CISA KEV-Update vom 20. April: Was die acht neuen Exploits in der Board-Sitzung landen lässt
Benedikt Langer
8 Min. Lesezeit · Stand: 23.04.2026 Am 20. April 2026 hat die US-Behörde CISA acht Schwachstellen ...
Zum Beitrag
9 Min. Lesezeit · Stand: 23.04.2026
Managed Services haben in den letzten fünf Jahren einen Rollenwechsel vollzogen, den viele Aufsichtsräte noch nicht in ihrer Governance abgebildet haben. Aus der Sparvariante wurde ein strategisches Instrument. 2026 verändert sich das Vorzeichen ein weiteres Mal, weil KI-Budgets spürbar knapper werden und Vorstände Build-Buy-Manage neu gegeneinander stellen müssen. Wer jetzt die Vertragslogik seines Hauses nicht versteht, entscheidet in der nächsten Board-Sitzung schlechter, als es die Sachlage erlauben würde.
Das Wichtigste in Kürze
- Vorzeichenwechsel: Managed Services sind 2026 kein Outsourcing-Etikett mehr, sondern eine Bauform für KI-, Plattform- und Compliance-Workloads.
- Budgetlogik: KI-Budgets stagnieren im zweiten Halbjahr 2026 spürbar, Provider-Skaleneffekte machen Managed-Varianten ökonomisch interessanter als Eigenbau.
- Vorstands-Mandat: Build, Buy oder Manage ist keine IT-Entscheidung, sondern eine Investitions- und Haftungsfrage mit klarer Gremien-Zuständigkeit.
- Vertragsrisiko: Klassische Rahmenverträge greifen bei KI-Workloads zu kurz, Audit- und Kündigungsregeln müssen neu verhandelt werden.
- Nächste 90 Tage: Wer bis Ende Juni 2026 keine Zwischenbilanz zu seinem Service-Portfolio hat, verpasst das Budget-Fenster für 2027.
Warum Managed Services 2026 nicht dieselbe Frage sind wie 2020
Was ist ein Managed Service im Enterprise-Kontext? Ein Managed Service bezeichnet IT-Dienstleistungen, bei denen ein spezialisierter Anbieter definierte Prozesse oder Plattformen im Dauerbetrieb verantwortet, während die Steuerung und Strategie beim Kundenunternehmen verbleiben. Typische Bereiche sind Security Operations, Cloud-Infrastruktur, Compliance-Reporting, Netzwerk-Betrieb und zunehmend KI-Inference-Plattformen. Der Unterschied zum klassischen Outsourcing liegt in der kontinuierlichen Liefer-Verantwortung inklusive SLAs, KPIs und Audit-Rechten.
Die übliche Verteidigung von Managed Services in Vorstandskreisen läuft über Kostenargumente. Das Argument hat 2020 noch getragen. Die Realität von 2026 sieht anders aus. Der primäre Treiber für die Rückkehr zu Managed-Modellen ist nicht der Preis, sondern der Zugriff auf Skaleneffekte und Know-how, die intern nicht mehr aufzubauen sind. Bei KI-Infrastruktur, Sicherheit und Compliance fehlt den meisten Häusern die Personaltiefe, um mit Providern wie Microsoft, Google oder AWS auch nur ansatzweise Schritt zu halten. Das ist kein Versäumnis einzelner IT-Leitungen. Das ist eine strukturelle Veränderung des Marktes.
Parallel verändern sich die Produkte. Ein Managed Service für Security Operations im Jahr 2020 hieß: externe SOC-Analysten, Tier-1-Alerts, 24×7-Schichten. 2026 heißt derselbe Service: agentische KI, die Incidents vorsortiert, Playbooks anwendet und Eskalationen an interne Teams routet. Der Output bleibt vergleichbar, der Preis pro Vorfall sinkt, die Anforderung an den Provider wächst. Wer heute einen neuen Rahmenvertrag verhandelt und die alten SLA-Metriken kopiert, kauft ein Produkt aus der vorletzten Generation.
Die dritte Verschiebung betrifft die Haftung. Mit EU AI Act, NIS2 und DORA sind Verantwortlichkeiten in den Leitungsgremien zementiert. Managed Services sind kein Auslagern der Haftung, sondern eine Umverteilung der Handlungsmacht. Vorstände, die Managed-Modelle ohne neues Vertragsregime fahren, bauen sich eine Doppelstruktur: formale Verantwortung im Haus, faktische Steuerung beim Provider. Das geht in regulierten Branchen auf Dauer schief.
68 Prozent
der IT-Organisationen planen 2026 eine Vendor-Konsolidierung, die bewusst mehr Dienste in Managed-Verträge verlagert statt sie selbst zu betreiben
Quelle: Aggregation aus Gartner-, IDC- und Forrester-Signalen Q1 2026
Die drei Entscheidungsachsen für Build, Buy und Manage
Ein nüchterner Vorstandsblick setzt drei Achsen an, bevor eine Architekturentscheidung im Board fällt. Die erste Achse ist die Differenzierung. Welche Fähigkeit ist Teil unseres Wettbewerbsvorteils? Wer eigene Daten, eigene Modelle, eigene Kundenschnittstellen hat, baut selbst. Wer generische Infrastruktur, allgemeine Security-Operations oder Standard-Compliance-Pflichten zu betreiben hat, kauft oder lässt betreiben. Die Frage klingt banal, wird aber selten systematisch gestellt, weil viele IT-Landschaften historisch gewachsen sind und nie einem ehrlichen Portfolio-Review standgehalten haben.
Die zweite Achse ist die Kompetenzverfügbarkeit. Ein Vorstand muss sauber zwischen temporärer Lücke und struktureller Lücke unterscheiden. Temporäre Lücken werden durch Reskilling oder Interims-Rollen geschlossen. Strukturelle Lücken führen zum Managed-Modell, weil der Markt den Wettbewerb um Talente bereits entschieden hat. Wer 2026 noch glaubt, zwölf erfahrene Kubernetes-Platform-Engineers im Eigenaufbau zu rekrutieren, verbrennt Zeit. Das ist keine Kapitulation, sondern eine Ressourcenentscheidung.
Die dritte Achse ist die Vertragsvernunft. Managed Services stehen und fallen mit dem Vertragsregime. Wer die Rahmenverträge seines Hauses zuletzt 2022 aufgesetzt hat, trägt heute zwei Risiken: erstens eine Preislogik, die KI-Workloads grob unterschätzt. Zweitens greifen die Auslaufklauseln zu kurz und bilden echte Exit-Szenarien nicht sauber ab. Die nächste Vertragsrunde gehört auf die Agenda des Aufsichtsrats, nicht allein in die Einkaufsabteilung. Wer das delegiert, delegiert Haftung an eine Stelle ohne Gremien-Mandat.
Wo Managed Services 2026 Mehrwert bringen
- Security Operations, weil Provider-Skaleneffekte Personal- und Tooling-Kosten schlagen
- KI-Inference-Infrastruktur, weil GPU-Kapazitäten und Modell-Updates extern planbarer sind
- Compliance-Reporting, wenn EU AI Act, DORA und NIS2 parallel laufen und Spezialisten intern fehlen
- Edge-Betrieb in mehreren Werken, wenn Remote-Patching und Telemetrie standardisiert sind
Wo Eigenbetrieb 2026 weiter die bessere Wahl bleibt
- Differenzierende Kundenschnittstellen, weil jeder Managed-Schritt dort Reaktionszeit kostet
- Hausspezifische Daten-Produkte, deren IP-Schutz im Managed-Regime schwer absicherbar ist
- Kernprozesse im regulierten Umfeld mit auditpflichtiger In-House-Kontrolle
- Rapid-Prototyping für neue Geschäftsmodelle, wo Provider-SLAs den Rhythmus bremsen
Wie Vorstände 2026 zu einer ehrlichen Entscheidung kommen
Der Weg ist in der Praxis klarer, als das Themengebiet suggeriert. Er beginnt mit einem sauberen Portfolio-Review. Eine Liste aller kritischen IT-Services, gemappt auf die drei Achsen Differenzierung, Kompetenz und Vertragsreife. Diese Liste darf nicht im Feature-Dschungel versinken. Vierzig bis sechzig Positionen reichen, sortiert nach Geschäftsbeitrag und Risiko. CIO und CFO verantworten die Liste gemeinsam, weil die Einordnung Investitionsfragen berührt. Der Aufsichtsrat bekommt eine Zusammenfassung mit klarer Empfehlung je Service.
Im zweiten Schritt geht es um Vertragsarchitektur. Managed Services brauchen drei Regelungskreise, die 2020 noch nicht so scharf existierten. Erstens einen KI-Workload-Anhang mit Transparenz über eingesetzte Modelle, Trainingsdaten-Herkunft und Halluzinationsbudgets. Zweitens eine Exit-Klausel, die einen wiederkehrenden Datentransfer in strukturierter Form zusichert. Drittens eine Human-in-the-Loop-Regelung, die festlegt, wann der Provider autonom entscheiden darf und wann nicht. Wer diese drei Anhänge nicht im Standardvertragswerk hat, verhandelt 2026 aus einer Defensivposition.
Im dritten Schritt geht es um Steuerung. Die klassische Sourcing-Abteilung ist für Managed-Services-Portfolios 2026 zu klein gedacht. Sie braucht Verstärkung durch einen Provider-Governance-Pfad, der technische, vertragliche und wirtschaftliche Zahlen monatlich bündelt. Dieser Pfad berichtet an den CIO, hat aber eine feste Linie zum CFO und eine Rechenschaftspflicht gegenüber dem Aufsichtsrat bei Freigaben oberhalb einer definierten Schwelle. Ohne diese Struktur bleibt Managed-Services-Steuerung ein Bauchgefühl.
Ein realistischer 12-Monats-Fahrplan
Wer das Thema 2026 sauber aufsetzen will, arbeitet mit einer 12-Monats-Perspektive. Die folgenden Meilensteine haben sich in Vorstandsgesprächen als tragfähiges Gerüst erwiesen.
Monat 1-2
Portfolio-Review der wichtigsten 50 IT-Services. Kein Detail-Audit, sondern strategische Einordnung entlang der drei Achsen. Ergebnis: Managed-Kandidaten-Shortlist.
Monat 3-4
Vertragsinventar. Welche Rahmenverträge haben welche Laufzeiten, welche Klauseln sind zeitgemäß, welche nicht? Priorisierung der drei kritischsten Vertragswerke.
Monat 5-6
Vorstandsbeschluss zu Leitprinzipien. Was bleibt Build, was geht in Managed, was wird Buy? Der Beschluss ist keine Detailplanung, sondern eine strategische Marschrichtung.
Monat 7-8
Vertragsneuverhandlung mit den drei wichtigsten Anbietern. KI-Anhang, Exit-Klausel, Human-in-the-Loop-Regelung werden Pflichtbestandteil. Einkaufsabteilung wird um Legal-Tech-Kompetenz erweitert.
Monat 9-10
Provider-Governance-Pfad aufbauen. Monatlicher Bericht an CIO und CFO, quartalsweise Zusammenfassung für den Aufsichtsrat. KPI-Set inkl. KI-spezifischer Kennzahlen.
Monat 11-12
Erste Learnings auswerten und Rahmenwerk anpassen. Die 2027-Planung geht mit belastbarer Datenlage in die Budgetsitzung. Entscheidungen sind datengestützt, nicht opportunistisch.
Was in der nächsten Vorstandssitzung auf den Tisch gehört
Wer Managed Services 2026 ernst nimmt, führt in der nächsten Vorstandssitzung drei Gespräche. Das erste Gespräch ist eine Standortbestimmung. Welche Services haben wir, wer verantwortet sie, welche Verträge laufen wann aus? Die Antworten müssen dokumentiert sein, nicht mündlich vorgetragen. Wer keine Liste hat, hat auch keine Steuerung.
Das zweite Gespräch ist eine Zielbestimmung. In welche Richtung soll das Service-Portfolio 2028 gegangen sein? Mehr Managed-Anteil, mehr Eigenbetrieb, mehr Buy-Lösungen? Die Antwort ist keine Prozentzahl, sondern ein Narrativ, das sich im Geschäftsmodell wiederfindet. Ein Vorstand, der in Prozentzahlen denkt, wird von Providern mit Prozentzahlen überredet.
Das dritte Gespräch ist eine Verantwortungsbestimmung. Wer entscheidet über Managed-Services-Vergaben oberhalb welcher Schwelle? Wer genehmigt KI-Workload-Anhänge? Wer steht gegenüber dem Aufsichtsrat für Service-Ausfälle ein? Die Klarheit dieser Antworten bestimmt, wie robust die Organisation ist, wenn im vierten Quartal ein Incident passiert, den die interne IT nicht allein auflösen kann. Robuste Organisationen haben die Antwort schon im zweiten Quartal formuliert. Sie entscheiden schneller, weil sie nicht erst mühsam interne Zuständigkeiten und externe Eskalationspfade klären müssen.
Drei Missverständnisse, die Vorstände 2026 vermeiden sollten
Im Austausch mit Aufsichtsräten begegnen einem drei Missverständnisse besonders häufig. Das erste ist die Annahme, Managed Services seien primär ein Kostenthema. Das mag für einzelne Standardprozesse noch stimmen, ist aber in der Breite überholt. Wer ausschließlich Preisvergleiche als Entscheidungsgrundlage heranzieht, wählt fast immer die falsche Lösung. Entscheidungsgrundlage ist Qualität pro Euro, nicht Preis pro Stunde.
Das zweite Missverständnis betrifft die Steuerung. Viele Vorstände unterstellen, dass Managed Services die IT-Organisation entlasten. Richtig ist das Gegenteil: Die IT-Organisation braucht eigene Leute, die den Provider steuern, Leistungsnachweise prüfen und Verträge weiterentwickeln. Ein Managed-Modell ohne eigene Orchestrierungs-Kompetenz produziert Abhängigkeiten, keine Entlastung. Die Faustregel lautet: Jeder größere Managed-Vertrag braucht mindestens eine dedizierte interne Steuerungsrolle.
Das dritte Missverständnis ist das schwierigste, weil es in der Unternehmenskultur sitzt. Es lautet sinngemäß: Wer Services nach draußen gibt, verliert Kontrolle und damit Status. Dieses Missverständnis wirkt bis in die IT-Führung hinein und wird selten offen ausgesprochen. Die Folge sind Managed-Entscheidungen, die rational gut begründbar wären, aber intern nicht durchgesetzt werden. Aufsichtsräte können das durchbrechen, wenn sie die Diskussion nicht an die IT-Leitung delegieren, sondern selbst Position beziehen. Ein Satz aus einem Aufsichtsgremium, dass Managed-Modelle für bestimmte Services die strategische Zielrichtung sind, sortiert viele Debatten innerhalb von Wochen.
Häufige Fragen
Wie unterscheiden sich Managed Services 2026 von klassischem Outsourcing?
Klassisches Outsourcing zielte auf Kostensenkung durch Personalverlagerung. Managed Services 2026 zielen auf Qualitäts- und Geschwindigkeitsgewinne durch Provider-Skaleneffekte, insbesondere bei KI, Security und Compliance. Der Preisvorteil ist ein Nebeneffekt, nicht der Haupttreiber. Die Governance-Anforderungen sind höher, weil Verantwortung im Haus bleibt.
Ab welcher Unternehmensgröße lohnt sich eine strukturierte Managed-Services-Strategie?
Der Break-even liegt nach unserer Beobachtung bei etwa 500 Mitarbeitenden oder 50 Millionen Euro IT-Budget. Darunter sind Managed Services oft ein Einzelfall-Thema. Darüber rechtfertigen Governance-Aufwand, Vertragsarchitektur und Steuerungsstruktur sich durch Effizienz und Risiko-Reduktion.
Welche KI-Klauseln gehören 2026 in jeden neuen Rahmenvertrag?
Transparenz über eingesetzte Foundation Models, Herkunft von Trainingsdaten, Halluzinationsbudgets mit Eskalationsschwellen, Human-in-the-Loop-Regelungen, Audit-Rechte für die Compliance-Abteilung, eine sauber definierte Exit-Klausel mit Datenmitnahme-Garantie sowie Haftungsgrenzen bei autonomen Agentenentscheidungen.
Wie verändern sich Budget-Zyklen, wenn KI-Workloads in Managed-Modelle wandern?
Von jährlichen CapEx-Planungen hin zu rollierenden OpEx-Fenstern mit Forecasts pro Quartal. Das erfordert eine andere Abstimmung zwischen CIO und CFO, weil Abweichungen sichtbarer werden und schneller diskutiert werden müssen. Viele Aufsichtsräte verlangen inzwischen einen monatlichen Drill-down.
Welche Rolle spielen Hyperscaler gegenüber spezialisierten MSPs in der DACH-Region?
Hyperscaler liefern Infrastruktur-Skaleneffekte, spezialisierte MSPs liefern Branchenwissen und regulatorische Expertise. Die attraktivste Konstellation ist häufig ein Hybrid aus beiden, in dem ein DACH-MSP die regulierte Schnittstelle zum Unternehmen betreibt und ein Hyperscaler die Basis-Infrastruktur bereitstellt. Verträge sollten die Schnittstelle klar abbilden.
Wie messe ich den Erfolg einer Managed-Services-Entscheidung nach 18 Monaten?
Drei Kennzahlen reichen als Kern-KPI-Set: Time-to-Resolution für relevante Incidents, Budget-Forecast-Genauigkeit im Vergleich zu Ist-Kosten und Audit-Befundrate bei regulatorischen Prüfungen. Wer alle drei stabil oder verbessernd hält, hat die Entscheidung belastbar getroffen. Wer bei einer dieser Kennzahlen absackt, hat ein Steuerungsproblem, nicht ein Vergabe-Problem.
Lesetipps der Redaktion
IT-Outsourcing 2026: Nearshoring, KI oder Inhouse?
IT-Resilienz 2026: Warum DORA, NIS2 und ISO 22301 in ein Framework gehören
Gartner-Prognose 2026: IT-Spending springt auf 6.150 Milliarden
Mehr aus dem MBF Media Netzwerk
Cloudmagazin: Mac Studio M5 für DevOps und Cloud-Workloads
MyBusinessFuture: Bitkom-KI-Studie 2026, Mittelstand holt auf
Quelle Titelbild: Pexels / Mikhail Nilov (px:8847198)