#Konzepte  #Sicherheit  #Management  

20. August 2025, 17:30
Lesezeit: ca. 3 Min

Woran sich IT-Erfolg wirklich messen lässt

Ein typisches Szenario aus einem Krisenmeeting. Geschäftsführung, IT-Leitung und meine Wenigkeit als externer Berater oder ISB zusammen in einem Sitzungszimmer:

Unsere Abläufe werden durch zu viele Sicherheitsvorgaben ausgebremst.

Die Mitarbeiter beschweren sich.

Die IT-Sicherheit wird zum Risiko für das Geschäft.

Solche Aussagen markieren einen wichtigen Wendepunkt der IT im Mittelstand. Es sind Sorgen vor Veränderung und Kontrollverlust.

Wo früher Nähe und Hierarchie die Zusammenarbeit prägten, setzen erfolgreiche Unternehmen heute auf klare Prozesse, moderne Management-Tools und ein hohes Maß an Automatisierung. Einige Beispiele:

  • Manuelle Tätigkeiten werden zu Skripten und wandern in Git(Ops) Repositories.1
  • Arbeiten erfolgen nicht mehr “auf Zuruf”, sondern in klar dokumentierten Tickets, verknüpft mit Assets.2
  • Statische Excel-Listen werden durch dynamische Management-Tools ersetzt, die für Business-Intelligence3 Anwendungen wie z.B. Metabase4 zugänglich werden.
  • Externe Partner und Lieferanten werden in einem Zugangs-Management geführt.5
  • Know-How wandert in ein unternehmensweites Wiki bzw. Wissens-Management.6
  • Mobile Geräte werden zentral in einem MDM7 verwaltet.

Der Elefant im Raum

Wie auf solche Kritik reagieren? Ein Patentrezept gibt es nicht. Jedes Unternehmen ist anders. Und manchmal führt ein klarer Standpunkt auch dazu, dass Wege sich trennen. Meine persönliche Erfahrung zeigt: Wer in solchen Diskussionen kein Rückgrat beweist, wer nicht zwischen Kompromissmöglichkeiten und Notwendigkeiten unterscheiden kann, wird langfristig scheitern. IT-Strategien brauchen beides, Flexibilität, wo es sinnvoll ist, und Konsequenz, wo es um Grundvoraussetzungen geht.

Die eigentliche Frage: Woran lässt sich IT-Erfolg überhaupt messen? Die Antwort darauf ist überraschend einfach und in jeder Buchhaltung auf Knopfdruck ermittelbar:

Wie hoch sind die täglichen Fixkosten?

Zu berücksichtigen sind:

  • Löhne und Gehälter
  • Versicherungen, Abgaben und feste Vorauszahlungen
  • Miete, Pacht, Leasing für Gebäude, Maschinen, Fahrzeuge
  • Laufende Verträge für Strom, Gas, Wasser, Kommunikation
  • Laufende Verträge für Wartung, Lizenzen, Services
  • Laufende Kosten für Mitgliedschaften oder sonstige Verpflichtungen

Es geht hier nicht um schwer kalkulierbare Größen wie Reputationsschäden oder Umsatzverlust. Es zählen harte Fakten: Fixkosten, die Tag für Tag entstehen, unabhängig davon, ob das Unternehmen produktiv arbeiten kann oder nicht.

Schon bei einem Personalbestand im mittleren zweistelligen Bereich summieren sich diese Kosten schnell auf mehrere zehntausend Euro. Ab einer niedrigen dreistelligen Mitarbeiterzahl bewegen wir uns bereits in sechsstelligen Größenordnungen pro Arbeitstag.

Spätestens an diesem Punkt erhalten Diskussionen rund um Risikominimierung8 und IT-Sicherheit eine neue, sehr greifbare Perspektive. Wenn die Anschaffung eines zusätzlichen Nodes in einem HV-Cluster nur wenige Prozent der Schadenshöhe ausmacht. Oder wenn die Fragestellung im Raum steht, ob 2FA wirklich für jemanden zu kompliziert sei.

Perspektivwechsel

Wer IT ausschließlich durch eine betriebswirtschaftliche Brille betrachtet oder sie gar nur als Dienstleistung versteht, nimmt Sicherheit immer nur als Hindernis wahr. Das führt in der Praxis zu falschen Prioritäten und Anreizsystemen.

Ein schönes Beispiel dafür ist die Verfügbarkeit, häufig als KPI herangezogen. Ein denkbar schlechter Skalenwert, wo der Unterschied zwischen 98 %, 99 % oder 99,99 % auf dem ersten Blick gering erscheint, tatsächlich aber über den Fortbestand eines Unternehmens entscheidet, wenn es um geschäftskritische Systeme geht.

Täglich werden in Deutschland Unternehmen “ausgeknipst”.9 Trotz etabliertem IT-Controlling oder glänzenden Executive Dashboards, wo alles bis kurz vor dem Knall im maximal optimierten, grünen Bereich angezeigt wird. Und dann kommt der Tag, an dem das Konstrukt zusammenbricht.10

Nachhaltig erfolgreich ist IT dort, wo sie technisch sauber betrieben wird und ihre Leistungsfähigkeit an den tatsächlichen Ausfallkosten gemessen wird. Wenn Maschinen ohne Unterbrechung laufen, Kunden keine Verzögerungen erleben, Rechnungen fristgerecht gestellt und bezahlt werden können.11

Fazit

Als Berater und insbesondere als ISB/CISO ist es meine Aufgabe, kritisch zu hinterfragen und Risiken klar zu benennen. Nicht um Entscheidungen zu blockieren oder Prozesse zu verkomplizieren, sondern um Konsequenzen sichtbar zu machen und Probleme zu mitigieren.

Das ist unbequem und selten einfach. Und manchmal braucht es auch die Stärke, Grenzen zu ziehen und “Nein” sagen zu können.

In diesem Sinne,
Tomas Jakobs

  1. https://blog.jakobs.systems/blog/20240908-gitops-veeam-ersatz/ ↩︎

  2. https://glpi-project.org/ ↩︎

  3. https://en.wikipedia.org/wiki/Business_intelligence ↩︎

  4. https://www.metabase.com/ ↩︎

  5. https://blog.jakobs.systems/blog/20231010-supplychain-management/ ↩︎

  6. https://www.bookstackapp.com/ ↩︎

  7. https://en.wikipedia.org/wiki/Mobile_device_management ↩︎

  8. https://blog.jakobs.systems/blog/20240506-service-tips-windows/ ↩︎

  9. https://blog.jakobs.systems/micro/20221025-geplatzte-ads/ ↩︎

  10. https://blog.jakobs.systems/micro/20240128-sit-ransomware-abschlussbericht/ ↩︎

  11. https://blog.jakobs.systems/blog/20250420-zweitbeste-loesung/ ↩︎

Ähnliche Beiträge

© 2025 Tomas Jakobs - Impressum und Datenschutzhinweis

Unterstütze diesen Blog - Spende einen Kaffee