Deutsche Unternehmen wissen um ihre Abhängigkeit von US-Cloud-Anbietern – doch zwischen Problembewusstsein und konkreter Absicherung klafft eine operative Lücke, die zum strategischen Risiko wird.
Das Paradox der wachsenden Abhängigkeit
Die Abhängigkeit deutscher Unternehmen von US-Cloud-Infrastrukturen steigt – gleichzeitig wächst das Unbehagen darüber. Die Cloud Transformation läuft unvermindert weiter, operative Konsequenzen bleiben aber aus. Viele Organisationen überdenken derzeit zwar ihre Cloud-Strategie, ziehen daraus jedoch keine strukturellen Schlüsse.
Grund dafür ist zum einen die erhebliche Komplexität, die aus den Wechselwirkungen von Betriebsmodellen, Hardware und Software vor dem Hintergrund verschiedener Geschäftsmodelle entsteht. Einfach alles über Bord werfen, das aus den USA kommt, ist deshalb kurz- und auch mittelfristig unrealistisch.
Und es ist im Sinne der digitalen Souveränität auch nicht wirklich notwendig: Souveränität besitzt, wer Risiken kennt, beherrscht und steuern kann. Dies ist die Voraussetzung für eine realistische Beurteilung der Situation, und es ist die Grundlage für jede Strategie und ihre Umsetzung.
Die meisten Unternehmen können ihre tatsächliche Ausfalltoleranz derzeit allerdings gar nicht belastbar einschätzen. Gefühlte Resilienz und operative Realität liegen meiner Erfahrung nach weit auseinander. Wer nicht exakt weiß, welche Systeme im Ernstfall zuerst betroffen wären und wie lange der Betrieb ohne sie aufrechtzuerhalten ist, plant auf Sand.
Drei Schichten, drei Handlungslogiken
Digitale Souveränität ist keine Frage von schwarz und weiß, sondern als Schichtenmodell zu verstehen – und jede Ebene erfordert einen eigenen Ansatz.
Data Residency – der physische Speicherort – ist vergleichsweise einfach steuerbar: Rechenzentrumsstandort wählen, vertraglich fixieren, technisch konfigurieren. Doch Verortung in Deutschland allein schafft keine Kontrolle. Der US Cloud Act greift auch auf Daten zu, die auf europäischen Servern von US-Unternehmen liegen. Wer sich auf Data Residency beschränkt, wiegt sich in falscher Sicherheit.
Operational Sovereignty adressiert die Frage, wer auf Daten zugreifen darf und von wo. Berechtigungsmanagement, Zugriffsbeschränkung auf EU-Personal, Auditierbarkeit – das sind Stellschrauben, die ein IT-Dienstleister in Deutschland mit eigenen Rechenzentren vertraglich und technisch absichern kann. Diese Ebene bietet den größten Hebel bei vertretbarem Aufwand.
Technische Souveränität bleibt die schwierigste Dimension. Server, Virtualisierung, Betriebssysteme, Datenbanken, KI-Frameworks: Nahezu alle marktprägenden Komponenten stammen von US-Unternehmen. Europäische Alternativen sind für die meisten Organisationen aktuell und kurzfristig weder praktikabel noch finanzierbar. Auf eine gleichwertige europäische Sovereign Cloud zu warten, führt zu Stillstand.
Regulatorik erhöht den Druck
Rechtlich ist am Einsatz nicht-europäischer Clouddienste zunächst nichts auszusetzen. Doch im Zusammenspiel von DSGVO, NIS2, DORA und KRITIS entstehen sowohl Compliance- als auch Souveränitätsrisiken. Deshalb genügt in regulierten Branchen der Verweis auf einen EU-Speicherort alleine nicht. Entscheidend ist, ob konzernrechtliche Strukturen, außereuropäisches Recht oder operative Abhängigkeiten die tatsächliche Kontrolle über Daten und Systeme beeinträchtigen könnten.
DORA und NIS2 verstärken die Forderung, dass Risiken in der Liefer- und Leistungskette frühzeitig identifiziert und laufend überwacht werden. Regelmäßige, automatisierte Infrastruktur-Updates durch Hyperscaler verschärfen das Problem: Regulierte Branchen brauchen transparente Change-Prozesse und stabile Plattformen – kein kontinuierliches Anpassen an anbieterseitige Veränderungen.
Fünf Aspekte, die Unternehmen jetzt beherzigen müssen
- Inventur vor Strategie: Tatsächliche Abhängigkeiten systematisch erfassen, dann erst über einen Anbieterwechsel nachdenken. Ohne diese Grundlage sind alle weiteren Maßnahmen ein Schuss ins Blaue – in regulierten wie in nicht-regulierten Branchen.
- Operational Sovereignty als erreichbares Zwischenziel definieren: Zugriffe auf produktive Systeme auf EU-Personal beschränken, Berechtigungskonzepte transparent und auditierbar gestalten – das bringt substanziellen Souveränitätsgewinn, ohne den gesamten Stack austauschen zu müssen.
- Resilienz valide messen : Recovery Time Objectives und Recovery Point Objectives nicht nur definieren, sondern regelmäßig testen. Geschäftskritische Prozesse auf Single-Vendor-Abhängigkeiten und proprietäre Lock-ins prüfen. Hybride Architekturen und Multi-Provider-Strategien als Diversifizierungsinstrument nutzen.
- Kritische Systeme durch europäische Back-up-Infrastruktur absichern: Back-up in einem europäischen Rechenzentrum, eigene Schlüsselverwaltung per Hardware-Sicherheitsmodul, definierte maximale Ausfallzeiten je Dienst – das sind Sofortmaßnahmen mit direkter Wirkung.
- Souverän entscheiden – auch mit Hyperscalern: Souveränität bedeutet nicht Verzicht auf US-Technologie. Wer Risiken kennt, die Folgen einordnet und Ausweichmechanismen vorbereitet hat, handelt souverän – unabhängig vom Herkunftsland des Anbieters.
Jetzt starten – handlungsfähig bleiben
Vollständige technische Unabhängigkeit ist derzeit keine realistische Option. Der notwendige Paradigmenwechsel führt weg von dieser Wunschvorstellung hin zu strukturiertem Risikobewusstsein: Abhängigkeiten identifizieren, bewerten, absichern – Schicht für Schicht.
Wir bei Syntax verfolgen als IT-Dienstleister mit deutschen und kanadischen Wurzeln genau diesen Ansatz: vom Assessment über die Risikoanalyse zu Lösungen, die eigene Rechenzentren und hybride Architekturen kombinieren. Die Erfahrung aus vielen Projekten zeigt, wo digitale Abhängigkeiten entstehen und wo eine entsprechende Risikobewertung stattfinden muss – Erkenntnisse, die jedem weiteren Assessment zugutekommen. Wer jetzt startet, schafft die Grundlage für eine Cloud Transformation, die nicht nur technisch trägt, sondern auch regulatorisch und geopolitisch belastbar bleibt.
Autor
