Die angemessene ITIT-Governance & StrategieSerie: Die angemessene IT

Was angemessene IT im Mittelstand wirklich bedeutet

Warum wirksame IT-Steuerung im Mittelstand klare Entscheidungen, verbindliche Standards und passende Governance zur Organisation braucht.

Kategorie
Die angemessene IT
Veröffentlicht
13. Mai 2026
Lesedauer
5 Minuten
  • IT-Governance
  • Mittelstand
  • CIO
Artikel-Link öffnen
Was angemessene IT im Mittelstand wirklich bedeutet | Andreas WöhrmannN°05 · Die angemessene IT

„Wir machen das pragmatisch.“ Diesen Satz hört man im Mittelstand oft. Meist ist er gut gemeint. Man will nicht jedes Thema aufblasen, keine Konzernrituale nachbauen und handlungsfähig bleiben.

Zu wenig Struktur funktioniert eine Zeit lang erstaunlich gut.

Mittelstand braucht passende Steuerung

Der Mittelstand ist kein kleiner Konzern. In der IT wird diese einfache Wahrheit trotzdem häufig übersehen.

Die eine Organisation übernimmt Konzernlogik: viele Gremien, ein umfangreiches Rollenmodell, schwere Prozesse. Das wirkt professionell, passt aber oft nicht zur Geschwindigkeit, zur Breite der Rollen und zur Nähe zum Geschäft.

Die andere Organisation macht fast alles situativ. Wenige Standards, wenig Dokumentation, viel persönliche Abstimmung. Das ist am Anfang schnell. Später wird es teuer, weil jede Ausnahme wieder neu erklärt, betrieben und abgesichert werden muss.

Eine mittelständische IT braucht einen dritten Weg. Sie muss verbindlich genug sein, damit Betrieb, Security und Veränderung tragfähig bleiben. Gleichzeitig muss sie schlank genug bleiben, damit Entscheidungen nicht in Formalien hängen bleiben.

Genau darin liegt die Führungsaufgabe: nicht kopieren, nicht improvisieren, sondern passend steuern.

IT wächst oft schneller als die Organisation

Ich habe mehrfach erlebt, dass die technische Lösung gar nicht der schwierige Teil war. Schwieriger war die Frage, wer entscheiden darf, wer die Folgen trägt und welcher Standard künftig gelten soll.

Das passiert nicht, weil Menschen unfähig sind. Es passiert, weil IT-Landschaften schneller wachsen als die Organisation drumherum. Systeme kommen hinzu, Standorte werden integriert, Anforderungen steigen, Sicherheitsvorgaben werden konkreter. Die Arbeitsweise bleibt aber oft auf dem Stand von früher.

Dann entsteht ein Abstand zwischen technischer Komplexität und organisatorischer Reife. Genau dort beginnen viele Probleme. Nicht im System selbst, sondern in den Lücken zwischen Verantwortung, Entscheidung und Umsetzung.

Wachsendes Netz technischer Verbindungen neben statischer Struktur - IT wächst schneller als die Organisation

Pragmatismus braucht Grenzen

Pragmatismus ist eine Stärke, solange er bewusst eingesetzt wird. Er hilft, unnötige Komplexität zu vermeiden und Entscheidungen schneller umzusetzen.

Er wird problematisch, wenn er Unklarheit verdeckt. „Das wissen wir schon“ ersetzt dann eine saubere Zuständigkeit. „Das machen wir bei Bedarf“ ersetzt einen Standard. „Das läuft über kurze Wege“ ersetzt nachvollziehbare Entscheidungen.

Applikationsverantwortung ist ein gutes Beispiel. Solange ein System klein ist, reicht informelles Wissen oft aus. Sobald eine Anwendung geschäftskritisch wird, reicht es nicht mehr, dass irgendjemand Bescheid weiß.

Dann braucht es konkrete Antworten:

  • Wer ist fachlich verantwortlich?
  • Wer entscheidet über Änderungen?
  • Wer bewertet Risiken?
  • Wer trägt die Kosten?
  • Wer verantwortet Betrieb und Weiterentwicklung?

Das ist keine Bürokratie. Das ist saubere Führungsarbeit.

Angemessene IT beginnt mit Entscheidungen

Viele IT-Probleme werden zu lange als operative Themen behandelt. In Wahrheit sind sie häufig Führungsfragen.

Ein überlastetes Team ist nicht immer nur ein Ressourcenproblem. Es kann auch ein Priorisierungsproblem sein. Zu viele Sonderlösungen sind nicht nur ein Architekturproblem. Oft zeigen sie, dass Entscheidungen über Jahre vermieden wurden.

Wirksame IT-Steuerung beginnt deshalb nicht mit einem Tool, einem Framework oder einem neuen Gremium. Sie beginnt mit einfachen, aber verbindlichen Klärungen.

Was muss auf Managementebene entschieden werden?

Nicht jede technische Frage gehört ins Management. Eine Firewall-Regel muss dort normalerweise nicht diskutiert werden. Die Frage, welches Sicherheitsniveau ein Unternehmen akzeptiert, gehört sehr wohl dorthin.

In vielen Organisationen ist diese Grenze nicht klar. Dann gibt es Mikromanagement bei Details und gleichzeitig zu wenig Führung bei Grundsatzentscheidungen.

Welche Standards gelten wirklich?

Standards werden im Mittelstand schnell als Einschränkung empfunden. Gute Standards bewirken aber das Gegenteil. Sie reduzieren Reibung, machen Betrieb wiederholbar und verhindern, dass jedes Team dieselbe Diskussion neu führen muss.

Ein Standard ist allerdings nur dann wirksam, wenn er gilt. Wenn jede Ausnahme dauerhaft akzeptiert wird, ist er kein Standard mehr, sondern eine unverbindliche Empfehlung.

Woran erkennt das Management Wirkung?

Viele Kennzahlen beschreiben Aktivität. Wenige zeigen, ob IT wirklich wirksam ist.

Für Steuerung braucht es Fragen, die auch außerhalb der IT verstanden werden:

  • Sind kritische Systeme stabil?
  • Werden Risiken sichtbar reduziert?
  • Sind Berechtigungen nachvollziehbar?
  • Sind Prioritäten realistisch?
  • Lassen sich IT-Kosten erklären?
  • Passt die Roadmap zum Geschäft?

Das sind keine technischen Details. Es sind Fragen der Unternehmenssteuerung.

Mehr Struktur löst nicht automatisch mehr Probleme

Mehr Meetings, mehr Reports und mehr Richtlinien führen nicht automatisch zu besserer Governance. Manchmal entsteht nur mehr Aufwand.

Eine IT-Strategie hilft wenig, wenn sie keine Prioritäten setzt. Ein Steering Committee hilft wenig, wenn dort keine Entscheidungen fallen. Eine Richtlinie hilft wenig, wenn Verstöße folgenlos bleiben. Ein Risikoregister hilft wenig, wenn niemand danach handelt.

Isolierte Zahnräder ohne Verbindung - Aktivität die keine Wirkung erzeugt

Gute Steuerung erkennt man nicht an der Menge der Dokumente. Man erkennt sie daran, dass Entscheidungen klarer, schneller und belastbarer werden.

Operative Realität muss Teil des Zielbilds sein

In der IT wird viel über Zielbilder gesprochen. Das ist wichtig. Aber ein Zielbild ist nur dann etwas wert, wenn es zur operativen Realität passt.

Ein Rollenmodell kann auf dem Papier sauber sein und trotzdem scheitern, wenn niemand Zeit hat, die Rollen zu leben. Ein Security-Konzept kann fachlich richtig sein und im Betrieb trotzdem hängen bleiben. Ein Standard kann beschlossen sein und wirkungslos bleiben, wenn alte Ausnahmen nie abgebaut werden.

Das ist kein Argument gegen Struktur. Es ist ein Argument gegen Konzepte, die im Konferenzraum funktionieren und im Alltag versanden.

Verantwortung darf nicht allein in der IT liegen

IT-Steuerung ist keine reine IT-Aufgabe. Die IT muss liefern, Risiken sichtbar machen, Standards formulieren und Veränderung ermöglichen. Viele Entscheidungen kann sie aber nicht allein treffen.

Wenn ein Fachbereich eine Sonderlösung möchte, geht es nicht nur um Technik. Es geht um Kosten, Risiko, Prozessharmonisierung und künftige Komplexität. Wenn Security-Maßnahmen unbequem werden, geht es nicht nur um IT. Es geht um die Risikobereitschaft des Unternehmens.

Angemessene IT braucht deshalb ein Management, das seine Rolle annimmt. Nicht in jedem Detail, aber bei den Entscheidungen, die Wirkung haben.

Woran man gute IT-Steuerung erkennt

Gute IT-Steuerung wirkt selten spektakulär. Gerade das macht sie wertvoll.

  • Prioritäten sind klar und werden gehalten.
  • Verantwortung ist greifbar.
  • Standards gelten auch dann, wenn es unbequem ist.
  • Risiken werden verständlich erklärt.
  • Projekte werden realistisch geplant.
  • Betrieb und Veränderung bleiben im Gleichgewicht.

Das klingt unspektakulär. In der Praxis ist es trotzdem selten.

Wirksame IT-Steuerung zeigt sich nicht in großen Präsentationen. Sie zeigt sich darin, dass die Organisation verlässlicher wird, Entscheidungen nachvollziehbarer werden und die IT als Führungsfunktion ernst genommen wird.

Worauf es hinausläuft

Die entscheidende Frage ist nicht, wie viel Governance ein Unternehmen braucht. Entscheidend ist, welche Art von Governance dieser Organisation hilft.

Governance, die nur Aufwand erzeugt, wird umgangen. Governance, die Verantwortung verschleiert, bleibt wirkungslos. Governance, die Prioritäten klärt, Standards setzt und Risiken sichtbar macht, kann dagegen viel bewirken.

Angemessene IT ist keine abgespeckte Konzern-IT. Sie ist auch kein Freibrief für Improvisation. Sie ist eine bewusste Führungsentscheidung. Wer diese Fragen sauber beantwortet, baut vielleicht keine perfekte IT. Aber eine wirksame. Und genau darauf kommt es im Mittelstand an.

Portrait von Andreas Wöhrmann.

Autor

Andreas Wöhrmann

Andreas Wöhrmann ist IT-Führungskraft mit Schwerpunkt auf IT-Transformation, Governance, Cybersecurity, ERP/SAP und Operational Excellence im industriellen Mittelstand. Er schreibt über IT-Strukturen, die strategisch sinnvoll, operativ belastbar und organisatorisch wirksam sind.

Weiterführende Artikel