Ein typisches Szenario aus einem Krisenmeeting: Geschäftsführung, IT-Leitung und meine Wenigkeit als externer Berater oder ISB zusammen in einem Sitzungszimmer:
Unsere Abläufe werden durch zu viele Sicherheitsvorgaben ausgebremst.
Die Mitarbeiter beschweren sich.
Die IT-Sicherheit wird zum Risiko für das Geschäft.
Solche Aussagen markieren einen wichtigen Wendepunkt der IT im Mittelstand. Es sind Sorgen vor Veränderung und Kontrollverlust.
Wo früher Nähe und Hierarchie die Zusammenarbeit prägten, setzen erfolgreiche Unternehmen heute auf Teamwork, klare Prozesse, moderne Management-Tools und Automatisierung. Einige Beispiele:
- Manuelle Tätigkeiten werden zu Skripten und wandern in Git(Ops) Repositories.1
- Arbeiten erfolgen nicht mehr “auf Zuruf”, sondern in klar dokumentierten Tickets, verknüpft mit Assets.2
- Statische Excel-Listen werden durch dynamische Management-Tools ersetzt, die für Business-Intelligence3 Anwendungen wie z.B. Metabase4 zugänglich werden.
- Externe Partner und Lieferanten werden in einem Zugangs-Management geführt.5
- Know-How wandert in ein unternehmensweites Wiki bzw. Wissens-Management.6
- Mobile Geräte werden zentral in einem MDM7 verwaltet.
Der Elefant im Raum
Wie auf solche Kritik reagieren? Ein Patentrezept gibt es nicht. Jedes Unternehmen ist anders. Und manchmal führt ein klarer Standpunkt auch dazu, dass Wege sich trennen.
Meine persönliche Erfahrung zeigt: Wer in solchen Diskussionen kein Rückgrat beweist, wer nicht zwischen Kompromissmöglichkeiten und Notwendigkeiten unterscheiden kann, wird langfristig scheitern. IT-Strategien brauchen beides, Flexibilität, wo es sinnvoll ist, und Konsequenz, wo es um Grundvoraussetzungen geht.
Die eigentlichen Fragen:
- Besteht die Bereitschaft, zeitgemäß, transparent und für alle in einem Team nachvollziehbar arbeiten zu wollen?
- Wie lässt sich erfolgreiche IT messen geschweige denn kommunizieren?
Wie hoch sind die täglichen Fixkosten des Unternehmens?
Die Antwort ist überraschend einfach in jeder Buchhaltung auf Knopfdruck ermittelbar. Zu berücksichtigen sind:
- Löhne und Gehälter
- Versicherungen, Abgaben und feste Vorauszahlungen
- Miete, Pacht, Leasing für Gebäude, Maschinen, Fahrzeuge
- Laufende Verträge für Strom, Gas, Wasser, Kommunikation
- Laufende Verträge für Wartung, Lizenzen, Services
- Laufende Kosten für Mitgliedschaften oder sonstige Verpflichtungen
Es geht hier nicht um schwer kalkulierbare Größen wie Reputationsschäden oder Umsatzverlust. Es zählen harte Fakten: Fixkosten, die Tag für Tag entstehen, unabhängig davon, ob das Unternehmen produktiv arbeiten kann oder nicht.
Schon bei einem Personalbestand im mittleren zweistelligen Bereich summieren sich die Fixkosten schnell auf mehrere zehntausend Euro pro Tag. Ab einer niedrigen dreistelligen Mitarbeiterzahl bewegen wir uns bereits in 6-stelligen Größenordnungen pro Arbeitstag.
Spätestens an diesem Punkt erhalten Diskussionen rund um Risikominimierung8 und IT-Sicherheit eine neue, sehr greifbare Perspektive. Wenn die Anschaffung eines zusätzlichen Nodes in einem HV-Cluster nur wenige Prozent der Schadenshöhe bei Ausfall ausmacht. Oder wenn die Fragestellung im Raum steht, ob 2FA wirklich für jemanden zu kompliziert sei und bei der Arbeit behindere.
Ein Perspektivwechsel ist notwendig
Ab hier wird deutlich, jede Stunde Ausfall führt zu messbaren Verlusten. Wichtigste Kennzahl für IT-Erfolg ist daher nicht Effizienz, sondern Sicherheit und Stabilität.
Wer IT ausschließlich durch eine betriebswirtschaftliche Brille betrachtet oder sie gar nur als Dienstleistung versteht, nimmt Sicherheit immer nur als Hindernis wahr. Das führt in der Praxis zu falschen Prioritäten, Anreizsystemen und Kennzahlen.
Schönes Beispiel ist die Verfügbarkeit. Ein Skalenwert, wo der Unterschied zwischen 98 %, 99 % oder 99,99 % auf dem ersten Blick gering erscheint, tatsächlich aber über den Fortbestand eines Unternehmens entscheidet.
Ausgerechnet Menschen mit einem betriebswirtschaftlichen Hintergrund glauben der Mathematik nicht und ich muss erklären, dass eine Verfügbarkeit von 98% etwa 1,5 Arbeitstage Downtime im Monat bedeutet.
Würde ich nach dem Pareto-Prinzip9 arbeiten, mich demnach mit nur 80% zufrieden geben, bedeute das eine akzeptierte Downtime von bis zu 6 Tagen im Monat. Kein Unternehmen der Welt sollte so seine IT betreiben.
Die Realität zeigt, täglich werden in Deutschland mehrere Unternehmen “ausgeknipst”.10 Die jährlichen Schäden für die Gesamtwirtschaft beziffert die Bitkom auf 289 Mrd Euro.11 Trotz aufwändig betriebenen IT-Controlling und Executive Dashboards, wo alles bis kurz vor dem Knall im maximal optimierten, grünen Bereich steht.
Es ist ein wenig so wie bei der Titanic. Unsinkbar alles im grünen Bereich bis kurz vor dem Untergang. Eine per Funk übermittelte Eisberg-Warnung der nur wenige Meilen entfernten Californian wurde ignoriert. Grußbotschaften waren höher priorisiert.12 Faktisch blind wurde nachts mit maximaler Geschwindigkeit “auf Sicht” gefahren. Die Fehlerketten der typischen Cyber-Incidents ähneln sich in erschreckender Weise.13
Fazit
Nachhaltig erfolgreich ist IT nur dort, wo sie auch richtig betrieben wird und Ihre Leistungsfähigkeit an den tatsächlichen Ausfallkosten gemessen wird. Wenn Maschinen ohne Unterbrechung laufen, Kunden keine Verzögerungen erleben, Rechnungen fristgerecht gestellt und bezahlt werden können.14
Als Berater und insbesondere als ISB/CISO ist es meine Aufgabe, kritisch zu hinterfragen und Risiken klar zu benennen. Nicht um Entscheidungen zu blockieren oder Prozesse zu verkomplizieren, sondern um Konsequenzen sichtbar zu machen und Probleme zu mitigieren.
Das ist unbequem, selten einfach und manchmal braucht es auch die Stärke, klare Grenzen zu ziehen und “Nein” sagen zu können.
In diesem Sinne,
Tomas Jakobs
https://blog.jakobs.systems/blog/20240908-gitops-veeam-ersatz/ ↩︎
https://blog.jakobs.systems/blog/20231010-supplychain-management/ ↩︎
https://blog.jakobs.systems/blog/20240506-service-tips-windows/ ↩︎
https://blog.jakobs.systems/micro/20221025-geplatzte-ads/ ↩︎
https://www.bitkom.org/sites/main/files/2025-09/bitkom-pressekonferenz-wirtschaftsschutz-cybercrime.pdf ↩︎
https://revolutionsincommunication.com/features/radio-and-the-titanic/ ↩︎
https://blog.jakobs.systems/micro/20240128-sit-ransomware-abschlussbericht/ ↩︎
https://blog.jakobs.systems/blog/20250420-zweitbeste-loesung/ ↩︎