Cloud-Strategien: Zwischen Kontrolle, Komfort und geopolitischer Abhängigkeit

Die große Cloudifizierung hat vielen Unternehmen einen Digitalisierungsschub versprochen. Doch damit wachsen nicht nur die Möglichkeiten, sondern auch die Abhängigkeiten und diese werden aktuell zusätzlich durch geopolitische Risiken verschärft.

Die Parallele zur Energiekrise liegen auf der Hand: Erst als Gasimporte politisch instrumentalisiert wurden, erkannte man die Kosten der Abhängigkeit. In der IT steht Europa vor einem ähnlichen Moment der Erkenntnis. Die Dominanz amerikanischer Anbieter ist ein strukturelles Risiko – nicht, weil sie schlechte Produkte liefern, sondern weil es eine Machtkonzentration erzeugt.

Wie leichtfertig mit dieser Abhängigkeit heute oft umgegangen wird, zeigt sich auch im veränderten Umgang mit Anbietern: War es einmal eine Grundsatzentscheidung, ob man überhaupt etwas auslagert – die entsprechend sorgfältig geprüft wurde –, wird bei der Auswahl des Anbieters heute kaum noch das Kleingedruckte gelesen (vgl. Make or Buy – Die neue IT-Frage für Entscheider​).

Dass viele Unternehmen die Risiken nicht mehr hinterfragen, liegt auch an einem verschobenen Entscheidungsverhalten. Früher wurden Anbieter in Ausschreibungen sehr detailliert und in der Tiefe geprüft. Heute verlässt man sich zum Teil auf Hochglanzfolien. Auf diesen wird man immer über Business Continuity lesen – Zertifizierungen wie ISO 27001 machen das zur Pflicht. Ausf​älle großer Anbieter zeigten aber immer wieder, dass selbst etablierte Systeme nicht vor Störungen gefeit seien. Die technische Größe suggeriert Stabilität – aber auch dort gibt es Schwachstellen. Je größer und komplexer das System, desto größer ist die Tragweite der weißen Flecken in den Notfallplänen, die die Verfügbarkeit auch im Ernstfall gewährleisten sollen. Man muss den Business Continuity Management-Zusagen vertrauen – man kann sie aber nicht überprüfen. In der Praxis bedeute das, dass Unternehmen ein relevantes Restrisiko mittragen, ohne es real einschätzen zu können. Aber dieses Restrisiko wirkt heute anders als früher: Was früher einen Dienst betroffen hat, betrifft heute alle, weil alles in der Cloud liegt.

Denn die eigentliche Gefahr liegt in der Bündelung von Risiken. Wir beobachten, dass Unternehmen durch Cloud First-Strategien ein strukturelles Prinzip über Bord werfen, das früher selbstverständlich war: Risikoverteilung. Zentrale Geschäftsprozesse wie die Kommunikation, ERP-Systeme oder Automatisierungsprozesse werden gebündelt über ein einziges Cloud-Setup betrieben – das schafft ein massives Konzentrationsrisiko.

Diese Entwicklung wird durch geopolitische Spannungen zusätzlich verschärft: Die USA dominieren die globale IT-Infrastruktur. Unter der Trump-Administration haben wir gesehen, wie schnell politische Entscheidungen wirtschaftliche Folgen nach sich ziehen können. Zölle, Sanktionen oder regulatorische Eingriffe – all das kann über Nacht passieren und weitreichende Folgen haben.

Hinzu kommt eine rechtliche Grauzone im Umgang mit internationalen Cloudanbietern. Die großen Hyperscaler unterliegen nicht nur europäischen Regelwerken wie der DSGVO, sondern auch dem US-amerikanischen Cloud Act. Dieser erlaubt Zugriffe auf Daten auch dann, wenn sie in Europa liegen. Zwar schütze das sogenannte Privacy Shield der EU, aber es ist zu hinterfragen, ob man im Krisenfall wirklich als Kunde auf Augenhöhe wahrgenommen wird. Zudem ist auf die sogenannte Schrems-Rechtsprechung zu verweisen. Ein einziges Urteil kann ganze transatlantische Datenmodelle ins Wanken bringen.

Daher steht fest: Die wirklich kritischen, wertschöpfenden Daten – die „Kronjuwelen eines Unternehmens“ – gehören nicht in Systeme, bei denen die Datensouveränität nicht zu 100 Prozent garantiert werden kann.

Egal ob technisch, rechtlich oder geopolitisch: Wir müssen in Europa dringend Wege finden, diese Abhängigkeit zu begrenzen. Sonst entscheiden andere über unsere Infrastruktur. Initiativen wie GAIA-X sollten genau diese Alternativen bieten, konnten sich aber bislang kaum durchsetzen. Einige Unternehmen sind wieder ausgestiegen, weil der Markt es nicht angenommen hat. Dennoch: Wenn beide Seiten wollen – Unternehmen und Anbieter – lässt sich in Europa und gerade in Deutschland viel bewegen.

Was bleibt, ist daher ein Appell zur Haltung. Nicht jede Lösung muss europäisch sein – aber jede Entscheidung muss bewusst getroffen werden. Von Cloud First zu Cloud Smart. Denn wer Abhängigkeiten reduziert, sichert nicht nur Daten – sondern im „Falle eines Falles“ auch die Zukunftsfähigkeit seines Unternehmens.