IT-Outsourcing vs. eigene IT: Was lohnt sich für KMU?

Wenn ein IT-Dienstleister gehackt wird, trifft es nicht nur ihn – es trifft alle seine Kunden gleichzeitig. Das ist kein Szenario aus dem Lehrbuch, sondern passiert regelmäßig, zuletzt bei einem bundesweit tätigen Abrechnungsdienstleister im Gesundheitswesen. Trotzdem führt kein Weg daran vorbei: Die meisten KMU brauchen externe IT-Unterstützung. Die Frage ist nur, in welchem Modell.

Die Entscheidung zwischen IT-Outsourcing und eigener IT-Abteilung ist keine rein technische, sondern eine strategische. Dieser Artikel hilft Ihnen, systematisch abzuwägen – ohne Buzzwords, ohne Pauschalrezepte.

Was bedeutet IT-Outsourcing konkret?

IT-Outsourcing bedeutet, dass IT-Aufgaben ganz oder teilweise an externe Anbieter übergeben werden. Dabei gibt es drei gängige Modelle:

Vollständiges IT-Outsourcing

Der externe Dienstleister übernimmt alle IT-Aufgaben: Helpdesk, Serverbetreuung, Sicherheit, Beschaffung. Intern gibt es keinen IT-Mitarbeiter. Für Unternehmen unter 20–25 Mitarbeitern ist das oft die wirtschaftlich sinnvollste Option.

Co-Managed IT

Ein interner Mitarbeiter – oft IT-affin, aber kein Vollzeit-Administrator – kümmert sich um das Tagesgeschäft. Der externe Dienstleister übernimmt spezialisierte Aufgaben: Sicherheitsaudits, Backup-Management, Netzwerkinfrastruktur, Compliance. Das ist das verbreitetste Modell für KMU mit 20–100 Mitarbeitern.

Eigene IT-Abteilung

Ab einer gewissen Unternehmensgröße und bei spezifischen Anforderungen lohnt es sich, eigene IT-Fachkräfte einzustellen. Der externe Dienstleister bleibt dabei meist als spezialisierter Ergänzungspartner bestehen.

Kostenvergleich: Was kostet welches Modell?

Hier liegt oft das größte Missverständnis. Die Personalkosten für einen IT-Allrounder in Sachsen liegen bei rund 40.000–55.000 Euro Jahresgehalt brutto – hinzu kommen Lohnnebenkosten, Weiterbildung, Urlaubs- und Krankheitsvertretung sowie Lizenz- und Beschaffungskosten.

Ein IT-Outsourcing-Vertrag mit einem regionalen Dienstleister kann für ein KMU mit 20 Mitarbeitern deutlich darunter liegen – deckt aber oft auch nur einen Teil der Leistungen ab, die ein eigener Mitarbeiter übernehmen würde. Die entscheidenden Fragen sind daher nicht nur: Was kostet was? Sondern:

• Was genau wird geliefert?
• Wie schnell wird bei Problemen reagiert?
• Wer trägt die Verantwortung bei einem Sicherheitsvorfall?

Die drei Modelle im Überblick

Die Risiken des IT-Outsourcings – und wie man sie minimiert

Aktuelle Vorfälle zeigen: Wenn ein IT-Dienstleister selbst Ziel eines Cyberangriffs wird, können Dutzende oder Hunderte seiner Kunden gleichzeitig betroffen sein. Das sogenannte Supply-Chain-Risiko ist für viele KMU unterschätzt.

Den richtigen Dienstleister auswählen

Fragen, die KMU ihrem potenziellen IT-Partner stellen sollten:

• Welche Sicherheitszertifizierungen bestehen? (ISO 27001, BSI-Grundschutz-Orientierung)
• Wo liegen Server und Daten? Gilt die DSGVO ohne Einschränkung?
• Was passiert bei einem Vorfall beim Dienstleister selbst – gibt es ein dokumentiertes Notfallkonzept?
• Wie werden Kundenzugänge voneinander isoliert?
• Wer hat Zugriff auf unsere Systeme, und wie ist das geregelt?

Vertragliche Absicherung ist Pflicht

Ein Outsourcing-Vertrag ohne klare SLAs ist kein Vertrag – es ist eine Hoffnung. Folgendes gehört hinein:

• Reaktionszeiten nach Priorität (kritisch, hoch, normal)
• Verfügbarkeitsgarantien für zentrale Systeme
• Haftungsregelungen bei Datenverlust oder Ausfall
• Eigentümerschaft aller Daten und Zugangsdaten beim Kunden
• Regelungen zur Datenmigration bei Vertragsende

Was intern bleiben sollte

Selbst bei vollständigem IT-Outsourcing sollten bestimmte Dinge im Unternehmen verbleiben:

• Hauptzugänge zu kritischen Systemen (in einem sicheren Passwortmanager)
• Grundlagenwissen über die eigene Infrastruktur (Dokumentation einfordern)
• Notfallkontakte und ein einfacher Ausfallplan

Checkliste: Wann lohnt sich welches Modell?

IT-Outsourcing ist sinnvoll, wenn…

• Das Unternehmen weniger als 30 Mitarbeiter hat
• IT kein Kerngeschäft ist (Handwerk, Gastronomie, Einzelhandel, Beratung)
• IT-Anforderungen stabil und planbar sind
• Budget für eigenes Personal nicht vorhanden ist
• Spezialisierung gefragt ist – Sicherheit, Cloud, NIS2-Compliance

Eigene IT lohnt sich, wenn…

• Das Unternehmen mehr als 80–100 Mitarbeiter hat
• IT ein strategischer Wettbewerbsvorteil ist
• Hochsensible Daten intern verarbeitet werden (Medizin, Recht, Finanzen)
• Sehr kurze Reaktionszeiten zwingend erforderlich sind

Co-Managed IT als Kompromiss, wenn…

• Ein IT-affiner Mitarbeiter vorhanden ist, aber kein Vollzeit-Administrator
• Regelmäßige externe Unterstützung gewünscht ist ohne volle Abhängigkeit
• Wachstum geplant ist und Flexibilität gefragt

Was KMU in Sachsen besonders beachten sollten

Für Unternehmen in Dresden und Sachsen kommt ein praktischer Aspekt hinzu: Der IT-Fachkräftemangel ist in Ostdeutschland teils noch ausgeprägter als im Bundesdurchschnitt. Qualifiziertes IT-Personal zu finden und langfristig zu binden, ist für viele ostdeutsche KMU eine echte Herausforderung.

Das spricht in vielen Fällen dafür, zumindest Teile der IT über einen regionalen Partner zu betreiben – der den Betrieb kennt, schnell vor Ort sein kann und als verlässlicher Ansprechpartner über Jahre verfügbar ist. Ein IT-Dienstleister in Dresden hat dabei den Vorteil der Nähe: Was sich remote nicht lösen lässt, klärt sich beim persönlichen Termin – ohne tagelange Wartezeiten.

Hinzu kommt: Viele Förderprogramme für Digitalisierung und IT-Sicherheit in Sachsen (etwa über die SAB oder das BMWK) sind für KMU zugänglich, werden aber selten ohne externe Beratung vollständig ausgeschöpft.

Unterstützung in Dresden gesucht? Rexoma IT hilft

Sie möchten wissen, welches IT-Modell zu Ihrem Unternehmen passt? Rexoma IT berät KMU in Dresden und Sachsen bei der Entscheidung zwischen IT-Outsourcing, Co-Managed IT und eigenem IT-Aufbau – konkret, ohne Verkaufsdruck, mit Blick auf Ihre tatsächliche Situation. Auf Wunsch übernehmen wir auch die operative Betreuung Ihrer Infrastruktur: von der Firewall bis zum Backup, von der NIS2-Dokumentation bis zum Helpdesk.

Jetzt Erstgespräch vereinbaren →

FAQ: IT-Outsourcing für KMU

Was kostet IT-Outsourcing für ein KMU mit 20 Mitarbeitern? Das hängt stark vom Leistungsumfang ab. Pauschalpreise ohne Kenntnis der Infrastruktur sind meistens irreführend. Ein seriöser Dienstleister erstellt nach einer Bestandsaufnahme ein individuelles Angebot. Vergleichen Sie dabei nicht nur den Preis, sondern die enthaltenen Leistungen und SLAs.

Bin ich bei einem Outsourcing-Vertrag langfristig gebunden? Das kommt auf den Vertrag an. Wichtig ist, Laufzeiten und Kündigungsfristen vorab zu klären sowie sicherzustellen, dass alle Daten und Zugangsdaten beim Kunden verbleiben – unabhängig davon, wer die IT betreut.

Was passiert, wenn mein IT-Dienstleister selbst gehackt wird? Dieses Supply-Chain-Risiko ist real. Gute Dienstleister betreiben isolierte Kundenzugänge, eigene Sicherheitskonzepte und dokumentierte Notfallpläne. Fragen Sie aktiv danach – und klären Sie im Vertrag, wer bei einem solchen Vorfall die Haftung trägt.

Kann ich IT-Outsourcing schrittweise einführen? Ja. Viele KMU starten mit einem Managed-Backup oder einem Monitoring-Vertrag und erweitern den Umfang bei Bedarf. Co-Managed IT bietet genau diese Flexibilität: Sie behalten interne Kontrolle und holen externe Expertise nur dort, wo sie gebraucht wird.

Ist ein lokaler Dresdner Dienstleister besser als ein überregionaler Anbieter? Nicht automatisch besser, aber die Kombination aus regionaler Erreichbarkeit, persönlichem Kontakt und lokalem Marktverständnis hat handfeste Vorteile – besonders wenn schnelles Handeln vor Ort gefragt ist oder wenn Sie langfristig einen verlässlichen Partner suchen, der Ihr Unternehmen wirklich kennt.