Stellen Sie sich vor, Ihr IT-Dienstleister ist heute Nacht nicht mehr erreichbar. Kein Anruf wird beantwortet, die Firma hat sich aufgelöst. Morgen früh stehen Ihre Mitarbeitenden vor gesperrten Systemen. Wer kennt die Zugangsdaten zum Server? Wer weiß, wo das Backup liegt? Wer kann dem Nachfolger erklären, wie Ihr Netzwerk aufgebaut ist?
Für viele Unternehmen ist die ehrliche Antwort: niemand. Das gesamte Wissen über die IT-Infrastruktur steckt in einer einzigen Person, dem IT-Betreuer. Solange diese Person verfügbar ist, läuft alles. Wenn nicht, steht der Betrieb still.
Das ist kein Worst-Case-Szenario aus einem Lehrbuch. Es passiert bei Insolvenzen kleiner IT-Dienstleister, bei Krankheitsausfällen, bei fristlosen Kündigungen und bei Dienstleisterwechseln, die nicht sauber vorbereitet wurden.
Was eine IT-Dokumentation leisten muss
IT-Dokumentation ist keine schöne Idee für ordentliche Unternehmen. Sie ist die Versicherung, dass Ihr Unternehmen seinen IT-Betrieb ohne eine bestimmte Person fortführen kann. Sie macht Wissen übertragbar.
Eine vollständige IT-Dokumentation für ein KMU umfasst folgende Bereiche:
Netzplan und Infrastrukturübersicht. Welche Geräte sind im Netzwerk? Welche IP-Adressen sind vergeben? Wo stehen Server, Router, Switche und Access Points? Wie sind Netzwerksegmente aufgeteilt? Ein aktueller Netzplan ist die Grundlage für jeden, der die IT übernehmen oder nach einem Ausfall wiederherstellen muss.
Zugangsdaten und Berechtigungskonzept. Welche Systeme gibt es, und wer hat darauf Zugang? Administratorzugänge, Cloud-Dienste, Router-Zugänge, Hosting-Provider, Domain-Verwaltung. Die Zugangsdaten selbst gehören in einen Passwortmanager, der vom Unternehmen kontrolliert wird, nicht in eine Excel-Datei beim Dienstleister. Das Berechtigungskonzept beschreibt, wer auf was zugreifen darf und warum.
Lizenz- und Vertragsübersicht. Welche Software-Lizenzen sind aktiv? Wann laufen sie aus? Welche Verträge gibt es mit welchen Anbietern, mit welchen Laufzeiten und Kündigungsfristen? Viele Unternehmen zahlen Lizenzen für Software, die längst nicht mehr genutzt wird, und bemerken auslaufende Verträge erst, wenn der Zugang gesperrt ist.
Backup-Konzept. Wo werden Backups gespeichert? Wie oft? Wie lange werden sie aufbewahrt? Wie lange dauert eine Wiederherstellung? Wann wurde zuletzt getestet, ob das Backup tatsächlich wiederhergestellt werden kann? Ein Backup, das nie getestet wurde, ist kein Backup.
Notfallkontakte und Eskalationswege. Wer wird bei einem IT-Ausfall zuerst angerufen? Wer ist der Backup-Kontakt, wenn die erste Person nicht erreichbar ist? Welche Systeme haben Support-Hotlines, und wie lauten die Vertragsnummern?
Hardware-Inventar. Welche Geräte gehören dem Unternehmen? Seriennummern, Kaufdatum, Garantielaufzeit, Standort. Das ist auch für die Versicherung relevant und für Planung, wann Hardware erneuert werden muss.
Das Schlüssel-Person-Risiko
In kleinen und mittleren Unternehmen gibt es häufig genau eine Person, die die IT kennt: den externen Dienstleister oder einen internen IT-Zuständigen, der die Aufgabe neben seinem eigentlichen Job erledigt. Solange diese Person verfügbar und kooperativ ist, funktioniert das.
Das Risiko besteht in drei Szenarien.
Wenn der externe Dienstleister aufhört: Insolvenz, Kündigung, Unternehmensgründer geht in Rente, Mitarbeiterwechsel beim Dienstleister. Selbst wenn das Verhältnis freundlich endet, dauert eine Übergabe ohne Dokumentation Monate.
Wenn der interne IT-Zuständige das Unternehmen verlässt: Das Wissen geht mit. Passwörter werden geändert oder sind nur in einem persönlichen Passwortmanager. Konfigurationen sind nirgendwo aufgeschrieben.
Wenn im Notfall jemand anderes handeln muss: Bei einem Server-Ausfall um 7 Uhr morgens und dem IT-Betreuer im Urlaub ist die Dokumentation die einzige Möglichkeit, handlungsfähig zu bleiben. Ohne sie wartet das Unternehmen, bis jemand erreichbar ist.
Das ist kein abstraktes Risiko. Es ist ein betriebliches Abhängigkeitsverhältnis, das sich mit strukturierter Dokumentation auflösen lässt.
DSGVO und Informationssicherheit: Was die Dokumentation vorschreibt
Die DSGVO verlangt von jedem Unternehmen, das personenbezogene Daten verarbeitet, ein Verzeichnis der Verarbeitungstätigkeiten sowie die Dokumentation technischer und organisatorischer Maßnahmen (TOMs). Diese TOMs beschreiben, wie Daten geschützt werden: Zugriffsschutz, Verschlüsselung, Backup, Löschkonzepte.
TOMs lassen sich nicht formulieren, ohne die zugrunde liegende IT-Infrastruktur zu kennen und dokumentiert zu haben. Wer seine TOMs aus einer Vorlage kopiert hat, ohne dass sie die tatsächliche Infrastruktur beschreiben, hat eine DSGVO-Dokumentation, die im Ernstfall nicht standhält.
Bei einem Datenschutzvorfall, einem Einbruch oder einer Beschwerde werden Aufsichtsbehörden fragen: Welche Schutzmaßnahmen hatten Sie, und können Sie das belegen? Ohne aktuelle Dokumentation ist die Antwort schwierig.
Für Unternehmen, die ein Informationssicherheits-Managementsystem (ISMS) aufbauen oder eine ISO-27001-Zertifizierung anstreben, ist die IT-Dokumentation ohnehin Pflichtbestandteil. Aber auch ohne Zertifizierung gilt: Wer Sicherheitsmaßnahmen nicht aufschreibt, kann nicht nachweisen, dass er sie hat.
Wie Sie als Geschäftsführer Ihren Dienstleister verpflichten
Viele IT-Dienstleister dokumentieren gut. Aber sie tun es nur dann zuverlässig, wenn der Vertrag es verlangt. Ein gutes Dienstleistungsverhältnis basiert nicht auf Vertrauen allein, sondern auf klaren Vereinbarungen.
Was konkret in den Vertrag gehört:
Dokumentationspflicht. Der Dienstleister ist verpflichtet, die IT-Infrastruktur des Auftraggebers zu dokumentieren. Art und Umfang der Dokumentation werden benannt: Netzplan, Zugriffskonzept, Lizenzübersicht, Backup-Konzept.
Aktualitätspflicht. Die Dokumentation wird bei jeder relevanten Änderung aktualisiert. Was als "relevante Änderung" gilt, wird im Vertrag definiert: neue Systeme, neue Zugänge, geänderte Konfigurationen.
Speicherort. Die Dokumentation wird an einem Ort gespeichert, auf den das Unternehmen selbst zugreifen kann, unabhängig vom Dienstleister. Kein Dienstleister, der die Dokumentation nur auf seinen eigenen Systemen hält.
Übergabeverpflichtung. Bei Vertragsende liefert der Dienstleister alle Dokumentationen vollständig und in einem weiterverwendbaren Format. Das Einbehalten von Dokumentation als Druckmittel bei Vertragsende ist nicht akzeptabel, muss aber vertraglich ausgeschlossen sein.
Regelmäßiger Review. Mindestens einmal im Jahr legt der Dienstleister die aktuelle Dokumentation vor. Das gibt dem Unternehmen die Möglichkeit zu prüfen, ob sie vollständig und aktuell ist.
Als Geschäftsführer müssen Sie diese Punkte nicht selbst umsetzen. Aber Sie müssen dafür sorgen, dass der Vertrag sie enthält, und gelegentlich nachfragen, ob die Dokumentation tatsächlich gepflegt wird.
Wie eine Übergabe ohne Dokumentation aussieht
Wenn ein Dienstleisterwechsel ohne aktuelle Dokumentation stattfindet, sieht das in der Praxis so aus: Der neue Dienstleister verbringt die ersten Wochen damit, die Infrastruktur zu erkunden. Was gibt es, wie ist es konfiguriert, welche Zugänge gibt es. Das kostet Zeit, die mit Stundensatz oder innerhalb der Einrichtungspauschale bezahlt wird.
Wenn der bisherige Dienstleister kooperiert, geht es schneller. Wenn nicht, oder wenn er einfach nicht mehr erreichbar ist, kann das Monate dauern. In dieser Zeit werden Risiken sichtbar, die vorher im Verborgenen lagen: veraltete Systeme, ungesicherte Zugänge, Backups, die seit Jahren nicht funktioniert haben.
Mit einer aktuellen Dokumentation reduziert sich die Einarbeitung auf Tage statt Wochen. Der neue Dienstleister kann sofort mit der Arbeit beginnen, statt erst den Überblick herstellen zu müssen.
Was Sie heute tun können
Wenn Sie nicht wissen, ob eine aktuelle IT-Dokumentation für Ihr Unternehmen existiert, ist das bereits eine Aussage. Die Gegenfrage an Ihren IT-Dienstleister ist einfach: "Können Sie mir zeigen, wo unsere IT-Dokumentation liegt und wann sie zuletzt aktualisiert wurde?"
Die Antwort darauf sagt Ihnen viel darüber, wie gut aufgestellt Sie für einen Ausfall oder einen Dienstleisterwechsel sind.
ITCC liefert bei jedem Kundenverhältnis eine strukturierte IT-Dokumentation, die dem Unternehmen gehört und zugänglich bleibt. Wenn Sie wissen wollen, wie Ihre aktuelle Dokumentationssituation aussieht, sprechen Sie uns an.
Häufige Fragen
Verwandte Themen
- StrategieBackup-Strategien für Unternehmen: 3-2-1 und ransomware-sicher
Wie die 3-2-1-Regel funktioniert, was Immutable Backups leisten, warum Sync kein Backup ist und wie M365-Daten wirklich gesichert werden.
- StrategieCloud oder eigener Server: Die Entscheidung für KMU
Wann ein lokaler Server noch sinnvoll ist, wann Cloud die bessere Wahl ist und was Datenschutz, Kosten und Internetabhängigkeit dabei wirklich bedeuten.
- StrategieWenn der IT-Betreuer ausfällt: Das Klumpenrisiko der Ein-Mann-Bude
Was passiert, wenn das gesamte IT-Wissen bei einer Person liegt. Wie KMU das Klumpenrisiko erkennen, bewerten und mit dem richtigen Partner absichern.