Wenn der IT-Betreuer ausfällt: Das Klumpenrisiko der Ein-Mann-Bude

Es gibt ein Szenario, das in kleinen und mittelständischen Unternehmen regelmäßig vorkommt und trotzdem selten als Risiko wahrgenommen wird. Der IT-Betreuer, der seit Jahren das Vertrauen des Unternehmens hat, alle Passwörter kennt, alle Systeme eingerichtet hat und der einzige Mensch ist, der wirklich weiß, wie der Laden technisch läuft, bricht sich im Skiurlaub das Bein.

Montag Morgen. Server startet nicht. Keiner kommt rein.

Das ist kein erfundenes Szenario. Es passiert. Und es passiert häufiger in Unternehmen, die ihre IT über Jahre einem Einzelnen überlassen haben, weil er zuverlässig und günstig war und weil der Wechsel Aufwand bedeutet hätte.

Was ein Single Point of Failure bedeutet

In der Systemtechnik ist ein Single Point of Failure eine Komponente, deren Ausfall das gesamte System zum Stillstand bringt. Kein Backup, keine Vertretung, keine Alternative.

Beim IT-Betreuer ist es dasselbe Prinzip, nur in menschlicher Form. Wenn eine Person das gesamte Wissen über die IT-Landschaft eines Unternehmens in sich trägt und dieses Wissen nirgendwo dokumentiert ist, dann ist diese Person der Single Point of Failure. Ihr Ausfall ist der Ausfall der IT.

Das Riskante daran: Es trifft Unternehmen, die technisch eigentlich gut ausgestattet sind. Gute Hardware, aktuelles System, ordentliche Backups. Trotzdem kommt niemand ran, weil die Passwörter nur im Kopf des Betreuers sind.

Wie sich das Klumpenrisiko aufbaut

Es passiert nicht bewusst. In den meisten Fällen entwickelt es sich über Jahre.

Ein Unternehmen engagiert einen IT-Freelancer oder eine kleine Ein-Mann-Firma. Der Betreuer ist gut, zuverlässig, immer erreichbar. Er kennt alle Systeme, richtet alles ein, löst alle Probleme. Das Unternehmen vertraut ihm, gibt ihm Admin-Zugänge, lässt ihn schalten und walten. Es läuft.

Drei Jahre später hat sich das Vertrauen so verfestigt, dass niemand mehr hinterfragt, ob die Dokumentation stimmt, ob jemand anderes die Systeme kennt, oder was passiert, wenn der Betreuer nicht mehr zur Verfügung steht. Das Unternehmen ist in eine strukturelle Abhängigkeit geraten, die sich bei laufendem Betrieb nicht zeigt und erst im Ausfall sichtbar wird.

Hinzu kommt, dass viele Einzelbetreuer keine vollständige Dokumentation führen, nicht aus böser Absicht, sondern weil es zeitaufwendig ist und weil der Aufwand bei Einzelkunden selten eingepreist ist. Das Wissen bleibt implizit und an eine Person gebunden.

Was bei einem Ausfall wirklich passiert

Urlaub ist das harmloseste Szenario. Zwei Wochen, in denen kein ernsthaftes Problem auftreten soll. Meistens klappt das. Manchmal nicht. Und dann sitzt man vor einem Problem, das eigentlich lösbar wäre, aber an dem niemand arbeiten kann, weil die Zugangsdaten nicht da sind.

Krankheit ist schwieriger. Ein Betreuer, der wegen einer ernsten Erkrankung für sechs Wochen ausfällt, kann nicht mal eben eine Übergabe organisieren. Das Wissen ist weg, bis er zurückkommt.

Der Weggang ist das schlimmste Szenario. Wenn ein Einzelbetreuer beschließt, das Geschäft aufzugeben oder zu einem anderen Auftraggeber zu wechseln, und er keine Verpflichtung zur strukturierten Übergabe hat, verlässt sein Wissen das Unternehmen mit ihm. Was bleibt, ist eine IT-Landschaft, die läuft, solange nichts kaputt geht, und die im ersten ernsten Fehlerfall niemand wirklich kennt.

Das Doku-Problem: Warum Wissen in Köpfen nicht sicher ist

IT-Dokumentation ist das, was das Klumpenrisiko strukturell löst. Wer alle Systeme, Zugangsdaten, Netzwerkstrukturen, Lizenzen und Konfigurationen sauber dokumentiert hat, der kann diese Dokumentation an einen anderen Betreuer übergeben und der Betrieb läuft weiter.

In der Praxis gibt es drei Qualitätsstufen:

Keine Dokumentation. Das System läuft, weil der Betreuer es kennt. Was eingerichtet wurde, ist nirgendwo festgehalten. Ein Wechsel bedeutet, von Null anzufangen.

Fragmentierte Dokumentation. Einzelne Dinge sind irgendwo aufgeschrieben, in E-Mails, in Excel-Dateien, in einem Passwort-Manager, auf dem nur der Betreuer Zugriff hat. Bei einem Wechsel dauert es Wochen, bis ein neuer Betreuer den Überblick hat.

Strukturierte Dokumentation. Ein aktuelles Dokument beschreibt die gesamte IT-Landschaft: Netzwerkplan, Server, Geräte, Zugangsdaten in einem gemeinsamen Passwort-Manager, Lizenzen, Dienstleister-Kontakte, Backup-Konzept. Ein neuer Betreuer kann sich in Stunden einlesen.

Nur die dritte Variante löst das Klumpenrisiko strukturell. Und sie setzt voraus, dass die Dokumentation beim Unternehmen liegt, nicht beim Betreuer.

Was ein Team-basierter Dienstleister anders macht

Der strukturelle Vorteil eines Managed Service Providers mit mehreren Mitarbeitern ist nicht, dass die Mitarbeiter besser sind. Es ist, dass das Wissen nicht an eine Person gebunden ist.

Wenn der Hauptansprechpartner im Urlaub ist, kennt ein Kollege die Dokumentation und kann übernehmen. Wenn jemand krank ist, gibt es Vertretung. Wenn ein Mitarbeiter das Unternehmen verlässt, bleibt das Wissen in der Firma, weil es dokumentiert ist und von mehreren Personen getragen wird.

Das ist keine Werbung für Größe um der Größe willen. Ein großer Dienstleister mit schlechten Prozessen ist schlechter als ein guter Einzelbetreuer. Aber ein gut aufgestelltes Team mit strukturierter Dokumentation und klaren Vertretungsregelungen ist einem Einzelbetreuer strukturell überlegen, weil es das Klumpenrisiko eliminiert.

Konkret bedeutet das für KMU: Fragen Sie bei jedem IT-Dienstleister, wie viele Personen Ihre Systeme kennen, wer die Vertretung übernimmt, und ob Sie als Unternehmen jederzeit Zugang zur Dokumentation Ihrer eigenen IT haben.

Wie der Geschäftsführer das Risiko bewertet

Als Geschäftsführer sind Sie für das Risikomanagement des Unternehmens verantwortlich. IT-Ausfall durch Dienstleisterausfall ist ein operatives Risiko, das sich mit einfachen Fragen einschätzen lässt.

Frage 1: Haben wir eine aktuelle, lesbare Dokumentation unserer IT-Infrastruktur? Wenn nein: Risiko vorhanden.

Frage 2: Wer außer unserem IT-Betreuer weiß, wie unsere Systeme aufgebaut sind? Wenn niemand: Risiko vorhanden.

Frage 3: Wenn unser IT-Betreuer heute Morgen nicht erreichbar wäre: Wie lange könnte der Betrieb aufrechterhalten werden? Wenn die Antwort kürzer als die Kündigungsfrist eines durchschnittlichen Mitarbeiters ist: Risiko vorhanden.

Frage 4: Haben wir eine Notfallkontaktnummer für IT-Probleme, die jemanden außer unserem Hauptbetreuer erreicht? Wenn nein: Risiko vorhanden.

Wenn Sie mehr als eine dieser Fragen mit Nein beantworten, ist es Zeit, das Gespräch zu suchen. Nicht weil der aktuelle Betreuer schlechte Arbeit macht, sondern weil die Struktur ein Risiko enthält, das unabhängig von der Qualität der Person besteht.

Der Weg aus dem Klumpenrisiko

Der erste Schritt ist eine Bestandsaufnahme. Was ist vorhanden, was ist dokumentiert, was liegt nur im Kopf des Betreuers?

Das muss kein großes Projekt sein. Ein strukturiertes Gespräch mit dem aktuellen Betreuer und die Anforderung, alle Systeme, Zugänge und Konfigurationen in einem Dokument zusammenzufassen, ist der Anfang. Ein guter Betreuer wird das unterstützen. Wer darauf ausweicht oder blockiert, macht damit transparent, dass er die Abhängigkeit bewusst aufrechterhält.

Der zweite Schritt ist, zu entscheiden: Kann der aktuelle Betreuer das Klumpenrisiko lösen, zum Beispiel durch Dokumentation und eine Vereinbarung über Vertretung? Oder erfordert die Situation einen strukturellen Wechsel zu einem Anbieter mit Team?

ITCC übernimmt KMU-Betreuungen aus genau solchen Situationen. Die ersten Wochen nach einer Übernahme sind oft geprägt davon, die IT-Landschaft sauber zu erfassen, weil eine strukturierte Dokumentation nicht übergeben werden konnte. Das ist lösbar, aber es kostet Zeit, die vermeidbar gewesen wäre.

Wenn Sie sich in dem oben beschriebenen Muster wiedererkennen, ist ein Gespräch der sinnvolle nächste Schritt. Nicht um sofort etwas zu verändern, sondern um zu verstehen, wo Sie stehen.