Inhalt in Kürze
- Eine IT-Bestandsaufnahme dauert in einem KMU mit 10 bis 30 Arbeitsplätzen drei bis vier Wochen und kostet zum Festpreis zwischen 2.500 und 4.500 Euro
- Sie liefert drei harte Ergebnisse: vollständiges IT-Inventar, IST-Bericht mit Risiken, SOLL-Konzept mit Budget-Plan für die nächsten 12 bis 24 Monate
- Methodisch lehnen wir uns an die BSI-Strukturanalyse an, kürzen sie aber für KMU pragmatisch ein
- Für NIS-2-betroffene Unternehmen, Cyber-Versicherungen und beim Wechsel des IT-Dienstleisters ist eine aktuelle IT-Bestandsaufnahme heute Voraussetzung — keine Kür mehr
Die Frage, die wir in fast jedem Erstgespräch hören: “Wir wollen unsere IT mal richtig auf den Tisch legen — wo fangen wir an?” Die ehrliche Antwort: bei der IT-Bestandsaufnahme. Bevor irgendjemand über Cloud-Migration, neue Firewall oder Microsoft 365 redet, braucht es eine belastbare IST-Aufnahme. Sonst diskutieren Sie über Lösungen für Probleme, die Sie nicht kennen. Dieser Leitfaden zeigt, wie eine IT-Bestandsaufnahme 2026 strukturiert abläuft, was sie kostet und welches Ergebnis Sie erwarten dürfen.
Warum eine IT-Bestandsaufnahme 2026 zur Pflicht wird
Vor zehn Jahren war die IT-Bestandsaufnahme oft ein internes Projekt: Excel-Liste, Verantwortlicher in der IT, alle paar Jahre aktualisiert. Das reicht heute nicht mehr. Drei Entwicklungen machen die strukturierte Bestandsaufnahme 2026 unverzichtbar.
Erstens NIS-2. Die EU-Richtlinie verpflichtet betroffene Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz dazu, ihre IT-Risiken systematisch zu bewerten. Ohne aktuelles IT-Inventar gibt es keine belastbare Risikoanalyse — und ohne Risikoanalyse keine NIS-2-Compliance. Details und Schwellenwerte erklären wir in unserer NIS-2 Beratung Hamburg.
Zweitens Cyber-Versicherungen. Versicherer fordern seit 2024 dokumentierte Asset-Listen, MFA-Abdeckung, Backup-Konzepte und Patch-Management-Prozesse. Wer einen Antrag ohne aktuelle IT-Bestandsaufnahme abgibt, bekommt entweder keine Police oder zahlt 30 bis 60 Prozent Aufschlag. Im Schadensfall haftet die Geschäftsführung persönlich, wenn keine geordnete IT-Dokumentation vorliegt.
Drittens IT-Strategie. Eine systematische Bestandsaufnahme erfasst alle IT-Komponenten — Hardware, Software, Netzwerk, Standorte, Cloud-Dienste, Lizenzen — und ist damit die Grundlage für jede sinnvolle Investitionsentscheidung. Wer ohne IST-Aufnahme über Cloud-Migration oder Konsolidierung redet, plant ins Blaue.
Viele KMU bestellen bei einem Wechsel des IT-Dienstleisters direkt eine "Übernahme" — der neue Dienstleister sichtet kurz die Systeme und legt los. Das geht in 80 Prozent der Fälle in den ersten sechs Monaten schief: Lizenzen, von denen niemand wusste, fallen aus dem Vertrag; Dokumentationen fehlen; alte Verträge laufen weiter. Die saubere Bestandsaufnahme vor dem Wechsel verhindert genau das.
IST-Aufnahme und SOLL-Konzept: zwei Dokumente, ein Plan
Begrifflich ist die IT-Bestandsaufnahme die Klammer um zwei Schritte. Die IST-Aufnahme dokumentiert den heutigen Zustand. Das SOLL-Konzept beschreibt den Zielzustand und den Weg dorthin. In der Praxis schreiben wir beides oft in einem Bericht — die Trennung in der Methodik bleibt aber wichtig, weil die Schritte unterschiedliche Logiken haben.
| Aspekt | IST-Aufnahme | SOLL-Konzept |
|---|---|---|
| Zeitlicher Bezug | Heute | 12 bis 24 Monate |
| Frage | Was ist? | Was soll sein? |
| Methode | Analyse, Inventarisierung | Bewertung, Priorisierung |
| Ergebnis | IT-Inventar + Risiko-Liste | Maßnahmen- und Budget-Plan |
| Wer entscheidet | Auditor (objektiv) | Geschäftsführung |
| Beweiskraft | Dokumentation für Compliance | Steuerungsinstrument |
Ein typisches Beispiel: In der IST-Aufnahme stellen wir fest, dass der zentrale Fileserver auf Windows Server 2016 läuft (Support-Ende war Januar 2027). Das ist ein Fakt. Im SOLL-Konzept steht dann die Empfehlung: Migration auf SharePoint Online im 3. Quartal 2026, Budget 8.000 bis 12.000 Euro inklusive Datenübernahme. Das ist eine Entscheidung — und die fällt die Geschäftsführung, nicht der Auditor.
Die fünf Phasen einer pragmatischen IT-Bestandsaufnahme
So läuft eine Bestandsaufnahme bei einem typischen Hamburger Mittelständler mit 25 Arbeitsplätzen ab. Wir haben das Vorgehen aus der BSI-Strukturanalyse abgeleitet und über 200 KMU-Projekte hinweg verschlankt — schwer genug, um belastbare Ergebnisse zu liefern; leicht genug, um in vier Wochen abgeschlossen zu sein.
- Erstgespräch und Scoping (60 bis 90 Minuten). Geschäftsführung, IT-verantwortliche Person und unser Consultant am Tisch. Wir klären den Anlass (Dienstleisterwechsel, NIS-2, Cyber-Versicherung, Modernisierung), die Detailtiefe und den Umfang. Wenn nur ein Teilbereich aufgenommen werden soll — etwa die Firewall-Infrastruktur vor einem Ersatz — fokussieren wir genau dort.
- Vor-Ort-Aufnahme durch den Techniker (2 bis 4 Tage). Wir kommen mit Vorlagen und Analyseprogrammen, katalogisieren das Netzwerk automatisiert und prüfen die Konfigurationen manuell. In dieser Phase sind wir minimal-invasiv — kein Eingriff ins Tagesgeschäft, keine Installation auf Produktivsystemen ohne Freigabe.
- Analyse und Aufbereitung im Office (1 bis 2 Wochen). Die Daten werden bei uns ausgewertet, intern besprochen, in eine ordentliche Form gebracht. Risiken werden bewertet (kritisch / hoch / mittel / niedrig), Verbesserungspotenziale identifiziert, Handlungsempfehlungen formuliert.
- Risiko-Assessment und SOLL-Konzept (3 bis 5 Tage). Aus den IST-Daten leiten wir das SOLL-Konzept ab. Welche Systeme sind End-of-Life? Wo bestehen Compliance-Lücken? Welche Maßnahmen schließen die größten Risiken mit dem kleinsten Aufwand? Ergebnis: Maßnahmen- und Budget-Plan für die nächsten 12 bis 24 Monate.
- Präsentation und Workshop (halber Tag). Wir setzen uns wieder mit Ihnen zusammen. Sie bekommen die schriftlich ausgearbeiteten Unterlagen, wir gehen sie gemeinsam durch und priorisieren die Maßnahmen. Anschließend ist klar, was sofort passiert, was im Quartal kommt und was im nächsten Geschäftsjahr.
Was am Tag der Vor-Ort-Aufnahme genau passiert
Damit Sie nicht im Nebel stochern, hier ein realer Tagesablauf bei einer Aufnahme in einem Architekturbüro mit 18 Arbeitsplätzen:
08:30 Uhr — Begrüßung, Kurzbesprechung mit der IT-verantwortlichen Person, Zugangsdaten für die Server-Umgebung und die Firewall werden bereitgestellt.
09:00 bis 12:00 Uhr — Automatischer Netzwerkscan mit unserem Aufnahme-Tool. Erfasst werden alle Geräte im Netz: Server, Clients, Drucker, Switches, Firewall, VoIP-Geräte. Parallel: Auslesen der Active-Directory-Struktur, Erfassung der Benutzer und Gruppen, Dokumentation der Berechtigungen.
12:30 bis 14:00 Uhr — Mittagspause, Interview mit der Geschäftsführung (45 Minuten): Was läuft gut? Was nervt? Welche Branchensoftware ist geschäftskritisch? Welche Compliance-Vorgaben gelten?
14:00 bis 17:00 Uhr — Konfigurations-Review der Kernsysteme. Microsoft 365 (MFA-Abdeckung, Admin-Rollen, Conditional Access), Firewall-Regeln, Backup-Konfiguration, USV-Status, Patchstand der Server, Virenschutz auf allen Endgeräten.
17:00 Uhr — Kurzes Abschlussgespräch mit der IT-verantwortlichen Person. Erste Auffälligkeiten (z. B. fehlende MFA für drei Admin-Accounts, ungesicherte RDP-Freigabe) werden direkt benannt — ohne Wertung, als Sachstand.
Das alles in einem Tag. Bei größeren Umgebungen oder mehreren Standorten verteilt sich das auf zwei bis vier Tage.
Die zehn Bereiche einer vollständigen IT-Bestandsaufnahme
Eine belastbare Bestandsaufnahme deckt zehn Themenfelder ab. Wir arbeiten mit Vorlagen, die wir in über 200 Projekten verfeinert haben — keine Excel-Bastelei, sondern strukturierte Aufnahmen, die später in jedem Audit standhalten.
| Nr. | Bereich | Was wir erfassen |
|---|---|---|
| 1 | Hardware | Server, Clients, Notebooks, Drucker, Kopierer, Switches, Firewall, USV-Systeme, Telefonanlage |
| 2 | Software & Lizenzen | Installierte Programme, Lizenz-Status, Wartungsverträge, Subscription-Laufzeiten |
| 3 | Cloud & Microsoft 365 | Tenant-Status, MFA-Abdeckung, Conditional Access, Lizenz-Verteilung, SharePoint/Teams-Struktur |
| 4 | Identitäten & Berechtigungen | Active Directory, Entra ID, Gruppen, Admin-Accounts, Service-Accounts, ehemalige Mitarbeiter |
| 5 | Netzwerk | LAN, WLAN, VLAN-Struktur, IP-Plan, Internet-Anbindungen, VPN, Standortvernetzung |
| 6 | Backup & Disaster Recovery | Backup-System, Aufbewahrungsfristen, Recovery-Tests, Offsite-Kopien, Recovery-Time-Ziele |
| 7 | Sicherheit | Firewall-Regeln, Endpoint-Protection, Patch-Management, Schwachstellenstand, IT-Notfallplan |
| 8 | E-Mail & Kommunikation | Mailserver/Microsoft 365, Smarthosts, Spam-Schutz, Verschlüsselung, Signatur-Management |
| 9 | Prozesse & Dokumentation | IT-Dokumentation, Onboarding/Offboarding, Change-Management, Wiederanlauf-Plan |
| 10 | Verträge & Lieferanten | Bestehende Verträge mit IT-Dienstleistern, SLAs, Hardware-Wartungsverträge, Cloud-Provider |
Aus diesen zehn Bereichen ergibt sich am Ende ein IT-Inventar, das wir in zwei Formaten ausliefern: eine technische Excel-Liste mit allen Geräten, Versionen und IP-Adressen sowie ein Management-Bericht mit den wichtigsten Erkenntnissen, Risiken und Empfehlungen.
"Die meisten Geschäftsführer unterschätzen, wie wichtig die saubere Trennung von IST und SOLL ist. Wer beides vermischt, redet über Wünsche statt über Fakten. Wir liefern erst die ungefilterte Realität — dann diskutieren wir Lösungen."
— Jens Hagel, Geschäftsführer hagel IT-Services GmbH Hamburg
Praxisbeispiel: hagel-IT-Cyber-Risikoanalyse als Einstieg
Für Unternehmen, die noch keine IT-Bestandsaufnahme gemacht haben, ist die Hürde oft psychologisch: “Wir wissen ja nicht mal, wo wir anfangen sollen.” Genau dafür haben wir die hagel-IT-Cyber-Risikoanalyse als kompakten Einstieg entwickelt — eine fokussierte Variante der Bestandsaufnahme, die in einer Woche ein klares Risikobild liefert.
- Tag 1: Online-Workshop (90 Minuten). Wir gehen mit der Geschäftsführung und der IT-verantwortlichen Person eine 60-Punkte-Checkliste durch — Hardware, Cloud, Sicherheit, Backup, Prozesse, Compliance. Selbstauskunft, ohne Druck, ohne Bewertung.
- Tag 2 bis 3: Technische Stichproben. Wir prüfen die wichtigsten Konfigurationen aus der Ferne: Microsoft-365-MFA-Abdeckung, Firewall-Grundkonfiguration, Backup-Status, Patch-Stand der Server. Kein vollständiges Audit, aber genug, um die Selbstauskunft zu validieren.
- Tag 4 bis 5: Risiko-Bewertung und Bericht. Wir clustern die Befunde nach Risiko-Stufe (kritisch / hoch / mittel / niedrig), schätzen die Umsetzungskosten und priorisieren nach dem Verhältnis Risikoreduktion/Aufwand.
- Tag 7: Präsentation und Entscheidung. Im Workshop mit der Geschäftsführung gehen wir die Top-10-Risiken durch und entscheiden gemeinsam: Sofort umsetzen, im Quartal angehen, im nächsten Geschäftsjahr planen — oder bewusst akzeptieren.
Die Cyber-Risikoanalyse ist kein Ersatz für die vollständige IT-Bestandsaufnahme, sondern der Einstieg. Viele Kunden buchen sie zuerst, weil sie schnell Klarheit schafft, ob die größeren Investitionen in eine vollständige Aufnahme überhaupt nötig sind. Eine ausführliche Fallstudie zur Risikoanalyse finden Sie in unserer Cyber-Risiko-Analyse Mittelstand.
Wenn Sie unter NIS-2 fallen, vor einem Dienstleisterwechsel stehen oder eine Cyber-Versicherung abschließen wollen: vollständige Bestandsaufnahme. Wenn Sie nur eine Standortbestimmung brauchen, ohne sofort zu entscheiden: Cyber-Risikoanalyse als Einstieg, danach bei Bedarf vollständige Aufnahme.
Kosten-Realismus: Was eine IT-Bestandsaufnahme wirklich kostet
Wir arbeiten ausschließlich zum Festpreis — keine Tagessätze, keine Überraschungen. Das geht, weil wir die Methode standardisiert haben und nach 200 Projekten ziemlich genau wissen, wie lange welches Format dauert.
Im Festpreis enthalten sind: Erstgespräch, Vor-Ort-Aufnahme, Analyse, schriftlicher Bericht (IST + SOLL), Präsentations-Workshop. Reise- und Hotelkosten außerhalb des Hamburger Großraums berechnen wir nach Aufwand. Branchen-Spezifika (z. B. Erfassung von OT-Geräten in der Produktion oder Branchensoftware in einer Arztpraxis) erweitern den Scope und damit den Preis.
Was Sie nicht zahlen: für das Erstgespräch (15 bis 30 Minuten online), für die Festpreis-Kalkulation, für die Risikoeinschätzung “lohnt sich das überhaupt?”. Wenn die Bestandsaufnahme bei Ihrem Unternehmen wenig Sinn macht, sagen wir es Ihnen. Erfahrungen unserer Kunden mit dem Vorgehen lesen Sie in unserer Fallstudie zum 1-Stunden-IT-Audit.
Wenn Sie selbst die Größenordnung Ihres IT-Budgets durchrechnen wollen, hilft Ihnen unser IT-Kosten-Kalkulator als erste Orientierung. Für Themen, die in der Bestandsaufnahme regelmäßig auf den Tisch kommen, lesen Sie auch unsere Hinweise zu IT-Kosten optimieren im Mittelstand und IT-Kosten senken in Hamburg.
Was Sie als Geschäftsführung vorbereiten sollten
Damit die Bestandsaufnahme reibungslos läuft und der Festpreis hält, helfen drei Vorbereitungen. Sie nehmen zusammen ungefähr eine Stunde Ihrer Zeit in Anspruch — sparen aber leicht einen halben Beratertag.
- Vertragsordner zusammenstellen. Alle aktuellen Verträge mit IT-Dienstleistern, Cloud-Providern, Software-Anbietern, Internet-Anbietern und Hardware-Wartungspartnern. Kopien reichen.
- Zugänge vorbereiten. Admin-Zugänge zu Microsoft 365, Active Directory, Firewall, Backup-System, Hypervisor (Hyper-V/VMware). Idealerweise als Lese-Zugang oder über einen separaten Audit-Account, der nach der Aufnahme wieder deaktiviert wird.
- Schmerzpunkte sammeln. Notieren Sie vor dem Erstgespräch fünf bis zehn Punkte, die in der IT regelmäßig nerven oder unklar sind: Druckerprobleme, langsame Systeme, ständige Passwort-Resets, ungeklärte Lizenz-Situation, fehlende Dokumentation. Diese Liste lenkt die Aufnahme auf das, was Ihnen wirklich wichtig ist.
Häufige Fehler bei der IT-Bestandsaufnahme — und wie wir sie vermeiden
Aus über 200 Projekten haben wir die typischen Stolpersteine gesammelt. Wenn Sie eine Aufnahme intern oder mit einem anderen Dienstleister machen lassen, prüfen Sie diese Punkte gezielt:
| Fehler | Auswirkung | Was wir anders machen |
|---|---|---|
| Keine klare Trennung IST/SOLL | Diskussion über Wünsche statt Fakten | Zwei separate Dokumente, klare Reihenfolge |
| Reine Excel-Liste ohne Bewertung | Daten ohne Interpretation, niemand handelt | Risiko-Bewertung pro Item, Priorisierung |
| Schatten-IT übersehen | Cloud-Dienste, die niemand kennt, gefährden Compliance | Mitarbeiter-Interviews + Network-Discovery |
| Lizenzen unvollständig | Compliance-Risiko bei Audits, Rechnungs-Überraschungen | Zentrale Lizenz-Datenbank-Abfrage + Stichprobe |
| Backup nicht getestet | Im Schadensfall stellt sich heraus: Restore klappt nicht | Test-Restore von Stichproben in der Aufnahme |
| Keine Dokumentations-Übergabe | Bestandsaufnahme verstaubt im Schrank | Aktive Übergabe als lebendes Dokument |
IT-Bestandsaufnahme zum Festpreis. Ergebnis in 4 Wochen.
15 Minuten Erstgespräch. Kostenlos. Ohne Vertriebsdruck.
Erstgespräch buchen →Die Bestandsaufnahme als Grundlage für gezielte IT-Entscheidungen
Eine IT-Bestandsaufnahme ist kein Selbstzweck. Sie ist der Hebel, mit dem Sie als Geschäftsführung die IT vom Bauchgefühl auf Fakten umstellen. Drei Beispiele aus dem letzten Jahr:
Hamburger Steuerberatungs-Kanzlei (12 Mitarbeiter). Die Bestandsaufnahme deckte auf, dass ein Server-Backup seit 14 Monaten nicht mehr funktionierte — niemand hatte die Fehlerprotokolle gelesen. Restore-Test im SOLL-Konzept zeigte, dass die wichtigsten Mandantendaten nicht wiederherstellbar waren. Sofort-Maßnahme: neues Backup-Konzept binnen zwei Wochen, Mehrkosten 4.200 Euro pro Jahr — gegen ein potenzielles Existenzrisiko.
Architekturbüro in Hamburg (24 Mitarbeiter). Die Aufnahme zeigte 18 unterschiedliche CAD-Lizenzen ohne klare Zuordnung, sechs davon doppelt bezahlt. Zugleich fehlten drei Lizenzen für aktive Nutzer — Compliance-Risiko bei der nächsten Hersteller-Prüfung. SOLL-Konzept: Lizenz-Konsolidierung, Einsparung 8.400 Euro pro Jahr, Risiko gleichzeitig adressiert.
Logistik-Unternehmen mit zwei Standorten (40 Mitarbeiter). Bestandsaufnahme dokumentierte, dass die Standortvernetzung über einen ungesicherten Site-to-Site-VPN-Tunnel mit veralteter Verschlüsselung lief. NIS-2 hätte das im Audit kassiert. Im SOLL-Konzept: Migration auf SD-WAN mit moderner Verschlüsselung, Budget 6.500 Euro Einmalkosten plus 280 Euro pro Monat — passender Zeitpunkt: vor dem nächsten ISP-Vertragsende in fünf Monaten.
Drei Branchen, drei Größen, drei unterschiedliche Risiken. Gemeinsam ist: Ohne strukturierte Bestandsaufnahme wäre keiner dieser Punkte rechtzeitig sichtbar geworden. Wer seine IT auf eine belastbare Grundlage stellen will, fängt bei der Aufnahme an. Was danach kommt — Managed IT Services, NIS-2-Compliance oder eine Cybersecurity-Optimierung — entscheiden Sie auf Basis der Fakten, nicht aus dem Bauch heraus.
Direkt in den Kalender oder erst rechnen?
Wenn Ihnen klar ist, dass eine IT-Bestandsaufnahme ansteht, buchen Sie das 15-minütige Erstgespräch. Wir besprechen Anlass, Umfang und Zeitrahmen, Sie bekommen innerhalb von zwei Werktagen ein Festpreis-Angebot. Wenn Sie zuerst die Größenordnung des IT-Budgets oder den Aufwand einer vollständigen Bestandsaufnahme abschätzen wollen, hilft Ihnen unser IT-Kosten-Kalkulator. Falls die Frage NIS-2-Betroffenheit im Raum steht, prüfen Sie zuerst mit dem NIS-2-Betroffenheits-Check, ob Ihr Unternehmen unter die Richtlinie fällt — das verändert Umfang und Dringlichkeit der Aufnahme deutlich.
Eine IT-Bestandsaufnahme ist keine Pflichtübung, sondern Ihre Versicherung gegen vermeidbare Überraschungen. Wer in den nächsten 12 Monaten Investitionsentscheidungen trifft, einen Dienstleister wechselt oder eine Cyber-Versicherung verlängert, sollte die Bestandsaufnahme vorne in der Reihenfolge haben — nicht hinten.
