Die angemessene ITIT-Governance & StrategieSerie: Die angemessene IT

Angemessene IT heißt nicht, Konzernlogik kleiner zu machen

Warum IT im Mittelstand nicht durch kleinere Konzernmodelle reift, sondern durch übersetzte Standards, klare Verantwortung und passende Steuerung.

Kategorie
Die angemessene IT
Veröffentlicht
21. März 2026
Lesedauer
5 Minuten
  • IT-Governance
  • Mittelstand
  • Operating Model
Artikel-Link öffnen
Angemessene IT heißt nicht, Konzernlogik kleiner zu machen | Andreas WöhrmannN°01 · Die angemessene IT

Viele mittelständische IT-Organisationen professionalisieren gerade. Das ist richtig und oft überfällig. Trotzdem werden manche dabei nicht wirksamer, sondern schwerfälliger.

Der Grund liegt selten in der Absicht. Meist liegt er im gewählten Modell.

Man nimmt Verfahren aus dem Konzern, verkleinert sie etwas und nennt das Professionalisierung. Danach gibt es mehr Rollen, mehr Abstimmungen, mehr Vorlagen und mehr Dokumentation. Was häufig fehlt, ist der eigentliche Fortschritt: klarere Verantwortung und bessere Entscheidungen.

Das ist kein Vorwurf. Es ist ein Muster. Es beginnt fast immer mit einer berechtigten Erkenntnis: So wie bisher funktioniert es nicht mehr.

Ich kenne die Ausgangslage gut. Kleine Teams, kurze Wege, viel persönliches Wissen und eine hohe Bereitschaft, Dinge pragmatisch zu lösen. Man kennt die Systeme, die Kollegen und die Zusammenhänge. Entscheidungen entstehen im Gespräch, nicht im Ausschuss. Das ist nicht unprofessionell. In einer bestimmten Phase ist genau diese Arbeitsweise sehr stark.

Aber sie hat eine Grenze.

Diese Grenze kommt selten mit einem großen Knall. Sie entsteht schleichend. Neue Kollegen kommen dazu. Standorte wachsen. Systeme werden wichtiger. Compliance und Security verlangen mehr Nachvollziehbarkeit. Was früher durch persönliche Nähe funktioniert hat, braucht plötzlich Wiederholbarkeit. Was früher im Kopf einzelner Menschen lag, muss dokumentiert und übergabefähig werden.

Dann wird fehlende Struktur zum Risiko. Nicht, weil vorher alles falsch war. Sondern weil die Organisation gewachsen ist und die Steuerung nicht mitgewachsen ist.

Genau dort beginnt die Frage nach angemessener IT.

Der Anspruch steigt: mehr Standorte, mehr Cyberrisiken, mehr regulatorische Anforderungen, mehr Abhängigkeit von stabilen digitalen Prozessen. Die operative Realität bleibt aber oft mittelständisch: kleine Teams, breite Rollen, wenig Redundanz, historische Systeme und hoher Umsetzungsdruck. Meist gibt es auch nicht die Möglichkeit, für jedes Thema neue Spezialisten, Gremien und Prozesse aufzubauen.

Aus dieser Spannung entsteht das Missverständnis.

Mittelstand braucht Struktur. Aber keine Attrappen.

Der Punkt ist deshalb nicht, diese Arbeitsweise schlechtzureden. Entscheidend ist, rechtzeitig zu erkennen, wann sie nicht mehr trägt. Dann braucht es Struktur: nicht als Selbstzweck, sondern als Schutz gegen Zufall, Personenabhängigkeit und ungeklärte Verantwortung.

Aber genau diese Stärke kann später zur Schwäche werden.

Wenn Wissen zu stark an einzelnen Personen hängt, entsteht Abhängigkeit. Wenn ein Mitarbeiter geht und mit ihm historisches Systemwissen, Prozessverständnis oder Kundenlogik verschwindet, wird plötzlich sichtbar, was vorher verdeckt war. Die Organisation war funktional, aber nicht ausreichend belastbar.

Funktional heißt: Es läuft.

Strukturiert heißt: Es läuft auch dann noch, wenn Menschen wechseln, Komplexität steigt und Entscheidungen nachvollziehbar sein müssen.

Ab einer bestimmten Größe reicht informelle Steuerung nicht mehr. Dafür braucht es kein großes Framework. Es braucht zunächst nur die ehrliche Einsicht, dass eine Organisation ohne Mindeststruktur von Personen, Zufällen und stillen Annahmen abhängig bleibt.

Damit verschiebt sich die Frage. Nicht ob Struktur gebraucht wird, sondern welche Struktur wirklich hilft.

Viele Unternehmen reagieren auf wachsende Komplexität, indem sie bekannte Konzernmuster übernehmen. Rollen werden eingeführt, Boards gegründet, Prozesse beschrieben, Verantwortungsmatrizen aufgebaut. Das ist verständlich. Konzernlogik wirkt professionell. Sie vermittelt Sicherheit und signalisiert, dass IT geführt wird.

Struktur ist aber nur dann wertvoll, wenn sie Entscheidungen verbessert, Verantwortlichkeiten klärt oder Risiken reduziert. Sie ist nicht wertvoll, weil sie in einem Organigramm gut aussieht.

Wenn eine Struktur nur zeigt, dass theoretisch jemand zuständig sein müsste, ist sie keine Struktur. Dann ist sie eine Attrappe.

Leeres Organigramm an einer Wand — Visualisierung von Attrappen-Governance

Konzernlogik ist nicht falsch. Sie muss übersetzt werden.

Ich finde es zu einfach, Konzernlogik pauschal abzuwerten. Viele Mechanismen aus großen Organisationen haben gute Gründe. Je mehr internationale Strukturen, Integrationsprojekte und zentrale Standards im Spiel sind, desto klarer wird das.

In großen Organisationen funktioniert Steuerung nicht mehr über persönliche Nähe. Dort braucht es klare Rollen, verbindliche Prozesse, definierte Entscheidungswege, Standards, Kontrollen, Dokumentation und Eskalationslogik. Das ist nicht immer angenehm, aber oft notwendig. Ohne solche Mechanismen wird Komplexität schwer beherrschbar.

Das Problem ist also selten der Standard selbst. Es entsteht dort, wo ein Standard ohne Übersetzung übernommen wird.

Ein Konzern kann für ein Thema drei Rollen, zwei Kontrollinstanzen und ein monatliches Gremium etablieren. Ein mittelständisches Unternehmen hat vielleicht zwei erfahrene Kollegen, die gleichzeitig Infrastruktur, Security, Projekte, Eskalationen und Tagesgeschäft tragen. Wenn dort dasselbe Modell eingeführt wird, entsteht nicht automatisch bessere Governance. Häufig entsteht einfach Überlastung.

Nicht, weil das Modell grundsätzlich falsch wäre. Sondern weil es nicht zur Organisation passt.

Angemessenheit bedeutet deshalb nicht, Standards weicher zu machen. Es bedeutet, den Zweck eines Standards zu verstehen und ihn so umzusetzen, dass er in dieser Organisation tatsächlich wirkt.

Angemessenheit ist keine Ausrede

Der Begriff „angemessen" wird häufig missverstanden. Manchmal klingt er wie ein Eingeständnis: Wir können es nicht besser, also machen wir es kleiner.

Das Gegenteil ist richtig.

Angemessen bedeutet passend zum Risiko, zur Verantwortung und zur Leistungsfähigkeit der Organisation. Eine mittelständische IT darf schlank sein. Sie darf aber nicht blind sein.

Sie muss wissen, welche Systeme kritisch sind. Sie muss Risiken bewusst machen. Sie muss Abhängigkeiten kennen. Sie muss Standards definieren, die wirklich gelten. Und sie muss unterscheiden können, wo Einheitlichkeit notwendig ist und wo lokale Flexibilität sinnvoll bleibt.

Das ist keine rein technische Aufgabe. Es ist Managementarbeit. Hier trennt sich professionelle IT-Steuerung von reiner IT-Verwaltung.

Standards müssen tragfähig sein

Viele IT-Standards scheitern nicht, weil sie fachlich schlecht sind. Sie scheitern, weil sie die operative Belastbarkeit der Organisation ignorieren.

Ein Standard, den niemand leben kann, erzeugt Scheinsicherheit. Ein Standard, den niemand lebt, ist kein Standard. Er ist ein dokumentiertes Risiko.

Das sieht man häufig bei Security-Anforderungen. Auf dem Papier werden umfangreiche Prozesse definiert: Reviews, Freigaben, Rezertifizierungen, Dokumentationen und Kontrollen. In der Praxis arbeiten dieselben Personen weiter im Betrieb, betreuen Systeme, begleiten Projekte und bearbeiten Incidents. Zusätzlich sollen sie nun neue Governance-Prozesse pflegen.

Wenn diese Realität nicht berücksichtigt wird, entsteht keine Reife. Es entsteht Überlastung.

Gute Standards beschreiben deshalb nicht nur das gewünschte Zielbild. Sie berücksichtigen auch, was die Organisation tragen kann und welche Schritte wirklich Wirkung erzeugen.

Nicht jedes Problem braucht ein Gremium

Gute Governance macht Entscheidungen leichter, nicht schwerer.

Man erkennt sie nicht an der Zahl der Teilnehmer. Man erkennt sie daran, dass Entscheidungen klarer, schneller und nachvollziehbarer werden. Angemessene IT-Steuerung baut keine künstliche Konzernbürokratie. Sie schafft Entscheidungsfähigkeit.

Reife zeigt sich im Umgang mit Ausnahmen

Reife IT-Organisationen erkennt man nicht daran, dass sie alles standardisiert haben. Man erkennt sie daran, dass sie bewusst entscheiden können, wo Standardisierung notwendig ist und wo Abweichung sinnvoll bleibt.

Die Kunst liegt nicht darin, jede Ausnahme zu verhindern. Die Kunst liegt darin, Ausnahmen sichtbar, begründet, befristet und verantwortet zu machen.

Eine unkontrollierte Ausnahme ist Schatten-IT. Eine bewusst entschiedene Ausnahme ist Governance.

Zwei Wege — bewusste Entscheidung als Zeichen von IT-Governance-Reife

Dieser Unterschied ist wichtiger als viele Organigramme. Er zeigt, ob Steuerung wirklich gelebt wird oder nur formal existiert.

Angemessene IT ist kein Kompromiss nach unten

Gerade mittelständische Unternehmen brauchen eine starke IT, weil sie oft weniger Puffer haben. Bauchgefühl reicht irgendwann nicht mehr aus. Konzernkopien helfen aber ebenfalls nicht.

Angemessene IT liegt nicht einfach irgendwo dazwischen. Sie ist kein weicher Mittelweg. Sie ist eine bewusste Führungsleistung.

Sie nimmt Standards ernst, ohne ihnen blind zu folgen. Sie baut Struktur auf, ohne die Organisation zu lähmen. Sie schafft Governance, ohne Verantwortung in Gremien zu verstecken. Sie akzeptiert operative Realität, ohne sie als Ausrede zu nutzen.

Die zentrale Frage bleibt:

Welche Steuerung braucht diese Organisation wirklich, damit IT verlässlich zum Geschäft beiträgt?

Wer diese Frage ernst nimmt, baut keine perfekte IT. Aber eine wirksame. Und gerade im Mittelstand ist Wirksamkeit meist wertvoller als ein Framework, das auf dem Papier beeindruckt und im Alltag niemand lebt.

Portrait von Andreas Wöhrmann.

Autor

Andreas Wöhrmann

Andreas Wöhrmann ist IT-Führungskraft mit Schwerpunkt auf IT-Transformation, Governance, Cybersecurity, ERP/SAP und Operational Excellence im industriellen Mittelstand. Er schreibt über IT-Strukturen, die strategisch sinnvoll, operativ belastbar und organisatorisch wirksam sind.

Weiterführende Artikel