In vielen mittelständischen Unternehmen liegt die Verantwortung für die gesamte IT-Infrastruktur bei einer einzigen Fachkraft. Das ist keine Ausnahme, sondern Normalität.
Diese Person administriert Server und Clients, betreut Anwendungen, beantwortet Support-Anfragen, kümmert sich um Datensicherung, Netzwerk und Telefonie. Sie ist Ansprechperson für Dienstleister, führt Beschaffungen durch, dokumentiert – wenn Zeit bleibt – und soll nebenbei die Informationssicherheit im Blick behalten.
Das Problem dabei ist nicht die fachliche Kompetenz. Das Problem ist die strukturelle Überdehnung.
Zwischen Betrieb und Weiterentwicklung
Der Alltag dieser IT-Fachkraft besteht aus Reaktion. Ein Drucker funktioniert nicht. Ein Passwort muss zurückgesetzt werden. Eine Kollegin hat eine verdächtige E‑Mail geöffnet. Ein Update schlägt fehl. Die Geschäftsführung braucht kurzfristig eine Auswertung.
Zwischen diesen Anforderungen bleibt wenig Raum für das, was eigentlich notwendig wäre: Wartung, Monitoring, Dokumentation, Sicherheitsmaßnahmen, strategische Planung.
Notwendige Updates werden verschoben, weil sie Risiken bergen und Abstimmung erfordern. Sicherheitsrichtlinien existieren auf dem Papier, werden aber nicht konsequent umgesetzt. Die Dokumentation ist lückenhaft, weil sie als Zusatzaufgabe gilt, nicht als Teil des Betriebs.
Das ist keine Nachlässigkeit. Es ist die Konsequenz aus einer Struktur, die zu viel auf zu wenige Schultern legt.
IT im kleinen Mittelstand ist häufig reaktiv statt gestaltend. Nicht weil Kompetenz fehlt, sondern weil Kapazität fehlt. Wartung, Sicherheit und Dokumentation bleiben auf der Strecke – nicht aus Nachlässigkeit, sondern aus struktureller Überlastung.
Die unterschätzte Last: Verantwortung ohne Rückhalt
Was in der Aufgabenbeschreibung selten auftaucht, aber täglich mitschwingt: diese eine Person trägt die operative Verantwortung für alles, was mit IT zusammenhängt. Ohne Vertretung, ohne Sparringspartner, ohne Rückfallebene.
- Wenn ein Sicherheitsvorfall eintritt, wird sie gefragt, warum die Systeme nicht geschützt waren.
- Wenn ein Backup fehlschlägt, wird sie gefragt, warum niemand es bemerkt hat.
- Wenn ein Projekt scheitert, wird sie gefragt, warum sie nicht früher gewarnt hat.
Diese Verantwortung ist real. Sie ist aber nicht abgebildet – weder in der Stellenbeschreibung noch im Gehalt noch in den Entscheidungsbefugnissen.
Viele IT-Fachkräfte in dieser Position arbeiten am Limit. Nicht aus Übereifer, sondern weil das System es verlangt. Bis sie kündigen, ausbrennen – oder beides.
Was passiert, wenn diese Person ausfällt
Urlaub, Krankheit, Fortbildung – in den meisten Unternehmensbereichen sind das planbare Ereignisse. In der internen IT eines kleinen Mittelständlers werden sie zum Risiko.
Wenn die einzige IT-Fachkraft zwei Wochen nicht erreichbar ist, gibt es in der Regel keinen Ersatz. Kein Backup-Team, keine dokumentierten Prozesse, keine Übergabe. Der Betrieb läuft weiter – bis etwas nicht mehr läuft.
Noch kritischer wird es bei ungeplanten Ausfällen. Eine längere Erkrankung, ein plötzlicher Wechsel, eine Kündigung. In diesen Momenten zeigt sich, wie abhängig ein Unternehmen von einer einzelnen Person geworden ist.
Denn in den seltensten Fällen existiert eine gepflegte Dokumentation. Passwörter liegen in persönlichen Notizen. Systemkonfigurationen sind im Kopf gespeichert. Netzwerkstrukturen wurden einmal aufgebaut und nie schriftlich festgehalten.
Zwei Beispiele aus unserer Praxis:
Bei der Übernahme eines Kunden stellte sich heraus, dass der bisherige IT-Verantwortliche sämtliche Unternehmenszugänge in einem privaten Passwort-Vault gespeichert hatte. Nach dessen Kündigung war dieser Vault für das Unternehmen nicht mehr zugänglich. Die Folge: ein aufwändiger Recovery-Prozess und ein vollständiger Neuaufbau der Zugangsverwaltung.
In einem anderen Fall fanden wir sämtliche Zugangsdaten in einem Word-Dokument auf einem lokalen Rechner. Unverschlüsselt, ungeschützt, ohne Versionierung. Das ist keine Dokumentation. Das ist eine Einladung – für interne Fehler ebenso wie für externe Angreifer.
Beides sind keine Einzelfälle. Es ist die logische Konsequenz, wenn für Dokumentation und Wissensmanagement schlicht keine Zeit bleibt – und keine Strukturen existieren, die über die einzelne Person hinausreichen.
Was bleibt, ist eine Lücke. Und die Frage, wie lange es dauert, sie zu schließen – wenn sie sich überhaupt vollständig schließen lässt.
Warum mehr Personal keine Lösung ist
Die naheliegende Antwort auf Überlastung lautet: mehr Kapazität schaffen. Eine zweite Fachkraft einstellen, vielleicht eine dritte. Ein kleines IT-Team aufbauen.
In der Theorie klingt das schlüssig. In der Praxis scheitert es an mehreren Stellen.
Zunächst am Budget. Viele Unternehmen mit 30, 40 oder 50 Mitarbeitenden haben schlicht keine Mittel für eine zusätzliche Vollzeitstelle in der IT. Die Kosten für Gehalt, Sozialabgaben, Weiterbildung und Arbeitsplatz summieren sich schnell auf einen sechsstelligen Betrag pro Jahr. Und das für eine Funktion, die im Tagesgeschäft häufig als Kostenstelle wahrgenommen wird – nicht als Wertschöpfung.
Dann am Markt. Der Fachkräftemangel in der IT ist dokumentiert und spürbar. Qualifizierte Fachleute für Administration, Sicherheit oder Systemtechnik sind schwer zu finden. Für kleine Mittelständler, die mit Konzernen und IT-Dienstleistern um dieselben Talente konkurrieren, ist die Ausgangslage besonders ungünstig.
Und selbst wenn eine Einstellung gelingt: Eine einzelne zusätzliche Person löst das strukturelle Problem nicht. Die Abhängigkeit verschiebt sich lediglich. Statt einer überlasteten Fachkraft gibt es zwei, die sich dieselbe Überlastung teilen.
Mehr Personal ist kein Ausweg aus einem Modell, das auf Überdehnung basiert. Es braucht eine andere Struktur.
Die Rolle des externen Partners
Wenn interne Kapazitäten dauerhaft nicht ausreichen und zusätzliches Personal keine realistische Option ist, stellt sich die Frage nach externer Unterstützung.
Die Antwort darauf ist nicht trivial. Denn die Zusammenarbeit mit einem Systemhaus kann entlasten – oder neue Abhängigkeiten schaffen. Der Unterschied liegt im Modell.
Ein externer Partner, der lediglich auf Zuruf reagiert, löst keine strukturellen Probleme. Er behandelt Symptome. Die Verantwortung bleibt beim Unternehmen, die Überlastung beim internen Personal. Und mit ihr das Risiko.
Anders verhält es sich, wenn ein Systemhaus echte Betriebsverantwortung übernimmt. Nicht als Dienstleister im Hintergrund, sondern als tragender Teil der IT-Struktur. Mit definierten Zuständigkeiten, dokumentierten Prozessen und verlässlicher Erreichbarkeit.
Der entscheidende Punkt: Mit dem Übergang der Betriebsverantwortung geht auch das Risiko über. Nicht auf dem Papier, sondern in der operativen Realität. Wartung, Monitoring, Sicherheit, Compliance – diese Themen liegen dann bei jemandem, der die Kapazität hat, sie zu tragen. Und die Strukturen, um sie nachweisbar zu erfüllen.
Hinzu kommt ein Effekt, der häufig unterschätzt wird: Was ein professioneller IT-Dienstleister intern bereits etabliert hat, wirkt beim Kunden sofort. Security Baselines, systematisches Monitoring, einheitliche Dokumentationsstandards – diese Strukturen müssen nicht erst aufgebaut werden. Sie sind vorhanden und werden auf die Kundenumgebung angewendet. Ein Qualitätssprung, der intern Jahre dauern würde.
Für die interne IT-Fachkraft – sofern vorhanden – bedeutet das nicht Bedeutungsverlust, sondern Entwicklung. Aufgaben lassen sich sinnvoll aufteilen. Die operative Last sinkt, der fachliche Austausch mit dem Dienstleister schafft neue Perspektiven. Wer bisher reagieren musste, kann beginnen, zu gestalten.
Für die Geschäftsführung entsteht ein weiterer Vorteil: Transparenz. Ein verantwortlich handelndes Systemhaus liefert klare Aussagen zum Zustand der IT, zu offenen Risiken und zu notwendigen Maßnahmen. IT-Budgets werden planbar. Investitionsentscheidungen basieren auf dokumentierten Grundlagen, nicht auf Bauchgefühl.
Für Unternehmen ohne eigene IT-Fachkraft bedeutet ein solches Modell, dass Verantwortung abgegeben werden kann – an jemanden, der sie tragen kann und will.
Die Entscheidung für einen externen Partner ist keine Entscheidung gegen die eigene IT. Sie ist eine Entscheidung für Risikoreduktion durch belastbare Strukturen.
Ein Systemhaus, das echte Betriebsverantwortung übernimmt, verändert die Risikostruktur. Wartung, Monitoring und Sicherheit liegen bei jemandem, der dafür Kapazität und Strukturen hat. Für die Geschäftsführung bedeutet das: planbare Budgets, transparente Zustände, nachvollziehbare Entscheidungen.Woran Sie erkennen, dass es eng wird
Die Überlastung der internen IT kündigt sich selten laut an. Sie zeigt sich in Details, die im Tagesgeschäft leicht übersehen werden.
Projekte, die seit Monaten auf der Agenda stehen, aber nie starten. Updates, die verschoben werden, weil gerade keine Zeit ist. Neue Software, die ohne Abstimmung eingeführt wird, weil der offizielle Weg zu lange dauert.
Mitarbeitende, die sich eigene Lösungen suchen – private Cloud-Dienste, lokale Dateisammlungen, Tools außerhalb der IT-Struktur. Nicht aus Böswilligkeit, sondern aus Pragmatismus. Schatten-IT entsteht dort, wo die offizielle IT nicht mehr Schritt hält.
Steigende Unzufriedenheit im Team. Beschwerden über lange Reaktionszeiten, über veraltete Systeme, über fehlende Unterstützung. Nicht immer ausgesprochen, aber spürbar.
Und schließlich: eine IT-Fachkraft, die keinen Urlaub mehr nimmt. Oder die kündigt.
Keines dieser Zeichen ist für sich genommen ein Beweis. Aber in der Summe ergeben sie ein Bild. Und wer dieses Bild erkennt, steht vor einer Entscheidung.
Die Frage ist nicht, ob Handlungsbedarf besteht. Die Frage ist, ob gehandelt wird, bevor die Situation eskaliert – oder erst danach.
Verschobene Projekte, Schatten-IT, steigende Unzufriedenheit – die Warnsignale sind oft leise. Wer sie erkennt, hat noch Handlungsspielraum. Wer sie ignoriert, reagiert erst unter Druck.Einordnung für die Geschäftsführung
IT-Verantwortung im kleinen Mittelstand ist strukturell unterfinanziert – nicht aus Nachlässigkeit, sondern aus gewachsener Praxis. Eine Fachkraft für alles, pragmatische Lösungen, kurze Wege. Das funktioniert, solange nichts passiert.
Doch die Anforderungen steigen. Regulatorik, Sicherheitsbedrohungen, technologischer Wandel – all das trifft Unternehmen mit 50 Mitarbeitenden genauso wie Konzerne. Nur ohne deren Ressourcen.
Entscheidend ist die Frage, wer in Ihrem Unternehmen tatsächlich die Kontrolle über die IT hat.
Wenn eine einzige Person sämtliche Zugänge verwaltet, alle Systeme kennt und allein entscheidet, welche Informationen nach oben gelangen – dann liegt die Abhängigkeit nicht bei der Technik. Sie liegt bei dieser Person. Und bei der Art, wie diese Person mit externen Partnern umgeht, welche Empfehlungen sie ausspricht, welche sie zurückhält.
Das ist keine Unterstellung. Das ist eine strukturelle Realität, die in vielen Unternehmen unausgesprochen bleibt.
Wer die Geschäftsführung verantwortet, trägt auch die Verantwortung für den IT-Betrieb – unabhängig davon, wer ihn operativ steuert. Haftung für Datenschutzverstöße, für Sicherheitsvorfälle, für Betriebsunterbrechungen lässt sich nicht delegieren. Aber sie lässt sich auf ein belastbares Fundament stellen.
Der erste Schritt ist, die richtigen Fragen zu stellen. Nicht an die IT. An sich selbst.