IT-Governance hat im Mittelstand ein Imageproblem: Sie klingt nach Bürokratie, Compliance-Checklisten und Wasserfall-Prozessen. In Wirklichkeit geht es um eine einzige Frage: Wie stellen Sie sicher, dass IT-Investitionen den Geschäftszielen dienen? Die ISO 38500 definiert IT-Governance als das System, mit dem die Nutzung von IT in einer Organisation gelenkt und kontrolliert wird[1]. Ein mittelständisches Unternehmen braucht kein 200-seitiges COBIT-Handbuch — aber es braucht klare Regeln, wer was entscheidet.

Frameworks pragmatisch nutzen

Governance-Frameworks helfen, Entscheidungsrechte und Kontrollpunkte ohne Konzernbürokratie zu strukturieren.
Abbildung 1: Governance-Frameworks helfen, Entscheidungsrechte und Kontrollpunkte ohne Konzernbürokratie zu strukturieren.

Die großen Governance-Frameworks — COBIT, ITIL, ISO 27001 — sind für Konzerne konzipiert. Der Mittelstand braucht keine vollständige Implementierung, sondern die richtigen Elemente[2]:

  • Von COBIT 2019 übernehmen: Die Trennung von Governance (Was soll die IT tun?) und Management (Wie tut sie es?). COBIT 2019 definiert 40 Governance- und Management-Ziele — für den Mittelstand sind die fünf Governance-Prinzipien (Evaluate, Direct, Monitor) als Leitplanken ausreichend[2]
  • Von ITIL 4 übernehmen: Incident Management, Change Management, Service Level Management — die operativen Basics, die Chaos verhindern. ITIL 4 betont mit seinem Service Value System einen ganzheitlichen Ansatz, der flexibler ist als das starre Prozessmodell von ITIL v3[3]
  • Von ISO 27001 übernehmen: Risikobewertung und kontinuierliche Verbesserung als Denkmodell, nicht als Zertifizierungsprojekt[4]

Die Kunst liegt im Weglassen. Ein Mittelständler mit 500 Mitarbeitenden braucht kein Service Design Package — aber sehr wohl einen dokumentierten Change-Prozess.

Rollen und Entscheidungsrechte klären

Klare Rollen verhindern, dass IT-Governance zwischen Fachbereich, IT und Geschäftsführung hängen bleibt.
Abbildung 2: Klare Rollen verhindern, dass IT-Governance zwischen Fachbereich, IT und Geschäftsführung hängen bleibt.

Das häufigste Governance-Problem im Mittelstand: Niemand weiß, wer IT-Entscheidungen trifft[5]. Die Geschäftsführung entscheidet über ERP-Einführungen, aber wer genehmigt SaaS-Tools für 500 Euro im Monat?

Ein pragmatisches Modell:

  • Strategische Entscheidungen (>50.000€, architekturrelevant): Geschäftsführung + IT-Leitung gemeinsam
  • Taktische Entscheidungen (5.000–50.000€, projektbezogen): IT-Leitung mit Budget-Freigabe
  • Operative Entscheidungen (<5.000€, Tooling): Teams autonom mit Leitplanken (Sicherheits-Check, Datenschutz-Check)

Dokumentieren Sie diese Matrix auf einer einzigen Seite. Das allein löst die Hälfte aller Governance-Konflikte. Gartner empfiehlt, Entscheidungsrechte klar zu dokumentieren und über ein leichtgewichtiges IT-Steering-Committee zu verankern[5].

Governance im Mittelstand funktioniert nicht über Prozesshandbücher, die niemand liest. Sie funktioniert über klare Entscheidungsrechte, die jeder kennt — idealerweise auf einer Seite.

Die drei unverzichtbaren Prozesse

Wirksame Governance übersetzt Regeln in wiederholbare Entscheidungs- und Eskalationsprozesse.
Abbildung 3: Wirksame Governance übersetzt Regeln in wiederholbare Entscheidungs- und Eskalationsprozesse.

Statt alles zu formalisieren, fokussieren Sie auf drei Prozesse, die den größten Hebel haben[3]:

1. Change Management: Jede Änderung an Produktivsystemen folgt einem definierten Ablauf: Antrag → Bewertung → Genehmigung → Implementierung → Review. Kein Cowboy-Deployment am Freitagabend mehr. ITIL 4 unterscheidet zwischen Standard-, Normal- und Emergency-Changes — für den Mittelstand reicht oft eine Zwei-Stufen-Klassifizierung[3].

2. Demand Management: Wie kommen IT-Anforderungen aus den Fachbereichen in die IT? Ohne strukturierten Prozess gewinnt, wer am lautesten ruft — nicht, wer den größten Geschäftswert bringt.

3. IT-Risikomanagement: Vierteljährliche Bewertung der Top-10-IT-Risiken. Nicht als Compliance-Übung, sondern als echtes Steuerungsinstrument. Das BSI empfiehlt in seinem IT-Grundschutz-Kompendium einen risikobasierten Ansatz, der auch für den Mittelstand praktikabel ist[6]. Welche Risiken akzeptieren Sie bewusst? Welche adressieren Sie?

Governance messbar machen

Kennzahlen zeigen, ob Governance tatsächlich bessere Entscheidungen und weniger Reibung erzeugt.
Abbildung 4: Kennzahlen zeigen, ob Governance tatsächlich bessere Entscheidungen und weniger Reibung erzeugt.

Was nicht gemessen wird, wird nicht gesteuert[7]. Fünf Kennzahlen, die IT-Governance greifbar machen:

  • IT-Spend-Ratio: IT-Kosten als Prozentsatz vom Umsatz — Benchmark für Ihre Branche. Laut Gartner liegt der Median im Mittelstand je nach Branche zwischen 3 % und 6 % des Umsatzes[7]
  • Projekt-Liefertreue: Anteil der IT-Projekte, die in Budget und Zeit geliefert werden. Der Standish Group CHAOS Report zeigt, dass nur rund 31 % aller IT-Projekte planmäßig abgeschlossen werden[8]
  • Change-Erfolgsrate: Anteil der Changes ohne Incident — Ziel: über 95 %
  • Shadow-IT-Quote: Wie viele nicht-genehmigte Cloud-Dienste sind im Einsatz?
  • Geschäftszufriedenheit: Jährliche Befragung der Fachbereiche zur IT-Unterstützung

Starten Sie mit drei dieser Kennzahlen. Erheben Sie sie monatlich. Berichten Sie sie an die Geschäftsführung. Allein die Transparenz verändert das Verhalten.

Was das für Ihre IT-Strategie bedeutet

  1. Erstellen Sie eine einseitige Entscheidungsmatrix: Wer entscheidet was bei welchem Budget — und kommunizieren Sie sie an alle Beteiligten
  2. Implementieren Sie einen leichtgewichtigen Change-Management-Prozess für Produktivsysteme — ein Ticketsystem mit vier Pflichtfeldern reicht[3]
  3. Führen Sie vierteljährliche IT-Risiko-Reviews mit der Geschäftsführung ein — maximal eine Stunde, Top-10-Risiken auf einer Seite[6]
  4. Messen Sie drei Governance-KPIs ab sofort monatlich und machen Sie den Trend sichtbar
  5. Inventarisieren Sie Shadow-IT in Ihrem Unternehmen — Sie werden überrascht sein, wie viele ungenehmigt SaaS-Tools bereits im Einsatz sind

Quellen und Referenzen

  1. ISO/IEC: "ISO/IEC 38500:2024 — Information technology — Governance of IT for the organization", International Organization for Standardization, 2024.
  2. ISACA: "COBIT 2019 Framework — Governance and Management Objectives", ISACA, 2019. https://www.isaca.org/resources/cobit
  3. Axelos / PeopleCert: "ITIL 4 Foundation — IT Service Management", Axelos, 2019. https://www.axelos.com/certifications/itil-service-management
  4. ISO/IEC: "ISO/IEC 27001:2022 — Information security management systems — Requirements", International Organization for Standardization, 2022.
  5. Gartner: "How CIOs Can Establish Effective IT Governance in Midsize Enterprises", Gartner Research, 2023.
  6. BSI (Bundesamt für Sicherheit in der Informationstechnik): "IT-Grundschutz-Kompendium", BSI, 2024. https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/it-grundschutz_node.html
  7. Gartner: "IT Key Metrics Data — IT Spending and Staffing Benchmarks", Gartner Research, 2024.
  8. Standish Group: "CHAOS Report 2020 — Beyond Infinity", The Standish Group International, 2020.