Kontakt
Menü
Die angemessene ITIT-Governance & StrategieSerie: Die angemessene IT

Angemessene IT heißt nicht, Konzernlogik kleiner zu machen

Warum wirksame IT im Mittelstand nicht durch verkleinerte Konzernmodelle entsteht, sondern durch passende Steuerung, tragfähige Standards und klare Managemententscheidungen.

Kategorie
Die angemessene IT
Veröffentlicht
17. Mai 2026
Aktualisiert
17. Mai 2026
Lesedauer
10 Minuten
  • IT-Governance
  • Mittelstand
  • Operating Model
Angemessene IT heißt nicht, Konzernlogik kleiner zu machen | Andreas Wöhrmann

Viele mittelständische IT-Organisationen professionalisieren gerade. Manche werden dabei schlechter, nicht besser.

Nicht weil die Absicht falsch wäre. Sondern weil das Modell nicht passt: Man nimmt Konzernlogik, macht sie kleiner und nennt das Professionalisierung. Das Ergebnis ist meistens mehr Komplexität, nicht mehr Steuerbarkeit. Mehr Gremien, mehr Prozesse, mehr Dokumentationspflichten — aber keine klarere Verantwortung und keine bessere Entscheidungsqualität.

Das ist kein Vorwurf. Es ist ein Muster, das ich in unterschiedlichen Organisationen beobachte. Und es beginnt meist damit, dass irgendwann erkannt wird: So wie bisher funktioniert es nicht mehr.

Ich habe das in meiner Laufbahn mehrfach erlebt. Kleine Teams, kurze Wege, viel persönliches Wissen, hohe Pragmatik. Man kennt die Systeme, man kennt die Kollegen, man weiß, wen man fragen muss. Entscheidungen entstehen nicht in Gremien, sondern im Gespräch. Probleme werden gelöst, weil erfahrene Menschen Verantwortung übernehmen und weil vieles noch überschaubar ist.

Das ist nicht automatisch unprofessionell. Im Gegenteil. In einer bestimmten Phase ist genau diese Art zu arbeiten sehr wirksam.

Aber sie hat eine Grenze.

Diese Grenze merkt man oft nicht an einem einzelnen Ereignis. Sie entsteht schleichend. Ein paar Kollegen kommen dazu. Systeme werden wichtiger. Prozesse werden komplexer. Standorte, Kundenanforderungen, Compliance-Themen und Sicherheitsfragen nehmen zu. Was früher durch persönliche Nähe funktioniert hat, braucht plötzlich Wiederholbarkeit. Was früher im Kopf einzelner Menschen lag, muss nachvollziehbar werden. Was früher pragmatisch war, wird irgendwann abhängig von Personen.

Und spätestens dann wird fehlende Struktur zum Problem.

Nicht, weil vorher alles falsch war. Sondern weil die Organisation gewachsen ist und die Steuerung nicht im gleichen Maß mitgewachsen ist.

Genau dort beginnt für mich die Frage nach angemessener IT.

Auf der einen Seite wächst der Anspruch. Mehr Standorte. Mehr regulatorische Anforderungen. Mehr Cyberrisiken. Mehr Abhängigkeit von stabilen digitalen Prozessen. Mehr Erwartung aus Geschäftsführung, Kunden, Wirtschaftsprüfung, Datenschutz, Informationssicherheit und Fachbereichen.

Auf der anderen Seite bleibt die operative Realität oft mittelständisch. Kleine Teams. Breite Rollen. Wenig Redundanz. Viele historische Systeme. Viel implizites Wissen. Hoher Umsetzungsdruck. Und meistens keine Organisation, die man beliebig mit zusätzlichen Spezialisten, Gremien und Prozessen ausstatten kann.

Genau in dieser Spannung entsteht häufig ein Missverständnis.

Man nimmt Konzernlogik, macht sie kleiner und nennt das dann Professionalisierung.

Ein bisschen ITIL. Ein bisschen ISO. Ein bisschen Architekturboard. Ein bisschen Servicekatalog. Ein bisschen Rollenmodell. Ein bisschen Governance. Auf dem Papier sieht das sauber aus. In der Praxis entsteht oft etwas anderes: zusätzliche Komplexität, ohne dass die Organisation wirklich steuerbarer wird.

Für mich ist das keine angemessene IT.

Angemessene IT bedeutet nicht, Konzernstrukturen auf Mittelstandsgröße zu skalieren. Es bedeutet, bewusst zu entscheiden, welche Struktur, welche Standards und welche Steuerung zur Größe, zum Risiko und zur operativen Realität der Organisation passen.

Der Mittelstand braucht Struktur, aber keine Struktur-Attrappen

Ich halte wenig von der romantischen Vorstellung, Mittelstand funktioniere am besten ohne formale Strukturen.

Das mag in sehr kleinen Organisationen eine Zeit lang funktionieren. Man kennt sich, man ruft sich an, man löst Dinge direkt. Das Wissen ist nah an den Menschen, die Verantwortung ist oft persönlich, und vieles funktioniert, weil einzelne Personen tief in den Themen stecken.

Das kann sogar ein Vorteil sein. Kleine Organisationen sind schnell, pragmatisch und nah an der Realität. Sie verlieren sich nicht in Abstimmungsschleifen. Sie entscheiden, weil entschieden werden muss.

Aber genau diese Stärke kann später zur Schwäche werden.

Wenn Wissen zu stark an einzelnen Köpfen hängt, entsteht Abhängigkeit. Wenn Prozesse nur funktionieren, weil bestimmte Menschen wissen, wie es gemeint ist, fehlt Wiederholbarkeit. Wenn ein Mitarbeiter geht und damit gleichzeitig historisches Systemwissen, Prozessverständnis oder Kundenlogik verschwindet, wird sichtbar, was vorher verdeckt war.

Die Organisation war funktional. Aber sie war nicht ausreichend strukturiert.

Das ist ein wichtiger Unterschied.

  • Funktional bedeutet: Es läuft.
  • Strukturiert bedeutet: Es läuft auch dann noch, wenn Menschen wechseln, Komplexität steigt und Entscheidungen nachvollziehbar werden müssen.

Ab einer bestimmten Größe reicht informelle Steuerung nicht mehr aus. Wenn mehrere Standorte beteiligt sind, wenn IT-Systeme geschäftskritisch werden, wenn Kunden Nachweise verlangen, wenn Cybersecurity nicht mehr nebenbei betrieben werden kann und wenn Ausfälle echte wirtschaftliche Auswirkungen haben, braucht IT Struktur.

Nicht, weil ein Framework das verlangt. Sondern weil die Organisation sonst von Personen, Zufällen und stillen Annahmen abhängig bleibt.

Die Frage ist aber: Welche Struktur?

Hier wird es interessant. Viele Unternehmen reagieren auf wachsende Komplexität, indem sie bekannte Konzernmuster übernehmen. Rollen werden eingeführt, Boards gegründet, Prozesse beschrieben, Verantwortungsmatrizen gebaut. Das ist nachvollziehbar. Konzernlogik wirkt professionell. Sie vermittelt Sicherheit. Sie zeigt: Wir haben verstanden, dass IT geführt und gesteuert werden muss.

Aber Struktur ist nur dann wertvoll, wenn sie Entscheidungen verbessert, Verantwortlichkeit klärt oder Risiken reduziert.

Eine Struktur ist nur dann wertvoll, wenn sie Entscheidungen verbessert — nicht wenn sie demonstriert, dass man ein Framework gelesen hat.

Wenn sie nur dokumentiert, dass es theoretisch jemanden geben müsste, der sich um etwas kümmert, ist sie keine Struktur. Dann ist sie eine Attrappe.

Konzernlogik ist nicht falsch. Sie ist nur oft nicht übersetzt

Ich finde es zu einfach, Konzernlogik pauschal abzuwerten.

Je mehr ich mit großen Organisationen, internationalen Strukturen und Konzernmechanismen zu tun habe, desto klarer wird mir: Viele dieser Mechanismen existieren nicht zufällig. In einer Organisation mit vielen tausend oder zehntausend Mitarbeitern kann Steuerung nicht mehr über persönliche Nähe funktionieren.

Dort braucht es klare Rollen. Verbindliche Prozesse. Definierte Entscheidungswege. Standards. Kontrollen. Gremien. Dokumentation. Eskalationslogik. Nicht, weil das immer angenehm ist. Sondern weil Komplexität sonst nicht mehr beherrschbar bleibt.

Ein großer Konzern kann nicht dauerhaft nach dem Prinzip funktionieren: „Wir kennen uns, wir sprechen kurz miteinander, dann wird das schon.“

Das wäre naiv.

Viele Konzernmechanismen haben also einen guten Grund. Klare Rollenmodelle, getrennte Verantwortlichkeiten, dokumentierte Prozesse, Risikomanagement, Change-Governance, Architekturprinzipien, Security-Standards und interne Kontrollen sind nicht deshalb entstanden, weil große Unternehmen grundsätzlich Freude an Bürokratie haben.

Sie sind entstanden, weil Komplexität ohne Steuerung gefährlich wird.

Das Problem beginnt dort, wo diese Mechanismen unübersetzt in mittelständische Organisationen übertragen werden.

Ein Konzern kann für ein Thema drei Rollen, zwei Kontrollinstanzen und ein monatliches Gremium etablieren. Ein mittelständisches Unternehmen hat vielleicht zwei erfahrene Leute, die gleichzeitig Infrastruktur, Security, Projekte, Eskalationen und Tagesgeschäft tragen. Wenn man dort dasselbe Modell einführt, entsteht keine bessere Governance. Es entsteht Überlastung.

Nicht weil das Modell falsch wäre, sondern weil es nicht passt.

Angemessenheit bedeutet deshalb nicht, Standards zu verwässern. Es bedeutet, den Zweck hinter einem Standard zu verstehen und ihn so umzusetzen, dass er in der Organisation wirkt.

Ein Beispiel: Change Management.

In einer großen Organisation braucht es formale Freigabestrukturen, klare Risikoklassifizierung, definierte Change-Fenster und dokumentierte Rückfallpläne. In einem mittelständischen Umfeld kann das ebenfalls sinnvoll sein. Aber nicht jeder kleine Standard-Change braucht denselben Prozess wie eine kritische ERP-Migration.

Die eigentliche Führungsfrage lautet nicht: „Haben wir einen Change-Prozess?“

Die bessere Frage lautet: „Erkennen wir riskante Änderungen rechtzeitig, entscheiden wir bewusst darüber, und können wir nachvollziehen, was passiert ist?“

Wenn die Antwort ja ist, kann der Prozess schlank sein. Wenn die Antwort nein ist, hilft auch ein langer Prozess auf Papier nicht.

Angemessenheit ist eine Managemententscheidung, keine IT-Ausrede

Der Begriff „angemessen“ wird oft missverstanden.

Manchmal wird er benutzt, um Dinge kleiner zu machen, als sie sein müssten. Dann heißt angemessen eigentlich: Wir machen weniger, weil wir keine Zeit, kein Budget oder keine Lust auf Struktur haben.

Das ist gefährlich.

Angemessen bedeutet nicht minimal.

Angemessen bedeutet passend zum Risiko, zur Verantwortung und zur Leistungsfähigkeit der Organisation.

Eine mittelständische IT darf schlank sein. Aber sie darf nicht blind sein.

Sie muss wissen:

  • Welche Systeme kritisch sind.
  • Welche Risiken akzeptiert werden.
  • Welche Abhängigkeiten bestehen.
  • Welche Standards verbindlich gelten.
  • Welche Themen zentral gesteuert werden müssen und wo lokale Flexibilität sinnvoll ist.

Das ist keine rein technische Aufgabe. Es ist eine Managemententscheidung.

Wenn ein Unternehmen wächst, internationaler wird oder stärker reguliert arbeitet, muss auch die IT-Steuerung mitwachsen. Nicht zwingend mit mehr Bürokratie, aber mit mehr Klarheit.

  • Wer entscheidet über IT-Risiken?
  • Wer priorisiert zwischen operativem Betrieb, Security-Maßnahmen und Projektanforderungen?
  • Welche Mindeststandards gelten für Standorte, Gesellschaften oder Fachbereiche?
  • Wo darf bewusst abgewichen werden?
  • Und wer trägt die Verantwortung, wenn eine Abweichung später zum Problem wird?

Diese Fragen kann die IT nicht allein beantworten. Sie kann sie vorbereiten, strukturieren und transparent machen. Aber die Entscheidung über Risiko, Investition und Priorität gehört ins Management.

Genau hier trennt sich professionelle IT-Steuerung von reiner IT-Verwaltung.

Standards müssen tragfähig sein, nicht beeindruckend

Viele IT-Standards scheitern nicht, weil sie fachlich schlecht sind. Sie scheitern, weil sie die operative Belastbarkeit der Organisation ignorieren.

Ein Standard, der nicht gelebt werden kann, erzeugt Scheinsicherheit.

Ein Standard, den niemand lebt, ist kein Standard. Er ist ein Risiko mit Dokumentation.

Das sieht man besonders bei Security, Dokumentation und Prozessdisziplin. Es ist leicht, Anforderungen aufzuschreiben. Es ist deutlich schwerer, sie dauerhaft in den Arbeitsalltag zu bringen.

Ein Beispiel: Berechtigungskonzepte.

Natürlich braucht eine Organisation klare Regeln für Benutzer, Rollen, Berechtigungen, Rezertifizierungen und Austritte. Gerade bei kritischen Systemen ist das nicht verhandelbar. Aber wenn ein Berechtigungsmodell so kompliziert ist, dass es nur von einer Person verstanden wird, ist es nicht stark. Es ist fragil.

Dasselbe gilt für Dokumentation.

Es bringt wenig, wenn jedes System theoretisch vollständig dokumentiert sein soll, aber niemand die Zeit hat, diese Dokumentation aktuell zu halten. Dann entsteht ein Ordner voller veralteter Informationen. Formal beruhigend, operativ nutzlos.

Ein angemessener Standard fragt zuerst nach Wirkung.

  • Welche Dokumentation brauchen wir wirklich, damit Betrieb, Notfallfähigkeit, Übergabe und Auditierbarkeit funktionieren?
  • Welche Systeme brauchen strengere Regeln?
  • Wo reicht eine pragmatische Beschreibung?
  • Welche Kontrollen sind notwendig?
  • Welche Kontrollen erzeugen nur Aufwand?

Das klingt unspektakulär. Ist aber genau die Arbeit, die gute IT-Führung leisten muss.

Nicht möglichst viele Standards einführen. Sondern die richtigen verbindlich machen.

Governance darf nicht schwerer sein als das Problem

Ein weiterer Fehler ist, Governance mit Gremien zu verwechseln.

Natürlich braucht es Abstimmung. Natürlich braucht es Priorisierung. Natürlich braucht es Entscheidungswege. Aber nicht jedes Problem wird besser, wenn man ein Board darüberlegt.

In vielen Organisationen entstehen Gremien, weil Entscheidungen sonst nicht getroffen werden. Das wirkt zunächst vernünftig. In der Praxis verschiebt man damit aber häufig Verantwortung. Themen wandern von Termin zu Termin. Jeder ist beteiligt, aber niemand entscheidet wirklich.

Gute Governance macht Entscheidungen leichter, nicht schwerer.

Sie klärt, welche Themen zentral entschieden werden müssen und welche nicht. Sie definiert Spielräume. Sie macht Prioritäten sichtbar. Sie verhindert, dass IT zum Erfüllungsgehilfen jeder Einzelanforderung wird.

Gerade im Mittelstand ist das entscheidend.

IT-Teams können nicht unbegrenzt parallel arbeiten. Wenn alles wichtig ist, entscheidet am Ende nicht die Strategie, sondern Lautstärke, Nähe zur Geschäftsführung oder operative Dringlichkeit. Das ist menschlich, aber gefährlich.

Eine angemessene IT-Steuerung schafft deshalb keine künstliche Konzernbürokratie. Sie schafft Entscheidungsfähigkeit.

Zum Beispiel durch klare Projektpriorisierung. Durch transparente Kapazitäten. Durch definierte Mindestanforderungen für neue Systeme. Durch verbindliche Security- und Architekturprinzipien. Durch eine saubere Unterscheidung zwischen Muss, Soll und Kann.

Das muss nicht kompliziert sein. Aber es muss ernst gemeint sein.

Die eigentliche Reife zeigt sich in bewussten Abweichungen

Reife IT-Organisationen erkennt man nicht daran, dass sie alles standardisiert haben.

Man erkennt sie daran, dass sie bewusst entscheiden können, wo Standardisierung notwendig ist und wo Abweichung sinnvoll bleibt.

Das ist ein wichtiger Punkt.

Viele Unternehmen versuchen, Komplexität durch maximale Vereinheitlichung zu lösen. Eine Plattform, ein Prozess, ein Tool, ein Standard für alles. Das kann richtig sein. Besonders dort, wo Sicherheit, Skalierbarkeit, Betrieb oder Kosten stark von Einheitlichkeit profitieren.

Aber vollständige Vereinheitlichung ist nicht immer der beste Weg.

Manche lokale Besonderheit ist berechtigt. Manche Fachbereichslösung hat einen echten Nutzen. Manche Übergangslösung ist wirtschaftlich sinnvoller als eine große Harmonisierung. Manche Konzernvorgabe muss im Mittelstand anders umgesetzt werden, damit sie wirksam bleibt.

Die Kunst liegt nicht darin, jede Ausnahme zu verhindern.

Die Kunst liegt darin, Ausnahmen sichtbar, begründet, befristet und verantwortet zu machen.

  • Eine unkontrollierte Ausnahme ist Schatten-IT.
  • Eine bewusst entschiedene Ausnahme ist Governance.

Das ist für mich ein zentraler Unterschied.

Wenn ein Unternehmen sagen kann: „Ja, wir weichen hier vom Standard ab, weil der Nutzen höher ist als das Risiko, und wir haben die Konsequenzen verstanden“, dann ist das reifer als ein Unternehmen, das formal Einheitlichkeit behauptet, während die Realität längst anders aussieht.

Angemessene IT ist kein Kompromiss nach unten

Am Ende geht es nicht darum, Mittelstand kleiner zu denken.

Im Gegenteil.

Gerade mittelständische Unternehmen brauchen eine starke IT, weil sie oft weniger Puffer haben. Ein Sicherheitsvorfall, ein längerer Systemausfall, eine schlechte ERP-Entscheidung oder unkontrollierte Tool-Landschaft trifft sie nicht abstrakt. Es trifft Betrieb, Lieferfähigkeit, Kundenvertrauen und Ergebnis.

Deshalb reicht Bauchgefühl nicht mehr aus.

Aber Konzernkopien helfen auch nicht.

Angemessene IT liegt dazwischen. Nicht als weicher Mittelweg, sondern als bewusste Führungsleistung.

  • Sie nimmt Standards ernst, ohne ihnen blind zu folgen.
  • Sie baut Struktur auf, ohne die Organisation zu lähmen.
  • Sie schafft Governance, ohne Verantwortung in Gremien zu verstecken.
  • Sie akzeptiert operative Realität, ohne sie als Ausrede zu nutzen.

Und sie stellt immer wieder dieselbe Frage:

Welche Steuerung braucht diese Organisation wirklich, damit IT nicht nur funktioniert, sondern verlässlich zum Geschäft beiträgt?

Diese Frage ist unbequem. Sie zwingt zu Prioritäten. Sie macht sichtbar, wo Reife fehlt. Sie verhindert einfache Antworten.

Aber genau deshalb ist sie notwendig.

Angemessene IT entsteht nicht durch das Kopieren großer Modelle. Sie entsteht durch die Bereitschaft, unbequeme Fragen zu stellen: über Risiko, Priorität, Verantwortung — und über das, was die Organisation wirklich trägt.

Wer das ernst nimmt, baut keine perfekte IT. Aber eine wirksame.

Und das ist im Mittelstand deutlich wertvoller als ein sauber ausgebautes Framework, das niemand lebt.

Portrait von Andreas Wöhrmann.

Autor

Andreas Wöhrmann

Andreas Wöhrmann ist IT-Führungskraft mit Schwerpunkt auf IT-Transformation, Governance, Cybersecurity, ERP/SAP und Operational Excellence im industriellen Mittelstand. Er schreibt über IT-Strukturen, die strategisch sinnvoll, operativ belastbar und organisatorisch wirksam sind.

Zum ProfilThemenhubZur SerieLinkedIn

Weiterführende Artikel

Anschlussfähige Perspektiven aus demselben Themenfeld.