Cybervize - Cybersecurity Beratung
Alle Artikel

Cloud-Lock-in: Wenn 40 Prozent Aufschlag zum Weckruf werden

Alexander Busse·10. April 2026
Cloud-Lock-in: Wenn 40 Prozent Aufschlag zum Weckruf werden

Letzte Woche. Ein Mittelständler. Der Cloud-Anbieter erhöht über Nacht die Preise um 40 Prozent.

Kein Plan B. Keine Exit-Strategie. Keine Alternative evaluiert.

Was folgte, war keine Krise im technischen Sinne. Die Systeme liefen. Aber die Entscheidungsfreiheit war weg.

Der Moment, in dem Abhängigkeit sichtbar wird

Digitale Abhängigkeiten sind unsichtbar, solange alles läuft. Preise bleiben stabil. Verträge werden verlängert. Der Anbieter ist zufrieden. Man selbst auch.

Dann passiert etwas. Eine Preiserhöhung. Ein Sicherheitsvorfall beim Anbieter. Eine regulatorische Anforderung, die Datenlokalisierung verlangt. Plötzlich steht man vor einer Entscheidung, die man nicht vorbereitet hat.

Der Mittelständler aus dem Beispiel stand vor einer einfachen Frage: Zahlen wir 40 Prozent mehr, oder migrieren wir? Die Antwort war: Zahlen. Nicht weil es die bessere Entscheidung war, sondern weil die andere Option nicht vorbereitet war.

Was digitale Souveränität wirklich bedeutet

Digitale Souveränität ist kein Selbstversorgungskonzept. Es geht nicht darum, alles selbst zu betreiben. Es geht darum, jederzeit die Wahl zu haben.

Wer souverän ist, kann entscheiden, ob er zahlt oder wechselt. Er kann eine Migration planen, ohne unter Druck zu stehen. Er kann Alternativen bewerten, ohne von einem Anbieter abhängig zu sein. Das setzt Vorbereitung voraus. Nicht Paranoia, sondern strategische Weitsicht.

Warum Unternehmen zu lange warten

Die ehrliche Antwort: Cloud-Lock-in fühlt sich nicht nach Risiko an. Es fühlt sich nach Effizienz an.

Ein einziger Anbieter für Compute, Storage, Kollaboration und Security. Rechnungsstellung aus einer Hand. Support aus einer Hand. Onboarding neuer Mitarbeiter in einer Stunde. Das ist attraktiv. Verständlich. Und in vielen Fällen sinnvoll.

Das Problem entsteht nicht beim ersten Vertrag. Es entsteht, wenn aus Effizienz Abhängigkeit wird. Wenn Daten in proprietären Formaten liegen. Wenn Prozesse tief mit dem Ökosystem eines Anbieters verwoben sind. Wenn ein Wechsel nicht mehr in sechs Monaten möglich ist, sondern in zwei Jahren.

Die meisten Unternehmen merken das erst, wenn der Schmerz da ist.

Die drei Trigger, die niemand einplant

Drei Szenarien zeigen, wann digitale Souveränität plötzlich zum Thema wird.

Preiserhöhung

Der Anbieter hat genug Marktmacht, um Konditionen einseitig zu ändern. Das passiert bei Cloud-Diensten, bei Software-Lizenzen, bei Supportverträgen. Wer keine Alternative hat, zahlt.

Sicherheitsvorfall

Der Anbieter wird kompromittiert. Man hat keinen Einfluss auf die Incident Response, keinen Zugriff auf Logs, keine Kontrolle über den Zeitplan. Und man muss trotzdem gegenüber Kunden und Regulatoren Rechenschaft ablegen.

Regulierung

NIS-2 verlangt, dass Unternehmen ihre Lieferkette kennen und kontrollieren. DORA setzt ähnliche Maßstäbe im Finanzsektor. Wer seine Cloud-Abhängigkeiten nicht dokumentiert hat, hat ein Compliance-Problem.

In allen drei Szenarien gilt: Wer vorbereitet ist, hat Optionen. Wer es nicht ist, reagiert unter Druck.

Was Unternehmen jetzt konkret tun können

Digitale Souveränität zurückzugewinnen ist kein Sprint. Es ist ein strukturierter Prozess.

Sichtbarkeit herstellen

Welche Systeme laufen bei welchen Anbietern? Welche Daten liegen wo? Welche Prozesse sind tief integriert? Erst wenn das klar ist, lässt sich bewerten, wo echte Abhängigkeiten bestehen und wo nur Komfort.

Kritikalität bewerten

Nicht jede Cloud-Abhängigkeit ist ein Risiko. Viele sind vertretbar. Es geht darum, die wenigen kritischen Abhängigkeiten zu identifizieren, bei denen ein Ausfall oder eine Preiserhöhung existenziell wäre.

Optionen vorbereiten

Für kritische Systeme gilt: Es braucht eine dokumentierte Exit-Strategie. Nicht als Notfallplan im Tresor, sondern als aktives Wissen im Unternehmen. Wer wechseln könnte, muss es nicht. Aber er hat die Wahl.

Die Frage, die auf den Tisch gehört

Viele Mittelständler arbeiten mit IT-Teams, die operativ ausgelastet sind. Strategische Fragen wie Souveränität oder Vendor-Risk stehen nicht auf der Tagesordnung, weil das Tagesgeschäft sie verdrängt.

Das ist kein Versagen. Es ist ein strukturelles Problem.

Cloud-Abhängigkeiten sind eine unternehmerische Frage, keine rein technische. Sie gehören auf die Agenda des Geschäftsführers oder des Lenkungsausschusses. Die Sprache dafür ist nicht Technologie, sondern Kosten, Kontrolle und Compliance.

Was der Fall wirklich zeigt

Die 40-Prozent-Preiserhöhung war kein Ausnahmefall. Sie war ein Signal.

Cloud-Anbieter wissen genau, wie tief ihre Kunden integriert sind. Preiserhöhungen kommen dann, wenn die Wechselkosten hoch genug sind. Das ist keine Verschwörung, sondern Geschäftsstrategie.

Wer diese Dynamik kennt, kann sich darauf einstellen. Wer sie ignoriert, erlebt sie als Überraschung.

Digitale Souveränität bedeutet: Man wählt, welche Abhängigkeiten man eingeht. Man kennt die Konsequenzen. Und man hat einen Plan für den Fall, dass sich die Bedingungen ändern. Das ist keine Frage von Technologie. Es ist eine Frage von Führung.

Zurück zur Übersicht

Weitere Artikel

NIS-2 aufschieben: Warum Warten teurer wird als Starten

Wer NIS-2 aufschiebt, zahlt später mehr. Ressourcen werden knapper, Preise steigen und Behörden bauen Prüfkapazitäten auf. Der erste Schritt dauert zwei Stunden.

7. April 2026

KI-Agenten sind keine Magie: Warum Kontrolle entscheidet

Wer KI-Agenten für Magie hält, wird sie nie wirklich steuern können. Was ein AI-Agent wirklich ist und warum das alles verändert.

6. April 2026

NIS-2 in 6 Wochen: Der Sprint, der beim Vorstand ankommt

Wie ein strukturierter 6-Wochen-Sprint mehr NIS-2-Fortschritt liefert als ein 200-Seiten-Konzept. Woche für Woche, mit messbarem Output und einem Vorstandsbericht, der ankommt.

3. April 2026

Passende Leistungen

Virtual CISO (vCISO)

Strategische Sicherheitsführung auf C-Level, flexibel und kosteneffizient.

Mehr erfahren

Cybersecurity Assessment

Umfassende Analyse Ihrer IT-Sicherheitslage mit konkretem Maßnahmenplan.

Mehr erfahren

Passende Podcast-Folgen

Diese Episoden vertiefen das Thema weiter.

Awareness & Kultur

Warum kluge Menschen auf Phishing reinfallen

Mit Jill Wick, Wirtschaftspsychologin (FH) aus Zürich und Expertin für Security Awareness

37 minAnhoeren
CISO & Führung

Mehr Regulierung für Cybersicherheit?

Mit Tobias Glemser, Geschäftsführer der Secuvera

33 minAnhoeren
OT-Security

Was ist OT Security?

Mit Reto Amsler, Experte für OT-Sicherheit von der Schweizer Firma Alsec

38 minAnhoeren