Inhalt in Kürze
- EDV-Dokumentation ist seit Dezember 2025 NIS-2-Pflicht für rund 29.500 Unternehmen in 18 kritischen Sektoren — auch viele Hamburger KMU sind betroffen
- Im Notfall entscheidet die Dokumentation, ob Sie in Stunden oder Tagen wieder produktiv sind — bei einem Hamburger Sanitärbetrieb waren es 3 Monate Stillstand
- Mindestinhalt: Asset-Liste, Netzwerk-Plan, Berechtigungen, Backup-Konzept, Notfallhandbuch (BSI-Vorlage), Lieferanten — plus NIS-2-spezifische Zusätze
- Pragmatischer Einstieg: 3-5 Tage Aufwand für die Erstdokumentation, dann fortlaufende Pflege im Managed-IT-Betrieb
- Ohne Dokumentation: keine ISO 27001, keine günstige Cyber-Versicherung, persönliche Haftungs-Risiken für die Geschäftsführung
Beim Einsatz großer und kleiner IT-Netze in Unternehmen und Behörden zählt nicht nur die technische Ausführung — entscheidend ist die strukturierte technische Dokumentation. Nur über eine solche EDV-Dokumentation lassen sich alle Änderungen innerhalb der IT jederzeit nachvollziehen, transparent kommunizieren und im Ernstfall reproduzieren. 2026 ist das keine Frage der Sorgfalt mehr. Es ist Pflicht — gesetzlich, vertraglich und praktisch.
Wir sehen das in Hamburg jede Woche: Übernahme-Mandate, bei denen niemand mehr weiß, wo der Server steht oder welche IP-Range das Gäste-WLAN hat. Das ist kein technisches Problem, sondern ein Geschäftsführer-Risiko. Dieser Artikel zeigt, was in eine ordentliche EDV-Dokumentation gehört, wie NIS-2 die Anforderungen verschärft hat und wie Hamburger KMU pragmatisch starten.
Was ist EDV-Dokumentation eigentlich?
EDV-Dokumentation (heute meist „IT-Dokumentation” genannt) ist die strukturierte Erfassung aller IT-Komponenten, Prozesse, Verantwortlichkeiten und Verträge eines Unternehmens. Sie umfasst typischerweise:
- Asset-Inventar — alle Geräte (Server, Clients, Drucker, Switche, Firewalls), Software-Lizenzen, Cloud-Dienste
- Netzwerk-Topologie — Schaltplan mit IP-Bereichen, VLANs, Firewall-Regeln, VPN-Verbindungen
- Berechtigungs-Konzept — wer hat welche Zugriffe, wo werden Passwörter verwaltet, wie wird Zugriff entzogen
- Backup- und Wiederherstellungs-Konzept — was wird gesichert, wie oft, wo, wie lange aufbewahrt, wann zuletzt getestet
- Notfallhandbuch — wer ist im Ernstfall zu informieren, in welcher Reihenfolge, mit welchen Sofortmaßnahmen
- Lieferanten-Übersicht — alle IT-Dienstleister mit Vertragsdetails, Eskalationswegen, SLA-Verpflichtungen
- Datenschutz-Verzeichnis — Verarbeitungs-Verzeichnis nach Art. 30 DSGVO
Eine gute Dokumentation ist nicht statisch. Sie wird gelebt — bei jedem Server-Wechsel, jeder neuen Cloud-Anbindung, jeder Mitarbeiter-Veränderung. Sonst veraltet sie schnell und wird im Ernstfall wertlos.
NIS-2 macht Dokumentation zur Pflicht
Das NIS-2-Umsetzungsgesetz gilt seit Dezember 2025 ohne Übergangsfrist. Rund 29.500 deutsche Unternehmen in 18 kritischen Sektoren sind betroffen — auch viele Hamburger KMU aus Logistik, Maschinenbau, Gesundheitswesen, Lebensmittelproduktion und IT-Dienstleistung. Die Anforderungen an die Dokumentation:
- Asset-Transparenz. Vollständige Übersicht aller IT-Systeme, Software, Cloud-Dienste — als Grundlage für Risikomanagement.
- Risikoanalyse dokumentiert. Welche Bedrohungen bestehen? Welche Maßnahmen werden umgesetzt? Wer ist verantwortlich?
- Incident-Response-Prozess. Wer meldet was wann an wen? 24-Stunden-Erstmeldung an BSI muss reibungslos laufen.
- Schulungsnachweise. Geschäftsleitung und Mitarbeitende müssen Schulungen zur Cybersicherheit nachweisen können.
- Lieferanten-Bewertung. Welche Sicherheits-Standards garantieren unsere IT-Dienstleister, Cloud-Anbieter, Software-Lieferanten?
Bei NIS-2-Verstößen drohen Bußgelder bis 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes — plus persönliche Haftung der Geschäftsführung. Eine fehlende Dokumentation lässt sich im Audit nicht wegerklären. Mehr Details in unserer NIS-2-Beratung für Hamburger Unternehmen, und wer akut auf einen Termin zusteuert, findet die konkrete Beleg-Reihenfolge im Praxis-Fahrplan zur NIS2-Audit Hamburg.
Das Notfallhandbuch — Kern jeder Dokumentation
Im Ernstfall zählt eines: Können Sie in 30 Minuten reagieren oder brauchen Sie 3 Stunden, um die richtigen Telefonnummern zu finden? Das BSI hat eine offizielle Notfallhandbuch-Vorlage veröffentlicht — Pflichtlektüre für jeden, der ein eigenes Handbuch erstellt.
Pflichtinhalte eines KMU-Notfallhandbuchs:
- Eskalationskette mit Telefonnummern — Geschäftsführung, IT-Verantwortlicher, IT-Dienstleister, Datenschutzbeauftragter, Versicherung, Anwalt
- Sofortmaßnahmen bei typischen Vorfällen — Ransomware, Server-Ausfall, Datenverlust, Phishing-Klick, Mitarbeiter-Diebstahl
- Wiederanlauf-Reihenfolge — welche Systeme zuerst hochfahren, in welcher Abhängigkeit
- Externe Kommunikations-Regeln — wer informiert Kunden, Behörden, Presse?
- Krisen-Kommunikationskanal — wie kommuniziert das Team, wenn die normale E-Mail-Infrastruktur down ist?
Wir sehen es jede Woche: Backups, die seit Monaten nicht geprüft wurden. Alle denken, es läuft — bis der Ernstfall kommt und nichts wiederherstellbar ist. Deshalb testen wir Backups regelmäßig.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
Aus der Praxis: Was passiert ohne Dokumentation
Drei Monate lang konnten wir nicht arbeiten. Alles verschlüsselt — jedes Dokument, jede E-Mail, jede Rechnung. Seitdem weiß ich: IT-Sicherheit ist kein Luxus, sondern Überlebensfrage.
Drei Monate Komplettausfall. Bei einem Hamburger Sanitärbetrieb. Auslöser war ein Ransomware-Klick. Aber die wahre Tragödie war die fehlende Dokumentation: Niemand wusste, welche Server zu welchen Anwendungen gehörten. Welche Backup-Bänder zu welchem Datum. Welcher Cloud-Account von welchem Mitarbeiter angelegt worden war.
In einem unserer echten IT-Audits in Hamburg fanden wir bei einem Familienunternehmen 8 verschiedene Cloud-Accounts auf einem ehemaligen Mitarbeiter, der seit 4 Monaten nicht mehr da war. Eine strukturierte Dokumentations-Aufholjagd brachte erst die Wahrheit ans Licht.
Der pragmatische 4-Wochen-Aufbau
So gehen wir bei Hamburger Erstmandaten vor:
- Woche 1 — Bestandsaufnahme. Ein Techniker geht mit GF und IT-Verantwortlichem vor Ort durch alles durch. Server, Switch, Firewall, WLAN, Drucker, Cloud-Dienste. Mit Discovery-Tool im Hintergrund automatisch inventarisieren.
- Woche 2 — Dokumentation aufbauen. Asset-Liste, Netzwerk-Diagramm, Berechtigungs-Konzept, Backup-Plan. Wir nutzen IT-Glue oder Confluence — das Format ist weniger wichtig als die Vollständigkeit.
- Woche 3 — Notfallhandbuch. Eskalationskette, Sofortmaßnahmen, Wiederanlauf-Reihenfolge. BSI-Vorlage als Basis, an die KMU-Realität angepasst.
- Woche 4 — Test. Wir simulieren einen Ausfall. Wer wird angerufen? Wo liegt das aktuelle Backup? Funktioniert der Restore? Was fehlt im Handbuch? Lessons Learned eingearbeitet.
Tools: Welche Dokumentations-Lösung passt?
Nicht jedes KMU braucht eine professionelle CMDB:
| KMU-Größe | Empfohlenes Setup |
|---|---|
| Bis 25 Mitarbeitende | Confluence oder OneNote + Excel-Asset-Liste + Bitwarden für Passwörter |
| 25-100 Mitarbeitende | IT-Glue oder Docusnap (CMDB mit Auto-Discovery), zentrale Dokumentation |
| >100 Mitarbeitende oder regulierte Branche | ServiceNow, Jira Service Management oder vollständige IT-Glue-Implementierung |
Bei deutschen KMU sehen wir Docusnap und IT-Glue am häufigsten. Beide haben Auto-Discovery (sie scannen das Netz und tragen Geräte ein), beide pflegen eine CMDB. Docusnap ist deutscher, IT-Glue international und bei Managed Service Providern verbreitet.
Egal welches Tool — entscheidend ist die Pflege-Disziplin. Wir setzen bei jedem Hamburger Kunden eine Doku-Routine im Quartals-Review auf: 30 Minuten Vollständigkeits-Check, 30 Minuten Notfallhandbuch-Review, 30 Minuten Backup-Test. Das verhindert, dass die Doku nach 6 Monaten veraltet ist. Mehr zu den Risiken unzureichender Dokumentation.
EDV-Dokumentation und Cyber-Versicherung
Cyber-Versicherer fragen 2026 detailliert ab, was dokumentiert ist. Wer keine vorzeigbare EDV-Dokumentation hat, zahlt höhere Prämien — oder bekommt im Schadenfall keine Auszahlung. Typische Fragen im Versicherungs-Antrag:
- Existiert ein dokumentiertes Patch-Management mit definierten Reaktionszeiten?
- Liegt ein getestetes Backup-Konzept nach 3-2-1-Regel vor?
- Existiert ein Incident-Response-Plan mit Eskalationskette?
- Werden Schulungen für Geschäftsleitung und Mitarbeitende dokumentiert?
- Gibt es eine vollständige Asset-Inventur und Netzwerk-Dokumentation?
Wer hier ehrlich „Nein” antwortet, bekommt entweder keine Police oder muss Aufschläge zahlen. Wer „Ja” sagt, ohne es zu haben, riskiert im Schadenfall die Auszahlung.
EDV-Dokumentation Hamburg: Lokal hat Vorteile
Eine Bestandsaufnahme aus der Ferne ist möglich — aber unvollständig. Manche Schwachstellen sehen Sie nur, wenn jemand vor Ort ist:
- Server-Raum-Realität: Temperatur, Verkabelung, Zutrittskontrolle, USV-Funktion. Wir haben in Hamburg auch schon 38 °C im Sommer-Server-Raum vorgefunden.
- Switch-Schränke: Verkabelung, Beschriftung, ungenutzte Ports, Patchpanel-Sauberkeit.
- WLAN-Realität: Reicht es bis in die hintere Werkstatt? Welche fremden Geräte hängen im Gäste-WLAN?
- Drucker und IoT: Sind Drucker, Kameras, Sensoren im falschen Netz-Segment? Haben sie Default-Passwörter?
Genau deshalb sind wir mit dem IT-Service Hamburg-Standort direkt erreichbar — bei Bedarf in unter einer Stunde vor Ort.
Dokumentation als Teil des Managed-IT-Services
Bei Managed IT-Services aus Hamburg ist die EDV-Dokumentation Teil unseres Onboarding-Prozesses — kein Extra-Projekt, kein Aufschlag. Innerhalb der ersten 4-6 Wochen liegt eine vollständige IT-Doku vor: Asset-Inventur, Netzwerk-Plan, Notfallhandbuch, Lieferanten-Übersicht. Die Pflege läuft im Quartals-Review automatisch mit. Mehr dazu in unserem Artikel zur IT-Dokumentation als stärkstem Tool eines IT-Dienstleisters.
Keine aktuelle EDV-Dokumentation im Haus?
15 Minuten Erstgespräch. Wir schauen uns Ihre Lage an und sagen Ihnen, was als Erstes zu tun ist.
Termin buchen →Ihr nächster Schritt
Bringen Sie zum Termin grobe Eckdaten mit (Anzahl Server, Anzahl Mitarbeitende, ungefähre Cloud-Dienste). In 15 Minuten haben wir eine erste Einschätzung — und können sagen, ob ein 4-Wochen-Aufbau bei Ihnen reicht oder ob es mehr braucht.
