Fünf Türen, eine Hausaufgabe
Es passiert nicht alles am selben Tag, aber es passiert dem gleichen Geschäftsführer. Im Frühjahr ein Lieferantenfragebogen vom größten Kunden, 64 Seiten PDF, Frist drei Wochen. Im Sommer die Verlängerung der Cyberversicherung, plötzlich mit doppelt so vielen Fragen wie beim Vertragsabschluss vor drei Jahren. Im Herbst das Kreditgespräch wegen der neuen Halle, und beiläufig der Satz „Haben Sie ein IT-Notfallkonzept?“ vom Firmenkundenberater. Zwischendurch ein Anwalt, der bei der Jahresplanung das Wort Geschäftsführerhaftung fallen lässt. Und der Datenschutzbeauftragte fragt nach dem aktualisierten Verfahrensverzeichnis, weil er eines braucht, das er nicht aus dem Jahr 2018 hat.
Fünf verschiedene Auslöser. Fünf verschiedene Fragebögen. Fünf verschiedene Schubladen im Kopf. Und in jeder dieser Schubladen klafft dasselbe Loch.
Dieser Text ist für Geschäftsführer kleiner und mittlerer Unternehmen, die mindestens einen dieser Bögen schon mal auf dem Schreibtisch hatten und gemerkt haben: Das, was da gefragt wird, ist nicht das, was sie wissen. Nicht weil sie schlecht geführt wären – sondern weil niemand das jemals so aufgeschrieben hat.
Tür 1: Der Lieferantenfragebogen
Das fängt seit etwa 2024 an, wirklich Fahrt aufzunehmen, und seit dem deutschen NIS2-Umsetzungsgesetz vom 6. Dezember 2025 ist es kein Trend mehr, sondern Routine. Größere Unternehmen, die selbst unter NIS2 fallen, sind nach §30 BSIG-neu verpflichtet, ihre Lieferkette abzusichern. Sie reichen das nach unten weiter. Wer als kleiner oder mittelständischer Zulieferer für so jemanden arbeitet, bekommt früher oder später einen Bogen: Information Security Self-Assessment, Lieferanten-Sicherheitsfragebogen, VDA ISA, TISAX-Light – die Etiketten variieren, der Kern bleibt.
Was darin steht, ist immer dasselbe: Welche Systeme verarbeiten Daten von uns? Wer hat Zugriff darauf? Wie ist Multi-Faktor-Authentifizierung geregelt? Wie sieht euer Patch-Management aus? Habt ihr ein Backup-Konzept mit getestetem Restore? Was passiert, wenn jemand kündigt – wer schaltet welche Konten ab, dokumentiert? Welche Subdienstleister sind im Spiel, wo stehen deren Server? Gibt es einen Notfallplan, wann wurde er zuletzt geübt?
Du bist nicht direkt von NIS2 betroffen. Aber dein Kunde ist es, und du bist seine Lieferkette. Das ist der Hebel, und er ist nicht theoretisch.
Was hier wirklich verlangt wird: Nicht Perfektion. Belegbarkeit. Wer eine ehrliche, dokumentierte Antwort liefern kann – auch wenn sie an manchen Stellen „in Arbeit“ lautet – wird in fast allen Fällen akzeptiert. Wer gar nicht antworten kann oder mit Floskeln arbeitet, fliegt beim nächsten Audit-Zyklus aus der Lieferantenliste. Nicht laut, sondern leise: bei der nächsten Ausschreibung wird man einfach nicht mehr eingeladen.
Tür 2: Die Cyberversicherung
Die zweite Tür ist die nüchternste, weil sie ohne jede Drohgebärde auskommt. Cyberversicherer verlangen seit ein paar Jahren ausgefüllte Risikofragebögen – beim Vertragsabschluss, bei jeder Verlängerung, manchmal nach Schadensfällen in der Branche auch unterjährig. Die Fragen ähneln dem Lieferanten-Bogen erstaunlich genau: MFA, Backup, Patch-Stand, Awareness-Schulungen, EDR, Notfallplan, Logging.
Der entscheidende Unterschied ist juristisch. Ein Lieferantenfragebogen ist eine Selbstauskunft an einen Geschäftspartner. Ein Versicherungsfragebogen ist eine vorvertragliche Anzeigepflicht. Wer hier vorsätzlich oder grob fahrlässig falsch ankreuzt, riskiert nicht nur Vertragsstrafen, sondern im Schadensfall die Leistungsfreiheit der Versicherung. Genau dann, wenn man das Geld am dringendsten bräuchte – nach einer Ransomware-Attacke mit zwei Wochen Betriebsausfall – zahlt der Versicherer dann nicht.
Was hier wirklich verlangt wird: Eine Antwort, die du im Schadensfall vor einem Sachverständigen verteidigen kannst. Nicht „wir haben ein Backup“, sondern „wir haben Backups in dieser Frequenz, an diesem Ort, mit diesem letzten erfolgreichen Restore-Test am 14. Februar 2026″. Das ist ein Unterschied, den der Geschäftsführer auf Anhieb versteht. Es geht nicht um Compliance, sondern um die eigene Versicherbarkeit.
Tür 3: Das Kreditgespräch
Diese Tür wird unterschätzt, weil sie selten als Fragebogen kommt, sondern als Frage. Banken – besonders Sparkassen und Volksbanken im norddeutschen Mittelstandsgeschäft – haben durch die MaRisk-Anforderungen ihrer eigenen Aufsicht und durch die zunehmende Sensibilisierung ihrer Risikoabteilungen begonnen, IT-Resilienz in die Kreditprüfung aufzunehmen. Ab gewissen Kredithöhen, oft im mittleren sechsstelligen Bereich aufwärts, taucht das Thema im Kreditgespräch auf. Manchmal als Frage des Firmenkundenberaters, manchmal als Auflage im Vertrag: „Vorlage eines IT-Sicherheitskonzepts binnen 12 Monaten.“ Manchmal als Bedingung, eine Cyberversicherung abzuschließen.
Der Hintergrund ist nicht Schikane, sondern Risikomanagement. Eine Bank, die einem Mittelständler 800.000 Euro für eine neue Halle leiht, hat ein Interesse daran, dass dieser Mittelständler nicht drei Monate später durch einen Cybervorfall in die Knie geht. Das ist eine völlig nachvollziehbare Sorge, und sie wird bei Folgeengagements auch begründet kommuniziert.
Was hier wirklich verlangt wird: Substanz. Eine Bank lässt sich nicht mit Marketing-Vokabular abspeisen. Was zählt, ist ein Konzeptpapier, das ein nüchterner Mensch in einer halben Stunde lesen und einordnen kann: Was ist da, was wird wann gemacht, wer ist verantwortlich, was kostet es, wie wird der Fortschritt nachgewiesen. Banker mögen Tabellen.
Tür 4: Die persönliche Haftung des Geschäftsführers
Diese Tür ist von allen die psychologisch stärkste und gleichzeitig die, bei der am meisten Unsinn erzählt wird. Lass mich das nüchtern auseinandernehmen.
Der Geschäftsführer einer GmbH haftet nach §43 GmbHG für die Sorgfalt eines ordentlichen Geschäftsmanns. Was diese Sorgfalt im Bereich IT umfasst, hat in den letzten Jahren eine zunehmend klare Auslegung gefunden – durch Urteile, Versicherungspraxis und nicht zuletzt durch das NIS2-Umsetzungsgesetz, das in §38 BSIG-neu die Geschäftsleitungsverantwortung explizit ausspricht und eine reine Delegation an die IT ausdrücklich ausschließt. Wer betroffen ist, kann sich nicht hinter dem Systembetreuer verstecken. Wer nicht unter NIS2 fällt, ist davon zwar nicht direkt erfasst – aber der allgemeine zivilrechtliche Sorgfaltsmaßstab zieht ohnehin in die gleiche Richtung.
Die wichtige Pointe, die im Marketing der Drohanbieter regelmäßig untergeht: Haftung wird nicht durch Perfektion vermieden, sondern durch Dokumentation. Ein Geschäftsführer, der nachweisen kann, dass er sich strukturiert mit dem Thema beschäftigt hat, sich beraten ließ, Entscheidungen begründet getroffen und Prioritäten gesetzt hat, ist haftungsrechtlich in einer ganz anderen Position als einer, der gar nichts hat. Im Schadensfall fragt niemand „war alles perfekt?“ – man fragt „hat der Geschäftsführer sich gekümmert?“. Diese Frage muss aus Akten beantwortbar sein, nicht aus dem Gedächtnis.
Was hier wirklich verlangt wird: Eine geordnete Ablage. Wer sortiert hat, was er macht, warum er es macht und wann er es entschieden hat, hat den Haftungsschutz, der realistisch erreichbar ist. Mehr verlangt das Recht nicht, weniger akzeptiert es nicht.
Tür 5: Das DSGVO-Verfahrensverzeichnis
Die fünfte Tür ist die, die am längsten existiert und in vielen mittelständischen Betrieben am gründlichsten verstaubt ist. Art. 30 DSGVO verlangt das Verzeichnis von Verarbeitungstätigkeiten, Art. 32 verlangt die technischen und organisatorischen Maßnahmen. Beides wurde 2018 unter Zeitdruck irgendwie zusammengeschrieben und ist seitdem in vielen Betrieben kein einziges Mal aktualisiert worden. Die Hälfte der dort genannten Systeme existiert nicht mehr, der Mailprovider von damals ist längst durch Microsoft 365 ersetzt, der frühere Lohnabrechner heißt anders.
Was an dieser Tür interessant ist: Die Schnittmenge mit allen anderen vier Türen ist riesig. Was im VVT als „eingesetzte Systeme“ und „Empfänger“ steht, ist faktisch dieselbe Information wie im Lieferantenfragebogen unter „Asset-Inventar“ und „Subdienstleister“. Was als TOM nach Art. 32 dokumentiert ist, deckt 30 bis 40 Prozent jedes Cyberversicherungs-Antrags ab. Was als Datenflüsse modelliert wäre, beantwortet einen Großteil dessen, was die Bank im Kreditgespräch wissen will.
Nur: In den meisten KMU sitzt das VVT beim Datenschutzbeauftragten, das Asset-Inventar bei der IT, das Versicherungs-Formular bei der Buchhaltung, der Kreditbogen beim Geschäftsführer selbst – und keiner dieser vier weiß vom anderen. Vier mal halbe Wahrheit statt einmal ganzer.
Eine wichtige Klarstellung an dieser Stelle, weil es im DSGVO-Umfeld sonst zu Missverständnissen kommt: Ich konkurriere nicht mit dem Datenschutzbeauftragten, weder mit dem internen noch mit dem externen. Im Gegenteil. Was ich liefere, ist die technische Inventur und die Datenflusskartierung, also genau die Vorarbeit, die ein DSB normalerweise in Eigenregie aus dem Bauch heraus rekonstruieren muss, weil sie ihm niemand strukturiert zur Verfügung stellt. Der DSB bekommt von mir die Substanz, mit der er sein Verfahrensverzeichnis sauber führen kann, und er bleibt der juristische Verantwortliche für die Datenschutzbewertung. Ich bin sein technischer Zulieferer, nicht sein Konkurrent.
Was alle fünf Türen gemeinsam haben
Wer aufmerksam gelesen hat, hat es schon gesehen. Hinter den fünf verschiedenen Anlässen steht eine Aufgabe, und die ist immer dieselbe.
Es geht darum, einmal sauber aufzuschreiben: Welche Systeme stehen im Betrieb, was machen sie, welche Daten verarbeiten sie, woher kommen die Daten, wohin gehen sie, wer hat Zugriff, wer ist verantwortlich, wie sind sie geschützt, wer wird im Notfall informiert. Das ist keine Compliance-Übung, das ist Buchhaltung über die eigene IT. Eine Inventur und eine Datenlandkarte.
Wer das einmal hat, kann fünf verschiedene Fragebögen bedienen, ohne fünfmal von vorn anzufangen. Wer das nicht hat, fängt jedes Mal von vorn an, jedes Mal unter Zeitdruck, jedes Mal mit dem Risiko, dass diesmal eine Frage dabei ist, die man mit Bauchgefühl nicht mehr beantworten kann.
Die unangenehme Nachricht: Diese Inventur macht sich nicht von allein. Niemand im Betrieb hat Zeit dafür, die Verantwortung ist diffus, und das Wissen sitzt verteilt in den Köpfen von zwei oder drei Leuten, die ohnehin schon zu viel zu tun haben. Genau deshalb wird sie meistens nicht gemacht – bis ein Bogen auf dem Tisch liegt und der erste Auslöser akut wird.
Wo ich an dieser Stelle ins Spiel komme
Ich mache den Fleißteil. Den, den niemand gern macht und für den im Betrieb niemand Zeit hat.
Ich komme als technisch neutraler Externer in den Betrieb, gehe mit dem oder den IT-Verantwortlichen die Systemlandschaft durch, spreche mit den Fachbereichen über die Datenflüsse, schaue mir die Schnittstellen an, dokumentiere Berechtigungen, frage nach Verträgen mit Subdienstleistern, prüfe wo Daten geografisch liegen. Das ist Handarbeit, sie dauert in einem 30-Mann-Betrieb meistens drei bis fünf Werktage verteilt über zwei bis drei Wochen. Das Ergebnis ist eine strukturierte Bestandsaufnahme, in der jede Information ihre Quelle hat – weil im Zweifel jemand fragen wird, woher das kommt.
Ich arbeite dabei zu, nicht über. Der Vertrieb bekommt die Antworten für den Lieferantenfragebogen. Der Geschäftsführer bekommt die Sortierung für die Bank und den Haftungsschutz. Der Datenschutzbeauftragte bekommt die technische Vorarbeit für sein Verfahrensverzeichnis. Der Versicherungsmakler bekommt die belegbaren Antworten für den Risikobogen. Jeder bekommt seinen eigenen Report, formuliert in seiner Sprache. Aber die IT wird nur einmal durchleuchtet, und das Ergebnis lebt an einer einzigen, gepflegten Stelle.
Womit ich das mache (und ja: mit Microsoft Access)
Hier kommt der Teil, bei dem ich sonst gern auf Stirnrunzeln stoße, deshalb nehme ich es vorweg. Ich pflege die Bestandsaufnahme in einer eigens dafür gebauten Access-Datenbank.
Ja, Access. Das ist eine bewusste Entscheidung, keine Verlegenheitslösung, und sie hat vier nüchterne Gründe, die ich allesamt verteidigen kann.
Erstens: Sie läuft beim Kunden. Auf seinem Server, auf seinem Netzlaufwerk, in seinem Backup. Es gibt keinen US-Cloud-Anbieter im Spiel, keinen Auftragsverarbeitungsvertrag mit einer SaaS-Bude, keine Übermittlung von Inventar-Informationen an Dritte. Wer einmal verstanden hat, was im CLOUD Act und in FISA 702 steht, weiß, warum das relevant ist.
Zweitens: Sie gehört dem Kunden. Wenn unsere Zusammenarbeit endet, bleibt die Datenbank im Betrieb und ist weiter nutzbar. Es gibt keinen Lock-in, keine monatliche Lizenzgebühr, kein Zwangsabo. Die Struktur ist offen und nachvollziehbar.
Drittens: Sie ist textexportierbar und versionierbar. Jeder Stand der Inventur lässt sich als strukturierter Textexport ausgeben und in einem Git-Repository ablegen. Damit ist nicht nur jede Änderung nachvollziehbar – mit Datum, Begründung und Verantwortlichem – sondern auch der Audit-Beweis erbracht, dass die Inventur gepflegt wird. Genau das verlangen alle fünf Türen.
Viertens: Ich kann sie. Nach 25 Jahren Access und SQL Server muss ich für die Bestandsaufnahme keine SaaS-Lizenz für 79 Euro im Monat verkaufen, um meine Arbeit in einem Werkzeug abzubilden. Ich kann das Werkzeug an die Realität des Kunden anpassen, statt die Realität des Kunden in die Schablonen eines Compliance-Tools zu pressen.
Wer mir an dieser Stelle erklären möchte, dass Access aus den Neunzigern ist, dem antworte ich: Stimmt. Genauso wie Excel aus den Achtzigern, Email aus den Siebzigern und das Telefonbuch aus dem Mittelalter. Funktionierende Werkzeuge altern nicht, sie reifen. Wir können das gerne ausführlich diskutieren, am liebsten nach getaner Arbeit beim Kaffee.
Was am Ende auf dem Tisch liegt
Drei Dinge, immer in dieser Reihenfolge.
Erstens die strukturierte Bestandsaufnahme als gepflegte Datenbank mit Textexport. Inhalt: Systeme, Datenarten, Datenflüsse, Verantwortliche, Zugriffsregelungen, Subdienstleister, Schutzmaßnahmen, mit Quelle und Datum bei jedem Eintrag.
Zweitens das Mängelverzeichnis. Eine ehrliche Liste der Stellen, an denen es klemmt, sortiert nach Priorität und Aufwand. Nicht als Pranger, sondern als Arbeitsplan. Hier steht, was sich in den nächsten drei, sechs, zwölf Monaten ändern sollte und warum.
Drittens, optional und nach Bedarf, die Koordination der Umsetzung. Ich bin kein Implementierer – ich bin nicht der, der den neuen Firewall-Cluster einbaut oder die Microsoft-365-Migration durchführt. Aber ich kenne in den meisten Bereichen die richtigen Dienstleister in der Region, und ich kann die Umsetzung koordinieren, wenn der Geschäftsführer das möchte. Damit niemand zwischen drei Anbietern und zwei Mängeln den Faden verliert.
Und auf Wunsch eine jährliche Revision. Einmal im Jahr eine Aktualisierung der Bestandsaufnahme, ein Abgleich mit dem Mängelverzeichnis, ein neuer Stand für den nächsten Lieferantenfragebogen, den nächsten Versicherungsantrag, das nächste Kreditgespräch. Erfahrungsgemäß ist das ein Bruchteil des Erstaufwands und der Schritt, der den größten Teil des Werts dauerhaft sichert.
Eine ehrliche Schlussbemerkung
Dieser Text ist lang geworden, weil das Thema fünf Türen hat und keine davon allein erklärt, warum die Hausaufgabe lohnt. Aber die Botschaft ist kurz: Wer einmal sauber inventarisiert, was er hat, und einmal sauber aufschreibt, wie die Daten fließen, hat in fünf verschiedenen Situationen eine ehrliche Antwort. Wer nicht inventarisiert, hat fünfmal denselben Stress.
Ich bin nicht der Erste, der so etwas anbietet, und ich werde nicht der Letzte sein. Was mich vielleicht von einigen anderen unterscheidet: Ich verkaufe keine Compliance-Drohung und kein Tool-Abo. Ich verkaufe einen Werkstattbesuch im eigenen Haus, mit dem Ziel, dass dein Betrieb anschließend weiß, was er hat. Das ist die Voraussetzung für alles weitere – für Compliance, für Sicherheit, für vernünftige Investitionsentscheidungen, irgendwann auch für KI. Struktur kommt vor allem anderen, nicht weil das ein Slogan ist, sondern weil es ohne Struktur nichts zu schützen, zu versichern, zu kreditieren, zu verteidigen oder zu modernisieren gibt.
Wenn dir gerade einer dieser fünf Bögen auf dem Schreibtisch liegt, ruf an. Wenn nicht, leg dir den Text in den Browserfavoriten – einer wird kommen.
Hinweise und Quellen
Allgemeiner Hinweis. Dieser Text ist kein juristischer Rat. Ich bin IT-Berater, kein Anwalt und kein Datenschutzbeauftragter. Konkrete rechtliche Bewertungen für deinen Einzelfall gehören in die Hände einer entsprechend qualifizierten Person. Was ich liefere, ist die technische Substanz, auf der diese Bewertungen aufsetzen können.
Gesetze und Quellen, auf die ich mich beziehe:
- Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS2UmsuCG), in Kraft seit 6. Dezember 2025. Insbesondere §30 BSIG-neu (Risikomanagementmaßnahmen, Lieferkettenabsicherung) und §38 BSIG-neu (Geschäftsleitungsverantwortung).
- Verordnung (EU) 2016/679 (DSGVO), insbesondere Art. 30 (Verzeichnis von Verarbeitungstätigkeiten), Art. 32 (Sicherheit der Verarbeitung), Art. 33 (Meldung von Datenschutzverletzungen).
- § 43 GmbH-Gesetz (Sorgfaltspflicht des Geschäftsführers).
- MaRisk (Mindestanforderungen an das Risikomanagement) der BaFin, in der jeweils geltenden Fassung – relevant für die IT-Anforderungen, die Banken aus ihrem eigenen Aufsichtsrahmen an Kreditnehmer weitergeben.
- BSI-Betroffenheitsprüfung NIS2 unter
bsi.bund.de, für die Selbsteinschätzung, ob ein Betrieb direkt unter NIS2 fällt.
Wer sich tiefer einlesen will, findet zu jedem der fünf Themen reichhaltiges Material. Eine Empfehlung zum Selbststudium spreche ich aber nicht aus – die Erfahrung lehrt, dass das Lesen von Compliance-Texten ohne strukturierten Bezug zum eigenen Betrieb mehr Verwirrung als Klarheit stiftet. Der pragmatischere Weg ist, zuerst die Inventur zu machen und dann gezielt nachzulesen, was zur eigenen Situation passt.
Sönke Schäfer ist selbständiger IT-Berater und Datenarchitekt aus Ostholstein. Er arbeitet seit 25 Jahren mit kleinen und mittelständischen Unternehmen in Norddeutschland und positioniert sich als technischer Zulieferer für Geschäftsführer, Vertrieb, Datenschutzbeauftragte und Versicherungsmakler. Mehr unter sesoft.de.