Du hast keinen Notfallzugang. Und dein Geschäft steht still, wenn jemand im Urlaub ist.

Es ist Freitagnachmittag. Dein wichtigster Kunde meldet sich mit einem dringenden Problem. Du brauchst Zugang zum Hosting, zum E-Mail-Server oder zur Datenbank. Aber die einzige Person, die das Passwort kennt, ist seit Montag auf Mallorca. Handy aus.

Du stehst da und kannst nichts tun. Nicht, weil das Problem unlösbar wäre. Sondern weil du schlicht nicht reinkommst. Kein Zugang, kein Workaround, kein Plan B. Dein Geschäft steht still, weil ein einziger Mensch die Schlüssel hat.

Das klingt nach einem Extremfall. Ist es aber nicht. In den meisten kleinen und mittelständischen Unternehmen, die ich in der Region rund um Neuss und Düsseldorf betreue, sehe ich genau dieses Problem. Nicht als Ausnahme. Als Regelfall.

Warum das Problem so verbreitet ist

Wenn ein Unternehmen gegründet wird, kümmert sich meistens eine Person um alles Technische. Das ist der Chef selbst, der IT-affine Mitarbeiter oder der Neffe, der sich mit Computern auskennt. Diese Person richtet Server ein, erstellt Konten, konfiguriert Software. Und speichert die Zugangsdaten dort, wo sie gerade hingehören. Im eigenen Kopf, auf einem Zettel in der Schublade oder in den gespeicherten Passwörtern des eigenen Browsers.

Solange diese Person jeden Tag im Büro sitzt, funktioniert alles. Niemand fragt nach den Zugangsdaten, weil niemand sie braucht. Die Abhängigkeit wächst unsichtbar. Jeden Tag ein bisschen mehr. Jedes neue Tool, jedes neue Konto, jede neue Konfiguration landet bei der gleichen Person.

Und dann kommt der Tag, an dem diese Person nicht da ist. Urlaub, Krankheit, Kündigung. Plötzlich merkst du, dass du keinen Zugang zu deinem eigenen Unternehmen hast. Zu deiner eigenen Domain, zu deinem eigenen Hosting, zu deinen eigenen Kundendaten. Das fühlt sich an wie ausgesperrt aus der eigenen Wohnung. Nur dass es nicht um eine Wohnung geht, sondern um deinen Umsatz.

Was ein fehlender Notfallzugang wirklich kostet

Lass uns mal rechnen. Dein Onlineshop geht offline, weil das SSL-Zertifikat abgelaufen ist. Die Zugangsdaten zum Hosting hat nur dein Freelancer, der gerade drei Wochen durch Asien reist. Bis du den Hoster kontaktiert, deine Identität nachgewiesen und neuen Zugang bekommen hast, vergehen im besten Fall zwei Tage. Im schlechtesten Fall eine Woche.

Bei einem Unternehmen mit 5.000 Euro Tagesumsatz im Onlineshop sind das 10.000 bis 35.000 Euro Verlust. Dazu kommen verärgerte Kunden, die vielleicht nie wiederkommen. Und das alles, weil niemand ein Passwort dokumentiert hat. Das ist kein theoretisches Risiko. Ich habe das in genau dieser Form bei einem Handelsunternehmen in Korschenbroich erlebt.

Aber es muss gar nicht der Onlineshop sein. Stell dir vor, euer E-Mail-System fällt aus und niemand kann es neustarten. Oder eure Buchhaltungssoftware braucht ein Update, aber nur eine Person kennt die Admin-Zugangsdaten. Jeder dieser Fälle kostet dich Geld. Entweder direkt durch verlorenen Umsatz oder indirekt durch Arbeitszeit, die für Notfall-Aktionen draufgeht.

Die typischen Ausreden und warum sie nicht halten

Ich höre oft den Satz: Das ist bei uns nicht so kritisch, der Kollege ist ja immer erreichbar. Immer erreichbar. Bis er es nicht ist. Menschen werden krank, ohne Vorwarnung. Menschen kündigen, manchmal von heute auf morgen. Menschen haben Unfälle. Das ist nicht pessimistisch. Das ist Realität.

Eine andere Ausrede: Wir haben ja alles bei Google, da kommt man immer ran. Das stimmt, solange du die Zugangsdaten zum Google-Konto hast. Wenn der Admin-Account auf die private E-Mail-Adresse eines ehemaligen Mitarbeiters läuft, kommst du an gar nichts ran. Google wird dir nicht helfen, nur weil du sagst, dass es dein Unternehmen ist. Der Nachweis dauert Wochen, manchmal Monate.

Und dann gibt es noch die Variante: Sicherheit ist uns wichtig, deshalb hat nur eine Person Zugang. Das klingt erstmal logisch. Weniger Personen, weniger Risiko. Aber das Gegenteil ist der Fall. Wenn nur eine Person Zugang hat, hast du keinen Notfallzugang. Du hast eine Einzelpunktabhängigkeit. Das ist das Gegenteil von Sicherheit. Das ist eine tickende Zeitbombe.

Welche Zugänge du jetzt sofort dokumentieren solltest

Fang mit den Systemen an, ohne die dein Geschäft sofort stillsteht. Das ist in der Regel dein E-Mail-System, deine Website und dein Hosting, dein Onlineshop (falls vorhanden), deine Buchhaltungssoftware und dein Bankkonto. Für jedes dieser Systeme brauchst du mindestens zwei Personen, die Zugang haben. Nicht optional. Pflicht.

Dann kommen die Systeme, die deinen Alltag am Laufen halten. Dein CRM, deine Projektmanagement-Tools, eure Cloud-Speicher, eure Telefonanlage. Auch hier gilt: Wenn nur eine Person den Admin-Zugang hat, hast du ein Problem, das nur noch nicht aufgefallen ist.

Vergiss auch die Systeme nicht, an die niemand denkt. Den Router im Büro, den Drucker mit dem Webinterface, die Alarmanlage, die über eine App gesteuert wird, den WLAN-Zugangscode. All das sind Zugänge, die im Alltag unsichtbar sind. Bis sie gebraucht werden. Dann sind sie plötzlich der Engpass, an dem alles hängt.

Mach eine Liste. Geh System für System durch und frag dich: Wer hat den Zugang? Wer hat ihn noch? Wo ist er dokumentiert? Wenn die Antwort auf diese Fragen ein Name und nur ein Name ist, hast du eine offene Flanke.

Wie ein Notfallzugang richtig funktioniert

Ein Notfallzugang bedeutet nicht, dass du alle Passwörter auf einen Zettel schreibst und in den Tresor legst. Das ist besser als nichts, aber nicht gut genug. Passwörter ändern sich. Zettel werden nicht aktualisiert. Nach sechs Monaten ist die Hälfte der Zugangsdaten auf dem Zettel veraltet.

Die professionelle Lösung ist ein Passwortmanager, der im Unternehmen eingesetzt wird. Tools wie Bitwarden, 1Password Business oder Keeper lassen dich Zugänge zentral verwalten. Du kannst festlegen, wer welche Zugangsdaten sehen darf. Du kannst Notfallkontakte hinterlegen, die im Ernstfall Zugriff bekommen. Und du hast eine automatische Historie, sodass du immer weißt, wann welches Passwort zuletzt geändert wurde.

Wichtig ist, dass der Passwortmanager selbst ebenfalls einen Notfallzugang hat. Das klingt nach einer Endlosschleife, aber die Tools haben dafür Lösungen. Bei 1Password gibt es einen Notfallkit mit einem gedruckten Wiederherstellungsschlüssel. Bei Bitwarden kannst du einen vertrauenswürdigen Notfallkontakt festlegen, der nach einer Wartefrist Zugang bekommt. Diese Mechanismen existieren. Du musst sie nur einrichten.

Warum ein Passwortmanager nicht reicht

Ein Passwortmanager löst das Zugangsproblem. Aber er löst nicht das Wissensproblem. Nehmen wir an, du hast das Passwort für euren Server. Weißt du auch, wie man den Server neustartet? Weißt du, wo die Konfigurationsdateien liegen? Weißt du, welche Dienste in welcher Reihenfolge hochfahren müssen?

Genau hier scheitern die meisten Notfallpläne. Du hast den Schlüssel, aber du weißt nicht, welche Tür du aufmachen musst. Deshalb braucht jeder kritische Zugang eine kurze Anleitung. Keine 20-seitige Dokumentation. Eine halbe Seite reicht. Was ist das System? Wie loggt man sich ein? Was macht man im Notfall? Wen kann man anrufen?

Diese Anleitungen müssen dort liegen, wo auch die Zugangsdaten liegen. Im Passwortmanager, in einem geteilten Ordner, in einem internen Wiki. Hauptsache, sie sind im Ernstfall auffindbar. Ich schreibe solche Notfallanleitungen standardmäßig für meine Kunden. Es kostet ein paar Stunden einmalig. Und es spart im Ernstfall Tage.

Der Sonderfall: Externe Dienstleister und Freelancer

Viele KMUs lassen ihre IT von externen Dienstleistern betreuen. Das ist grundsätzlich kein Problem. Es wird zum Problem, wenn der Dienstleister die einzige Person ist, die Zugang zu euren Systemen hat. Ich sage das als Freelancer, der genau in dieser Rolle arbeitet: Du solltest niemals von mir abhängig sein.

Wenn ich für ein Unternehmen in Neuss oder Düsseldorf ein System aufsetze, bekommt der Kunde immer die vollständigen Zugangsdaten. Admin-Zugang, Root-Zugang, alles. Dokumentiert und erklärt. Nicht, weil ich damit rechne, morgen vom Erdboden zu verschwinden. Sondern weil es professionell ist. Dein Unternehmen, deine Zugänge. Punkt.

Wenn dein aktueller IT-Dienstleister dir keine Admin-Zugangsdaten geben will, ist das ein Warnsignal. Es gibt keinen legitimen Grund dafür. Manche Dienstleister argumentieren mit Sicherheit. In Wahrheit geht es um Abhängigkeit. Solange du ohne sie nicht an deine eigenen Systeme kommst, kannst du sie nicht wechseln. Das ist kein Geschäftsmodell. Das ist eine Geiselnahme.

Fordere die Zugangsdaten ein. Heute. Wenn du Widerstand bekommst, weißt du, dass es höchste Zeit für einen Wechsel ist.

Wie du Notfallzugänge sicher organisierst, ohne Sicherheit zu opfern

Jetzt denkst du vielleicht: Wenn ich die Zugangsdaten an mehrere Leute verteile, wird es doch unsicherer. Das stimmt, aber nur wenn du es falsch machst. Mehr Zugang bedeutet nicht automatisch weniger Sicherheit. Es kommt darauf an, wie du den Zugang organisierst.

Der erste Schritt ist Zwei-Faktor-Authentifizierung auf allen kritischen Systemen. Damit reicht ein Passwort allein nicht mehr aus. Selbst wenn jemand ein Passwort aus dem Passwortmanager klaut, braucht er noch den zweiten Faktor. Das kann eine Authenticator-App auf dem Handy sein oder ein Hardware-Schlüssel. Die meisten Business-Tools unterstützen das heute standardmäßig.

Der zweite Schritt ist ein klares Rechtekonzept. Nicht jeder braucht Admin-Zugang. Die Buchhaltung braucht Zugang zur Buchhaltungssoftware, nicht zum Server. Der Vertrieb braucht Zugang zum CRM, nicht zur Datenbank. Je enger du die Rechte schneidest, desto sicherer wird das Gesamtsystem. Und trotzdem hast du für jeden kritischen Bereich mindestens zwei Personen mit Zugang.

Der dritte Schritt ist ein regelmäßiger Check. Einmal im Quartal gehst du die Liste durch. Stimmen die Zugänge noch? Sind ehemalige Mitarbeiter überall deaktiviert? Funktionieren die Notfallkontakte im Passwortmanager? Das dauert eine Stunde pro Quartal. Vier Stunden im Jahr. Das ist nichts im Vergleich zu dem, was ein echter Notfall kostet.

Was du diese Woche tun solltest

Du musst das nicht alles auf einmal lösen. Aber du solltest diese Woche anfangen. Nimm dir eine Stunde und mach folgendes: Liste alle Systeme auf, die dein Geschäft am Laufen halten. Schreib zu jedem System auf, wer den Zugang hat. Markiere jedes System, bei dem nur eine Person Zugang hat. Das sind deine offenen Flanken.

Im zweiten Schritt richtest du einen Passwortmanager ein. Bitwarden ist kostenlos und reicht für den Anfang. Pflege die 10 wichtigsten Zugänge ein. Gib mindestens einer weiteren Vertrauensperson Zugang. Das dauert einen Nachmittag. Danach bist du in einer grundlegend besseren Position als 90 Prozent aller KMUs in Deutschland.

Im dritten Schritt schreibst du für die drei kritischsten Systeme eine Notfallanleitung. Eine halbe Seite pro System. Was ist es, wie kommt man rein, was tut man im Notfall, wen ruft man an. Das ist kein Hexenwerk. Das ist gesunder Menschenverstand, aufgeschrieben.