Kontakt
Menü
Die angemessene ITIT-Governance & StrategieSerie: Die angemessene IT

Was angemessene IT im Mittelstand wirklich bedeutet

Warum wirksame IT-Steuerung nicht mit Konzernlogik beginnt, sondern mit Angemessenheit, Verantwortung und operativer Realität.

Kategorie
Die angemessene IT
Veröffentlicht
15. Mai 2026
Aktualisiert
17. Mai 2026
Lesedauer
11 Minuten
  • IT-Governance
  • Mittelstand
  • CIO
Was angemessene IT im Mittelstand wirklich bedeutet | Andreas Wöhrmann

„Wir machen das pragmatisch." Dieser Satz ist in mittelständischen IT-Organisationen einer der häufigsten. Und einer der gefährlichsten.

Nicht weil Pragmatismus falsch wäre. Sondern weil er oft etwas anderes beschreibt, als er vorgibt: nicht eine bewusste Entscheidung für Einfachheit, sondern die Abwesenheit von Entscheidung überhaupt. Verantwortung bleibt unklar. Standards gelten nur informell. Wissen steckt in Köpfen. Und solange es funktioniert, fragt niemand nach.

Genau das kippt irgendwann. Und dann wird sichtbar, was vorher verdeckt war.

Beides kann schwierig werden.

Zu wenig Struktur funktioniert eine Zeit lang erstaunlich gut. Gerade in kleineren Organisationen. Man kennt sich, man spricht direkt miteinander, vieles geht schnell. Probleme werden gelöst, weil jemand weiß, wie es geht. Nicht, weil der Prozess sauber beschrieben ist.

Das ist nicht automatisch schlecht. Im Gegenteil. Viele mittelständische Unternehmen sind genau dadurch stark geworden. Kurze Wege, hohe Verantwortung, viel Pragmatismus.

Aber irgendwann kippt dieses Modell.

Wenn die Organisation wächst, wenn Standorte dazukommen, wenn Systeme komplexer werden, wenn regulatorische Anforderungen steigen oder wenn einzelne Schlüsselpersonen das Unternehmen verlassen, zeigt sich plötzlich, was vorher verdeckt war: Wissen steckt in Köpfen. Verantwortung ist nicht sauber geklärt. Standards sind eher Gewohnheit als verbindliche Grundlage. Entscheidungen werden getroffen, aber nicht immer nachvollziehbar.

Dann entsteht der Reflex, mehr Struktur einzuziehen. Das ist richtig. Nur wird dabei häufig ein Fehler gemacht: Man nimmt Konzernlogik als Vorlage und versucht, sie auf den Mittelstand zu übertragen.

Nicht weil Konzernlogik falsch wäre. Sondern weil sie oft nicht passend dosiert ist.

Mittelstand braucht nicht weniger Steuerung, sondern passendere Steuerung

Der Mittelstand ist kein verkleinerter Konzern. Das klingt wie ein einfacher Satz, aber in der IT-Steuerung wird er oft nicht ernst genug genommen.

Ein Konzern braucht andere Mechanismen. Mehr Gremien, stärkere Formalisierung, umfangreichere Rollenmodelle, konzernweite Standards, mehr Berichtspflichten, mehr Abstimmungslogik. Bei mehreren zehntausend Mitarbeitenden geht es gar nicht anders. Dort müssen Entscheidungen skalieren. Verantwortung muss über viele Ebenen hinweg nachvollziehbar bleiben. Risiken müssen vergleichbar gemacht werden. Integration braucht klare Leitplanken.

Das ist nicht falsch. Es ist notwendig.

Aber eine mittelständische IT-Organisation mit einigen hundert oder wenigen tausend Mitarbeitenden funktioniert anders. Dort ist die Nähe zum Geschäft oft größer. Ressourcen sind knapper. Rollen sind breiter geschnitten. Eine Person trägt häufig mehrere Hüte. Entscheidungen müssen schneller in die Umsetzung kommen. Gleichzeitig steigen auch dort die Anforderungen an Sicherheit, Compliance, Verfügbarkeit und Professionalität.

Genau hier entsteht die eigentliche Führungsaufgabe.

IT skaliert im Mittelstand technisch oft schneller als organisatorisch. Systeme wachsen. Verantwortlichkeiten nicht. Irgendwann ist der Abstand zwischen beiden groß genug, um operative Probleme zu erzeugen.

Nicht die Frage: Wie machen es große Konzerne?

Sondern: Welche Steuerung braucht diese Organisation wirklich, damit sie wirksam, sicher und belastbar arbeiten kann?

Aus meiner Sicht ist das der Kern angemessener IT.

  • Angemessen bedeutet nicht: weniger professionell.
  • Angemessen bedeutet auch nicht: billiger, einfacher oder unverbindlicher.
  • Angemessen bedeutet: Die Steuerung passt zur Unternehmensgröße, zum Risikoprofil, zur operativen Taktung und zur tatsächlichen Umsetzungsfähigkeit der Organisation.

Das ist anspruchsvoller, als es klingt.

Denn es verlangt, bewusst zu entscheiden. Nicht alles zu machen, was möglich wäre. Aber auch nicht alles offen zu lassen, was unbequem ist.

Pragmatismus darf keine Ausrede für Unklarheit sein

Im Mittelstand wird Pragmatismus oft als Stärke beschrieben. Das ist er auch. Aber nur, solange er nicht zur Ausrede wird.

„Wir machen das pragmatisch“ kann zwei völlig unterschiedliche Dinge bedeuten.

Im guten Fall bedeutet es: Wir verzichten auf unnötige Komplexität, treffen klare Entscheidungen und setzen sie schnell um.

Im schlechten Fall bedeutet es: Wir dokumentieren nichts, klären Verantwortung nicht sauber, verschieben unbequeme Entscheidungen und hoffen, dass die richtigen Leute schon wissen, was zu tun ist.

Das funktioniert, bis es nicht mehr funktioniert.

Ein typisches Beispiel ist Applikationsverantwortung. Solange ein System klein ist und wenige Menschen damit arbeiten, reicht oft informelles Wissen. Irgendjemand kennt die Anwendung. Irgendjemand weiß, welcher Dienstleister eingebunden ist. Irgendjemand weiß, welche Schnittstellen kritisch sind.

Wenn die Anwendung aber geschäftskritisch wird, reicht „irgendjemand“ nicht mehr.

Dann braucht es Klarheit:

  • Wer ist fachlich verantwortlich?
  • Wer entscheidet über Änderungen?
  • Wer bewertet Risiken?
  • Wer trägt die Kosten?
  • Wer sorgt dafür, dass Betrieb, Support, Berechtigungen und Weiterentwicklung zusammenpassen?

Das ist keine Bürokratie. Das ist Führungsarbeit.

Dasselbe gilt für IT-Sicherheit. Ein Unternehmen kann nicht jeden Sicherheitsstandard sofort auf Konzernniveau bringen. Aber es muss wissen, welche Risiken es trägt, welche Maßnahmen verbindlich gelten und welche Abweichungen bewusst akzeptiert werden.

Unbewusste Lücken sind gefährlich. Bewusst getroffene Risikoentscheidungen sind Teil guter Steuerung.

Der Unterschied liegt nicht im Dokument. Der Unterschied liegt in der Verantwortung.

Angemessene IT beginnt mit klaren Entscheidungen

Viele IT-Probleme werden zu lange als operative Probleme behandelt, obwohl sie eigentlich Führungsprobleme sind.

Ein überlastetes IT-Team ist nicht nur ein Ressourcenproblem. Es kann auch ein Priorisierungsproblem sein.

Zu viele Sonderlösungen sind nicht nur ein Architekturproblem. Sie sind oft ein Entscheidungsproblem.

Schwache Standards sind nicht nur ein technisches Problem. Sie zeigen häufig, dass niemand verbindlich entschieden hat, was gelten soll.

Deshalb beginnt wirksame IT-Steuerung für mich nicht mit Tools, Frameworks oder Gremien. Sie beginnt mit sauberen Entscheidungen.

Drei Fragen sind dabei zentral.

Erstens: Welche Entscheidungen müssen überhaupt getroffen werden?

In vielen Organisationen ist nicht klar, welche Themen auf Managementebene gehören und welche in der IT entschieden werden können. Das führt entweder zu Mikromanagement oder zu falscher Delegation.

Nicht jede Firewall-Regel gehört ins Management. Aber die Frage, welches Sicherheitsniveau das Unternehmen akzeptiert, gehört sehr wohl dorthin.

Nicht jede Softwareauswahl ist ein Geschäftsführungsentscheid. Aber die Frage, ob das Unternehmen zentrale Standards durchsetzt oder jeder Bereich eigene Lösungen betreiben darf, ist eine Managemententscheidung.

Zweitens: Welche Standards müssen verbindlich sein?

Standards sind im Mittelstand manchmal unbeliebt, weil sie als Einschränkung wahrgenommen werden. Dabei sind gute Standards kein Selbstzweck. Sie reduzieren Reibung. Sie machen Betrieb stabiler. Sie senken Abhängigkeiten. Sie schaffen Wiederholbarkeit.

Ein Standard ist aber nur dann wirksam, wenn er wirklich gilt.

Wenn jede Ausnahme akzeptiert wird, ist es kein Standard. Dann ist es eine Empfehlung.

Drittens: Welche Kennzahlen zeigen, ob die IT wirksam arbeitet?

Viele IT-Kennzahlen beschreiben Aktivität, aber nicht Wirkung. Anzahl Tickets, Anzahl Projekte, Anzahl Systeme. Das kann hilfreich sein, aber es reicht nicht.

Management braucht andere Fragen:

  • Sind die kritischen Systeme stabil?
  • Werden Risiken reduziert?
  • Sind Berechtigungen nachvollziehbar?
  • Werden Projekte realistisch priorisiert?
  • Sind IT-Kosten erklärbar?
  • Gibt es eine Roadmap, die zum Geschäft passt?
  • Kann die Organisation Veränderungen aufnehmen, ohne jedes Mal in Ausnahmezustand zu geraten?

Das sind keine rein technischen Fragen. Es sind Steuerungsfragen.

Mehr Struktur ist nicht automatisch bessere Steuerung

Ein häufiger Irrtum ist die Annahme, dass mehr Struktur automatisch zu besserer Steuerung führt.

Das stimmt nicht.

Mehr Meetings, mehr Reports, mehr Gremien und mehr Richtlinien können sogar das Gegenteil bewirken, wenn sie nicht mit echter Verantwortung verbunden sind.

Ich habe wenig Vertrauen in Governance, die vor allem auf Papier gut aussieht. Entscheidend ist, ob sie im Alltag trägt.

Governance, die Entscheidungen verzögert statt zu ermöglichen, ist keine Governance. Das ist Vermeidung mit Formalismus.

  • Eine IT-Strategie hilft nicht, wenn sie keine Prioritäten setzt.
  • Ein Steering Committee hilft nicht, wenn dort keine Entscheidungen getroffen werden.
  • Eine Richtlinie hilft nicht, wenn Verstöße keine Konsequenz haben.
  • Ein Risikoregister hilft nicht, wenn niemand daraus handelt.

Gute Steuerung erkennt man nicht daran, dass viele Dokumente existieren. Man erkennt sie daran, dass Entscheidungen besser werden.

Das ist für mich ein wichtiger Unterschied.

Gerade im Mittelstand muss Governance schlank genug sein, um akzeptiert zu werden. Aber verbindlich genug, um Wirkung zu erzeugen.

Das bedeutet nicht, dass man auf professionelle Strukturen verzichten sollte. Im Gegenteil. Es bedeutet, dass man sie so baut, dass sie zur Organisation passen.

Ein gutes IT-Governance-Modell im Mittelstand beantwortet einfache, aber harte Fragen:

  • Wer darf was entscheiden?
  • Wer trägt welche Verantwortung?
  • Welche Standards sind nicht verhandelbar?
  • Welche Risiken akzeptieren wir bewusst?
  • Welche Themen haben Priorität, auch wenn sie unbequem sind?
  • Was machen wir nicht, obwohl es wünschenswert wäre?

Die letzte Frage wird oft unterschätzt. Aber sie ist zentral.

Eine Organisation, die alles gleichzeitig will, steuert nicht. Sie überlastet sich.

Operative Realität ist kein Detail

In der IT wird viel über Zielbilder gesprochen. Das ist sinnvoll. Aber Zielbilder sind nur dann nützlich, wenn sie mit der operativen Realität verbunden bleiben.

Viele Konzepte scheitern nicht, weil sie fachlich falsch sind. Sie scheitern, weil die Organisation sie nicht tragen kann.

  • Ein neues Rollenmodell klingt sauber, aber niemand hat Zeit, die Rollen wirklich zu leben.
  • Ein neues Security-Konzept ist fachlich richtig, aber der Betrieb kann es nicht sauber umsetzen.
  • Ein neues Projektportfolio sieht strukturiert aus, aber die Fachbereiche liefern keine Entscheidungen.
  • Ein neuer Standard wird beschlossen, aber bestehende Ausnahmen werden nicht konsequent abgebaut.

Das ist kein Argument gegen Zielbilder. Es ist ein Argument gegen Realitätsverlust.

Angemessene IT braucht beides: Ambition und Umsetzbarkeit.

Zu wenig Ambition hält die Organisation in alten Mustern fest. Zu viel Abstraktion erzeugt Frust, weil die Lücke zwischen Anspruch und Wirklichkeit zu groß wird.

Die Kunst liegt darin, Entwicklung möglich zu machen, ohne die Organisation zu überfordern.

Das ist besonders wichtig in Wachstumsphasen, bei Integrationen, bei Internationalisierung oder nach Akquisitionen. Dann treffen unterschiedliche Reifegrade, Systeme, Kulturen und Erwartungshaltungen aufeinander. Genau dort zeigt sich, ob IT-Steuerung wirklich belastbar ist.

Nicht im perfekten Zielbild. Sondern in der Fähigkeit, Ordnung zu schaffen, ohne den Betrieb zu verlieren.

Verantwortung darf nicht in der IT stecken bleiben

Ein weiterer Punkt wird oft unterschätzt: IT-Steuerung ist keine reine IT-Aufgabe.

Natürlich muss die IT liefern. Sie muss Standards setzen, Risiken transparent machen, Architektur bewerten, Betrieb stabil halten und Veränderung ermöglichen.

Aber viele Entscheidungen kann die IT nicht allein treffen.

Wenn ein Fachbereich eine Sonderlösung will, ist das nicht nur eine technische Frage. Es ist eine Frage von Kosten, Risiko, Prozessharmonisierung und zukünftiger Komplexität.

Wenn Security-Maßnahmen unbequem werden, ist das nicht nur eine Frage der IT-Sicherheit. Es ist eine Frage der Risikobereitschaft des Unternehmens.

Wenn Projekte priorisiert werden müssen, ist das nicht nur eine Frage der IT-Kapazität. Es ist eine Frage geschäftlicher Prioritäten.

Deshalb braucht angemessene IT ein Management, das seine Rolle annimmt.

Nicht jedes Detail. Aber die richtigen Entscheidungen.

Aus meiner Sicht ist genau das einer der größten Reifegradunterschiede zwischen funktionierender und überlasteter IT-Steuerung: Ob das Management IT als internen Dienstleister betrachtet oder als Teil der Unternehmenssteuerung.

  • Wer IT nur als Kostenstelle sieht, bekommt meistens auch nur operative Reaktion.
  • Wer IT als Steuerungsaufgabe begreift, kann Prioritäten, Risiken und Investitionen bewusst führen.

Das ist ein erheblicher Unterschied.

Woran man gute IT-Steuerung erkennt

Gute IT ist nicht lauter als das Geschäft.

Sie muss nicht ständig erklären, warum sie wichtig ist. Man merkt es daran, dass Dinge funktionieren, Risiken transparent sind und Entscheidungen nachvollziehbar getroffen werden.

Für mich erkennt man gute IT-Steuerung an einigen einfachen Merkmalen.

  • Prioritäten sind klar. Nicht alles ist gleich wichtig. Kritische Themen bekommen Aufmerksamkeit, Ressourcen und Management-Rückendeckung.
  • Verantwortung ist greifbar. Es ist klar, wer entscheidet, wer liefert, wer Risiken trägt und wer eingebunden werden muss.
  • Standards gelten. Nicht dogmatisch, aber verbindlich. Ausnahmen sind möglich, aber sie werden bewusst entschieden und nicht stillschweigend geduldet.
  • Risiken sind verständlich. Nicht als technische Detaildebatte, sondern in einer Sprache, die Managemententscheidungen ermöglicht.
  • Projekte sind realistisch. Die Organisation kennt ihre Kapazität und plant nicht so, als gäbe es unbegrenzte Veränderungsfähigkeit.
  • Betrieb und Veränderung sind ausbalanciert. Eine IT, die nur betreibt, entwickelt das Unternehmen nicht weiter. Eine IT, die nur transformiert, gefährdet irgendwann die Stabilität.

Diese Punkte klingen nüchtern. Genau deshalb sind sie wichtig.

Wirksame IT-Steuerung ist selten spektakulär. Sie zeigt sich in Verlässlichkeit, Klarheit und Anschlussfähigkeit.

Die eigentliche Frage ist nicht, wie viel Governance ein Unternehmen braucht

Oft wird Governance als Gegensatz zu Pragmatismus verstanden. Das halte ich für falsch.

Die eigentliche Frage ist nicht, ob ein mittelständisches Unternehmen Governance braucht. Natürlich braucht es Governance.

Die Frage ist: Welche Art von Governance hilft dieser Organisation wirklich?

  • Eine Governance, die nur Aufwand erzeugt, wird umgangen.
  • Eine Governance, die Entscheidungen verzögert, verliert Akzeptanz.
  • Eine Governance, die Verantwortung verschleiert, ist wertlos.
  • Eine Governance, die Standards setzt, Risiken sichtbar macht und Prioritäten erzwingt, ist wirksam.

Genau darum geht es bei angemessener IT.

Nicht um weniger Anspruch. Sondern um passendere Steuerung.

Nicht um den Verzicht auf Professionalität. Sondern um Professionalität, die zur Organisation passt.

Nicht um Mittelstand gegen Konzern. Sondern um die Fähigkeit, aus beiden Welten das Richtige zu übernehmen: die operative Nähe und Geschwindigkeit des Mittelstands, aber auch die Verbindlichkeit, Skalierungsfähigkeit und Risikodisziplin professioneller Strukturen.

Das ist für mich der Punkt.

Angemessene IT ist kein Kompromiss nach unten. Sie ist eine Führungsentscheidung — und damit anspruchsvoller als die bloße Übernahme von Konzernstandards oder die bloße Berufung auf Pragmatismus.

Sie verlangt, die eigene Organisation wirklich zu verstehen. Was braucht sie? Welche Risiken sind relevant? Wo fehlt Struktur, wo lähmt sie? Welche Entscheidungen hat das Management zu lange an die IT delegiert?

Wer diese Fragen sauber beantwortet, baut keine perfekte IT. Aber eine wirksame.

Und genau das ist der Unterschied zwischen einer IT, die verwaltet — und einer IT, die führt.

Portrait von Andreas Wöhrmann.

Autor

Andreas Wöhrmann

Andreas Wöhrmann ist IT-Führungskraft mit Schwerpunkt auf IT-Transformation, Governance, Cybersecurity, ERP/SAP und Operational Excellence im industriellen Mittelstand. Er schreibt über IT-Strukturen, die strategisch sinnvoll, operativ belastbar und organisatorisch wirksam sind.

Zum ProfilThemenhubZur SerieLinkedIn

Weiterführende Artikel

Anschlussfähige Perspektiven aus demselben Themenfeld.