Wir machen seit über zehn Jahren IT für Hamburger Mittelständler. Bei jedem neuen Kunden machen wir ein strukturiertes Audit — und sehen immer wieder dieselben Versäumnisse. Hier sind die zehn häufigsten Fehler, die wir 2026 antreffen, und wie sie sich beheben lassen. Keine theoretische Liste, sondern Realität aus über 100 Erstaudits.
Inhalt in Kürze
- Top-3-Versäumnisse 2026: ungetestete Backups (60 % der Fälle), fehlende Dokumentation (55 %), kein Notfallplan (50 %).
- Größtes Risiko: RAID-Probleme, die unbemerkt bleiben — bis die zweite Festplatte ausfällt.
- Schnellster Fix: Updates automatisieren, MFA aktivieren, Server in einen Wartungsplan aufnehmen.
- NIS2-Relevanz: 6 der 10 Punkte sind 2026 nicht mehr Empfehlung, sondern Pflicht.
1. Updates nicht installiert
Microsoft, Linux-Distributionen und Hardware-Hersteller veröffentlichen jeden Monat kritische Sicherheitsupdates. Die deutsche Wirtschaft verzögert Updates aus drei typischen Gründen: Angst vor Ausfällen, fehlende Test-Umgebung, „läuft doch”.
Was passiert, wenn Sie es nicht tun: Hacker scannen das Internet automatisiert nach veralteten Systemen. Das BSI meldet jeden Monat hunderte aktiv ausgenutzte Schwachstellen — Tendenz steigend.
Wie wir es lösen: Patch-Management mit N-Able oder Microsoft Intune. Updates werden zentral verteilt, zuerst auf Test-Geräte, dann nach Wartungsfenster auf Produktion. Wir testen jede kritische Patch-Welle, bevor sie in den Echtbetrieb geht. Mehr: Softwareupdates wichtig? Patch-Guide 2026.
2. Antivirus installiert — aber nicht überwacht
Der Virenscanner läuft. Aber: Sieht jemand, ob er aktuell ist? Funktioniert er noch? Ein Defender, der vor zwei Monaten von einer Schadsoftware deaktiviert wurde, schützt niemanden mehr.
Lösung: Microsoft Defender for Business im zentralen Portal überwachen. Tamper Protection aktivieren — Schadsoftware kann den Schutz dann nicht abschalten, auch nicht mit Admin-Rechten. Mehr: Microsoft Defender Antivirus für Unternehmen.
3. Datensicherung nie kontrolliert
Der absolute Klassiker. Ein Backup läuft seit 2018 — keiner schaut hin. Beim Restore-Test stellt sich heraus: Das NAS war zwei Jahre lang voll, neue Sicherungen gingen ins Nichts.
Lösung: Automatisches Monitoring der Backup-Jobs, Eskalation bei Fehlern, monatlicher Restore-Test mit Dokumentation. Mehr zur Backup-Architektur: Best Practices für sichere Datensicherung.
4. Backup falsch eingerichtet
Subtil aber tödlich. Server, Bandwechsler, Kabel — alles sieht professionell aus. Bei genauerem Hinsehen:
- System-State der Domain-Controller fehlt → Active Directory ist nach einem Crash weg.
- Die Datenbank der Warenwirtschaft wurde wegen „Fehlern beim Sichern” aus dem Job ausgeschlossen — seit Jahren.
- Microsoft 365 wird nicht gesichert, weil „Microsoft macht das doch”.
Lösung: Backup-Audit mit Application-Aware-Mechanik. Wir prüfen für jede produktive Anwendung: Was wird gesichert, und kann es zurückgespielt werden? Bei M365 zusätzlich Drittanbieter-Backup wie SkyKick. Mehr: SkyKick Backup für Microsoft 365.
Wir sehen es jede Woche: Backups, die seit Monaten nicht geprüft wurden. Alle denken, es läuft — bis der Ernstfall kommt und nichts wiederherstellbar ist. Deshalb testen wir Backups regelmäßig.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
5. Keine USV oder USV ungetestet
Eine Unterbrechungsfreie Stromversorgung überbrückt kurze Stromschwankungen und fährt Server bei Ausfall kontrolliert herunter. Wichtig: Die USV muss zur tatsächlichen Last passen.
Was wir oft sehen: Eine 1.000-VA-USV gekauft 2015 für einen Server. Heute hängen daran fünf Geräte plus Switch — die USV hält keine 30 Sekunden mehr.
Lösung: USV-Auslegung neu berechnen, Selbsttest aktivieren, Funktionstest jährlich (Stromstecker ziehen — hält die USV?). Akkus haben 3–5 Jahre Lebensdauer und müssen getauscht werden.
6. Keine Dokumentation
„Unser Admin weiß alles aus dem Kopf.” Funktioniert — bis er krank wird, das Unternehmen verlässt oder einen Konflikt mit der Geschäftsführung hat. Dann steht das Unternehmen ohne Wissen über die eigene IT da.
Lösung: Mindestens dokumentieren:
- Netzwerk-Plan: Switche, VLANs, Firewall-Regeln, Internet-Anbindung.
- Server-Übersicht: Welcher Server macht was, welche Software ist drauf, welche Lizenzen.
- Passwort-Tresor: verschlüsselt, aber im Notfall zugänglich (Bitwarden, 1Password).
- Dienstleister-Liste: Internet, Telefonie, Software-Hersteller — mit Vertrags-Nummern und Eskalations-Kontakten.
- Notfall-Plan: Was tun bei Cyberangriff, Stromausfall, Wasserschaden.
Mehr: EDV-Dokumentation Hamburg.
7. Kein Notfallplan
Was passiert, wenn der ERP-Server ausfällt? Wer ruft wen an? Wie lange darf es dauern, bis er wieder läuft? Wer informiert die Kunden? Wer den Datenschutzbeauftragten?
Lösung: Disaster Recovery Plan auf 5–10 Seiten — verständlich, getestet, jährlich aktualisiert. Inklusive Rollen, Eskalationswege, geschätzten Wiederherstellungszeiten und alternativen Arbeitsmöglichkeiten. Mehr: Disaster Recovery Plan erstellen.
NIS2 verlangt 2026 für viele Mittelständler einen dokumentierten Notfall-Plan. Geschäftsführer-Haftung bis 10 Mio. Euro oder 2 % des Umsatzes — persönlich. Wer keinen Plan hat, hat ein Problem, sobald die Aufsicht prüft.
8. Kein Care-Pack für Server
Server-Hardware fällt nicht oft aus — aber wenn doch, brauchen Sie Ersatz. Ohne Care-Pack vom Hersteller (HP, Dell, Lenovo, Fujitsu) warten Sie 1–3 Wochen auf Ersatzteile. Mit Care-Pack ist der Techniker am gleichen oder nächsten Werktag vor Ort.
Lösung: Bei jedem Server-Kauf ein 4- oder 5-Jahres-Care-Pack mit „Next Business Day Onsite” buchen. Im KMU-Maßstab kosten 4 Jahre erweiterter Service ca. 500–1.500 € — Versicherung gegen einen tagelangen Ausfall.
9. Ereignisfehler ignoriert
Im Windows-Eventlog stehen die wichtigsten Warnsignale: Festplattenfehler, Datenbank-Probleme, Authentifizierungsfehler. Schaut keiner hin, fließen die Probleme so lange, bis sie groß werden.
Lösung: Zentrales Monitoring mit N-Able oder PRTG, das Eventlogs sammelt und nur bei tatsächlichen Problemen alarmiert. Mehr: N-Able Monitoring und Professionelles IT-Monitoring.
10. RAID-Konflikt unbemerkt
RAID 1, 5 oder 6 schützt vor dem Ausfall einer einzelnen Festplatte. Wenn der Ausfall bemerkt wird. Geschieht der unbemerkt — was bei vielen Servern ohne Monitoring der Fall ist —, fällt eines Tages die zweite Platte aus. Dann ist alles weg.
Lösung: Server-Management-Tools des Herstellers installieren (HP iLO, Dell iDRAC, Fujitsu ServerView), in unser Monitoring einbinden, Eskalation bei jedem Hardware-Event.
Aus der Praxis: Wie ein Audit bei uns abläuft
Vier Schritte, die wir mit jedem neuen Mandanten gehen:
- Discovery (1 Woche): Wir scannen das Netzwerk, sammeln Daten zu Servern, Clients, Cloud-Diensten, Backup-Status.
- Audit-Workshop (1 Tag): Gemeinsam mit der Geschäftsführung sortieren wir Risiken nach Schwere und Aufwand.
- Sofort-Maßnahmen (1–2 Wochen): Updates, MFA, Backup-Test — die Schnellschüsse, die sofort schützen.
- Aufräum-Projekt (4–8 Wochen): Alle 10 Punkte systematisch abarbeiten, dokumentiert.
Mehr zum Vorgehen: 1-Stunden IT-Audit in Hamburg.
Ich habe neun IT-Häuser angeschrieben. Nur drei haben ein Angebot geschickt, das ich als Nicht-ITler verstanden habe. hagel IT war eins davon.
NIS2 — viele dieser Punkte werden Pflicht
Die NIS2-Richtlinie betrifft 2026 deutlich mehr Mittelständler als die alte NIS1. Sechs der zehn oben genannten Punkte sind nicht mehr Empfehlung, sondern Pflicht:
| Fehler | NIS2-Pflicht |
|---|---|
| 1. Updates nicht installiert | Patch-Management dokumentiert |
| 3./4. Backup-Probleme | Backup-Konzept + Restore-Tests |
| 6. Keine Dokumentation | IT-Sicherheitskonzept |
| 7. Kein Notfallplan | Business-Continuity-Plan |
| 9. Ereignisfehler | kontinuierliches Monitoring |
| 10. RAID-Probleme | Schutz vor Verfügbarkeitsverlust |
Mehr: NIS2-Beratung Hamburg und NIS2 & Compliance Hamburg.
Externe Quellen
- BSI Lagebericht zur IT-Sicherheit — Aktuelle Bedrohungslage in Deutschland.
- Bitkom: ITK-Markt Deutschland 2026 — Markt- und Investitionszahlen.
Fazit — Aufräumen ist machbar
Die typische IT eines Hamburger Mittelständlers hat 4–7 dieser zehn Fehler — egal wie engagiert die internen Mitarbeiter arbeiten. Das ist keine Schande, sondern Realität: IT ist komplex, KMU-Ressourcen sind knapp. Wichtig ist die Konsequenz, mit der die Fehler systematisch abgearbeitet werden.
Wir sind ein Hamburger IT-Systemhaus mit 32 Spezialisten, das seit über 20 Jahren genau diese Aufräumprojekte begleitet. Mehr zu unseren Leistungen: Managed IT-Services Hamburg. Sie wollen wissen, wo Sie stehen? Rufen Sie uns unter 040 284 10 26-0 an oder schreiben Sie uns kurz — wir sortieren in 15 Minuten den Status und nennen die nächsten drei Schritte.
