Foundation

Drei Disziplinen, ohne die nichts anderes trägt. Digitalisierung, Prozessmanagement und IT-Sicherheit sind die Grundlage — nicht das Endziel.

Digitalisierung von Prozessen & Dokumenten

Die schrittweise Überführung analoger Prozesse und Dokumente in die digitale Welt, wo noch nicht umgesetzt. Das Fehlen dieser Grundlage erschwert die Transformation maßgeblich.

Wie zentral und zugreifbar sind Ihre kritischen Geschäftsdokumente (Rechnungen, Verträge, Personalunterlagen)?

Überwiegend Papier. Eine zentrale digitale Ablage existiert nicht. Vieles ist eingescannt oder digital erfasst, aber dezentral verteilt — mehrere Fileserver, Mail-Postfächer, alte Archive. Duplikate sind die Regel. Ein zentrales Dokumentenmanagement (DMS) ist eingeführt. Die durchgängige Nutzung läuft noch — nicht alle Bereiche sind angeschlossen. Zentrale, revisionssichere Archivierung integriert mit den Quellsystemen (ERP, Mail, CRM). Regelmäßige Audits, OCR-Erkennung aktiv.

Prozessmanagement & Dokumentation

Systematische Beschreibung und Pflege der Geschäftsprozesse. Durchblick bei den Prozessen → Ressourcenorientierung → Automatisierung → Quick-Wins.

Welchen Stand hat die Dokumentation Ihrer kritischen Geschäftsprozesse?

Prozesse existieren nur in den Köpfen langjähriger Mitarbeitender. Dokumentiert ist nichts. Einige Prozesse sind grob beschrieben (Word, Wiki). Standards fehlen, Updates passieren sporadisch. Kernprozesse (etwa 80 % des Tagesgeschäfts) sind in einem zentralen System dokumentiert (z. B. Confluence, BPMN-Tool). Mindestens jährliche Reviews. Alle kritischen Prozesse sind dokumentiert, halbjährlich überprüft und mit KPIs hinterlegt. Neue Mitarbeitende haben in Woche eins alle Vorlagen.

Informations- & IT-Sicherheit

Schutzmaßnahmen technischer und organisatorischer Art. Praxispunkt: 74 % der Cyber-Vorfälle gehen auf den Faktor Mensch zurück — Awareness und Grundhygiene wirken mehr als jede teure Suite.

Wie systematisch sind die Grundlagen Ihrer IT-Sicherheit (Updates, MFA, Awareness, Notfallplan)?

Es gibt eine Firewall und Virenscanner — das war's. Kein Notfallplan, keine Schulungen, MFA ist Ausnahme. Updates laufen, MFA wird teilweise verwendet, jährliche Awareness-Schulung pro forma. Notfallplan existiert als Word-Dokument, aber nicht getestet. Patch-Day standardisiert, MFA flächig, regelmäßige Phishing-Simulationen, Notfallplan getestet — orientiert an NIST CSF / BSI IT-Grundschutz. ISMS nach ISO 27001 oder BSI IT-Grundschutz mit Audits, Penetrationstests, kontinuierlichen Schwachstellen-Scans. Sicherheit ist Teil der Unternehmenskultur.

Intermediate

Was auf der Foundation aufbaut. Daten, Qualität, Change und Compliance sind die Disziplinen, die im Mittelstand und öffentlichen Sektor oft entscheiden, wie weit eine Transformation trägt.

Daten- & Dokumentenmanagement

Strukturierte Erfassung, Qualitätssicherung und Governance Ihrer Daten und Geschäftsdokumente. Kernpunkt: ohne saubere Daten bleibt KI ein teures Hobby.

Wie ist Ihre Datenqualität bei Stammdaten (Kunden, Lieferanten, Produkten) organisiert?

Niemand weiß genau, wo welche Daten liegen. Duplikate, Tippfehler und veraltete Datensätze sind Alltag. Es gibt führende Systeme, aber keine durchgängigen Validierungsregeln. Datenpflege passiert reaktiv, wenn Fehler auffallen. Stammdaten-Verantwortliche sind benannt, es gibt dokumentierte Validierungsregeln und regelmäßige Datenqualitäts-Reports. Vollwertige Data Governance nach DAMA-DMBOK: Stammdaten-Hub, Quality-KPIs, automatische Validierung, regelmäßige Audits — Datenqualität ist mit Zielen verbunden.

Qualitätsmanagement

Geplante und gelebte Maßnahmen, um Prozessqualität und Kundenzufriedenheit zu sichern. Reife reicht hier von "nicht thematisiert" bis "ISO 9001 mit echtem Audit-Zyklus".

Wie greifbar ist Ihr Qualitätsmanagement? KPIs, Audits, Reviews?

Qualität ist ein Wert in Sonntagsreden, aber niemand misst sie. Reklamationen kommen zufällig zur Sprache. Es gibt vereinzelte Kennzahlen (z. B. Lieferzeit, Fehlerquote), aber keinen systematischen Review-Zyklus oder Verbesserungsprozess. QM-Handbuch ist gepflegt, KPI-Cockpit besteht, interne Audits laufen jährlich. Verbesserungsmaßnahmen werden nachverfolgt. ISO 9001 (oder gleichwertiges Framework) ist zertifiziert/auditiert, KPIs sind im Tagesgeschäft verankert, kontinuierliche Verbesserung ist gelebte Praxis.

Change Management & Organisationsentwicklung

Wie Ihre Organisation Veränderungen begleitet. Studienlage (MIT, 2025: 95 % der KI-Piloten scheitern — meist an der Organisation, nicht an der Technik): Change Management ist nicht "Add-on nach Kick-off", es ist Tag eins.

Wie wird Ihre Organisation auf größere technologische Veränderungen (neue Systeme, KI-Piloten, Infrastruktur-Umbauten) vorbereitet?

Veränderungen werden angekündigt. Schulungen, Befähigungspläne, Stakeholder-Einbindung? Fehlanzeige. Widerstand ist groß. Es gibt punktülle Schulungen und Kickoff-Workshops. Aber keinen systematischen Change-Plan, keine Kommunikations-Roadmap. Für größere Projekte gibt es einen Change-Plan (Kommunikation, Schulungen, Go-Live-Support). Stakeholder sind eingebunden, Feedback-Kanäle bestehen. Change Management nach ADKAR/Kotter ist Tag eins jedes Projekts. Führungskräfte sind als Change-Agents geschult, Kulturarbeit läuft parallel.

IT-Compliance & IT-Governance

Wie greifbar sind regulatorische Anforderungen (DSGVO, NIS-2, AI-Act, Lizenzmanagement) und Entscheidungs-Strukturen in der IT. Hier wachsen die Pflichten gerade schneller, als viele es realisieren.

Wie strukturiert sind IT-Compliance und IT-Governance bei Ihnen? (DSGVO, NIS-2, AI-Act, Lizenzüberblick, Rollenklarheit)

DSGVO wurde vor Jahren mal "gemacht". NIS-2 und AI-Act sind nicht auf dem Schirm. Rollen und Entscheidungswege sind unklar. DSGVO läuft im Tagesgeschäft. NIS-2/AI-Act sind benannt, aber noch nicht umgesetzt. Lizenzmanagement ist anlassbezogen, kein Inventar. Compliance-Roadmap existiert (DSGVO, NIS-2, AI-Act), Verantwortliche sind benannt, Lizenz-Inventar ist gepflegt. IT-Entscheidungen folgen einem Governance-Modell (ITIL/COBIT-Anlehnung). Governance nach COBIT/ITIL ist gelebt, Compliance-KPIs sind dashboard-fähig, Auditfähigkeit ist gegeben. NIS-2 und AI-Act sind operationell umgesetzt.

Advanced

Ohne stabile Foundation und Intermediate bleiben hohe Werte hier brüchig. Konkrete Hebel: ein moderner Technologie-Stack (Dim 8), Innovations- und KI-Fähigkeit (Dim 9) und Resilience (Dim 10).

Technologie & Architektur

Wie zeitgemäß und skalierbar Ihre Technologie-Basis aufgestellt ist. Cloud-Adaption, API-Architektur, KI-Integration und Plattform-Modernisierung sind die Stellschrauben — sie entscheiden, ob neue Use Cases skalieren oder Insel-Projekte bleiben.

Wo steht Ihre Organisation (in etwa) technologisch?

Wir haben deutlichen Nachholbedarf. Geschäftskritische Systeme sind Legacy, mit hoher Pflege-Last und ohne klare Modernisierungs-Roadmap. Wir haben moderne, performante Plattformen — aber wenig skalierbar und mit geringer Flexibilität bei Veränderungen. Cloud-Themen sind eher Punkt-Lösungen als Strategie. Wir sind teilweise cloud-native und API-orientiert, erste KI-Use-Cases sind im Einsatz. Skalierung funktioniert in einzelnen Bereichen, aber nicht durchgängig. Skalierbare Plattform-Architektur (Cloud-native, API-first), KI und Agenten gehören zum Automatisierungs-Standard — intern wie in unseren Produkten und Kundenerlebnissen.

Innovationsstrategie & KI-Integration

MIT-Studie 2025: rund 95 % der GenAI-Initiativen erzielen keinen messbaren P&L-Effekt — meistens nicht wegen der Technik, sondern wegen fehlender Governance, Datenqualität und Skalierungs-Pläne. Ohne Strategie wird KI Hobby.

Wie systematisch gehen Sie mit Innovation und insbesondere KI um?

Innovation passiert zufällig, KI ist Buzzword. Keine Use-Case-Pipeline, keine Pilot-Governance. Einzelne KI-Piloten laufen, aber ohne klaren Scaling-Plan. Datenqualität, Rollen und Befähigung sind oft das eigentliche Problem. Innovations-Pipeline mit priorisierten Use-Cases, Pilot-Governance (klare Skalierungs-Kriterien), KI-Strategie an NIST AI RMF / EU-AI-Act ausgerichtet. KI ist im Tagesgeschäft messbar wirksam. AI-Management-System nach ISO 42001, klare Verantwortlichkeiten, KI-Fähigkeit ist Teil der Personalstrategie.

Geschäftskontinuität & IT-Resilience

Backup ist nicht Wiederherstellung. Ein Notfallplan, der nie geprobt wurde, ist eine Hoffnung — keine Vorsorge. Veeam 2024: nur 32 % der Befragten haben Recovery-Confidence.

Wie belastbar ist Ihre Geschäftskontinuität? Backup-Tests, Notfallplan-Drills, Ransomware-Vorsorge?

Backups laufen — vermutlich. Getestet wurden sie noch nie. Ein Notfallplan existiert nicht oder ist veraltet. Backups werden gemacht und gelegentlich Stichprobenartig zurückgespielt. Notfallplan existiert, ist aber nicht regelmäßig geuebt. 3-2-1-1-Backup-Prinzip, dokumentierte Recovery-Tests halbjährlich, Notfallplan quartalsweise gepflegt. Offline-/Immutable-Kopien vorhanden. BCMS nach ISO 22301 oder BSI 200-4 — regelmäßige Disaster-Recovery-Übungen mit Stakeholdern, definierte RTO/RPO, Ransomware-Resilience getestet.

Foundation

Intermediate

Advanced

Dimension

Digitalisierung von Prozessen & Dokumenten

Prozessmanagement & Dokumentation

Informations- & IT-Sicherheit

Daten- & Dokumentenmanagement

Qualitätsmanagement

Change Management & Organisationsentwicklung

IT-Compliance & IT-Governance

Technologie & Architektur

Innovationsstrategie & KI-Integration

Geschäftskontinuität & IT-Resilience

Ausführlicher Report per Mail

Score pro Dimension, Empfehlungen je Schwachstelle, Benchmark-Zahlen mit Quellen und Quick-Wins — direkt in Ihre Inbox.

E-Mail-Adresse *

Ich willige ein, dass meine E-Mail-Adresse zum einmaligen Versand des Reports verwendet wird. Details siehe Datenschutzerklärung.

Digital-Reifegrad-Check

Foundation

Digitalisierung von Prozessen & Dokumenten

Prozessmanagement & Dokumentation

Informations- & IT-Sicherheit

Intermediate

Daten- & Dokumentenmanagement

Qualitätsmanagement

Change Management & Organisationsentwicklung

IT-Compliance & IT-Governance

Advanced

Technologie & Architektur

Innovationsstrategie & KI-Integration

Geschäftskontinuität & IT-Resilience

Dimension

Ausführlicher Report per Mail

Über das Ergebnis sprechen?