Wir haben schon Übergaben gesehen, bei denen ein Anbieter beim Wechsel des Vertrags eine Liste in den Raum legte: „WLAN-Passwort? Wissen wir, geben wir nicht heraus.” Was wie ein Witz klingt, ist im Mittelstand erstaunlich häufig — selten so dreist, oft subtiler: Lizenzen auf Anbieter-Konten, Domains in Anbieter-Tresoren, Passwort-Manager, auf die nur der Anbieter Zugriff hat. Die Folge: Lock-in. Wer den Anbieter wechseln will, kann nicht — ohne erheblichen Schaden.
Gute IT-Dokumentation ist das Gegenmittel. Sie ist nicht „ein Ordner”, sondern eine bewusste Struktur, die Sie auch dann besitzen, wenn Sie sie aktiv durch einen Dienstleister pflegen lassen.
Was eine seriöse IT-Dokumentation enthält
1. Inventar aller Geräte Jedes aktive Endgerät, jeder Server, jedes Netzwerkgerät, jeder Drucker — mit Hersteller, Modell, Seriennummer, Standort, Beschaffungsdatum und Garantieende. In Excel oder einem CMDB-System, Hauptsache aktuell.
2. Software- und Lizenzinventar Welche Software ist installiert, in welcher Version, auf wie vielen Geräten, mit welchen Lizenzen, auf wessen Namen. Wer das nicht weiß, ist im Audit-Fall verloren und im Wechselfall handlungsunfähig.
3. Cloud- und Online-Konten Office 365 / Microsoft 365, Google Workspace, Backup-Dienste, Domain-Registrar, Webhosting, Newsletter-Tools, Zahlungsanbieter. Die zwei Pflichtangaben pro Konto: auf wessen Namen läuft es und wer hat Admin-Zugriff.
4. Netzwerkplan Eine einfache Skizze oder ein Schema: Internetanschluss → Router → Firewall → Switches → wichtige Server und Endgeräte. WLAN-SSIDs, VLANs, IP-Bereiche. Ein DIN-A4-Blatt reicht für die meisten KMU.
5. Berechtigungen und Rollen Wer hat Admin-Rechte auf welchem System? Wer hat Zugriff auf das Bankkonto? Wer kann Mitarbeiter anlegen? Diese Liste sollte vier Spalten haben: System, Rolle, Person, letzte Prüfung.
6. Backup- und Wiederherstellungsplan Was wird gesichert, wohin, wie oft, wie lange aufbewahrt, wer prüft, wann wurde der letzte Wiederherstellungstest gemacht. Detaillierter Artikel: Backup-Strategie nach dem 3-2-1-Prinzip.
7. Notfallplan Was tun bei Totalausfall, bei Ransomware, bei Diebstahl eines Geräts. Ein Dokument mit konkreten Schritten und Telefonnummern. Niemand liest das im Notfall in Ruhe — also vorher schreiben.
8. Passwort-Management Wo werden Passwörter gespeichert, wer hat Zugriff, gibt es eine Notfall-Wiederherstellung. Wenn der Dienstleister einen Passwort-Manager nutzt, muss das Unternehmen denselben Tresor besitzen oder mindestens eine Notfall-Kopie haben.
9. Vertrags- und Service-Übersicht Welche Verträge laufen, mit welchen Anbietern, mit welchen Kündigungsfristen, wer ist der Ansprechpartner. Diese Liste verhindert Vergessensfehler — Verträge, die sich automatisch verlängern, weil niemand die Frist im Kopf hatte.
10. Änderungshistorie Ein chronologisches Protokoll: was wurde wann verändert, von wem, warum. Das ist die Versicherung gegen die Frage „wer hat das geändert?” — die im Krisenfall immer kommt.
Wer pflegt das?
Drei Modelle sind realistisch:
| Modell | Pro | Contra |
|---|---|---|
| Vollständig intern | Unabhängigkeit, schnelle Pflege. | Aufwand; bei Personalwechsel oft verloren. |
| Vom Dienstleister geführt, vom Unternehmen besessen | Aktualität gut, Aufwand außerhalb. | Setzt Disziplin und vertraglich geregelten Zugriff voraus. |
| Geteilte Pflege | Beide Seiten ergänzen, was sie wissen. | Verantwortungsgrauzonen möglich. |
Wir empfehlen Modell zwei für die meisten KMU — mit drei Bedingungen: Sie sind Eigentümer der Dokumentation, Sie haben jederzeit Vollzugriff, und eine Kopie liegt in Ihrem eigenen Tresor.
Was im Vertrag stehen sollte
- Die IT-Dokumentation ist Eigentum des Kunden.
- Sie wird auf Anforderung jederzeit übergeben, in einem nutzbaren Format (PDF, Markdown, Excel — nicht in einem proprietären Closed-System).
- Bei Vertragsende erfolgt eine vollständige Übergabe innerhalb von 30 Tagen, inklusive aller Passwörter, Konten und Lizenzen.
- Domains, Cloud-Konten und Lizenzen laufen auf den Namen des Kunden, nicht des Dienstleisters.
Wenn ein Anbieter solche Klauseln ablehnt, ist das die wichtigste Information, die Sie vor Vertragsschluss bekommen können.
Häufige Schwachstellen
- Excel-Liste auf dem Laufwerk des IT-Verantwortlichen. Wenn diese Person ausfällt, ist die Liste weg.
- Passwörter im Browser des Admins. Bei Hardware-Verlust verschwinden sie mit.
- „Wissen im Kopf” einer Person. Der gefährlichste Lock-in ist nicht der vertragliche, sondern der personelle.
- Veraltete Dokumente. Eine Doku, die zwei Jahre nicht angefasst wurde, ist im Krisenfall schlechter als gar keine — sie erzeugt falsche Sicherheit.
- Dokumentation ohne Eigentümer. Wenn niemand zuständig ist, wird sie nicht gepflegt.
FAQ
Wie umfangreich sollte die Dokumentation realistisch sein? Für einen 25-Personen-Mittelständler reichen 20–40 Seiten, sauber gepflegt. Mehr ist meistens Selbstzweck und wird nicht gelesen.
Wie oft sollte sie aktualisiert werden? Mindestens halbjährlich vollständig durchgehen. Inventar und Berechtigungen quartalsweise. Bei jeder größeren Änderung sofort.
Reicht eine Software wie IT-Glue, Hudu, oder ein Confluence? Werkzeuge helfen, ersetzen aber keine Disziplin. Wichtig ist: Sie sind nicht nur Lesezugriff, sondern Eigentümer des Inhalts und können ihn jederzeit exportieren.
Was, wenn unser Dienstleister sich weigert, Daten herauszugeben? Dann ist das ein Vertragsproblem. Im Zweifel anwaltlich klären. Vorbeugen ist günstiger: vorab in den Vertrag schreiben.
Wie wir das halten
Wir dokumentieren strukturiert nach den oben genannten zehn Bestandteilen — und Sie sind jederzeit Eigentümer der Dokumentation. Die Übergabe bei Vertragsende ist Teil des Vertrags, nicht Verhandlungssache. Mehr dazu auf IT-Betreuung & Support. Wenn Sie konkret prüfen wollen, ob Ihre aktuelle Doku „im Ernstfall” tragfähig ist, schauen wir das mit Ihnen durch.