Inhalt in Kürze
- IT-Lieferantenmanagement (Vendor Management) ist die systematische Auswahl, Steuerung und Absicherung aller externen IT-Anbieter — vom MSP über Microsoft-Reseller bis zum Internet-Provider.
- Ein KMU mit 30 Mitarbeitern hat typisch 8 bis 15 IT-Lieferanten. Genau dort entstehen Sicherheitslücken, Doppelkosten und Haftungsfragen.
- NIS-2 verpflichtet besonders wichtige und wichtige Einrichtungen nach § 30 BSIG zur Lieferketten-Absicherung — auch nicht direkt regulierte KMU werden über Vertragskaskaden erfasst.
- Das Festpreis-Modell ist Vendor-Vereinfachung in Reinform: ein Ansprechpartner, eine Rechnung, planbare Kosten — statt zehn Verträgen und überraschenden Stundensätzen.
Wenn Sie einen IT-Dienstleister in Hamburg suchen oder Ihr bestehendes Setup aufräumen wollen: Bei uns bekommen Sie genau das. 15 Minuten kostenfreies Erstgespräch — wir hören erst zu, bevor wir Vorschläge machen.
Warum IT-Lieferantenmanagement im Mittelstand zur Chefsache wird
Die meisten Geschäftsführer, mit denen wir reden, haben einen Stapel IT-Verträge irgendwo im Aktenschrank — und keine Übersicht, was eigentlich drinsteht. Telekom für die Leitung. 1&1 fürs Hosting. Ein Reseller für die Microsoft-Lizenzen. Ein anderer Anbieter für Antivirus. Plus der „IT-Mensch”, der alle drei Wochen vorbeikommt. Das ist kein Lieferantenmanagement — das ist Improvisation.
IT-Lieferantenmanagement (im englischen IT-Sprachgebrauch oft Vendor Management oder Supplier Management) ist der disziplinierte Prozess, externe IT-Anbieter auszuwählen, vertraglich zu binden, in ihrer Leistung zu überwachen und bei Bedarf zu wechseln. Klingt nach Konzern-Bürokratie. Ist aber gerade im Mittelstand entscheidend — aus zwei Gründen.
Erstens: Sicherheit. Laut BSI-Lagebericht 2025 ist die Zahl der täglich neu entdeckten Schwachstellen zwischen Juli 2024 und Juni 2025 um 24 Prozent gestiegen. Viele Angriffe laufen heute über die Lieferkette — kompromittierter Update-Server eines IT-Dienstleisters, geleakte Admin-Zugänge, Ransomware via Remote-Tool. Wer seinen IT-Lieferanten nicht im Griff hat, hat seine eigene IT nicht im Griff.
Zweitens: Compliance. Mit der NIS-2-Richtlinie und ihrer deutschen Umsetzung im NIS2UmsuCG sind Geschäftsführer persönlich haftbar — auch für Versäumnisse in der Lieferkette. § 30 BSIG verlangt explizit ein Cyber-Supply-Chain-Risk-Management.
Auch wenn Sie selbst nicht direkt unter NIS-2 fallen, betrifft Sie das Thema: Sobald Sie für ein reguliertes Unternehmen liefern, werden die NIS-2-Anforderungen vertraglich an Sie weitergereicht. Das gilt für jede IT-Bude, jeden Software-Lieferanten, jeden Cloud-Provider in der Kette.
Die typische IT-Lieferantenlandschaft eines KMU — und warum sie zu kompliziert ist
Wir machen jeden Monat Cyber-Risikoanalysen mit neuen Mandanten. Bevor wir auch nur einen Server anfassen, listen wir auf: Wer liefert hier eigentlich was? Das Ergebnis ist verlässlich. Bei einem Mittelständler mit 25 bis 50 Mitarbeitern stehen am Ende meistens diese Posten:
| Lieferanten-Typ | Beispiel | Was läuft schief |
|---|---|---|
| Internet-/WAN-Provider | Telekom, Vodafone, Wilhelm.tel | Verträge >24 Monate, niemand prüft Bandbreite |
| Microsoft-Reseller (CSP) | Cloud Solution Provider | Lizenzen wachsen, niemand räumt ungenutzte raus |
| Antivirus / EDR | Bitdefender, SentinelOne | Eigener Vertrag statt MSP-Bundle |
| Backup-Provider | Veeam Cloud, Acronis | Tests werden nicht protokolliert |
| Hardware-Lieferant | Lokaler Händler | Keine Beschaffungsrichtlinie, Wildwuchs |
| Drucker-Service | Toner-Vertrag, Wartung | Eigene Rechnungslogik, oft überteuert |
| Branchensoftware | DATEV, RA-Micro, Branchen-ERP | Wartungsvertrag separat, Schnittstellen ungeprüft |
| Telefonie / VoIP | Cloud-PBX | Telefonie noch nicht in Microsoft Teams integriert |
| IT-Dienstleister vor Ort | Lokaler MSP | Reine Stundenabrechnung, keine SLAs |
| Webhoster / Domain | Strato, Ionos | Inhaber-Daten nicht aktuell, Risiko Domain-Verlust |
Pro Lieferant: ein Ansprechpartner (im besten Fall), eine Rechnung, ein Vertragstext, eine Kündigungsfrist. Mal ehrlich: Wer in Ihrem Unternehmen pflegt diese Liste? Und wann wurde sie zuletzt aktualisiert?
Wir sehen es jede Woche bei Neukunden: Backup-Provider seit fünf Jahren, niemand hat je geprüft, ob die Wiederherstellung funktioniert. Microsoft-Lizenzen für Mitarbeiter, die längst gekündigt haben. Hardware vom Cousin des Schwagers, ohne Wartungsvertrag. Wenn dann der Ernstfall kommt — Ransomware, Server-Crash, Insolvenz des Dienstleisters — wird daraus ein Unternehmensrisiko.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
Vendor-Auswahl: So finden Sie den richtigen IT-Lieferanten
Die wichtigste Lieferantenbeziehung im IT-Bereich ist die zu Ihrem zentralen IT-Dienstleister — dem Managed Service Provider oder Systemhaus, das den Großteil Ihrer IT-Landschaft betreut. Wenn der sitzt, sitzt 70 Prozent. Stimmt der nicht, helfen die anderen Verträge auch nicht.
Die 7 Auswahlkriterien für einen IT-Hauptlieferanten
- Wirtschaftliche Stabilität. Mindestens fünf Jahre am Markt, mehr als zehn Mitarbeiter, transparente Eigentümerstruktur. Eine One-Man-Show ist ein Single-Point-of-Failure — egal wie sympathisch der Inhaber ist.
- Erreichbarkeit und Reaktionszeit. Vertraglich zugesicherte Helpdesk-Zeiten plus konkrete Reaktionszeiten. Nicht „so schnell wie möglich", sondern „4 Stunden im Major-Incident, 1 Werktag im Normal-Ticket".
- Festpreis-Modell. Stundensätze sind Fehlanreize. Bei Festpreisen haben Sie und der Anbieter das gleiche Interesse: dass alles funktioniert.
- Sicherheits- und Compliance-Reife. Eigene ISO-27001- oder vergleichbare Zertifizierungen wären ideal — oder zumindest dokumentierte technisch-organisatorische Maßnahmen nach DSGVO Art. 32 und NIS-2-Bereitschaft.
- Dokumentationsdisziplin. Verlangen Sie ein Beispiel einer Kunden-IT-Dokumentation. Wenn der Anbieter da herumdruckst, sagt das alles.
- Skalierbarkeit. Was passiert, wenn Sie von 30 auf 80 Mitarbeiter wachsen? Welche Standorte können bedient werden? Verbund-Modelle wie der [iTeam-Verbund](/it-dienstleister/systemhaus-verbund "Systemhaus-Verbund iTeam") sind oft ein gutes Zeichen.
- Branchen-Erfahrung. Ein IT-Dienstleister, der schon eine [Anwaltskanzlei](/branchen/rechtsanwaelte "IT-Dienstleister für Rechtsanwälte & Kanzleien") oder einen [Logistiker](/branchen/logistik "IT-Dienstleister für Logistik & Spedition") betreut, kennt Ihre Compliance-Anforderungen.
Drei Anbieter, ein Workshop, eine Entscheidung
Holen Sie nicht zehn Angebote ein — das frisst Zeit und alle sehen am Ende gleich aus. Drei Anbieter, jeweils ein Vor-Ort- oder Video-Workshop von 60 bis 90 Minuten, danach Angebot mit konkretem SLA. So machen es unsere Mandanten — und so haben sie auch uns ausgewählt.
NIS-2 und die Lieferkette: Was Geschäftsführer ab April 2026 wissen müssen
Die NIS-2-Richtlinie ist das wichtigste Cybersecurity-Gesetz der EU für die nächsten Jahre — und sie verändert IT-Lieferantenmanagement grundlegend. § 30 BSIG verlangt von allen besonders wichtigen und wichtigen Einrichtungen ein Cyber-Supply-Chain-Risk-Management (C-SCRM). Konkret heißt das:
- Lieferanten-Klassifikation. Welche Anbieter haben Zugriff auf personenbezogene Daten, Kernsysteme oder Netzwerke? Diese werden als kritisch eingestuft und gesondert behandelt.
- Vertragliche Sicherheitsanforderungen. Konkrete Mindestmaßnahmen müssen in den Verträgen stehen — Patch-Management, Multi-Faktor-Authentifizierung, Incident-Reporting innerhalb 24 Stunden.
- Regelmäßige Prüfung. Audits oder Selbsterklärungen mindestens jährlich, bei kritischen Lieferanten häufiger.
- Notfall-Pläne. Was passiert, wenn der Lieferant ausfällt? Wer übernimmt? Wie kommen Sie an Ihre Daten?
- Geschäftsführer-Verantwortung. Die persönliche Haftung lässt sich nicht delegieren. Schulungen für die Leitungsebene sind Pflicht.
Auch wenn Ihr Unternehmen selbst nicht unter NIS-2 fällt: Sobald Sie für einen größeren Kunden arbeiten, der reguliert ist, werden die Anforderungen vertraglich an Sie kaskadiert. Sprich: Sie brauchen Antworten — auch dann. Wie konkret das in einer regulierten Industrie aussieht, zeigt unsere Vertiefung NIS2 Lieferkette Werften Kiel — inkl. typischer Fragebögen von tkMS, Lürssen & Co. und welche Nachweise Werft-Zulieferer wirklich liefern müssen.
Wer im Mittelstand früher anfängt, ist später nicht überrumpelt. Eine pragmatische NIS-2-Beratung schaut sich nicht nur Ihre eigene IT an, sondern explizit auch Ihre Lieferantenkette: Welche Verträge müssen ergänzt werden, welche Zertifikate brauchen Sie, welche Anbieter sind ein Problem.
SLAs und Vertragsbausteine: Was schriftlich stehen muss
Eine Lieferantenbeziehung ist nur so gut wie der Vertrag, der sie regelt. Die meisten IT-Verträge im Mittelstand sind alt, knapp, voller juristischem Standard-Bla — und sagen nichts über das, was im Krisenfall wirklich zählt. So sieht ein guter IT-Service-Vertrag aus:
| Baustein | Inhalt | Warum wichtig |
|---|---|---|
| Service-Level-Agreement (SLA) | Verfügbarkeit (z.B. 99,5 % im Monat), Reaktionszeit nach Priorität, Lösungszeit | Macht Erwartungen messbar — und einklagbar |
| Festpreis | Pro Arbeitsplatz und Monat, alles drin | Planbar, keine bösen Überraschungen |
| Eskalationsprozess | Namentlich benannte Eskalations-Stufen mit Telefonnummer | Bei Krise weiß jeder, wen er anruft |
| Sicherheits-/Datenschutz-Anlage | TOM nach DSGVO Art. 32, NIS-2-Klauseln, AV-Vertrag | Compliance und Haftung |
| Datenherausgabe & Exit | Was passiert mit Ihren Daten bei Vertragsende? In welchem Format? | Verhindert Daten-Geiselhaft |
| Kündigungsfrist | 3–6 Monate, einvernehmliche Verlängerung | Realistisches Wechselfenster |
Die [BSI Empfehlungen zu C-SCRM](https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/NIS-2/nis-2-lieferkette-onepager.pdf?__blob=publicationFile&v=6 "BSI: NIS-2 Sichere Lieferkette — Onepager (PDF)") sind als kostenloser Onepager verfügbar. Wir nutzen ihn als Checkliste, wenn wir die Lieferantenverträge unserer Mandanten durchgehen — das spart Zeit und ist behördenkonform.
Internationale Standards wie ITIL 4 Supplier Management sind für KMU oft Overkill, liefern aber den begrifflichen Rahmen, an dem sich auch professionelle Mittelstands-MSPs orientieren. Sie müssen es nicht zertifizieren — Sie müssen es verstehen können.
Festpreis-Modell als Vendor-Vereinfachung: Ein Ansprechpartner, eine Rechnung
Wir hatten bei einer Hamburger Spedition mit 15 Mitarbeitern genau diese Diskussion. Der Geschäftsführer sass mit einem Stapel von acht IT-Verträgen vor uns: Internet, Cloud-Telefonie, Microsoft 365, lokaler IT-Dienstleister auf Stundenbasis, Backup-Hoster, Antivirus-Lizenzen direkt vom Hersteller, Drucker-Wartung, Branchensoftware-Wartung. Pro Monat zwischen 800 und 4.200 Euro IT-Kosten — je nachdem, wie viele Stunden der „IT-Mensch” abrechnete. Frust pur.
Ein Ansprechpartner, eine Rechnung, alles drin. Keine zehn verschiedenen Verträge, keine Überraschungen. Das ist alles, was wir wollen.
Genau das ist das hagel-IT-Modell — und die einfachste Form von Lieferanten-Vereinfachung im Mittelstand: Wir bündeln Microsoft-Lizenzen, Antivirus, Backup, Helpdesk, Patch-Management und Hardware-Beschaffung in einem Festpreis pro Arbeitsplatz und Monat (Stand 2026 ab etwa 50 Euro). Was übrig bleibt, sind drei statt acht Verträge: Internet (bleibt beim Provider), Branchensoftware (bleibt beim Spezialisten), und wir.
Was Sie damit gewinnen
- Planbare Kosten. Pro Mitarbeiter pro Monat. Aus.
- Eine Verantwortlichkeit. Wenn der Drucker nicht druckt, weil das Netzwerk Ärger macht und Microsoft 365 sich beschwert — Sie rufen eine Nummer an. Kein Finger-Pointing zwischen drei Lieferanten.
- Einheitliches Sicherheitsniveau. Alle Komponenten werden vom gleichen Team patched, gemonitort, gehärtet. Keine vergessene Insel.
- Compliance gebündelt. Ein Auftragsverarbeitungsvertrag, eine TOM-Liste, eine NIS-2-Selbsterklärung — wir kümmern uns um die Compliance-Doku Ihrer eigenen IT-Kette.
- Keine Doppelkosten. Wir sehen oft Lizenzen, die sich überschneiden — etwa Microsoft Defender plus Drittanbieter-Antivirus plus EDR aus einem dritten Bundle. Bündelung räumt das auf.
Pflege starker Lieferantenbeziehungen: Quartal für Quartal
Auswählen ist das eine. Pflegen ist das andere — und im Lieferantenmanagement das, woran die meisten KMU scheitern. Gute Lieferantenbeziehungen entstehen nicht durch ein einmaliges Vertragsfest, sondern durch wiederkehrende, kurze Routinen.
Der Vendor-Quarter: 90-Minuten-Termin alle drei Monate
Wir machen mit unseren Mandanten alle drei Monate einen kurzen Strategie-Termin — meist mit dem Geschäftsführer und (falls vorhanden) der internen IT. Nicht über jedes Ticket, sondern über das große Bild:
- Risiko-Update. Was hat sich seit dem letzten Quartal verändert? Neue Mitarbeiter, neue Standorte, neue Compliance-Anforderungen?
- SLA-Review. Wurden die Reaktionszeiten gehalten? Gab es Tickets, die zu lange offen waren? Was läuft gut?
- Lizenz- und Kosten-Check. Welche Lizenzen sind ungenutzt? Welche Verträge laufen ab? Wo gibt es Optimierungspotenzial?
- Roadmap nächstes Quartal. Welche Projekte stehen an? Worauf bereitet sich Ihre Branche vor (z.B. NIS-2, neue DSGVO-Auslegung, Microsoft-Lizenz-Änderung)?
So wird IT zur Chefsache, ohne dass der Geschäftsführer sich im Detail verlieren muss. Und so bleiben Lieferantenbeziehungen lebendig, statt im Vertragsschrank einzustauben.
Was Sie selbst regelmäßig prüfen sollten
Auch ohne externen IT-Dienstleister sollten Sie als Geschäftsführer einmal im Quartal eine 30-Minuten-Aufgabe machen: Liste aller IT-Lieferanten ausdrucken, durchgehen, drei Fragen pro Lieferant beantworten:
- Erreicht uns hier noch jemand? (Ansprechpartner namentlich, Telefonnummer, E-Mail aktuell?)
- Stimmt die Leistung? (Reaktionszeit, Tickets im Backlog, Beschwerden im Team?)
- Stimmt der Preis? (Vergleich mit Marktpreis, Skalierung an Mitarbeiterzahl angepasst?)
Wenn an einem Lieferanten zwei der drei Fragen mit „nein” beantwortet werden — das ist Ihre Eskalation. Erst Gespräch, dann Wechselplanung.
Wann Sie einen IT-Lieferanten wechseln sollten — und wie
Wir bekommen die meisten Anfragen von Geschäftsführern, die an einem dieser Punkte sind: Der bestehende IT-Dienstleister meldet Insolvenz an. Die Reaktionszeiten verschlechtern sich seit einem Jahr. Oder die One-Man-Show wird krank, geht in Rente — und die ganze IT-Doku liegt in einem nicht beschrifteten Ordner auf einem alten USB-Stick.
Wir hatten 24 Jahre lang denselben IT-Dienstleister — bis er plötzlich Insolvenz angemeldet hat. Von einem Tag auf den anderen standen wir ohne Support da. Seitdem wissen wir: Man braucht einen Partner, der stabil aufgestellt ist.
7 Warnsignale für einen Lieferanten-Wechsel
- Reaktionszeiten verschlechtern sich. Tickets bleiben tagelang unbearbeitet, früher kam binnen Stunden eine Antwort.
- One-Man-Show. Wenn nur eine Person erreichbar ist und im Urlaub niemand übernimmt — Risiko zu hoch.
- Schwankende Rechnungen. Mal 200 Euro, mal 2.000. Ohne nachvollziehbare Erklärung. Festpreis-Modell weigert sich.
- Keine IT-Dokumentation. Wenn Sie nicht ohne den Dienstleister wissen, was wo läuft, wer welche Zugänge hat — Daten-Geiselhaft.
- Keine Backup-Tests. Wenn der Anbieter keine schriftlichen Wiederherstellungs-Tests vorzeigen kann — alles auf Sand gebaut.
- Compliance-Drücker. DSGVO-Anfragen, NIS-2-Vorbereitung, AV-Vertrag werden ausweichend beantwortet.
- Lizenz-Chaos. Sie wissen nicht mehr, welche Lizenz Sie wofür bezahlen.
Mehr Hintergrund dazu im ausführlichen Artikel zu IT-Dienstleister wechseln – 7 Warnsignale und im Erfahrungsbericht aus einer Hamburger Spedition, die genau diesen Wechsel mit uns gegangen ist.
Wechsel-Fahrplan in vier Phasen
- Phase 1 — Bestandsaufnahme (2 Wochen): Alle bestehenden IT-Verträge sammeln, Zugangs- und Lizenzlisten beim alten Dienstleister anfordern (vertraglich gesichert!), aktuelles Backup-Konzept verstehen.
- Phase 2 — Auswahl und Onboarding (4–6 Wochen): Drei Anbieter-Workshops, Entscheidung, Onboarding-Workshop, Risikoanalyse durch den neuen Dienstleister.
- Phase 3 — Migration (4–8 Wochen): Übergabe der Zugänge, Aufbau der Monitoring- und Backup-Strukturen, Schulung der Mitarbeiter, parallele Phase mit altem Dienstleister.
- Phase 4 — Stabilisierung (3 Monate): Erste Quartalsmeetings, Feinjustierung der SLAs, Aufräumen der Lizenzen, Compliance-Doku abschließen.
Realistisch sind drei bis sechs Monate für einen sauberen Wechsel. Wer das beschleunigen will, riskiert Datenverluste oder Sicherheits-Lücken — beides teurer als ein Quartal länger Geduld.
Aus der Praxis: Drei typische Vendor-Probleme — und was wir daraus gelernt haben
Fall 1: 100 GB ungenutzte Microsoft-Lizenzen
Ein Architekturbüro in Hamburg-Eppendorf, 18 Mitarbeiter. Bei der Cyber-Risikoanalyse fiel auf: 31 Microsoft-365-Lizenzen aktiv, davon 13 für Mitarbeiter, die seit über einem Jahr nicht mehr im Unternehmen waren. Plus drei Lizenz-Bundles, die niemand verstand — gekauft vor fünf Jahren von einem Reseller, der inzwischen pleite war. Aufräumen sparte gut 4.800 Euro pro Jahr. Lehre: Lizenz-Verträge gehören quartalsweise auf den Tisch, nicht „läuft schon”.
Fall 2: Backup-Provider ohne Restore-Test
Eine Spedition in der Hamburger HafenCity, 22 Mitarbeiter. Backup-Anbieter seit acht Jahren, monatliche Rechnung pünktlich, „läuft alles”. Beim Restore-Test im Rahmen unserer Übernahme: 60 Prozent der Backups waren unvollständig, niemand hatte je gemerkt — weil niemand je getestet hatte. Lehre: Ein Backup, das nicht regelmäßig wiederhergestellt wird, ist kein Backup. Verträge müssen Test-Pflichten enthalten.
Fall 3: Insolvenz des Hauptdienstleisters
Ein Medizintechnik-Mittelständler, 35 Mitarbeiter, 24 Jahre denselben IT-Partner — One-Man-Show. Anruf an einem Mittwoch: „Mein Anwalt sagt, ich muss Insolvenz anmelden.” Donnerstag: kein Support mehr. Wir übernahmen mit 24-Stunden-Notfall-Onboarding. Lehre: Die wirtschaftliche Stabilität des Lieferanten ist Compliance, nicht „Soft Skill”. Wer kein zweites Standbein hat — keine Mitarbeiter, keine Verbund-Mitgliedschaft —, ist ein Risiko.
Fazit: IT-Lieferantenmanagement ist Risikomanagement
Wer im Mittelstand IT-Lieferanten verwaltet, verwaltet operative Risiken. Ausfälle, Cyberangriffe, Compliance-Verstöße, Doppelkosten — all das beginnt in der Lieferkette. Drei Hebel, die jeden Geschäftsführer sofort weiterbringen:
- Liste machen. Wer sind unsere zehn größten IT-Lieferanten? Welche Verträge, welche Ansprechpartner, welche Kosten?
- Festpreis bündeln. Mindestens den Helpdesk- und MSP-Bereich in einen Festpreis-Vertrag mit einem Hauptdienstleister konsolidieren.
- Quartalsroutine etablieren. 90 Minuten pro Quartal mit dem Hauptdienstleister — Risiko, SLA, Kosten, Roadmap.
Wenn Sie in Hamburg, Bremen, Kiel oder Lübeck sitzen und genau diese Schritte gehen wollen: Wir machen das jeden Tag. Bringen Sie Ihre IT-Vertragsmappe mit — wir sortieren mit Ihnen durch und sagen ehrlich, wo Sie stehen.
IT-Lieferanten im Griff — oder im Stau?
15 Minuten. Kostenlos. Ihre IT-Vertragslandschaft — ehrlich bewertet.
Erstgespräch buchen →
