Warum Cloud-Lock-in zum Sicherheitsrisiko wird

Digitale Souveränität braucht einen Exit-Plan

Cybersicherheit, Secure Access Service Edge, SASE, Cyber Security
LinkedInRedditWhatsApp

Mit dem Wechsel hin zu Open-Source-Strukturen hat Schleswig-Holstein Anfang des Jahres ein deutliches Signal gesetzt. Die Abhängigkeit von großen Technologiekonzernen ist kein Naturgesetz.

Zumindest auf der Softwareseite lässt sich ein Ausstieg organisieren. In der Debatte wird jedoch oft vergessen, dass die größere Hürde vielfach nicht in den Anwendungen, sondern darunter liegt – in der Cloud-Infrastruktur.

Anzeige

Denn selbst wenn Betriebssysteme, Anwendungen oder Kollaborationslösungen ersetzt werden, bleibt eine zentrale Frage offen: Wie schnell und realistisch lässt sich der Infrastrukturanbieter wechseln, wenn es nötig wird? Genau hier zeigt sich, wie belastbar digitale Souveränität in der Praxis wirklich ist.

Warum der eigentliche Lock-in tiefer sitzt

In vielen Unternehmen und öffentlichen Einrichtungen wird Cloud-Lock-in nach wie vor vor allem als Kosten- oder Beschaffungsthema betrachtet. Tatsächlich ist es jedoch längst zu einer Sicherheitsfrage geworden. Wer kritische Daten, Backups oder operative Workloads in einer Umgebung betreibt, die sich nur mit hohem technischen oder finanziellen Aufwand verlassen lässt, verliert im Ernstfall Handlungsspielraum.

Dies kann unterschiedliche Ursachen haben. Einige Anbieter binden ihre Kunden über proprietäre Schnittstellen und eng verzahnte Services. Andere machen einen Wechsel vor allem wirtschaftlich unattraktiv, beispielsweise durch hohe Gebühren für ausgehenden Datentransfer oder durch komplexe Abhängigkeiten innerhalb ihrer Plattformen. Ein Ausstieg ist in beiden Fällen zwar theoretisch möglich, praktisch aber kaum kurzfristig umsetzbar.

Anzeige

Genau das ist das Problem. Denn eine moderne Sicherheitsarchitektur bedeutet nicht nur, Systeme vor Angriffen zu schützen. Sie muss auch gewährleisten, dass Organisationen auf neue Risiken reagieren können, sei es regulatorischer, geopolitischer oder technischer Natur.

EU-Standort allein löst das Problem nicht

In der Diskussion um souveräne IT wird meist zuerst der Speicherort betrachtet. Wenn Daten in Deutschland oder zumindest in der EU liegen, gilt das schnell als Fortschritt. Das ist zwar relevant, greift aber zu kurz.

Ein europäischer Serverstandort schafft noch keine digitale Unabhängigkeit, wenn die Daten zwar lokal gespeichert sind, die Architektur aber keinen flexiblen Wechsel erlaubt. Souveränität entsteht nicht allein durch Geografie, sondern durch Kontrolle über die eigene technische Zukunft.

IT-Verantwortliche müssen daher nicht nur prüfen, wo Daten liegen, sondern auch, unter welchen Bedingungen sie migriert, exportiert oder in eine andere Umgebung überführt werden können. Wer diese Frage nicht beantwortet, hat zwar möglicherweise Compliance erreicht, aber noch keine echte Exit-Fähigkeit.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Wenn der Anbieterwechsel am Datenabzug scheitert

Die Hürden werden im Alltag oft erst sichtbar, wenn eine Migration konkret vorbereitet wird. Dann zeigt sich, dass sich große Datenmengen nicht einfach bewegen lassen, ohne dass erhebliche Kosten entstehen. Hinzu kommen technische Details wie proprietäre APIs, fehlende Kompatibilität bei Speicherfunktionen oder aufwendige Anpassungen in bestehenden Anwendungen.

Gerade im Infrastrukturumfeld ist das kritisch. Denn hier geht es nicht nur um einzelne Anwendungen, sondern auch um Backups, Archive, Recovery-Prozesseund produktive Workloads. Wenn an dieser Stelle kein belastbarer Wechselpfad existiert, wird aus der Abhängigkeit schnell ein operatives Risiko.

Das wird besonders problematisch in Situationen, in denen kurzfristig reagiert werden muss; etwa nach einem Sicherheitsvorfall, bei geänderten regulatorischen Anforderungen oder wenn Kosten und Vertragsbedingungen unerwartet kippen. Dann reicht es nicht, theoretisch migrieren zu können. Dann zählt nur, ob die Organisation es tatsächlich kann.

Offene Standards machen Wechsel realistisch

Um Lock-in zu reduzieren, müssen deshalb Infrastrukturen eingesetzt werden, die nicht nur Portabilität versprechen, sondern sie auch technisch ermöglichen. Dabei spielen offene Standards eine Schlüsselrolle. Im Storage-Bereich ist das vor allem echte S3-Kompatibilität.

Dabei ist das Wort „echte“ entscheidend. Denn eine S3-Kompatibilität auf dem Papier reicht nicht aus, wenn wichtige Funktionen im Detail fehlen oder nur eingeschränkt unterstützt werden. Für Unternehmen ist wichtig, ob sich bestehende Anwendungen, Backup-Prozesse und APIs ohne aufwendige Umbauten weiterbetreiben lassen.

Ebenso wichtig ist die Kontrolle über die Verschlüsselung. Customer Managed Keys können hier ein zentraler Baustein sein, da sie Unternehmen mehr Kontrolle über den Zugriff auf und die Absicherung ihrer Daten geben. Wer Schlüsselhoheit und standardisierte Schnittstellen kombiniert, schafft die Voraussetzung dafür, im Bedarfsfall nicht bei null anfangen zu müssen.

Exit-Planung gehört in jede Sicherheitsstrategie

Um Lock-in zu reduzieren, müssen Infrastrukturen eingesetzt werden, die Portabilität nicht nur versprechen, sondern auch technisch ermöglichen. Dabei spielen offene Standards eine Schlüsselrolle. Im Storage-Bereich ist das vor allem echte S3-Kompatibilität.

Dabei ist das Wort „echte“ entscheidend. Eine S3-Kompatibilität auf dem Papier reicht nämlich nicht aus, wenn wichtige Funktionen im Detail fehlen oder nur eingeschränkt unterstützt werden. Für Unternehmen ist es wichtig zu wissen, ob sich bestehende Anwendungen, Backup-Prozesse und APIs ohne aufwendige Umbauten weiterbetreiben lassen.

Ebenso wichtig ist die Kontrolle über die Verschlüsselung. Customer Managed Keys können hier ein zentraler Baustein sein, da sie Unternehmen mehr Kontrolle über den Zugriff auf und die Absicherung ihrer Daten geben. Wer Schlüsselhoheit und standardisierte Schnittstellen kombiniert, schafft die Voraussetzung dafür, im Bedarfsfall nicht bei null anfangen zu müssen.

Digitale Souveränität beginnt bei der Infrastruktur

Der Fall Schleswig-Holstein zeigt, dass sich technologische Abhängigkeiten aufbrechen lassen. Er macht jedoch auch deutlich, dass die Debatte breiter geführt werden muss. Solange die Infrastruktur selbst keinen echten Wechsel zulässt, bleibt die Souveränität unvollständig.

Für Unternehmen und öffentliche Einrichtungen ist das die eigentliche Lehre: Digitale Unabhängigkeit entscheidet sich nicht nur bei Software und Benutzeroberfläche, sondern auch und vor allem bei der Frage, wo Daten gespeichert, verschlüsselt, bewegt und im Ernstfall verlagert werden können. Wer Cloud-Sicherheit heute ernst nimmt, sollte deshalb nicht nur über Schutzmechanismen, sondern auch über den Notausgang sprechen.

Denn erst wenn ein Exit technisch und wirtschaftlich machbar ist, wird aus der Nutzung der Cloud eine kontrollierte Entscheidung und nicht bloß eine neue Form der Abhängigkeit.


Dr. Lennart

Gaida

Director Strategy & Innovation

Impossible Cloud GmbH

Anzeige

Artikel zu diesem Thema

DNA-Speicher
8. Mai 2026
Die biologische Cloud: Warum Ihre Firmengeschichte bald in DNA stehen könnte

Weitere Artikel

Cloud-Souveränität muss keine Utopie sein
Fraud-Detection 2026–2030: Warum regelbasierte Systeme scheitern
Frauen in der Cybersecurity: Chancen, Hürden und die Rolle von KI
Ganzheitliches Security-Framework
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.