Das Wissensportal für IT-Professionals. Entdecke die Tiefe und Breite unseres IT-Contents in exklusiven Themenchannels und Magazinmarken.

side banner

heise conferences gmbh

(vormals SIGS DATACOM GmbH)

Lindlaustraße 2c, 53842 Troisdorf

Tel: +49 (0)511/5352-100

service-sigs@heise.de
logo logo
adv
Cloud-Computing Software-Architektur

Von „Cloud first“ zu „Cloud rational“: Rückkehr zur souveränen IT-Architektur

Die vergangenen Jahre waren von einem klaren Unternehmenskurs geprägt: Cloud first. Doch die geopolitischen Unruhen lassen diese Strategie anzweifeln. Störungen im Betrieb, potenzielle Datenauslieferungen an Regierungen, Souveränitätsverluste – die Cloud birgt mittlerweile zu viele Risiken. So die Annahme. Denn in Wirklichkeit ist nicht die Cloud das Problem, sondern eine unreflektierte Nutzung.
Author Image
Maurice Mensing

Cloud Solution Architect

Author Image
Tobias Neuschulz

Cloud Solution Architect

  • 10.04.2026
  • Lesezeit: 14 Minuten
  • 64 Views

Cloud-Services gelten seit Jahren als einer der zentralen Treiber für den digitalen Unternehmensfortschritt. Wer flexibel bleiben will, setzt auf die skalierbare, vernetzte und sichere Technologie. Vor diesem Hintergrund verwundert es kaum, dass die meisten Organisationen auf eine Cloud-first-, teils sogar eine Cloud-only-Strategie vertrauen.

Doch die Einstellung zur Cloud hat sich mit den anhaltenden geopolitischen Spannungen verändert: von der Erfolgsgeschichte zum Diskussionsstoff. Hauptsächlich dafür verantwortlich ist die wachsende Sorge, sich zu sehr von Cloud-Diensten außerhalb der Europäischen Union abhängig zu machen.

Laut einer Studie des Bitkom e. V. wünschen sich knapp über 80 Prozent der befragten Unternehmen Hyperscaler, also große Cloud-Anbieter, mit Sitz in Deutschland oder anderen europäischen Ländern [1]. Denn würde der Cloud-Betrieb durch gesetzliche oder staatliche Vorgaben eingeschränkt, könnten fast zwei Drittel der Unternehmen ohne Cloud nicht mehr arbeiten. Deshalb fühlen sich auch 50 Prozent der Befragten in der Pflicht, ihre bisherige Strategie rund um die Cloud zu überdenken. Der Wunsch dahinter ist weniger ein Rückzug aus Innovation, sondern ein Bedarf an Sicherheit und Planbarkeit: Wer souverän bleiben will, braucht Rahmenbedingungen, die im Zweifel nicht gegen das eigene Risiko- und Compliance-Profil arbeiten.

Das Schlagwort hierbei: IT-Souveränität. Denn Organisationen müssen ihre IT sicher, kompetent und gelassen steuern können. Gleichzeitig müssen sie Risiken realistisch einschätzen und auch unter veränderten Rahmenbedingungen handlungsfähig bleiben. Dafür müssen sich Verantwortliche wichtige Fragen stellen: Was passiert, wenn regulatorische Konflikte den Zugriff auf Systeme erschweren? Wie souverän ist unser Unternehmen, wenn kritische Prozesse an globale Anbieter gekoppelt sind? Und wie sicher sind unsere Daten wirklich, wenn staatliche Zugriffsrechte, extraterritoriale Gesetzgebung oder politische Eskalationen eine Rolle spielen könnten?

Konkrete Antworten sind gefragt, beispielsweise im Zusammenhang mit dem CLOUD Act (Clarifying Lawful Overseas Use of Data Act). Schließlich fordert das Gesetz, das bereits seit 23. März 2018 in Kraft ist, von US-amerikanischen Cloud-Anbietern, dass diese Daten an US-Strafverfolgungsbehörden herausgeben müssen. Davon sind Daten, die sich außerhalb der USA befinden, nicht ausgeschlossen.

Genau hier zeigt sich, ob Unternehmen ihre IT wirklich souverän steuern können. Angenommen der US-amerikanische Anbieter wirbt damit, Daten in einem EU-Mitgliedsstaat zu speichern, bringt dies im Ernstfall keinen echten Vorteil. Hier Widerspruch einzulegen, ist bislang zwecklos. Lediglich zwischen Großbritannien und den USA besteht ein Executive Agreement, das dies ermöglichen würde. Für alle anderen besteht aktuell ein Datenrisiko.

Cloud-Image im Wandel

Der Kurswechsel ist bereits eingeschlagen. Einige Unternehmen bewegen sich aus der Public Cloud heraus – in Richtung Private Cloud, On-Premises oder Managed Hostings. Die wesentlichen technischen Vorteile der Cloud sollen nun also einfach vergessen sein, um keine Sicherheitslücken zuzulassen. Ein Entschluss, der vielerorts vielleicht zu vorschnell gefasst wird. Letztlich ist die entscheidende Frage nicht, ob die Cloud in der eigenen Firma noch eine Zukunft hat, sondern in welcher Form.

Denn häufig entstehen Risiken nicht durch das Betriebsmodell an sich. Viel eher sorgen unreflektierte Entscheidungen, unklare Datenklassifizierung, fehlende Exit-Strategien, unkontrollierte Schatten-IT oder falsch verstandene Shared-Responsibility-Modelle dafür, dass Gefahren zunehmen und Cloud-Potenziale für bestimmte Daten unausgeschöpft bleiben. Souverän handelt, wer in so einer Lage nicht hektisch reagiert, sondern gelassen priorisiert: Welche Workloads brauchen maximale Kontrolle und wo kann die Cloud weiterhin ihre Stärken ausspielen?

Genau deshalb ist jetzt kein reflexhafter Rückzug, sondern ein Perspektivwechsel nötig: weg vom Glaubenssatz „Cloud first“ hin zu „Cloud rational“. Damit ist gemeint, dass die Cloud heute weder idealisiert noch verteufelt werden darf. Cloud rational ist damit ein Souveränitätsprinzip: sicher durch Leitplanken, kompetent durch eigenes Know-how und gelassen, weil Entscheidungen jederzeit an neue Lagen angepasst werden können.

Die neue Leitlinie sollte daher heißen: Daten, Workloads und Systeme betreiben Organisationen dort, wo sie technisch, regulatorisch und wirtschaftlich am besten aufgehoben sind. Mit diesem Ansatz stellen sie sicher, dass sie technologische Möglichkeiten mit realen Risiken abgleichen, gefährliche Abhängigkeiten aufdecken und umgehen und die eigene IT-Architektur wieder auf ein solides Fundament für mehr IT-Souveränität stellen.

Zielbild „souveräne IT-Architektur“

Dieses Thema hat in den letzten Monaten zunehmend an Bedeutung gewonnen. Geschäftsgeheimnisse bestmöglich zu schützen, gehört dabei zu den zentralen Herausforderungen. Dafür braucht es souveräne Systeme. Organisationen müssen jederzeit in der Lage sein, technologische Entscheidungen eigenständig zu treffen und die Kontrolle über ihre Systeme zu behalten. Das Risiko, von heute auf morgen die Selbstbestimmung – insbesondere über eigene Daten – zu verlieren, ist gerade im Bereich Public Cloud gestiegen.

In diesem Kontext müssen Firmen Resilienz systematisch in ihre IT-Architektur integrieren. Resilient ist eine Struktur, wenn sie technische, rechtliche und betriebliche Alternativen bereits vorbereitet hat, statt sie im Krisenmodus zu improvisieren. Konkret sollten Verantwortliche:

  • Multi-Cloud- oder Hybrid-Architekturen so gestalten, dass Workloads grundsätzlich verlagerbar sind.
  • Datenportabilität sicherstellen, etwa durch offene Standards und dokumentierte Schnittstellen.
  • Abhängigkeiten von proprietären Plattformdiensten bewusst reduzieren.
  • Verträge mit klar definierten Exit-Regelungen und Migrationsszenarien ausstatten.
  • kritische Systeme regelmäßig auf Wiederanlauf- und Verlagerungsfähigkeit testen.

Genau dieses Vorgehen lässt sich mit dem Cloud-rational-Ansatz umsetzen. Denn die Cloud wird nur noch dort eingesetzt, wo sie einen Mehrwert entfaltet. Wo sie hingegen Souveränität, Compliance oder die Unternehmensstrategie gefährdet, bleibt die Nutzung bewusst aus.

Cloud-Möglichkeiten ausschöpfen

Das heißt aber auch: Die Public Cloud behält ihre Berechtigung, vor allem für unkritische bis mittel-kritische Daten. Wo Skalierung, Kollaboration und Geschwindigkeit wichtiger sind als maximale Kontrolle, bleibt die Public Cloud Mittel der Wahl. Dazu zählen etwa Daten aus der internen Kommunikation, Marketing- und Werbematerialien oder anonymisierte Analysedaten für Business Intelligence und Reporting. In diesen Szenarien überwiegen die Vorteile: Ressourcen lassen sich flexibel hoch- und runterskalieren, neue Anwendungen lassen sich schneller bereitstellen, internationale Teams arbeiten ohne Reibungsverluste zusammen und zentrale Plattformdienste erhöhen die Verfügbarkeit. Gelassenheit entsteht hier durch Klarheit: Wenn Daten und Risiken sauber eingeordnet sind, können Teams Cloud-Vorteile nutzen, ohne sich auf ein Souveränitätsgefühl „auf Verdacht“ verlassen zu müssen.

Sobald personenbezogene Daten, geschäftskritische Prozesse oder regulierte Informationen ins Spiel kommen, braucht die Public Cloud klare Leitplanken zur Verschlüsselung. Außerdem gilt: Je kritischer Daten und Prozesse sind, desto stärker zählt die Frage, wer im Ernstfall Zugriffsmöglichkeiten hat – technisch, rechtlich oder organisatorisch. Für zeitkritische Systeme wie Produktionsumgebungen, Echtzeitsteuerung oder bestimmte ERP-/OT-Szenarien ist die Public Cloud daher nicht immer ideal.

Genau hier kommt eine erste Säule für eine hybride Strategie hinzu: die Private Cloud. Sie ermöglicht viele Vorteile moderner Cloud-Prinzipien – etwa Standardisierung, Automatisierung und Self-Service – ohne Nutzer an die gleichen Abhängigkeiten wie in rein öffentlichen Modellen zu binden. Unternehmen behalten mehr Kontrolle über Datenflüsse, Sicherheitsarchitektur und Betriebsprozesse. Gleichzeitig lassen sich sensible Datenbereiche sauber abgrenzen, während weniger kritische Anwendungen weiterhin in der Public Cloud laufen können.

Neben diesen Grundbausteinen gewinnen weitere Betriebsmodelle an Bedeutung, etwa Managed Private Cloud (Private Cloud als Dienst, betrieben durch einen spezialisierten Partner) oder Sovereign-Cloud-Ansätze, bei denen Cloud-Services unter strengeren Souveränitätsanforderungen bereitgestellt werden, beispielsweise mit klar definierten Betriebs- und Zugriffskonzepten innerhalb europäischer Rahmenbedingungen.

Diese Modelle eignen sich vor allem für Unternehmen, die Cloud-Funktionalitäten nutzen möchten, aber stärkere Anforderungen an Kontrolle, Transparenz und regulatorische Sicherheit erfüllen müssen. Souveränität bedeutet dabei nicht zwangsläufig, „alles selbst machen“, sondern steuerungsfähig bleiben: Rollen, Verantwortlichkeiten, Exit-Optionen und Kontrollmechanismen müssen so gestaltet sein, dass das Unternehmen auch mit Partnern kompetent bleibt und im Zweifel gelassen wechseln kann.

Colocation – der sichere Datenhafen

Bestimmte Daten wie Konstruktions- und Entwicklungsdaten, Rezepturen, strategische Produktdaten, personenbezogene Daten von Kunden oder des eigenen Teams und Buchhaltungsdaten dulden keine Sicherheitskompromisse. Zusätzlich hängen diese Daten häufig an geschäftskritischen Workloads, die stabile Performance und klare Kontrollmodelle erfordern. Sie sind demnach absolut schützenswert und Compliance-konform zu behandeln.

Hier steht „sicher“ im Vordergrund: Daten, die das Geschäftsmodell tragen, brauchen Schutzmechanismen, die technisch und organisatorisch belastbar sind und eine Umgebung, die auch bei externen Veränderungen stabil bleibt. Da die Cloud diese Anforderungen nicht immer im gewünschten Umfang erfüllen kann, denken Verantwortliche oftmals in Richtung „eigenes Rechenzentrum“. Doch hoher Aufwand, fehlendes Fachpersonal und meist unkalkulierbare Kosten unterbrechen den Denkprozess jäh.

Dann lohnt sich der Blick auf Colocation-Rechenzentren. Die Hardware bleibt im Besitz des Unternehmens, wird jedoch in einem professionellen Rechenzentrum betrieben – meist mit deutlich höherer physischer Sicherheit, redundanter Energieversorgung und stabilen Betriebsbedingungen. Colocation ist besonders attraktiv für Organisationen, die ihre IT-Souveränität stärken wollen, ohne selbst ein komplettes Rechenzentrum aufbauen und betreiben zu müssen.

Das passt zum Kompetenzprinzip: Kern-Know-how und Steuerung bleiben intern (Architektur, Security, Applikationsverantwortung), während Infrastruktur-Basisdienste in professionellen Betriebsumgebungen verlässlich abgedeckt werden können. In der Praxis ist Colocation daher oft das Fundament für private Cloud-Umgebungen, kritische Datenbanken oder stabile Kernsysteme mit konstantem Ressourcenbedarf.

Roadmap: Welche Fragen jetzt zu klären sind

Der Schritt hin zu einer souveränen, hybriden IT-Architektur beginnt jedoch nicht mit einer Tool-Entscheidung, sondern mit Klarheit über die eigenen Prioritäten. Schließlich ist es das Ziel einer Cloud-rational-Strategie, die eigene IT-Landschaft am Ende so zu strukturieren, dass sie auch unter veränderten Rahmenbedingungen stabil, compliant und handlungsfähig bleibt.

Diese Klarheit entsteht nicht zufällig. Organisationen benötigen dafür einen strukturierten Bewertungsprozess, der aus der Unternehmensstrategie abgeleitet und durch das Upper Management aktiv getragen wird. Nur wenn Transparenz über Daten, Anwendungen und Abhängigkeiten als strategische Ziele verankert sind, erhält das Vorhaben die notwendige Priorität. Bewährt hat sich ein interdisziplinäres Kernteam aus IT-Architektur, Informationssicherheit, Datenschutz, Compliance und relevanten Fachbereichen. Dieses Team erfasst systematisch Daten, Anwendungen, Integrationen und Abhängigkeiten – idealerweise auf Basis bestehender Risikoanalysen, Business-Impact-Analysen oder ISMS-Dokumentationen.

Praktisch lässt sich die Roadmap entlang derselben drei Dimensionen strukturieren:

  • Sicherheit (Schutzziele & Compliance),
  • Kompetenz (Rollen & Know-how) und
  • Gelassenheit (Optionen & Exit-Fähigkeit).

Für Verantwortliche stellt sich deshalb vor allem eine Frage: Welche Daten und Workloads finden weiterhin ihre Heimat in der Cloud und welche müssen Firmen bewusst souveräner aufstellen?

Der erste Schritt hierfür ist eine konsequente Datenklassifizierung. Wer „sicher“ sein will, muss zuerst wissen, was überhaupt geschützt wird und welche Folgen ein Kontrollverlust hätte. Verantwortliche sollten sich fragen:

  • Welche Daten sind geschäftsentscheidend? (z. B. IP, Finanzdaten, Vertragsunterlagen oder Informationen zu Produktentwicklungen)
  • Welche Daten unterliegen regulatorischen Vorgaben? (z. B. personenbezogene Daten, Audit- und Nachweispflichten)
  • Welche Daten dürfen das Unternehmen im Ernstfall niemals verlassen – weder technisch noch rechtlich?
  • Welche Daten sind austauschbar oder ohnehin öffentlich bzw. anonymisiert?

Im nächsten Schritt sollten Unternehmen zusätzlich zu ihren Daten auch Workloads bewerten. „Kompetent“ heißt an dieser Stelle: Die Organisation versteht ihre Workloads so gut, dass sie Abhängigkeiten, Latenzbedarfe und Betriebsrisiken selbst beurteilen kann – insbesondere bei Kernapplikationen, die das Geschäft täglich tragen. Relevante Leitfragen sind hier:

  • Welche Systeme dürfen niemals ausfallen? (z. B. ERP, Produktionssteuerung, Logistikprozesse)
  • Welche Anwendungen müssen latenzarm und standortnah laufen, etwa in OT- Szenarien wie der Steuerung und Automatisierung industrieller Hardware (z. B. Produktionsmaschinen oder Lagertechnik)?
  • Welche Workloads profitieren besonders von Skalierung – etwa Webplattformen, die Analyse und Visualisierung großer Datenmengen oder IT-Systeme mit zeitlich begrenzten Spitzenlasten, z. B. in temporären Projekten?
  • Wie hoch ist der Integrationsgrad in andere Systeme, beispielsweise über Schnittstellen?

Ein zentraler Baustein von Cloud rational ist ebenso die Frage nach Abhängigkeiten. Viele Organisationen merken erst im Krisenfall, wie stark ihr Betrieb von einzelnen Plattformen, Verträgen oder Services geprägt ist. Und „gelassen“ bleibt, wer Optionen hat: Exit ist kein Notfall-Projekt, sondern Teil eines Plans, der sich verändern darf und genau deshalb funktioniert. Daher sollten Verantwortliche frühzeitig prüfen:

  • Wie schnell lassen sich Workloads verlagern, wenn notwendig?
  • Welche Systeme sind stark an proprietäre Cloud-Dienste gekoppelt?
  • Welche Datenflüsse sind unklar oder nicht dokumentiert?
  • Gibt es eine Exit-Strategie, die nicht nur theoretisch existiert, sondern praktisch umsetzbar ist?

Cloud-rational-Strategie ist hybrid

Die meisten Unternehmen sind heute teilweise oder vollständig in der Cloud angekommen. Sich aufgrund der aktuell unsicheren Zeit ganz von ihr zu lösen, ist jedoch nicht nötig. Cloud rational bedeutet am Ende nicht den Rückzug aus der Cloud, sondern eine Strategie vorliegen zu haben, die IT-Souveränität und Resilienz verspricht. Am Ende ist Cloud rational ein Souveränitätsversprechen: sicher durch klare Leitplanken, kompetent durch internes Steuerungs-Know-how und gelassen, weil die IT-Architektur nicht von einem Anbieter abhängt, sondern von einem Plan, der sich anpassen kann.

Cloud-Experten können helfen, den richtigen Weg einzuschlagen: Bietet die Cloud Vorteile, wird an ihr festgehalten. Scheinen Nachteile zu überwiegen oder bestehen zu viele Unsicherheiten, scheinen Alternativen meist die beste Lösung zu sein. Hybride Modelle sind daher die Zukunft für einen verantwortungsvollen Betrieb.

Kasten: Tausche Theorie gegen Praxis

Cloud rational baut sich am besten Stück für Stück auf. Diese fünf Schritte sollten Unternehmen gehen. Wichtig ist dabei immer: Die IT steht hier nicht allein in der Verantwortung. Interoperationale Teams sind besonders geeignet, da sie verschiedene Blickwinkel zusammenführen können.

  1. Quick Wins sichern: Optimieren Sie zuerst unkritische Workloads. Senken Sie Cloud-Kosten und bereinigen Sie Zugriffe.
  2. Analyse durchführen: Schärfen Sie Ihre IT-Strategie, koppeln Sie diese an Ihre Unternehmensstrategie und identifizieren Sie kritische Daten und Anwendungen. Definieren Sie klar, welche Informationen besonderen Schutz und Kontrolle erfordern.
  3. Souveräne Zielumgebung definieren: Auf dieser Basis können IT-Architekten gemeinsam mit dem Management entscheiden, welche Daten und Workloads in der Public Cloud, Private Cloud oder Colocation am besten aufgehoben sind. Dabei sollten Sie auf offene Standards und Interoperabilität achten, um Abhängigkeiten und Vendor-Lock-in zu vermeiden. Außerdem ist bei der Auswahl von Applikationen zu prüfen, ob es Open Source Alternativen gibt. Auch hier lassen sich oftmals Produkte über Wartungsverträge mit den Herstellern absichern.
  4. Schrittweise Umsetzung: Beginnen Sie mit ausgewählten Daten und Workloads und entwickeln Sie Ihre Zielarchitektur schrittweise weiter, statt den gesamten Betrieb auf einmal umzubauen. Kritische Systeme sollten erst dann verlagert werden, wenn Abhängigkeiten, Integrationen und Wiederanlaufkonzepte sauber dokumentiert sind.
  5. Erfolge testen: Überprüfen Sie, ob die IT-Architektur Ihre festgelegten Ziele erfüllt und echte Resilienz Einzug erhalten hat. Fragen, die Ihnen dabei helfen: Wie schnell lassen sich Workloads verlagern? Sind Datenexporte technisch praktikabel? Funktionieren definierte Exit-Prozesse operativ?

Online Ressource

[1] Bitkom e. V., 11.6.2025, Wirtschaft ruft nach einer deutschen Cloud, https://www.bitkom.org/Presse/Presseinformation/Wirtschaft-ruft-nach-deutscher-Cloud



Quelle Aufmacherbild, ©gettyimages.de/

. . .
Vorheriger Artikel
Ein Erfahrungsbericht über den architektonischen Spagat zwischen generativer KI (RAG) und digitaler Souveränität am Beispiel einer KI-basierten Lösung

Verwandte Inhalte

Download PDF Magazine
Development BI Java Testing Software-Architektur Big Data
Download PDF Magazine
Back to Basics: Gute Architektur muss nicht „trendy“ sein
Software-Architektur
Back to Basics: Gute Architektur muss nicht „trendy“ sein
API-Design: Mit generativer KI auf dem Weg zu generischen APIs
AI Software-Architektur
API-Design: Mit generativer KI auf dem Weg zu generischen APIs
Digital Design zur digitalen Müllvermeidung
Software-Architektur Digitalisierung
Digital Design zur digitalen Müllvermeidung
KI-basiertes Anforderungsmanagement für KMU
AI Software-Architektur
KI-basiertes Anforderungsmanagement für KMU
IT Spektrum 5/2026: Call for Articles – Modernisierung von Legacy-Systemen
Software-Architektur
IT Spektrum 5/2026: Call for Articles – Modernisierung von Legacy-Systemen
Video: So bauen Sie Ihr Modern Data Warehouse!
BI Cloud-Computing
Video: So bauen Sie Ihr Modern Data Warehouse!
Ist ein Test mit den Daten von gestern noch etwas wert?
Development Testing Software-Architektur
Ist ein Test mit den Daten von gestern noch etwas wert?
Entwickler skalieren anders als Applikationen
Software-Architektur
Entwickler skalieren anders als Applikationen
Die Trends in der API-Welt 2025
Software-Architektur Artikelreihen
Die Trends in der API-Welt 2025
Author Image

Maurice Mensing

Cloud Solution Architect
Zu Inhalten

Maurice Mensing ist studierter Wirtschaftsinformatiker und bei der q.beyond AG in Hamburg als Cloud Solution Architect tätig. In Kundenprojekten verantwortet er die Planung, Entwicklung und Umsetzung von Cloud-Infrastrukturen und Lösungen. Das Ziel hierbei: skalierbare, zuverlässige und sichere Umgebungen.

www.qbeyond.de/

Author Image

Tobias Neuschulz

Cloud Solution Architect
Zu Inhalten

Tobias Neuschulz ist Cloud Solution Architect bei der q.beyond AG. Er verfügt über mehr als 20 Jahre Erfahrung in der IT und hat weltweit Integrations-, Migrations- und Transitionsprojekte für überwiegend mittelständische Unternehmen begleitet. Sein fachlicher Schwerpunkt liegt auf der Konzeption und Umsetzung moderner Cloud-Architekturen. Zudem ist er Teil des Cloud-Consulting-Teams bei q.beyond.

www.qbeyond.de

Artikel teilen