Was wir bei jedem IT-Audit finden

Seien wir ehrlich... IT-Audits klingen nach Zahnarztbesuch. Notwendig, aber unangenehm.

Und das Unangenehme ist nicht der Audit selbst. Es ist das mulmige Gefühl davor. Was werden sie finden? Wie schlimm ist es? Werden sie denken, dass wir inkompetent sind?

Hier ist die Wahrheit, die niemand ausspricht: Die gleichen Probleme tauchen überall auf. In fast jedem KMU, das wir prüfen. Egal ob 30 oder 300 Mitarbeitende. Egal ob IT-Abteilung oder externer Dienstleister.

Das ist keine Kritik. Das ist ein Muster.

Wir haben über 50 IT-Audits durchgeführt. Bei Produktionsfirmen, Dienstleistern, Handelsunternehmen. Und wir sehen die gleichen 7 Probleme. Immer wieder.

Hier sind sie – und was du dagegen tun kannst.

Die 7 Probleme, die wir immer finden

Abbildung: Die 7 Probleme, die wir in jedem IT-Audit finden

1. Dokumentation existiert nicht (oder ist veraltet)

Das Netzwerkdiagramm ist von 2019. Der Serverraum hat drei Geräte mehr als dokumentiert. Und die Passwortliste? Die hat der ehemalige IT-Leiter mitgenommen.

Niemand macht das absichtlich. IT wächst organisch. Der neue Router wird angeschlossen, aber niemand aktualisiert die Zeichnung. Der temporäre Workaround wird permanent. Und dann vergisst man es.

Was wir sehen:

• Netzwerkdiagramme, die nicht zur Realität passen

• Server, von denen niemand weiss, wofür sie laufen

• Konfigurationen, die nur eine Person versteht

Quick Win: Eine Seite. Ein Netzwerkdiagramm. Heute anfangen. Muss nicht perfekt sein – muss nur existieren.

2. Zugriffsrechte, die niemand mehr braucht

Der Marketing-Praktikant von 2021 hat noch Admin-Rechte. Die ehemalige Buchhalterin kann sich immer noch einloggen. Und der "temporäre" Zugriff für den externen Berater? Läuft seit zwei Jahren.

Laut Microsoft gehen über 99% aller Identitätsangriffe über Passwörter – Brute Force, Phishing, Password Spraying. Jedes inaktive Konto ist eine offene Tür.

Was wir sehen:

• Ehemalige Mitarbeitende mit aktiven Konten

• Admin-Rechte für Leute, die sie nicht brauchen

• Shared Accounts, die mehrere Personen nutzen

• Keine regelmässige Überprüfung der Zugriffsrechte

Quick Win: Geh in dein M365 Admin Center. Liste alle Konten mit Admin-Rechten auf. Frag bei jedem: Braucht diese Person das wirklich?

3. Backups, die noch nie getestet wurden

Jeder hat Backups. Fast niemand testet die Wiederherstellung.

Das ist wie ein Feuerlöscher, den man nie geprüft hat. Er hängt da, er sieht gut aus – aber ob er funktioniert, weisst du erst, wenn es brennt.

Was wir sehen:

• Backups laufen täglich (gut!)

• Wiederherstellung wurde nie getestet (schlecht!)

• Niemand weiss, wie lange eine Wiederherstellung dauert

• Restore-Prozesse existieren nur im Kopf einer Person

Die Realität: Durchschnittlich 287 Tage dauert die Wiederherstellung nach einem Ransomware-Angriff. Weil niemand geübt hat.

Quick Win: Stell eine Datei aus dem Backup wieder her. Heute. Nicht die kritischste – irgendeine. Schau, was passiert. Wie lange dauert es? Funktioniert es überhaupt?

4. Patches, die "irgendwann" gemacht werden

"Das machen wir beim nächsten Wartungsfenster."

Das Wartungsfenster kommt nie. Oder es wird verschoben, weil gerade was Wichtigeres ist. Und dann sitzt der kritische Sicherheitspatch drei Monate.

Über 60% der Sicherheitsvorfälle 2025 gehen auf bekannte, ungepatchte Schwachstellen zurück. Nicht auf Zero-Days. Nicht auf raffinierte Hacker. Auf Patches, die niemand eingespielt hat.

Was wir sehen:

• Windows-Updates, die Monate zurückliegen

• Drittanbieter-Software ohne Updates

• "Das geht nicht, weil dann die Anwendung XY nicht mehr läuft"

• Keine definierte Patch-Strategie

Quick Win: Schau nach, wann das letzte Windows-Update auf den Servern war. Wenn es länger als 30 Tage her ist, hast du ein Problem.

5. Shadow IT überall

Dropbox. WeTransfer. Persönliche Gmail-Accounts. WhatsApp-Gruppen für Projektarbeit.

Das ist nicht böswillig. Das ist praktisch. Die offizielle Lösung ist zu kompliziert, also nehmen die Leute, was funktioniert.

Was wir sehen:

• Firmendaten in privaten Cloud-Speichern

• Sensible Dokumente per WeTransfer verschickt

• Kundenkommunikation über private Handys

• IT-Abteilung hat keinen Überblick über verwendete Tools

Das Problem: 32% der Mitarbeitenden klicken auf Phishing-Links. Bei Stress steigt das auf 45%. Und wenn die in Tools arbeiten, von denen du nichts weisst, hast du keine Chance, sie zu schützen.

Quick Win: Frag dein Team: "Welche Tools nutzt ihr wirklich für die Arbeit?" Die Antworten werden dich überraschen.

6. Ein IT-Mensch, der alles weiss

Er heisst Thomas. Oder Marcel. Oder Sandra. Eine Person, die alles macht, alles weiss, und deren Abwesenheit die ganze IT lahmlegt.

Was passiert, wenn Thomas krank wird? Oder kündigt? Oder in die Ferien geht und sein Handy nicht abnimmt?

Was wir sehen:

• Kritisches Wissen nur in einem Kopf

• Keine dokumentierten Prozesse

• Passwörter, die nur eine Person kennt

• Abhängigkeit von einem externen Dienstleister, der "alles macht"

(Übrigens: Bei vielen KMU ist "Thomas" der externe IT-Partner. Was auch ein Risiko ist.)

Quick Win: Identifiziere eine kritische Aufgabe, die nur eine Person kann. Dokumentiere sie diese Woche. Nur eine. Aber die wichtigste.

7. Lizenzen, die niemand versteht

Du zahlst für 150 Microsoft 365 Lizenzen. 90 Nutzer sind aktiv. Der Rest? Ehemalige Mitarbeitende, Test-Accounts, "Reserven".

Noch besser: Die Hälfte hat E5-Lizenzen, obwohl E3 reichen würde. Aber niemand weiss genau, was in E5 drin ist, was nicht. Und der Microsoft-Partner erklärt es nicht von sich aus.

Was wir sehen:

• Bezahlte Lizenzen ≠ aktive Nutzer

• Lizenztypen, die nicht zum Bedarf passen

• Keine regelmässige Lizenzüberprüfung

• Vertragsverlängerungen ohne Überprüfung

Quick Win: Öffne dein M365 Admin Center. Vergleiche: Wie viele Lizenzen hast du? Wie viele aktive Nutzer gibt es? Die Differenz ist Geld.

Warum das passiert (und warum es nicht eure Schuld ist)

Abbildung: IT wächst organisch – niemand plant für den heutigen Zustand

Diese 7 Probleme entstehen nicht durch Inkompetenz. Sie entstehen, weil:

IT wächst organisch. Niemand hat vor 10 Jahren geplant, wo ihr heute seid. Jeder Workaround, jede schnelle Lösung, jedes "das machen wir später" stapelt sich.

Tagesgeschäft frisst Strategie. Wenn der Server brennt, dokumentierst du nicht. Wenn der Chef eine dringende Anfrage hat, verschiebst du das Patch-Update. Firefighting gewinnt immer gegen Prävention.

Vendor-Ratschläge dienen Vendors. Der Microsoft-Partner empfiehlt mehr Lizenzen. Der Security-Vendor empfiehlt mehr Tools. Niemand sagt: "Eigentlich reicht, was ihr habt."

Es fehlt der Aussenblick. Von innen sieht man die Probleme nicht. Man gewöhnt sich dran. "Das haben wir schon immer so gemacht."

Die Quick Wins (kosten nichts)

Hier ist, was du morgen tun kannst – ohne Budget, ohne Projekt, ohne Berater:

Die teuren Fixes (die du wahrscheinlich nicht brauchst)

Jetzt kommt der Teil, den dir Berater normalerweise nicht sagen:

Nicht jedes Problem braucht ein Projekt.

Was Vendors oft empfehlen – und was du meistens nicht brauchst:

• Komplette Infrastruktur-Erneuerung: Meistens Overkill. Oft reicht gezieltes Upgrading.

• Enterprise Security Suite: Für ein 50-Personen-KMU? Wahrscheinlich überdimensioniert.

• Vollständiges Dokumentationsprojekt: Stirbt in Woche 3. Besser: Klein anfangen, konsequent bleiben.

• 24/7 Security Operations Center: Erst sinnvoll, wenn die Basics stimmen.

Die Wahrheit: Die meisten KMU brauchen keine teuren Tools. Sie brauchen bessere Prozesse.

Wenn die Basics stimmen – Patches, Zugriffsrechte, Backups – hast du 80% der Risiken abgedeckt. Ohne ein einziges neues Tool zu kaufen.