Die meisten kleinen Unternehmen haben keine IT-Dokumentation. Oder genauer gesagt: Sie haben ein paar veraltete Tabellen, die jemand vor zwei Jahren angelegt hat, ein paar Passwörter, die im Browser eines Kollegen gespeichert sind, und die vage Gewissheit, dass „Martin weiß, wie das WLAN funktioniert". Wenn Martin das Unternehmen verlässt, wird es interessant.

IT-Dokumentation für kleine Unternehmen muss nicht kompliziert sein. Aber sie muss existieren, und sie muss aktuell sein. Dieser Artikel zeigt dir genau, was du dokumentieren solltest, wie du die Dokumentation so strukturierst, dass die Leute sie auch wirklich nutzen, und wie du verhinderst, dass sie in dem Moment veraltet, in dem du sie fertigstellst. Du brauchst kein eigenes IT-Team dafür. Du brauchst aber ein System.

Warum lassen kleine Unternehmen die IT-Dokumentation schleifen, bis etwas schiefgeht?

Die Auslöser, die die Lücke offenbaren

IT-Dokumentation wird selten dringend, bis ein konkretes Ereignis die Frage aufwirft. Drei Auslöser tauchen immer wieder auf. Erstens: Ein wichtiger Mitarbeiter verlässt das Unternehmen und nimmt undokumentiertes Wissen mit – welche Tools das Team nutzt, wie das CRM konfiguriert ist, wer Admin-Zugriff auf was hat. Zweitens: Ein Sicherheitsvorfall erfordert die Rückverfolgung, wer Zugriff auf ein kompromittiertes System hatte, und es gibt keine Aufzeichnungen, die man prüfen könnte. Drittens: Bei einem Compliance-Audit werden Nachweise für Zugriffskontrollen und Asset-Management verlangt, und das Unternehmen hat nichts vorzuweisen.

Der Grund dafür ist simpel. In einem Unternehmen mit 20 oder 50 Mitarbeitern steht „IT-Dokumentation" in keiner Stellenbeschreibung. Der Gründer ist mit Produktentwicklung und Vertrieb beschäftigt. Der HR-Manager konzentriert sich auf Onboarding-Checklisten und Verträge. Der Office Manager bestellt Laptops, erfasst aber keine Seriennummern. Dokumentation wird nie priorisiert, weil die Kosten des Weglassens unsichtbar sind – bis sie es nicht mehr sind.

Die Kosten undokumentierter IT

Die Kosten zeigen sich an vorhersehbaren Stellen. Beim Onboarding verbringen neue Mitarbeiter und ihre Einarbeiter stundenlang damit, herauszufinden, welche Tools sie benötigen, welche Berechtigungen sie beantragen müssen und wie sie ihre Geräte einrichten. Das ist verschwendete Zeit für eine Rekonstruktion, die eigentlich eine fünfminütige Checkliste hätte sein sollen.

Beim Offboarding sind die Lücken noch gefährlicher. Ohne eine dokumentierte Übersicht der Zugriffsrechte dauert das Deaktivieren aller Konten und das Einziehen aller Geräte weit länger als nötig. Eine Umfrage unter IT-Führungskräften ergab, dass die Hälfte von ihnen angibt, die Konten ehemaliger Mitarbeiter blieben nach dem Ausscheiden länger als einen Tag aktiv – 32 % berichten sogar von einer ganzen Woche (JumpCloud). Wenn Geräte- und Zugriffsdaten automatisch durch Onboarding- und Offboarding-Workflows auf einer Plattform wie deeploi generiert werden, entfällt der manuelle Dokumentationsschritt – die Offboarding-Checkliste ist bereits fertig, bevor jemand die Kündigung einreicht.

Hinzu kommen die Sicherheitslücken. Undokumentierte Benutzerkonten sind die häufigste Ursache für Datenlecks nach dem Ausscheiden von Mitarbeitern. Untersuchungen zeigen, dass 91 % der Mitarbeiter auch nach ihrem Offboarding noch Zugriff auf Unternehmensdateien haben (Beyond Identity). Das ist keine böse Absicht. Es ist Fahrlässigkeit, die durch fehlende Dokumentation erst möglich wird.

Und schließlich die mangelnde Audit-Bereitschaft. Unternehmen ohne strukturierte IT-Aufzeichnungen sehen sich deutlich längeren und teureren Compliance-Prozessen gegenüber. Nur 13 % der kleinen Unternehmen führen proaktive Cybersicherheits-Audits durch (StationX) – die meisten reagieren also auf Anforderungen, anstatt sich darauf vorzubereiten.

Was genau solltest du dokumentieren?

Die folgende Liste ist dein Ausgangspunkt, kein Endzustand. Beginne mit Geräten und Benutzerkonten, da diese beiden Kategorien den Großteil der betrieblichen und auditrelevanten Anforderungen abdecken. Erweitere die Dokumentation dann schrittweise.

Als 20-Personen-Unternehmen sind das Gerätebestandsverzeichnis, die Softwarelizenzliste, die Übersicht der Zugriffsrechte und die Onboarding-/Offboarding-Checklisten deine Mindestanforderung an die Dokumentation. Diese vier Kategorien decken den Großteil dessen ab, was ein Prüfer verlangen wird – und was du dringend benötigst, wenn das nächste Mal jemand das Unternehmen verlässt.

Wie solltest du die Dokumentation strukturieren, damit sie auch tatsächlich genutzt wird?

Die größte Falle bei der IT-Dokumentation ist das Überengineering des Formats. Eine gemeinsam genutzte Tabelle, die jedes Mal aktualisiert wird, wenn jemand eintritt oder austritt, ist unendlich wertvoller als ein aufwendiges Notion-Wiki, das nach der Ersteinrichtung niemand mehr anfasst.

Drei Prinzipien sorgen dafür, dass die Dokumentation nutzbar bleibt:

1. Organisiere nach Kategorien, nicht nach Personen. Personenbezogene Dokumentation bricht jedes Mal zusammen, wenn jemand das Unternehmen verlässt. Strukturiere deine Aufzeichnungen stattdessen nach Assets, Konten und Prozessen. Wenn ein Mitarbeiter ausscheidet, aktualisierst du die mit ihm verknüpften Einträge, anstatt einen ganzen Abschnitt zu löschen.
2. Lege für jede Kategorie einen einzigen Verantwortlichen mit einem klaren Aktualisierungsauslöser fest. Das Gerätebestandsverzeichnis wird aktualisiert, wenn ein Laptop gekauft oder zurückgegeben wird. Die Zugriffsrechtsübersicht wird aktualisiert, wenn jemand eintritt, die Rolle wechselt oder ausscheidet. Ohne einen definierten Auslöser hängen Aktualisierungen davon ab, dass jemand daran denkt – und das ist kein System.
3. Füge jedem Dokument ein Versionsdatum hinzu. Das ist ein kleines Detail mit großer Wirkung. Wenn jemand ein Dokument öffnet und „Zuletzt aktualisiert: vor 14 Monaten" sieht, weiß er sofort, dass er die Angaben prüfen muss, bevor er sich darauf verlässt. Ohne Datum sehen veraltete Aufzeichnungen genauso aus wie aktuelle.

Fast die Hälfte der kleinen und mittleren Unternehmen verlässt sich bei der Dokumentenverwaltung noch immer auf Papierunterlagen (Business.com). Wenn das dein Ausgangspunkt ist, besteht der erste Schritt einfach darin, auf ein gemeinsames digitales Format umzusteigen. Google Sheets, Excel Online oder jedes andere Tool, das dein Team bereits nutzt, ist geeignet. Das Format ist weniger entscheidend als die Gewohnheit, die Daten aktuell zu halten.

Wie bereitest du dich mit einer soliden Dokumentation auf ein IT-Audit vor?

Was Auditoren und Compliance-Rahmenwerke erwarten

Egal, ob du dich auf eine ISO 27001-Zertifizierung vorbereitest, einen Sicherheitsfragebogen eines Kunden beantwortest oder deine Unterlagen für die DSGVO in Ordnung bringst – Auditoren achten auf drei Dinge.

• Ein vollständiges und aktuelles Bestandsverzeichnis. Das bedeutet: Jedes Gerät, jede Softwarelizenz und jedes Benutzerkonto ist so detailliert dokumentiert, dass sich nachvollziehen lässt, wer Zugriff auf was hat.
• Änderungsprotokolle. Eine Aufzeichnung darüber, wer wann und warum Änderungen an Systemen vorgenommen hat. Das ist der Unterschied zwischen Dokumentation und revisionssicherer Dokumentation – ein Konzept, das für die Compliance in der DACH-Region besonders relevant ist.
• Zugriffshistorien. Wer hatte in einem bestimmten Zeitraum Zugriff auf welche Systeme, mit eindeutigen Deaktivierungsprotokollen für ausgeschiedene Mitarbeiter. Da 71 % der Unternehmen keinen formellen Offboarding-Prozess haben (Xantrion), scheitern die meisten kleinen Unternehmen beim ersten Audit genau hier.

Was sind Audit-Protokolle und warum sind sie für KMUs wichtig?

Ein Audit-Protokoll ist eine zeitgestempelte Aufzeichnung von Ereignissen in deiner IT-Umgebung. Stell es dir wie ein Logbuch vor: wer sich angemeldet hat, wann sich Zugriffsberechtigungen geändert haben, wann ein Gerät registriert wurde, wann eine Sicherheitsrichtlinie geändert wurde. Jeder Eintrag enthält einen Zeitstempel, den Nutzer, der die Aktion durchgeführt hat, und eine Beschreibung der Änderung.

Für KMUs in der DACH-Region sind Audit-Protokolle relevant für die DSGVO-Konformität (Nachweis, wer wann auf personenbezogene Daten zugegriffen hat), die ISO-27001-Vorbereitung und branchenspezifische regulatorische Anforderungen. Die zentralen Fragen lauten: Welche Ereignisse protokollierst du, wie lange bewahrst du die Protokolle auf, und kannst du sie auf Anfrage vorlegen?

Ein praktischer Einstieg: Protokolliere alle Zugriffsänderungen (neue Konten, Berechtigungsänderungen, Kontodeaktivierungen), alle Geräteanmeldungen und -ausmusterungen sowie alle Administratoraktionen. Bewahre diese Aufzeichnungen mindestens so lange auf, wie es dein Compliance-Rahmenwerk vorschreibt – bei den meisten DACH-Vorschriften sind das in der Regel ein bis drei Jahre.

Nur 34 % der kleinen Unternehmen verfügen über eine formelle Cybersicherheitsrichtlinie (Cyber Readiness Institute). Wer zum ersten Mal eine Dokumentation aufbaut, spart später erheblichen Aufwand, wenn er grundlegende Audit-Protokollierung von Anfang an in den Prozess integriert.

Wie hältst du die IT-Dokumentation aktuell, wenn dein Team wächst?

Der häufigste Fehler: Dokumentation, die veraltet

Hier ist die unbequeme Wahrheit über IT-Dokumentation: Die Version, die du heute erstellst, ist innerhalb von drei Monaten überholt, wenn niemand sie aktualisiert. Und veraltete Dokumentation ist womöglich schlimmer als gar keine, weil sie falsches Vertrauen schafft. Jemand prüft die Zugriffsrechtstabelle, sieht eine saubere Liste und geht davon aus, dass alles aktuell ist. Inzwischen haben drei Personen die Rolle gewechselt, zwei Externe wurden hinzugefügt, und die Konten eines ausgeschiedenen Mitarbeiters wurden nie deaktiviert.

Vorfälle durch Insider kosten Unternehmen jährlich durchschnittlich 19,5 Millionen Dollar, wobei Fahrlässigkeit – nicht böswilliges Handeln – die Hauptursache ist (DH Solutions). Ein Großteil dieser Fahrlässigkeit lässt sich auf veraltete Aufzeichnungen zurückführen: Zugriffsrechte, die hätten entzogen werden müssen, Geräte, die hätten eingezogen werden müssen, Konten, die hätten geschlossen werden müssen.

Die eigentliche Ursache liegt darin, dass Dokumentation als separate Aufgabe betrachtet wird und nicht als Nebenprodukt des normalen IT-Betriebs. Bei jedem Onboarding, Offboarding, Gerätekauf und Softwarewechsel sollten die entsprechenden Aufzeichnungen automatisch aktualisiert werden. Wenn jemand daran denken muss, eine Tabelle zu öffnen und eine neue Zeile einzutragen, gerät die Dokumentation ins Hintertreffen. Das liegt in der menschlichen Natur – kein Charakterfehler.

Warum automatisiertes IT-Management das Pflegeproblem löst

Der zuverlässigste Weg, die IT-Dokumentation aktuell zu halten, ist, den manuellen Schritt vollständig zu eliminieren. Wenn deine IT-Tools Datensätze als natürlichen Bestandteil ihrer Workflows erstellen und aktualisieren, wird Genauigkeit zur Regel statt zur Ausnahme.

Schau dir an, was bei einem typischen Offboarding passiert. Etwa ein Drittel der befragten IT-Verantwortlichen gibt an, dass es mehr als 24 Stunden dauert, einen ehemaligen Mitarbeiter vollständig aus allen Systemen zu entfernen (BetterCloud). Gleichzeitig wissen 48 % der Unternehmen, dass ehemalige Mitarbeiter noch immer Zugriff auf Unternehmensnetzwerke haben (JumpCloud). Das sind keine isolierten Dokumentationsprobleme. Es sind Workflow-Probleme, die zu Lücken in der Dokumentation führen.

Auf einer Plattform wie deeploi generieren und pflegen Workflows für Gerätemanagement, Onboarding und Offboarding die zentrale IT-Dokumentation automatisch. Gerätebestand, Softwarezuweisungen, Benutzerzugriffsdaten und Offboarding-Prüfpfade werden in Echtzeit aktualisiert – ohne manuelle Eingaben. Das Prinzip ist einfach: Dokumentation, die eine Plattform pflegt, hängt nicht davon ab, dass jemand daran denkt, eine Tabelle zu aktualisieren.

Für Teams ohne solche Tools ist der nächstbeste Ansatz, Dokumentationsaktualisierungen an bestehende Kalenderereignisse zu knüpfen. Plane eine vierteljährliche Überprüfung aller vier Kernkategorien ein. Richte eine wiederkehrende Erinnerung nach jeder Neueinstellung oder jedem Austritt ein. Baue die Aktualisierung in den Prozess selbst ein, anstatt sie als separate Aufgabe zu behandeln, die sich aufschieben lässt.

Eine Studie unter KMUs ergab, dass 81 % der Kleinunternehmer angaben, in den letzten 12 Monaten einen Sicherheits- oder Datenschutzvorfall erlebt zu haben (Swif). Die Dokumentation aktuell zu halten, ist keine administrative Formalität. Es ist ein direkter Beitrag zu deiner Sicherheitslage.

Häufig gestellte Fragen

Was ist die Mindestanforderung an IT-Dokumentation für ein Unternehmen mit 20 Mitarbeitern?

Ein Gerätebestandsverzeichnis, eine Softwarelizenzliste, eine Übersicht der Zugriffsrechte und eine grundlegende Onboarding-/Offboarding-Checkliste. Diese vier Kategorien decken den Großteil der Audit-Anforderungen und betrieblichen Bedürfnisse in dieser Größenordnung ab.

Wie oft sollte die IT-Dokumentation überprüft werden?

Bei manuell gepflegten Aufzeichnungen mindestens vierteljährlich. Automatisierte Systeme reduzieren den Bedarf an manuellen Überprüfungszyklen, da die Aufzeichnungen im Rahmen der normalen Workflows kontinuierlich aktualisiert werden.

Kann man IT-Dokumentation auch ohne technisches Fachwissen erstellen?

Ja. Die Struktur ist wichtiger als technische Tiefe. Eine gut gepflegte Tabelle mit klaren Kategorien deckt die meisten Anforderungen von KMUs ab. Plattformen wie deeploi beseitigen die technische Hürde vollständig, indem sie Aufzeichnungen automatisch als Teil von IT-Management-Workflows generieren.

Was macht IT-Dokumentation revisionssicher?

Versionierte Datensätze, zeitgestempelte Änderungen und Audit-Protokolle, die nachverfolgen, wer was wann geändert hat. Für die DACH-Compliance bedeutet das: Datensätze müssen manipulationssicher sein und für einen festgelegten Zeitraum aufbewahrt werden – in der Regel ein bis drei Jahre, je nach Vorschrift.

Was passiert mit der IT-Dokumentation, wenn ein Mitarbeiter das Unternehmen verlässt?

Ohne Dokumentation entstehen beim Offboarding Sicherheitslücken: Konten bleiben aktiv, Geräte werden nicht erfasst und Zugriffsrechte bleiben bestehen. Fast ein Drittel der Arbeitgeber hat aufgrund eines mangelhaften Offboardings einen Website-Hack erlebt (Beyond Identity). Eine dokumentierte Offboarding-Checkliste mit einem klaren Schritt zur Kontodeaktivierung beseitigt dieses Risiko.

Fazit

Gute IT-Dokumentation ist kein einmaliges Projekt, das man abschließt und dann vergisst. Es ist ein fortlaufendes System, das entweder konsequente manuelle Disziplin erfordert oder Tools, die die manuelle Abhängigkeit vollständig beseitigen. Die meisten kleinen Unternehmen haben beides nicht – weshalb Dokumentation so schnell veraltet.

Beginne mit den vier wichtigsten Kategorien: Geräte, Softwarelizenzen, Benutzerkonten und Onboarding-/Offboarding-Checklisten. Strukturiere sie nach Kategorien, weise einen klaren Verantwortlichen zu und knüpfe Aktualisierungen an konkrete Ereignisse (Neueinstellungen, Austritte, Anschaffungen) statt an willkürliche Überprüfungstermine.

Für KMUs, die präzise IT-Aufzeichnungen wünschen, ohne einen Dokumentationsprozess von Grund auf neu aufzubauen, bietet eine Plattform wie deeploi einen pragmatischen Weg: zentrale IT-Dokumentation, die automatisch als Teil der bereits laufenden Workflows generiert und gepflegt wird. Das Ergebnis sind Aufzeichnungen, die standardmäßig aktuell sind, bei Bedarf auditbereit und ohne zusätzlichen Aufwand für irgendjemanden gepflegt werden.