umfassen:
Sobald die Stabilisierung abgeschlossen ist, kann die Dekommissionierung der Präsenz des Unternehmens im Mutterunternehmen-Mandanten beginnen: Konten entfernen, Zugang widerrufen, gemeinsame Ressourcen bereinigen.
Ein kürzliches Opsora-Carve-out-Engagement umfasste ein Cybersicherheitsunternehmen, das von seinem Mutterunternehmen getrennt wurde — 3 Länder, 145 Mitarbeiter, 15 Abteilungen. Die Komplexität wurde durch die eingeschränkte Kooperationshaltung des Mutterunternehmens verstärkt — Zugang zu Dokumentation und Systemen wurde auf Anfragenbasis mit tage langen Verzögerungen bereitgestellt.
Der Ansatz: den neuen Mandanten sofort nach Vertragsunterzeichnung einrichten, die Sicherheits-Baseline unabhängig von der Kooperation des Mutterunternehmens aufbauen und Migrationswellen nach Abteilung sequenzieren, beginnend mit IT und Operations. Die Gerätmigration wurde mit einem Remote-Migrationsansatz durchgeführt, der keinen physischen Zugang und kein Wipe erforderte — entscheidend für die verteilte Belegschaft. Day 1 wurde am vom Deal geforderten Datum erreicht, ohne Unterbrechung der kundenorientierten Betriebe.
Der entscheidende Faktor war nicht technische Raffinesse. Es war die Programmstruktur: ein klares Umfangsdokument, ein Wellenplan, der vor der Ausführung auf Belastbarkeit getestet wurde, und ein erfahrener Programmleiter.
Der häufigste Fehlermodus in Carve-out-Programmen ist nicht technisch — er ist organisatorisch. Das IT-Team ist kompetent. Die Tools funktionieren. Der Fehler liegt im Programmmanagement: Umfangserweiterung durch unentdeckte Abhängigkeiten, Zeitplanverzögerungen durch Zugriffsverhandlungen und Fehlkommunikation zwischen IT-Team, Rechtsteam und Geschäft.
Ein Programmleiter, der Carve-outs zuvor durchgeführt hat, weiß, wo diese Fehler passieren, und gestaltet das Programm so, dass sie verhindert werden. Das ist der Unterschied zwischen einem Carve-out, der pünktlich abschließt, und einem, der zu einem monatelangen Post-Deal-Drama wird.
Opsora bietet erfahrene Programmleitung für M&A-Carve-outs und Konsolidierungen. Erfahren Sie, wie wir Carve-out- und Tenant-Migrations-Engagements angehen.
NIS2 ist kein Checklistenprojekt. Hier ist eine strukturierte, M365-spezifische Roadmap für IT-Teams, die sich erstmals mit der Richtlinie befassen.
Copilot gibt Daten zurück, auf die Ihre Benutzer bereits Zugriff haben. Wenn Berechtigungen und Klassifizierung falsch sind, macht Copilot das sichtbar — und zwar schnell.
Opsora begleitet europäische IT-Führungskräfte bei genau diesen Herausforderungen. Ein typisches Engagement beginnt mit einem 30-minütigen Briefing und einem klaren Projektumfang innerhalb einer Woche.