Zurück
Jetzt teilen
02.September 2025

IT-Markt - Fachartikel

Souveräne Cloud – Mehr Risikoanalyse als Tech-Fit.

«Digitale Souveränität» ist derzeit eines der meistgenutzten Schlagworte in der IT- und Wirtschaftspresse. Politiker, Branchenverbände und Anbieter betonen ihre Wichtigkeit, wenn es um Datenschutz, Sicherheit und digitale Unabhängigkeit geht. Doch abseits von Panels und Fachartikeln bleibt die Debatte oft oberflächlich und voller Fragen. Unternehmen hören Schlagworte wie Datenhoheit oder Sovereign Cloud, ohne eine klare Vorstellung davon zu entwickeln, was diese Begriffe für die eigene Organisation wirklich bedeuten. Der Preis dieser Unschärfe kann hoch sein: Entscheidungen werden vertagt, Chancen verpasst und Risiken übersehen.

Was macht eine Cloud souverän?

Eine souveräne Cloud ist mehr als Datenresidenz in einem Rechenzentrum im Inland. Sie beruht auf einer Kombination aus rechtlichen, technischen und organisatorischen Eigenschaften, die sicherstellen, dass die gesamte Datenverarbeitung im Einklang mit den geltenden Gesetzen und den strategischen Interessen des Unternehmens steht.

Kernkriterien

  • Rechtskonformität: Erfüllung aller relevanten Datenschutzgesetze. Dabei geht es nicht nur um Speicherort, sondern auch um Zugriffskontrolle und Zugriffsmöglichkeiten aus dem Ausland.
  • Datenhoheit: Der Kunde behält jederzeit die volle Kontrolle darüber, wer Zugriff auf seine Daten hat, und kann technische sowie organisatorische Zugriffsbeschränkungen nicht nur einsehen sondern auch durchsetzen.
  • Technische Souveränität: Ist in der Schweiz und Europa nicht zu 100% möglich. Aber man kann durch die Nutzung von Standards, offenen Schnittstellen und interoperablen Technologien ein sinnvolles Mass erreichen, um Abhängigkeiten von einzelnen Herstellern oder politischer Volatilität zu reduzieren.
  • Transparenz: Nachvollziehbare Prozesse und klare Vertragsgestaltung, um rechtliche Grauzonen zu minimieren.
  • Betrieb in vertrauenswürdigem Rechtsraum: Idealerweise schliesst man als Unternehmen Verträge über kritische Infrastruktur ausschliesslich mit Anbietern, die keine extraterritorialen Zugriffsmöglichkeiten wie den US Cloud Act kennen.

Diese Kriterien klingen selbstverständlich – ihre konsequente Umsetzung ist es jedoch keinesfalls, denn es handelt sich hier um Gestehungskostentreiber. Mit Ausnahme von Anbietern, die Datenschutz als Teil ihres Angebots vermarkten, bleibt das Thema für die meisten Unternehmen ein unliebsamer Kostenpunkt.

Relevanz für Unternehmen – Pflicht oder Kür?

Nicht jede Organisation hat die gleichen Anforderungen. Dennoch gibt es mindestens drei Gründe, weshalb Schweizer Unternehmen die Frage nach Cloud-Souveränität nicht ignorieren sollten:

  1. Regulatorische Anforderungen: Banken, Versicherungen, Gesundheits- und öffentliche Einrichtungen unterliegen teilweise strengen Auflagen zur Datenspeicherung und  -verarbeitung. Hier unterliegt aber nicht alles, was bspw. eine Bank technisch macht, diesen Regularien, sondern nur (besonders) schützenswerte Anwendungsfälle. Eine Differenzierung wird oft vernachlässigt.
  2. Vertrags- und Haftungsrisiken: Kunden und Partner erwarten zunehmend, dass sensible Daten unter klar definierten Rahmenbedingungen verarbeitet werden. Das ist aber in den wenigsten Unternehmen technische Realität. Ringt sich ein Unternehmen dazu durch, ein Audit durchzuführen, ist dies lediglich eine Momentaufnahme und keine Garantie, dass Daten dauerhaft effektiv auf ausreichendem Niveau geschützt sind.
  3. Strategische Resilienz: Abhängigkeit von Anbietern, deren strategische Ausrichtung oder Rechtslage sich ändern kann, birgt operative Risiken. Convenience und Commodity verleiten dazu, sich in grössere Abhängigkeiten zu begeben, als man das als Unternehmer möchte. Oft fehlen aber marktfähige Alternativen zu einem wettbewerbsfähigen Preis und so geht man die Abhängigkeit auf gut Glück ein. Ein Risiko, das die meisten Unternehmen bewusst oder unbewusst in Kauf nehmen.

Kaum eine Firma hat vollständige Transparenz darüber, welche Daten sie überhaupt warum speichert und wie.

Aus dieser Unsicherheit heraus werden Ansätze wie ein «reiner Inlandsbetrieb», ein weiterer «On-Premise Lifecycle» oder «wir schieben jetzt einfach alles zu Azure» als kategorische Lösung herangezogen, doch keines der Extreme löst das Problem im Normalfall. Denn weder rechtlich noch technisch wurde hier eine passgenaue Lösung erarbeitet. Die Kunst besteht darin, eine risikoadäquate, wirtschaftlich sinnvolle Lösung zu finden.

Bevor ein Unternehmen über die Wahl zwischen souveräner Cloud und Hyperscaler entscheidet, sollte es zunächst genau verstehen, welche Daten, Prozesse und Anwendungsfälle es tatsächlich betreibt. In der Praxis zeigt sich, dass viele Organisationen – oft unbewusst – mit besonders schützenswerten Daten umgehen. Dazu gehören etwa Gesundheitsinformationen aus Arztzeugnissen im HR-Bereich, biometrische Daten aus Zutrittskontrollen, strafrechtliche Informationen aus Bewerbungsverfahren oder Kundendaten mit sensiblen Inhalten, die im CRM vermerkt sind. Auch technische Konstruktionspläne oder vertrauliche Vertragsdokumente können einen hohen Schutzbedarf haben, selbst wenn sie nicht unter das Datenschutzgesetz, sondern unter das Gesetz zum Schutz von Geschäftsgeheimnissen fallen. Erst wenn diese Bestandsaufnahme erfolgt ist, lässt sich fundiert beurteilen, ob und in welchem Umfang eine souveräne Cloud erforderlich ist – oder ob ein Hyperscaler unter klar definierten Rahmenbedingungen den Anforderungen ebenso gerecht wird. Ohne diese Analyse bleibt jede Entscheidung über den Cloud-Typ ein Stück weit spekulativ.

Performance und Skalierbarkeit – Konkurrenz zu Hyperscalern?

Ein häufiges Argument gegen unabhängige Cloud-Plattformen lautet, dass sie in Sachen Skalierbarkeit, Performance und Funktionsumfang nicht mit Hyperscalern wie AWS, Microsoft Azure oder Google Cloud mithalten könnten. Und meistens stimmt das. Was auch stimmt ist, dass die meisten Unternehmen den Grossteil der Features gar nicht nutzen (können), sowohl Skalierbarkeit als auch Performance lokaler Anbieter vollkommen ausreichend ist und die Nähe zum Support oft eine sehr grosse Rolle spielt. 
Technologisch sind viele regionale Anbieter heute auf einem guten Stand. Gerade in der Schweiz ist das Niveau der Service-Landschaft sehr hoch. Moderne Virtualisierung, Container-Orchestrierung, Software-Defined Networking und Open-Source-basierte Plattform-Services ermöglichen Leistungsniveaus, die für die meisten Unternehmensanwendungen weit mehr als ausreichend sind.
Geografische Skalierung ist kein zentrales Kriterium für Schweizer Unternehmen, deren Zielmärkte primär in Europa liegen.
Latenz und Verfügbarkeit profitieren theoretisch von der Nähe zum Kundenstandort, da Datenwege kürzer und Service-Teams greifbarer sind, aber technisch spielt die Latenz in der Schweiz für die meisten Unternehmen aufgrund der sehr hohen Qualität der Connectivity keine Rolle. 
Die meisten IT-Leiter sehnen sich danach, einfach mal mit jemandem sprechen zu dürfen, der ihnen nichts verkaufen muss.
Keine Frage: Innovationstempo bleibt ein Vorteil der Hyperscaler, insbesondere bei KI-, IoT- oder Big-Data-Diensten, aber es gibt für alles Alternativen, wenn der Bedarf da ist.
Besonders in kleinen Märkten wie der Schweiz müssen unabhängige Anbieter hier durch Integration und Partnerschaften punkten.

Die Fragen sind:

  • Welches Setup ist optimal für meine Kunden?
  • Was brauche ich als Unternehmen wirklich?
  • Welche Services entlasten mich und mein Team und helfen uns, kompetitiv, vorne im Markt mit dabei zu bleiben?
  • Welche Service-Tiefe soll mein Team konsumieren können?
  • Welche Abhängigkeiten sollten wir vermeiden?
  • Welche Systeme helfen mir dabei, Automatisierung und Geschwindigkeit in meinem Unternehmen bei gleichzeitiger Reduktion meiner Grenzkosten für jeden zusätzlichen Kunden zu erhöhen?


Der Dienstleister, der diese Fragen individualisiert, verständlich und zu einem fairen Preis beantworten kann, hat beste Chancen, einen wertvollen Beitrag zu einer modernen und zukunftsfähigen Schweizer Wirtschaft beizutragen.

Risikoanalyse als Entscheidungskompass

Die Wahl zwischen einer souveränen Cloud und einem Hyperscaler ist selten eine rein technische oder preisgetriebene Entscheidung. Sie berührt Rechtsfragen, strategische Abhängigkeiten, Innovationsfähigkeit und nicht zuletzt die Organisationsstruktur. Schritt Eins ist daher immer, eine unternehmensspezifische Risikoanalyse durchzuführen.

Diese Analyse sollte für beide Szenarien – souveräne Cloud und Hyperscaler – durchgeführt werden und mindestens folgende Dimensionen betrachten:

  1. Recht & Compliance: Welche Gesetze und regulatorischen Anforderungen gelten, und wie hoch ist das Risiko eines Verstosses?
  2. Datenhoheit: Wer hat die operative und rechtliche Kontrolle über die Daten?
  3. Technologische Abhängigkeiten (Vendor Lock-in): Wie aufwendig wäre ein Anbieterwechsel?
  4. Performance, Skalierbarkeit und Funktionsvielfalt: Passen die technischen Möglichkeiten zum Wachstumspfad des Unternehmens?
  5. Kostenentwicklung: Wie stabil und kalkulierbar sind die langfristigen Kosten?
  6. Sicherheitslage & Betriebsstabilität: Wie hoch sind die Risiken durch Ausfälle, Cyberangriffe oder interne Fehler?

Unternehmen bewerten jede Kategorie nach Eintrittswahrscheinlichkeit und potenzieller Schadenshöhe. Daraus ergibt sich eine Risikopriorität, die als objektive Grundlage für strategische Entscheidungen dient. Die Ergebnisse sollten anschliessend in einer Risikomatrix visualisiert werden, um Prioritäten auf einen Blick zu erkennen.

Dieses Vorgehen hat zwei Vorteile:

  1. Transparenz – Entscheidungen beruhen auf nachvollziehbaren Kriterien statt auf Bauchgefühl oder Trends.
  2. Individualisierung – Jedes Unternehmen erkennt, welche Risiken für den eigenen Kontext wirklich relevant sind und kann seine Roadmap entsprechend gestalten.

Unternehmen, die diese Übung sauber absolviert haben, kommen meist zu dem Schluss, dass es eine Multi-Cloud-Strategie wird, in der nebst dem Standard-Portfolio der ausgewählten Anbieter noch einige Spezialanforderungen hinzukommen. Es wird ein Projekt. 
Genau an diesem Punkt scheitern viele Cloud Transformationsprojekte. Denn jetzt heischen alle um den grössten Teil des Kuchens. Der Hyperscaler beteuert, dass er alles kann und es keine weiteren Anbieter braucht. In der Open-Source-Community ist man allergisch gegen alles Proprietäre und es gibt nur selten eine Entität, die beide Welten gut kennt und die richtigen Leute – zu einem für das betroffene Unternehmen sinnvollen Preis – an einen Tisch bekommt. Am Ende sollte es um die beste Lösung für den Kunden gehen, aber effektiv geht es um Revenue. 

Was kann man also als IT-Leiter tun, um sich zu schützen?

Herangehensweise: Kein Unterschied zum klassischen Vorgehen

Eine souveräne Cloud ist Stand 2025 kein Plug-and-Play-Produkt. Wer sich für eine Umstellung entschieden hat, sagt «Ja» zu strategischer Vorbereitung und pragmatischen Umsetzungsschritten:

  1. Bedarfsklärung: Welche Daten und Systeme sind kritisch? Welche regulatorischen Vorgaben gelten? Welche Risiken sind akzeptabel?
  2. Anbieterauswahl: Neben Preis und Leistung muss geprüft werden, ob der Anbieter rechtliche und technische Souveränitätskriterien erfüllt.
  3. Migrationsstrategie: Security-Konzept, Proof-of-Concept, schrittweise Migration und klare Exit-Strategien sind Pflicht. Wenn an dieser Stelle noch ein Application-Modernisation-Projekt von Legacy-Applikationen eingeschoben wird, kann die Komplexität des Projekts schnell überwältigend werden.
  4. Governance und Compliance: Rollen, Verantwortlichkeiten und Kontrollmechanismen definieren, um langfristig die Einhaltung der Anforderungen sicherzustellen.
  5. Betriebsprozesse: Monitoring, Incident-Response und Support-Strukturen müssen die Sicherheits- und Verfügbarkeitsziele widerspiegeln.
  6. Exit-Planung: Schon vor Vertragsunterzeichnung klären, wie Daten und Anwendungen im Bedarfsfall migriert werden können. (Wird fast immer vergessen.)

Der blinde Fleck in der Diskussion 

Was in der öffentlichen Debatte selten thematisiert wird: Souveränität ist nicht allein eine Frage der Technologie, sondern eine des Organisationsdesigns. Selbst die sicherste Cloud-Architektur nützt wenig, wenn interne Prozesse, Schulungen oder Berechtigungskonzepte Lücken lassen. Ebenso kann eine Übererfüllung technischer Kriterien zu hohen Kosten führen, wenn sie nicht auf reale Geschäftsrisiken abgestimmt ist.

Die nüchterne Auseinandersetzung mit den eigenen Abhängigkeiten, Risiken und Prioritäten ist oft schwieriger als der Einkauf der «passenden» Technologie.

Fazit

Digitale Souveränität ist kein Allheilmittel für jahrelang aufgeschobene Cyber Security Basis-Arbeit oder technische Schulden aller Art, sondern in erster Linie eine perspektivische Auseinandersetzung mit dem Thema «Technologische Unabhängigkeit». Eine souveräne Cloud ist keine neue Erfindung. Sie ist eine moderne, auf den Anwendungsfall abgestimmte und optimierte Technologie, die es einem Unternehmen gemeinsam mit passenden Prozessen und Kultur erlaubt, rechtlich, technisch und organisatorisch Risiken und Kosten zu steuern, Compliance sicherzustellen und langfristige Unabhängigkeit zu sichern. Die Debatte sollte sich deshalb von pauschalen Forderungen und politischen Symbolhandlungen lösen – hin zu individuellen Analysen und massgeschneiderten Lösungen.

Wer diesen Weg beschreitet, muss weder dogmatisch noch technikgläubig vorgehen, sondern konsequent geschäftsorientiert. 
Souveränität ist in aller Munde, aber gelebt wird sie nur von jenen, die langfristig in ihre Unabhängigkeit investieren wollen.