Ein Wirtschaftsprüfer, ein Cyberversicherer oder ein neuer Gesellschafter stellt sie irgendwann. Dann ist es ungünstig, wenn die Antwort lautet: „Das müssten wir erst herausfinden.“
Diese fünf Fragen sind kein IT-Examen. Sie sind ein Haftungscheck. Wer sie flüssig beantworten kann, hat sein Haus in Ordnung. Wer ins Stocken gerät, weiß zumindest, wo er anfangen muss.
Frage 1: Welche Software-Versionen laufen bei uns?
Nicht „welche Programme haben wir“, sondern welche Version. Windows 10 oder Windows 11? Office 2016 oder Microsoft 365? Welche Branchensoftware, in welchem Release-Stand?
Das klingt nach IT-Kleinkram. Ist es nicht. Veraltete Software ist der häufigste Einfallsweg bei Cyberangriffen – und einer der wenigen, bei dem die Haftungsfrage danach nicht nur das Unternehmen, sondern persönlich den Geschäftsführer treffen kann.
Eine aktuelle Softwareinventarliste ist kein Luxus. Sie ist Grundlage für alles, was danach kommt.
Frage 2: Wann enden die Hersteller-Updates?
Jede Software hat ein Ablaufdatum. Windows 10 verliert im Oktober 2025 den Support. Wer das nicht auf dem Schirm hat, betreibt danach ein System, das keine Sicherheits-Patches mehr bekommt – und das wissentlich.
„Wissentlich“ ist das entscheidende Wort. Es macht aus einem IT-Problem ein Compliance-Problem.
Frage 3: Gibt es ein dokumentiertes IT-Sicherheitskonzept?
Nicht: „Wir haben eine Firewall.“ Sondern: Gibt es ein Dokument, das beschreibt, wie das Unternehmen mit IT-Risiken umgeht? Wer darf was? Was passiert im Notfall? Wer hat Zugang zu welchen Systemen?
Viele KMU haben die richtigen Maßnahmen, aber kein Papier dazu. Das ist ärgerlich – weil das Papier im Ernstfall zählt, nicht die Maßnahme.
Ein IT-Sicherheitskonzept muss nicht hundert Seiten haben. Es muss existieren und aktuell sein.
Frage 4: Wer ist zuständig?
Konkret: Wer ist die erste Ansprechperson, wenn ein Server ausfällt, ein Rechner gesperrt wird oder der Steuerberater Daten anfordert, die niemand findet?
Wenn die Antwort lautet „eigentlich der Max, aber der ist gerade im Urlaub“ – dann ist das keine Antwort, sondern ein Risiko.
Zuständigkeit muss namentlich, vertretungsgeregelt und schriftlich festgehalten sein.
Frage 5: Sind unsere Daten gesichert – und wurde das je überprüft?
Backup ja, kennt jeder. Aber wann wurde zuletzt geprüft, ob das Backup auch wiederherstellbar ist? Ein Backup, das im Ernstfall nicht funktioniert, ist kein Backup. Es ist ein gutes Gefühl.
Die Frage ist also nicht „Haben wir ein Backup?“, sondern „Wann haben wir zuletzt einen Restore-Test gemacht?“
Was die Antworten zeigen
Wer alle fünf Fragen in zwei Minuten beantworten kann, hat eine funktionierende IT-Grundlage. Wer bei zweien ins Stocken gerät, hat Handlungsbedarf – aber noch Zeit, ihn geordnet anzugehen. Wer bei keiner einzigen eine sichere Antwort hat, sollte das nicht auf nächstes Quartal verschieben.
Diese Fragen sind keine Checkliste für den IT-Leiter. Sie sind der Mindeststand, den ein Geschäftsführer selbst parat haben sollte – weil er im Zweifel persönlich dafür geradesteht.
Wer wissen möchte, wie die eigene IT-Situation aussieht, kann ein kostenloses Erstgespräch über sesoft.de/kostenloses-erstgespraech-sichern vereinbaren. Keine Präsentation, kein Verkaufsgespräch – nur Klarheit.
