Zum Hauptinhalt springen
Allgemein9 min Lesezeit

Gewachsene IT dokumentieren: Die Schritt-für-Schritt-Anleitung für KMUs ohne IT-Abteilung

IT-Inventar in 5 Phasen: ohne IT-Abteilung. Hardware, Software, Netzwerk, Benutzer, kritische Prozesse. Zeitplan, Tools und Checkliste für KMUs.

B
Berkan Demir
|

Die kurze Antwort zuerst

Gewachsene IT ist nicht automatisch schlechte IT. Sie ist IT, die ohne übergreifenden Plan über Zeit entstanden ist. Das Problem: Wenn niemand das vollständige Bild hat, entstehen unsichtbare Risiken. Die Lösung ist kein großes Transformationsprojekt, sondern eine strukturierte Bestandsaufnahme in fünf Phasen. Die erste Phase kostet einen Arbeitstag, nicht mehr.

Berliner IT, wie sie wirklich aussieht

Ein typisches Bild aus meiner Praxis: Fertigungsunternehmen, 35 Mitarbeiter, seit 18 Jahren am Markt. Frage: „Welche Server haben Sie?"

Antwort: „Einen, glaube ich. Oder zwei. Der IT-Dienstleister, der das früher gemacht hat, weiß das besser."

Der Dienstleister ist seit zwei Jahren nicht mehr aktiv. Der Server läuft.

Das ist keine Ausnahme. Das ist die Regel. Gewachsene IT-Infrastruktur ist die Realität der meisten Berliner KMUs: Systeme wurden eingeführt, als sie gebraucht wurden. Dienstleister wurden gewechselt. Mitarbeiter haben Lösungen gefunden, ohne die IT zu fragen. Über 15-20 Jahre sammelt sich eine Infrastruktur an, die niemand vollständig überblickt.

Das ist keine Schwäche, das ist Unternehmensrealität. Zum Problem wird es, wenn ein System ausfällt, ein Mitarbeiter geht oder eine Prüfung kommt.

Was ist gewachsene IT, und warum ist sie ein unsichtbares Risiko?

Gewachsene IT ist nicht grundsätzlich schlecht aufgebaute IT. Es ist IT, die ohne übergreifenden Plan über Zeit entstanden ist. Jede einzelne Entscheidung war vermutlich sinnvoll. Das Problem: Niemand hat das vollständige Bild.

Typische Befunde in meinen Audits.

  • Niemand weiß, welche Software auf welchem System läuft und ob Lizenzen noch gültig sind.
  • Ein kritisches System läuft auf einem Server, dessen Betriebssystem seit zwei Jahren kein Sicherheitsupdate mehr erhält.
  • Es gibt aktive Benutzerkonten von Mitarbeitern, die das Unternehmen vor Jahren verlassen haben.
  • Ein Cloud-Dienst wird seit Jahren vom Kreditkartenkonto des früheren IT-Leiters bezahlt.
  • Das Netzwerk hat Freigaben, die niemand bewusst erstellt hat, aber alle nutzen.

All das ist Risiko: Sicherheitsrisiko, Compliance-Risiko, Betriebsrisiko. Es ist unsichtbar, weil es nicht dokumentiert ist. Die gute Nachricht: In einem strukturierten Prozess lässt es sich beheben.

Warum IT-Dokumentation kein Fleißaufwand ist, sondern Risikomanagement

Der häufigste Einwand gegen IT-Dokumentation: "Das kostet Zeit und bringt nichts, solange alles läuft." Das ist ein Denkfehler.

IT-Dokumentation ist eine Versicherung. Sie zahlen dafür im Voraus, im Ernstfall zahlt sie sich zurück.

  • Ernstfall 1: Schlüsselperson verlässt das Unternehmen. Ohne Dokumentation ist das IT-Wissen mit ihr gegangen. Mit Dokumentation: strukturierte Übergabe.
  • Ernstfall 2: Systemausfall. Ohne Dokumentation: stundenlange Fehlersuche, weil niemand weiß, was womit verbunden ist. Mit Dokumentation: gezielte Diagnose.
  • Ernstfall 3: Prüfung oder Audit (Datenschutz, Versicherung, ISO). Ohne Dokumentation: improvisierte Antworten. Mit Dokumentation: strukturierter Nachweis.
  • Ernstfall 4: Neuer IT-Dienstleister oder interner IT-Verantwortlicher. Ohne Dokumentation: Monate Einarbeitungszeit. Mit Dokumentation: Wochen.

Phase 1: Hardware-Inventar. Was steht wo und gehört wem?

Der erste Schritt: durch den Serverraum gehen, durch die Büros, durch das Lager. Mit einem Laptop und einer Tabelle. Das klingt simpel. Es ist auch simpel. Und trotzdem haben es die wenigsten Unternehmen gemacht.

Was in das Hardware-Inventar gehört.

  • Server: Hersteller, Modell, Seriennummer, Betriebssystem mit Version, Patchstand, Rolle (Dateiserver, Domaincontroller, Datenbankserver usw.), IP-Adresse, Standort
  • Netzwerkgeräte: Router, Switches, Access Points, Firewalls: Hersteller, Modell, Firmware-Version, IP-Adresse, Standort
  • Workstations und Laptops: Gerät, Betriebssystem, Nutzer, Baujahr
  • Drucker, Scanner, NAS-Systeme, sonstige Geräte

Hilfsmittel: In Windows-Umgebungen können PowerShell-Skripte und Tools wie Lansweeper, OCS Inventory oder GLPI die Erfassung teilautomatisieren. Für kleinere Umgebungen reicht ein gut gepflegtes Excel. Ziel ist nicht Perfektion, Ziel ist Vollständigkeit.

Phase 2: Software-Inventar. Lizenzen, Abos, Shadow IT aufdecken

Das Software-Inventar ist oft überraschender als das Hardware-Inventar. Hier tauchen die „vergessenen" Systeme auf: der Cloud-Dienst, den die Marketing-Abteilung ohne IT-Einbindung eingeführt hat, die Software, die seit Jahren läuft, obwohl die Lizenz abgelaufen ist, und das Tool, das nur ein Mitarbeiter kannte.

Was im Software-Inventar erfasst werden muss.

  • Installierte Software auf Servern: Name, Version, Lizenzschlüssel, Ablaufdatum
  • Installierte Software auf Workstations: vollständige Liste, Lizenzmodell (Einzellizenz, Volumenvertrag, Abo)
  • Cloud-Dienste und SaaS-Abonnements: Anbieter, Nutzeranzahl, monatliche/jährliche Kosten, Vertragsende, Kündigungsfristen
  • Microsoft-365-Lizenz-Übersicht: Welche Nutzer haben welche Lizenzen?
  • Domänennamen und SSL-Zertifikate: Ablaufdaten, Registrar, Zugang

Shadow IT aufdecken: Befragen Sie Abteilungsleiter gezielt nach Tools, die ohne formelle IT-Freigabe genutzt werden. In meiner Praxis kommen dabei regelmäßig Dutzende von Cloud-Diensten ans Licht: Dropbox-Konten, Notion-Arbeitsbereiche, Trello-Boards, Zoom-Konten, Online-Formular-Tools. Alle mit Unternehmensdaten. Nicht erfasst. Nicht abgesichert.

Diese Shadow IT ist auch der Ausgangspunkt für Shadow AI: Wer keine Kontrolle über Cloud-Dienste hat, weiß auch nicht, welche KI-Tools Mitarbeiter gerade verwenden. Mehr dazu im Artikel Shadow AI im KMU mit Ollama zurückgewinnen.

Phase 3: Netzwerk-Topologie. Wer spricht mit wem?

Ein Netzwerkplan ist kein Luxus. Er ist die Grundvoraussetzung für jede sinnvolle IT-Sicherheitsmaßnahme. Ohne zu wissen, wie Ihr Netzwerk aufgebaut ist, können Sie weder Firewall-Regeln sinnvoll konfigurieren noch im Ernstfall gezielt eingreifen.

Was in die Netzwerk-Dokumentation gehört.

  • IP-Adressbereiche und VLAN-Struktur
  • Netzwerkgeräte mit ihren Verbindungen zueinander (einfaches Diagramm genügt)
  • Externe Verbindungen: Internet-Uplink, VPN-Zugänge, Fernzugriffe
  • Netzwerkfreigaben: Welche Ordner sind freigegeben? Für wen? Mit welchen Berechtigungen?
  • Drucker, NAS-Systeme und andere netzwerkgebundene Geräte mit IP-Adressen

Hilfsmittel: Nmap für Netzwerk-Scanning (nur im eigenen Netz), Advanced IP Scanner für Windows-Umgebungen, oder einfach die ARP-Tabellen der Router und Switches.

Phase 4: Benutzer- und Berechtigungsmanagement dokumentieren

Dieser Bereich ist besonders kritisch: veraltete Benutzerkonten, übermäßige Berechtigungen, fehlende Rollenkonzepte. Das sind die häufigsten Befunde in gewachsenen IT-Umgebungen.

Was zu erfassen ist.

  • Alle Active-Directory- oder Microsoft-Entra-ID-Konten: aktive Nutzer, inaktive Konten, Dienstkonten, Admin-Konten
  • Gruppenstrukturen und Berechtigungen: Wer hat Zugriff auf was?
  • Lokale Admin-Rechte: Wer hat lokale Admin-Rechte auf Workstations?
  • Passwort-Richtlinien: Komplexität, Ablauffristen, Mehr-Faktor-Authentifizierung
  • Externe Zugänge: VPN-Konten, Fernzugriff, Cloud-Dienst-Admins

Typischer Befund aus meinen Audits: In fast jedem KMU ohne eigene IT-Abteilung gibt es aktive Konten von Mitarbeitern, die das Unternehmen vor Jahren verlassen haben. Manchmal haben diese Konten noch volle Zugriffsrechte. Das ist ein Sicherheitsrisiko, und ein Thema, das Ihr Datenschutzbeauftragter kennen sollte.

Phase 5: Kritische Prozesse und deren IT-Abhängigkeiten erfassen

Die abschließende Phase ist die geschäftskritischste: Welche IT-Systeme sind für den laufenden Betrieb unverzichtbar?

Fragen, die in diesem Schritt beantwortet werden müssen.

  • Welche 5 Systeme stoppen den Betrieb sofort, wenn sie ausfallen?
  • Welche Abhängigkeiten bestehen zwischen Systemen?
  • Welche Systeme haben keine Redundanz und sind damit einzelne Ausfallpunkte?
  • Wie lange dauert die Wiederherstellung jedes kritischen Systems aus dem Backup?
  • Gibt es einen schriftlichen Notfallplan für den Ausfall der wichtigsten Systeme?

Die Ergebnisse dieser Phase sind auch die Grundlage für Ihre Backup-Strategie. Alles zur Backup-Planung: KMU-Backup-Strategie 2026.

Welche Tools helfen?

  • Kostenlos: Excel oder Google Sheets (für manuell gepflegte Inventare), OCS Inventory (Open Source, automatisches Hardware/Software-Inventar), Nmap/Zenmap (Netzwerk-Scanning), Active Directory Benutzer und Computer (Windows-Bordmittel für Nutzerverwaltung)
  • Kostenlos bis Kleinunternehmen: Lansweeper Free (bis 100 Assets), Snipe-IT (Open Source Asset Management)
  • Bezahlte Optionen: Lansweeper Pro, PDQ Inventory, ManageEngine IT360, Freshservice. Sinnvoll ab etwa 50 Geräten und wenn automatisierte Berichte benötigt werden.

Realistischer Zeitplan

  • Bis 20 Mitarbeiter, einfache Infrastruktur: 1-2 Arbeitstage Ersterfassung, 0,5 Tage pro Quartal für Aktualisierung.
  • 20 bis 50 Mitarbeiter, gewachsene Infrastruktur: 3-5 Arbeitstage Ersterfassung, 1 Tag pro Quartal Pflege.
  • 50 bis 150 Mitarbeiter, komplexe Infrastruktur: 1-2 Wochen Ersterfassung mit Tool-Unterstützung, laufende Pflege als Teilaufgabe des IT-Verantwortlichen.

Wichtig: Die Ersterfassung ist der aufwendigste Teil. Wenn die Dokumentation einmal besteht, kostet die Pflege einen Bruchteil der Zeit.

Wann sich ein KI-Einstieg lohnt, und warum die Dokumentation zuerst kommt

Die Dokumentation ist kein Selbstzweck. In meiner Praxis ist sie die Voraussetzung für nahezu alles, was danach kommt: eine funktionierende Backup-Strategie, eine sinnvolle KI-Einführung, eine klare Übergabe an einen neuen Dienstleister.

Wenn Sie über KI-Einführung nachdenken: Das Software-Inventar aus Phase 2 zeigt Ihnen, welche Prozesse schon digitalisiert sind, und welche davon KI-Kandidaten sind. Mehr dazu: KI im Unternehmen einführen, ohne die IT-Basis kaputtzumachen.

Checkliste: Vollständige IT-Dokumentation

Phase 1: Hardware-Inventar

Was hier nicht aufgeschrieben ist, sucht im Ernstfall jemand mit Stundensatz.

Eine vollständige Server-Liste liegt vor. Mit Hersteller, Modell, Betriebssystem, Patchstand, Rolle. Höchstens 90 Tage alt.
Jeder produktive Server hat einen internen Verantwortlichen mit Namen. Nicht „der Dienstleister von damals“.
Workstations, Laptops, Drucker, NAS-Systeme und IoT-Geräte (Zutrittssysteme, Klimasensoren) stehen in einem gemeinsamen Inventar. Nicht in Nebenlisten.
Pro Gerät ist hinterlegt, wann es aus dem Hersteller-Support fällt.

Phase 2: Software und Shadow IT

Hier tauchen die Posten auf, die niemand mehr kannte. Und die trotzdem jeden Monat abgebucht werden.

Alle Server- und Workstation-Software ist erfasst. Mit Lizenz, Version, Ablaufdatum.
Alle Cloud-Dienste und SaaS-Abos sind dokumentiert: Anbieter, Nutzer, Kosten, Vertragsende. Auf welcher Karte läuft jeder Dienst, und gehört die Karte einer aktiven Person?
Domainnamen und SSL-Zertifikate sind dokumentiert. Registrar, Ablauf, Zugang. Der Zugang hängt nicht an einer einzigen E-Mail-Adresse.
Ein Shadow-AI-Audit liegt vor, höchstens 6 Monate alt. Mit konkreter Aussage, welche KI-Tools (ChatGPT, Copilot, Notion AI, Gemini) im Unternehmen genutzt werden.

Phase 3: Netzwerk-Topologie

Ohne Plan gibt es keine sinnvolle Firewall-Regel. Und keine gezielte Reaktion, wenn nachts etwas brennt.

Ein aktuelles Netzwerkdiagramm zeigt Geräte und Verbindungen. Lesbar auch für jemanden, der nicht im Unternehmen arbeitet. VLANs und IP-Bereiche sind beschriftet.
Externe Zugänge sind erfasst und auf „noch berechtigt?“ geprüft. VPN, Fernwartung (TeamViewer, AnyDesk), alte Dienstleister-Logins.
Netzwerkfreigaben und Firewall-Regeln sind kommentiert. Pro Regel und pro Freigabe ist nachvollziehbar, warum sie existiert.

Phase 4: Benutzer und Berechtigungen

Konten von Mitarbeitern, die vor drei Jahren gegangen sind, finden Sie in fast jedem KMU. Manchmal mit Adminrechten.

Kein Mitarbeiter, der das Unternehmen verlassen hat, hat noch ein aktives Konto. Weder im AD, noch in M365, noch in Cloud-Diensten, noch in der Telefonanlage.
Es gibt eine Liste aller Konten mit Administratorrechten. Domain-Admin, lokaler Admin, Cloud-Admin, Anwendungs-Admin.
Mehr-Faktor-Authentifizierung ist für alle Admin-Konten aktiv. Und in den letzten 6 Monaten tatsächlich genutzt worden.
Ein Passwort-Tresor ist eingerichtet. Notfall-Zugriff ist geregelt, mindestens eine zweite Person hat dokumentierten Zugang.

Phase 5: Kritische Prozesse und Backup

Die geschäftskritischste Phase. Und die, die am häufigsten übersprungen wird, weil sie nicht technisch wirkt.

Die 5 Systeme, deren Ausfall den Betrieb sofort stoppt, sind namentlich benannt. Mit Begründung, warum gerade diese.
Pro kritischem System sind RTO und RPO definiert. Schriftlich, von der Geschäftsführung freigegeben.
Ein erprobtes Backup existiert. File-Restore-Test höchstens 30 Tage alt, System-Restore-Test höchstens 90 Tage alt. Eine Kopie ist netzwerkisoliert oder unveränderlich.
Ein schriftlicher Notfallplan liegt vor. Wer wird informiert, in welcher Reihenfolge, und wo liegen die Wiederherstellungsanleitungen auf Papier?

Phase 6: Dauerhafte Pflege

Eine einmalige Bestandsaufnahme veraltet binnen Monaten. Was hier nicht zur Routine wird, war ein teures Einmal-Projekt.

Es ist namentlich festgelegt, wer die IT-Dokumentation pflegt. Eine Person, plus ein fester Quartals-Termin im Kalender für die Aktualisierung.
Jede neue Hardware, Software und jeder neue Cloud-Dienst wird vor Inbetriebnahme eingetragen. Jeder Mitarbeiter-Austritt wird mit einer Offboarding-Checkliste abgehakt.
Die Dokumentation liegt auch in einer Papier- oder Offline-Kopie im Safe. Eine zweite Person außerhalb der täglichen IT-Routine weiß, wo sie liegt.

Wenn die Liste Lücken zeigt

Wenn Sie diese Liste durchgegangen sind und an mehr als zwei oder drei Stellen nicht ruhig nicken konnten, ist das keine schlechte Nachricht. Es ist ein Befund, den vor heute niemand hatte. Aus meiner Praxis: Eine Erstbestandsaufnahme über alle sechs Phasen kostet je nach Größe ein bis fünf Arbeitstage. Das ist deutlich weniger als ein einziger ungeplanter Ausfall kostet. Und es ist die Grundlage für alles, was danach kommt. Backup, KI-Einführung, Audit, Übergabe. Wenn Sie wollen, gehe ich die Liste persönlich mit Ihnen durch. Ohne Vortrag, ohne Verpflichtung. Antwort innerhalb von 24 Stunden, direkt von mir.

Mein Fazit

IT-Dokumentation ist keine Bürokratie. Sie ist das Fundament, auf dem alles andere steht: Backup, KI-Einführung, Übergaben, Audits.

Die Ersterfassung fühlt sich aufwendig an. Nach dem ersten Tag weiß man mehr über die eigene IT als in den letzten fünf Jahren zusammen. Das ist kein schlechtes Gefühl.