IT-Dienstleister: Sicherheitsfalle Fremdverantwortung

Die typische Ausrede

„Das hat unser Dienstleister so eingerichtet – wir haben da keinen Einfluss.“
Diesen Satz höre ich in Gesprächen mit Geschäftsführern oder IT-Leitern regelmäßig. Er fällt oft dann, wenn es um Systeme geht, die niemand im Unternehmen so richtig versteht: Firewalls, Backup-Lösungen, Benutzerrechte. Der Dienstleister hat das schon geregelt – also wird das schon passen.

Auf den ersten Blick klingt das beruhigend. Schließlich bezahlt man jemanden, der sich damit auskennt. Doch genau hier liegt das Problem: Verantwortung lässt sich nicht einfach outsourcen. Was praktisch klingt, wird schnell zur Falle – spätestens dann, wenn ein Vorfall auftritt und plötzlich niemand weiß, wer zuständig ist oder wie die Systeme wirklich funktionieren.

Viele Unternehmen erkennen sich in dieser Situation wieder. Und genau das macht das Thema so brisant: Fremdverantwortung ist bequem, aber sie schafft Abhängigkeiten. Und diese Abhängigkeiten können im Ernstfall zum Risiko für das ganze Unternehmen werden.

Das Problem hinter der Aussage

Warum geben Unternehmen Verantwortung so gern ab? Auf den ersten Blick ist es nachvollziehbar: Man hat einen Dienstleister beauftragt, der sich auskennt, der die Technik „im Griff“ hat. Das schafft das Gefühl, sich nicht mehr kümmern zu müssen. Doch genau darin liegt der Kern des Problems.

Ein häufiges Muster ist Vertrauen ohne Kontrolle. Viele Verantwortliche betrachten den externen Dienstleister als „verlängerte IT-Abteilung“ und übernehmen dessen Entscheidungen blind. Dokumentationen oder Nachweise werden selten eingefordert – man verlässt sich auf das Fachwissen des Partners.

Damit verbunden ist oft eine fehlende Transparenz. Systeme werden eingerichtet, aber niemand im Unternehmen weiß genau, wie. Die Konfigurationen bleiben in einer Black Box, Passwörter liegen beim Dienstleister, Änderungen werden nicht dokumentiert. Für den Alltag mag das unproblematisch wirken – solange nichts passiert.

Hinzu kommt ein Missverständnis über Zuständigkeiten. Unternehmen gehen davon aus, dass der Dienstleister nicht nur umsetzt, sondern auch die Verantwortung trägt. Doch juristisch und organisatorisch bleibt die Verantwortung immer beim Unternehmen. Ein externer Partner kann Aufgaben übernehmen – aber niemals die Haftung für Compliance- oder NIS2-Vorgaben vollständig tragen.

Und genau das macht diese Haltung gefährlich: Wer Verantwortung delegiert, ohne sie zu behalten, riskiert Blindflug. Im Ernstfall bedeutet das: fehlende Nachweise, unklare Verantwortlichkeiten, lange Ausfallzeiten – und im schlimmsten Fall rechtliche Konsequenzen für die Geschäftsführung.

Fazit: Was bequem wirkt, ist in Wahrheit ein strukturelles Risiko.

IT-Dienstleister in der Informationssicherheit: Wie Fremdverantwortung Risiken verschärft

In meinen Projekten begegnen mir immer wieder ähnliche Situationen, die verdeutlichen, wie riskant Fremdverantwortung im Alltag werden kann. Ein Beispiel: Die komplette Passwortverwaltung liegt beim IT-Dienstleister. Das Unternehmen selbst kennt die administrativen Zugangsdaten nicht – mit der Begründung, man wolle „die Profis machen lassen“. Was im laufenden Betrieb harmlos wirkt, wird im Ernstfall kritisch. Fällt der Dienstleister aus oder ist nicht erreichbar, steht das Unternehmen vor verschlossenen Türen – ohne Zugriff auf die eigenen Systeme.

Ein weiteres Muster sind Konfigurationen ohne Dokumentation. Systeme werden eingerichtet, Firewalls angepasst oder Backups konfiguriert, aber niemand im Unternehmen weiß, wie. Wenn später ein Problem auftaucht, bleibt es bei vagen Aussagen wie „das hat der Dienstleister damals eingestellt“. Eine Nachvollziehbarkeit gibt es nicht. Das macht nicht nur Audits schwierig, sondern verhindert auch, dass ein anderer Partner oder interne IT-Mitarbeitende eingreifen können.

Auch beim Thema Updates sehe ich immer wieder Unsicherheiten. Manche Dienstleister patchen „nach Gefühl“ – ohne klare Policy, ohne Nachweis. Dann heißt es: „Das System war doch aktuell, als wir zuletzt draufgeschaut haben.“ Im Fall einer Sicherheitslücke oder eines Angriffs gibt es keine verlässliche Grundlage, ob wirklich regelmäßig gehandelt wurde.

Diese Beispiele zeigen: Delegation ist nicht gleich Entlastung. Die Abhängigkeit vom IT-Dienstleister kann spezifische Sicherheitsrisiken mit sich bringen – besonders dann, wenn Transparenz und Kontrolle fehlen. Wer Aufgaben komplett aus der Hand gibt, verschiebt das Problem nur – und riskiert, im Ernstfall handlungsunfähig zu sein. Wichtig ist, die Rollen sauber zu trennen: Dienstleister setzen um, aber die Verantwortung für Prozesse, Transparenz und Nachvollziehbarkeit bleibt im Unternehmen.

Dabei geht es ausdrücklich nicht darum, Dienstleistern Misstrauen entgegenzubringen. Im Gegenteil: Sie leisten wertvolle Arbeit und sind oft unverzichtbar. Aber so wie ein Steuerberater zwar die Bilanz erstellt, aber die Geschäftsführung am Ende unterschreibt, gilt auch hier: Verantwortung kannst Du nicht outsourcen.

Die Praxis zeigt, dass viele Unternehmen diesen Unterschied erst dann schmerzhaft begreifen, wenn es zu einem Vorfall kommt. Besser ist es, diese Abhängigkeiten vorher zu erkennen und bewusst gegenzusteuern.

Perspektivwechsel: Was in der Praxis funktioniert

Der Schlüssel liegt nicht darin, Verantwortung komplett abzugeben – sondern in einer klaren Zusammenarbeit. Dienstleister sind wichtige Partner, aber sie dürfen nicht zur Black Box werden. Was in der Praxis funktioniert, ist ein Rollenmodell, das Delegation und Ownership sauber trennt.

1. Rollen klären
Es muss eindeutig sein: Wer entscheidet über Sicherheitsstandards, wer setzt sie um, und wer überprüft die Umsetzung? Im Alltag verschwimmt das oft. Dienstleister übernehmen operative Aufgaben, aber die Entscheidung über das „Wie“ liegt beim Unternehmen. Klare Zuständigkeiten verhindern, dass sich am Ende niemand verantwortlich fühlt.

2. Dokumentation verlangen
Alle Konfigurationen, Änderungen und Passwörter müssen beim Unternehmen liegen. Das bedeutet nicht, dass man jede technische Einstellung verstehen muss – aber die Nachvollziehbarkeit muss gewährleistet sein. Ein einfaches Beispiel aus einem KMU: Der Dienstleister führt jede Änderung in einem kurzen Änderungsprotokoll (Excel oder Word) auf, das im Unternehmenslaufwerk abgelegt wird. So ist jederzeit nachvollziehbar, was gemacht wurde.

3. Kontrollpunkte einbauen
Regelmäßige Stichproben oder interne Reviews schaffen Vertrauen und Transparenz. Das muss nicht kompliziert sein: Einmal im Quartal prüft die interne IT-Leitung stichprobenartig, ob Passwortrichtlinien eingehalten oder Updates dokumentiert wurden. So wird klar: Kontrolle ist kein Misstrauen, sondern gelebte Verantwortung.

4. Vertragliche Klarheit schaffen
In Service-Level-Agreements (SLA) sollten nicht nur Reaktionszeiten geregelt sein, sondern auch Sicherheitsanforderungen: Welche Reports müssen vorgelegt werden? Wie oft finden Statusgespräche statt? Welche Standards gelten (z. B. Patchzyklen, Passwort-Policies)? Eine schriftliche Basis schafft Sicherheit für beide Seiten.

Pragmatische Umsetzung im KMU-Umfeld
Gerade in kleineren Unternehmen sind große Governance-Strukturen unrealistisch. Hier helfen einfache Routinen:

Ein monatliches Kurz-Review mit dem Dienstleister, 30 Minuten per Videocall, in dem die wichtigsten Änderungen und offenen Punkte besprochen werden.
Ein Basis-Dokumentationstemplate, in dem jede Änderung mit Datum, Verantwortlichem und Kurzbeschreibung eingetragen wird.
Ein Zugriffskonzept, das sicherstellt, dass Passwörter und Admin-Zugänge beim Unternehmen hinterlegt sind – nicht nur beim Dienstleister.

So entsteht ein System, das pragmatisch und alltagstauglich ist – ohne zusätzlichen Bürokratieaufwand.

Ownership behalten, Vertrauen stärken
Es geht nicht darum, dem Dienstleister Misstrauen entgegenzubringen. Im Gegenteil: Ein transparenter Prozess entlastet auch ihn, weil Nachfragen und Unsicherheiten reduziert werden. Am Ende profitieren beide Seiten. Aber entscheidend ist: Die Verantwortung für Informationssicherheit bleibt beim Unternehmen. Wer Ownership behält, kann auch im Ernstfall handlungsfähig bleiben – und genau das macht den Unterschied.

Was Du mitnehmen kannst

Wenn es um die Zusammenarbeit mit Dienstleistern geht, ist die wichtigste Erkenntnis: Verantwortung bleibt immer beim Unternehmen. Ein Partner kann Aufgaben übernehmen, Systeme einrichten oder Prozesse betreuen – doch die Verantwortung für Sicherheit, Nachvollziehbarkeit und den Umgang mit IT-Dienstleister-Risiken liegt am Ende bei Dir.

Die zweite zentrale Botschaft lautet: Dokumentation und Transparenz sind die Schlüssel. Nur wenn Änderungen nachvollziehbar und Zugänge geregelt sind, behältst Du den Überblick. Ohne diese Basis entsteht eine gefährliche Abhängigkeit.

Drittens: Fremdverantwortung darf nie zur Black Box werden. Vertrauen in einen Dienstleister ist wichtig, aber es darf nicht bedeuten, dass Du blind auf ihn angewiesen bist. Im Ernstfall musst Du selbst handlungsfähig bleiben – unabhängig davon, ob Dein Partner gerade verfügbar ist.

Zum Schluss ein paar Fragen zur Reflexion:

Weißt Du, welche Admin-Konten Euer Dienstleister nutzt – und wer Zugriff hat?
Liegt die vollständige Dokumentation Eurer Systeme bei Euch oder ausschließlich beim Dienstleister?
Könntet Ihr bei einem Ausfall des Dienstleisters kurzfristig selbst eingreifen und handlungsfähig bleiben?

Wenn Du hier ins Grübeln kommst, ist das kein Zeichen von Schwäche – sondern ein guter Startpunkt, um Verantwortung bewusst zurückzuholen.

Was Du jetzt tun kannst

Quick-Check:

Haben wir dokumentierte Vereinbarungen zu Zuständigkeiten?
Haben wir Zugriff auf alle relevanten Unterlagen und Passwörter?
Prüfen wir regelmäßig, ob die vereinbarten Standards eingehalten werden?

Regelwerksbezug: ISO/IEC 27001:2022 – relevant u. a. A.5.17, A.5.19–A.5.21, A.5.23, A.8.13, A.8.15, A.8.32.

NIS2: Art. 20 (Leitungsorgan/Governance), Art. 21 (Risikomanagement inkl. Lieferkette), Art. 23 (Meldefristen 24 h/72 h/1 Monat). DSGVO: Art. 5(2) (Rechenschaft), Art. 28 (AV), Art. 32 (TOMs), Art. 82 (Haftung).Mini-CTA: Starte mit einem kurzen Abgleich: Welche Systeme liegen komplett in den Händen Deines Dienstleisters – und welche Kontrolle habt Ihr selbst?

Hinweis zur Einordnung

Dieser Erfahrungsartikel basiert auf realen Beobachtungen und typischen Praxismustern. Die beschriebenen Maßnahmen können Orientierung bieten – sie ersetzen jedoch keine vollständige Umsetzung regulatorischer Anforderungen (z. B. gemäß NIS2, ISO 27001 oder branchenspezifischer Standards).
Wenn Dein Unternehmen unter die NIS2-Richtlinie fällt, sind zusätzliche strukturierte Analysen, dokumentierte Verfahren und ein systematischer Aufbau der Sicherheitsorganisation erforderlich.

„Aber das hat uns der IT-Dienstleister so eingerichtet“ – Fremdverantwortung als Risiko

Die typische Ausrede

Das Problem hinter der Aussage

IT-Dienstleister in der Informationssicherheit: Wie Fremdverantwortung Risiken verschärft

Perspektivwechsel: Was in der Praxis funktioniert

Was Du mitnehmen kannst

Was Du jetzt tun kannst

Hinweis zur Einordnung

Warum eine ISMS Einführung in kleinen Schritten oft wirksamer ist als große Programme

NIS2 vs. KRITIS: Was ist der Unterschied?

ISO 27001 Compliance: Warum 100 % Erfüllung nicht zielführend ist

„Das ist doch nur Papier!“ – die Bedeutung von Informationssicherheit durch wirksame Policies

„Das Budget ist da – aber nur für Technik“: Warum organisatorische Sicherheit oft unterfinanziert bleibt

NIS2 & Risikomanagement – pragmatisch umsetzen

Die typische Ausrede

Das Problem hinter der Aussage

IT-Dienstleister in der Informationssicherheit: Wie Fremdverantwortung Risiken verschärft

Perspektivwechsel: Was in der Praxis funktioniert

Was Du mitnehmen kannst

Was Du jetzt tun kannst

Hinweis zur Einordnung

Ähnliche Beiträge