Qbilon_logo_header
GET IN TOUCH
GET FREE TRIAL
Qbilon_logo_header

Warum Excel-Listen bei der IT-Dokumentation für kritische Infrastrukturen ausgedient haben

  • May 18th, 2026

Excel ist ohne Zweifel eines der erfolgreichsten und vielseitigsten Softwareprodukte, die je entwickelt wurden. Von der simplen Haushaltsrechnung bis zur komplexen Finanzmodellierung leistet das Tabellenkalkulationsprogramm weltweit treue Dienste. Doch in einem spezifischen Bereich der modernen Unternehmenswelt ist Excel nicht nur das falsche Werkzeug, sondern eine tickende Zeitbombe: In der IT-Dokumentation von kritischen Infrastrukturen (KRITIS) und NIS-2-regulierten Unternehmen.

Trotz der allgegenwärtigen Warnungen von Sicherheitsexperten und Auditoren wird das Asset-Management in erschreckend vielen Unternehmen noch immer in Form von endlosen, manuell gepflegten Tabellen betrieben. In diesem Beitrag beleuchten wir, warum dieser “Best-Effort”-Ansatz im Zeitalter von Cloud-Computing und hybriden Netzwerken radikal gescheitert ist und warum Regularien wie NIS-2 das endgültige Ende der Excel-CMDB einläuten.

Die Anatomie einer Excel-Katastrophe

Stellen wir uns ein typisches Szenario vor: Ein mittelständischer Energieversorger oder ein Krankenhaus (beides Paradebeispiele für kritische Infrastrukturen) nutzt eine zentrale Excel-Datei zur Verwaltung seiner Server, Router, Software-Lizenzen und Cloud-Instanzen. Diese Datei liegt auf einem Sharepoint-Laufwerk. Verschiedene Administratoren greifen darauf zu.

Auf den ersten Blick mag das pragmatisch erscheinen. Doch sobald man unter die Oberfläche blickt, offenbaren sich fundamentale Risse in diesem System, die im Ernstfall katastrophale Folgen haben:

  1. Die Fehleranfälligkeit des Menschen (Human Error) Eine Tabelle ist nur so gut wie der Mensch, der sie ausfüllt. Ein Administrator richtet hastig eine neue virtuelle Maschine (VM) ein, um einen Engpass abzufangen. Das Telefon klingelt, ein anderes Ticket erfordert seine Aufmerksamkeit – und der Eintrag in der Excel-Liste wird schlichtweg vergessen. Aus Sicht der IT-Dokumentation existiert diese VM nicht. Wenn auf dieser VM eine veraltete, verwundbare Software läuft, wird der Schwachstellen-Scanner sie möglicherweise nicht priorisieren, weil der geschäftskritische Kontext in der Dokumentation fehlt. Ein klassischer blinder Fleck (Shadow IT) ist entstanden.
  2. Der absolute Verlust von Relationen IT-Infrastrukturen sind heute hochgradig vernetzte Ökosysteme. Ein Webserver ist mit einer Datenbank verbunden, die Datenbank liegt auf einem bestimmten Storage-System, und das Storage-System wird über einen spezifischen Switch geroutet. All diese Komponenten unterstützen gemeinsam den Geschäftsprozess “Patientenaufnahme”. Excel ist zweidimensional. Es kann zwar Daten in Spalten auflisten, aber es ist extrem schlecht darin, komplexe, mehrdimensionale Abhängigkeiten abzubilden. Fällt der Switch aus, kann das IT-Team anhand der Excel-Liste nicht in Sekundenbruchteilen erkennen, welche Geschäftsprozesse davon betroffen sind. Diese mangelnde relationale Tiefe verzögert die Fehlerbehebung (Incident Response) massiv.
  3. Keine Historie, nur überschriebene Zellen Wie wir bereits im Kontext von NIS-2-Audits besprochen haben, ist das wichtigste Gut einer modernen IT-Dokumentation die Historie. Wenn ein IT-Sicherheitsauditor oder BSI-Prüfer fragt: “Welche Systeme befanden sich vor vier Monaten in diesem spezifischen Netzwerksegment?”, scheitert Excel kläglich. Wenn in einer Tabelle ein Server den Besitzer wechselt oder ein IP-Adressbereich geändert wird, überschreibt der Administrator in der Regel einfach die alte Zelle. Die Historie ist unwiederbringlich verloren. Versionierungen von ganzen Excel-Dateien helfen hier nicht weiter, da sie keinen granularen, datenbasierten Vergleich einzelner Assets über die Zeit ermöglichen.
  4. Das Silo-Problem (Multiple Versions of the Truth) In der Praxis bleibt es selten bei einerMaster-Excel-Datei. Das Netzwerkteam hat seine eigene Liste für IP-Adressen, das Security-Team führt eine Liste für Firewalls und das Cloud-Team exportiert monatlich CSV-Dateien aus AWS. Wenn es zu einem Sicherheitsvorfall kommt, sitzen diese Teams in einem “War Room” und streiten zunächst darüber, wessen Liste die richtige ist. Es gibt keine “Single Source of Truth” (die einzige Quelle der Wahrheit).

NIS-2 duldet keinen Blindflug

Mit der Einführung der NIS-2-Richtlinie hat sich die Toleranz für solche Behelfslösungen in Luft aufgelöst. Die EU fordert von betroffenen Einrichtungen ein systematisches, nachweisbares Risikomanagement.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) macht in seinen Leitfäden immer wieder deutlich, dass die Identifizierung und Inventarisierung der informationstechnischen Systeme der unverzichtbare erste Schritt jeder Sicherheitsarchitektur ist. Wie wollen Sie das Risiko eines Cyberangriffs auf Ihre Lieferkette bewerten, wenn Sie nicht automatisiert nachweisen können, welche Systeme überhaupt existieren?

Auditoren sind darauf geschult, manuelle Listen sofort zu hinterfragen. Sie wissen, dass diese Listen in dynamischen Cloud-Umgebungen bereits beim Speichern veraltet sind. Wer bei einem Audit eine Excel-Tabelle als primäres Asset-Inventory vorlegt, hat das Audit praktisch schon in den ersten fünf Minuten verloren.

Die datengetriebene Alternative

Die einzige Antwort auf die Komplexität moderner IT ist vollständige Automatisierung. Eine moderne Asset-Management-Lösung funktioniert fundamental anders als eine statische Tabelle:

  • Sie holt sich die Daten selbst: Über APIs (Schnittstellen) integriert sich eine Plattform wie Qbilon direkt in Ihre bestehenden Systeme (vCenter, Azure, AWS, Active Directory, Netzwerk-Scanner).
  • Sie arbeitet in Echtzeit: Sobald eine neue Ressource hochgefahren wird, taucht sie automatisch in der Datenbank auf.
  • Sie versteht Zusammenhänge: Durch intelligente Algorithmen werden Abhängigkeiten zwischen Servern, Software und Geschäftsprozessen automatisch kartografiert.
  • Sie vergisst nichts: Jeder Zustand wird historisiert. Die “Time Machine”-Funktion erlaubt es, die IT-Landschaft zu jedem beliebigen Zeitpunkt der Vergangenheit exakt zu rekonstruieren.

Fazit: Zeit für den digitalen Frühjahrsputz

Excel wird immer einen Platz in der Geschäftswelt haben – aber in der Verwaltung von IT-Assets für kritische Infrastrukturen ist dieser Platz definitiv nicht mehr. Die Risiken durch menschliche Fehler, fehlende Historisierung und mangelnde relationale Tiefe sind schlichtweg zu hoch.

Wer heute noch versucht, die Herausforderungen von NIS-2, KRITIS-Verordnungen oder komplexen Cloud-Migrationen mit Tabellenkalkulationen zu meistern, spielt mit der Sicherheit seines Unternehmens. Es ist an der Zeit, die Excel-Listen in Rente zu schicken und auf ein automatisiertes, dynamisches und historisiertes IT-Gedächtnis umzusteigen. Nur so behalten Sie in der hybriden IT-Welt die Kontrolle und bestehen jedes Audit mit Bravour.

Qbilon_logo_footer
Support
Documentation FAQs Changelog List of connectors Support
Contact us
  • Hermanstraße 5,
    86150 Augsburg, Germany
Newsletter
Sign up for our newsletter
and never miss an update!
Subscribe →
©2026, qbilon GmbH
Terms and Conditions
|
Disclaimer
|
Imprint
|
Privacy