Vendor-Lock-in, Kostenexplosion, Ausfälle, Datenschutz – warum blindes Vertrauen in einen einzigen Cloud-Anbieter gefährlich ist.
SerieDigitale Souveränität
Teil 7 von 11
Es gibt da diesen einen Anbieter. Sie kennen ihn. Alle kennen ihn. Er verkauft seit Jahrzehnten Software, hat es irgendwie geschafft, dass seine Dateiformate quasi als Naturgesetz gelten – und betreibt heute „die Cloud”, in der angeblich alles sicher, verfügbar und alternativlos ist.
Und genau dort beginnt das Problem.
Warum man wirklich zweimal überlegen sollte, bevor man „die Cloud” als Heilsbringer nimmt
Die Story geht ungefähr so: Du brauchst intelligentes Office, alle arbeiten hybrid, die Cloud übernimmt das Management, und am Ende läuft alles besser, sicherer und günstiger.
Klingt schick. Nur leider bleibt der gute Vorsatz oft auf dem Papier stehen.
Hier sind ein paar Gründe, die man nicht einfach weglächeln sollte — ganz unabhängig davon, wie hübsch die Sales-Folien aussehen.
1. Vendor-Lock-in ist kein abstrakter Begriff
Fast jede moderne Cloud-Lösung kommt aus einer Hand. Das Problem daran: wenn du erst mal drinsteckst, kommst du schwer wieder raus. Technische Abhängigkeiten, proprietäre APIs, hohe Austritts- und Migrationskosten — all das sorgt dafür, dass du an einem Anbieter quasi festklebst. Marktforscher warnen, dass genau diese Einschränkung der Wechseloption langfristig ein größeres Risiko ist als Marktanteilszahlen allein. Auch britische Regulierungsbehörden schlagen Alarm wegen Cloud-Vendor-Lock-in.
Wer tiefer in die Mechanik dahinter einsteigen will: In meiner Serie „Digitale Souveränität” habe ich beschrieben, wie Abhängigkeit zur größten digitalen Schwachstelle wurde.
2. Kostenexplosion ist real — und wiederkehrend
Nicht nur einmal gab es saftige Preiserhöhungen für Cloud-Abos — auch für Geschäftskunden. Erst ist alles billig, dann kommt „KI inklusive”, und zack: +9 bis +25 % Listenpreis ab Juli 2026. Das mag einzelne Zusatzfunktionen erklären — aber nicht die schiere Regelmäßigkeit der Anpassungen.
Und wenn die Preise nur nach oben gehen, bleibt am Ende nur mehr eines übrig: Abhängigkeit zu einem höheren Preis. Ein Muster, das sich auch bei Softwareanbietern und ihren Abo-Modellen wiederholt.
3. Ausfälle bleiben Realität
Selbst bei den größten Anbietern kommt es immer wieder vor, dass zentral bereitgestellte Dienste wie E-Mail, Chat, Datei-Hosting und Videokonferenzen weltweit stundenlang nicht verfügbar sind — für große Unternehmen und Behörden inklusive. Im Januar 2026 waren Exchange Online, Teams, OneDrive und SharePoint stundenlang offline — ein Ausfall, der viele Organisationen faktisch paralysierte. Nur wenige Wochen später fiel auch das Admin Center aus, sodass IT-Administratoren nicht mal mehr reagieren konnten.
Wenn dein gesamtes Business-Kommunikations- und Produktivitäts-Ökosystem an einem Punkt der Infrastruktur hängt, dann ist „Cloud” keine Sicherheit mehr — sondern ein Single Point of Failure.
4. Datenschutz und Souveränität sind keine Buzzwords
Es gibt immer wieder heftige Debatten darüber, ob das alles mit europäischen Datenschutzstandards zusammengeht. Einige Experten und Datenschützer sehen in der engen Verzahnung großer US-Cloud-Anbieter eine gefährliche Abhängigkeit von ausländischen Gesetzen wie dem CLOUD Act, der US-Autoritäten weitreichenden Zugriff auf Daten erlaubt – auch wenn die Daten physisch in Europa liegen.
Das bedeutet: Du hast Daten „in Europa”, aber unter Umständen trotzdem keine Kontrolle darüber, wer rechtlich darauf zugreifen kann.
In der Schweiz wurde sogar öffentlich davor gewarnt, solche Dienste für sensible Daten zu verwenden, weil echte Ende-zu-Ende-Verschlüsselung dort schlicht fehlt.
Wie diese Debatte zwischen der Schweiz und Deutschland geführt wird, habe ich in Die Cloud-Frage: Ein Streitgespräch zwischen Zürich und Berlin beleuchtet.
5. Datenschutzbehörden und interne Kritiker geraten unter Druck
In manchen Verwaltungen hat der interne Datenschützer oder CISO (Security Officer) Alarm geschlagen — und musste trotzdem gehen, weil die Entscheidungsträger weiter an dem Projekt festhielten. Im Kanton Luzern wurde der CISO nach Kritik an der Microsoft-Cloud freigestellt. Kritik an Abhängigkeit, fehlender Alternativenbewertung und mangelnder Vorbereitung wurde schlicht übergangen.
Wenn die eigenen Sicherheits-Experten nicht gehört werden, sagt das wohl genug über die interne IT-Kultur aus.
6. „Sicherheit” ist relativ
Die derzeit gängigste Argumentation lautet: Die Cloud ist sicherer, weil Profis sie betreiben.
Darauf kann man sich verlassen — bis man es nicht mehr kann.
Zu oft werden Sicherheitsvorfälle in verwandten Infrastrukturen entdeckt, die eigentlich nicht passieren dürften. Experten argumentieren, dass das Risiko nicht durch die Existenz einer Cloud verschwindet – es verlagert sich nur. Niemand sagt, dass vor Ort installierte Server immun wären. Aber wenn ein einziger Anbieter plötzlich angreifbar ist, trifft das alle gleichzeitig.
Das ist kein individuelles Risiko mehr — das ist System-Risiko. Wer sich mit technischer Selbstverteidigung auf Architektur-Ebene beschäftigen will, findet dort einen tieferen Einstieg.
7. Der Alternativ-Mythos
Natürlich ist nicht jeder sofort bereit, über Nacht alles umzustellen — das ist langfristig bei komplexen Prozessen auch unrealistisch.
Aber man sollte zwei Dinge nicht durcheinanderbringen:
- Rein technisch umsteigen über Nacht: schwierig.
- Keine Alternativen planen oder testen: fahrlässig.
Andere Ansätze wie Open-Source-Software, Hybrid-Cloud-Modelle oder eine wirklich diversifizierte Infrastruktur sind oft machbar und reduzieren die Abhängigkeit stark. Der Weg dorthin ist kein Entweder-oder — europäische Cloud-Alternativen existieren, und auch der Übergang von Lift-and-Shift zu Cloud-Native lässt sich strategisch gestalten.
8. Wenn Produkt-Roadmaps deine IT-Strategie schreiben
Vendor-Lock-in ist nicht nur ein technisches Problem — er steckt auch in Köpfen, Prozessen und Schulungsaufwand. Fachbereiche hängen an Produktentscheidungen eines Anbieters: UI-Änderungen, Feature-Entfernungen, plötzliche KI-Integration — ohne echtes Mitspracherecht.
Statt maßgeschneiderter Workflows bekommt man Standard-Cloud. Eigene Prozesse lassen sich nur noch eingeschränkt abbilden, Integrationen werden aufwendiger, und jede Veränderung im Unternehmen wird schwerer, weil sich alles um die Vorgaben eines Ökosystems dreht. Die Cloud wird zum Bremsklotz statt zum Enabler.
9. Schatten-IT: Wenn die große Cloud ihre eigene Konkurrenz schafft
Wenn „die Cloud” als Lösung für alles verkauft wird, entstehen schnell Parallelwelten: Fachbereiche buchen zusätzliche SaaS-Tools mit Firmenkarte, weil das offizielle Setup nicht reicht.
Die Folge: Datensilos, keine Übersicht, Sicherheits- und Compliance-Risiken, weil niemand mehr genau weiß, wo welche Daten liegen. Aus Angst vor Komplexität zentralisiert man alles in einer Cloud — und erzeugt dadurch Schatten-IT, die noch schwieriger kontrollierbar ist.
10. Wenn die falschen Leute die richtige Technologie entscheiden
Cloud wird oft als rein technische Entscheidung behandelt — nicht als Organisations- und Governance-Thema. Entscheider verstehen Kosten- und Datenmodelle nicht wirklich, unterschätzen die Langfristkosten oder die Bedeutung von Datenhoheit für KI und Analytics.
Das Ergebnis: Verträge, die schön klingen, aber die Organisation auf Jahre in eine Richtung einsperren, aus der man nur mit großem Schmerz wieder rauskommt.
11. Compliance ist mehr als Datenschutz
Datenschutz ist ein Aspekt — aber Compliance geht weiter. Branchenregeln in Finanz, Gesundheit oder KRITIS kollidieren teilweise mit Standard-Cloud-Verträgen. Audit-Trails und Log-Daten liegen nicht dort oder so, wie Prüfer sie brauchen.
Viele Organisationen merken erst im Audit, dass sie bestimmte Nachweise, Trennungen oder Protokolle in der gewählten Cloud-Variante gar nicht sauber abbilden können. Die Cloud löst nicht automatisch deine Governance-Probleme — sie verpackt sie nur hübscher.
12. Die Monokultur ist das Problem
Viele sehen Cloud als „Standardweg”, statt als ein Werkzeug unter mehreren — daraus entsteht Druck, auch ungeeignete Workloads dorthin zu pressen. Die Folge: überkomplexe Setups, die teuer und schwer betreibbar sind, während einfache, lokale oder spezialisierte Lösungen vergessen werden.
Nicht „Cloud ist böse” — die Monokultur-Idee dahinter ist das eigentliche Risiko.
Und jetzt?
Viele der Argumente, mit denen Cloud-Anbieter ihre Angebote verkaufen, klingen auf den ersten Blick gut: moderne Zusammenarbeit, KI-Features, weltweite Skalierbarkeit.
Doch wenn man tiefer schaut, stehen oftmals langfristige Risiken dahinter: höhere Kosten, eingeschränkte Kontroll- und Austrittsmöglichkeiten, Datenschutz-Bedenken und die Gefahr, dass ein einziger Ausfall ganze Organisationen lahmlegt.
In der Praxis kann Vertrauen in „die große Cloud” also schnell zu einem unbequemen Realitätstest werden — und zwar genau dann, wenn man es am wenigsten brauchen kann.
Am Ende dieses Artikels sei gesagt: Ja, es geht wirklich um das Produkt Microsoft 365 und das Ökosystem rund um dieses Angebot – aber der Kern der Kritik ist systemisch, nicht nur persönlich.
Quellen
- Microsoft 365 Outage 2026: Outlook, Teams, SharePoint Down — Großflächiger Ausfall von Cloud-Produktivitätsdiensten im Januar 2026.
- Microsoft 365 Admin Center Goes Dark: Inside the February 2026 Outage — Admin-Ausfall im Februar 2026.
- Microsoft 365 outage impacts Exchange Online, Teams, Sharepoint — Technische Analyse des Januar-Ausfalls.
- Merkliche Preiserhöhung ab Juli 2026: Microsoft 365 wird teurer — Preiserhöhungen für Geschäftskunden.
- Microsoft 365 price shock: Better quit vendor lock-in now! — Analyse der wiederkehrenden Preisanpassungen.
- OECD: Competition in Cloud Computing Services — Marktstrategie und Wechselbarrieren.
- UK regulators sound the alarm on cloud vendor lock-in — Britische Regulierungsbehörden warnen vor Lock-in.
- Wie der US CLOUD Act das europäische Datenschutzdilemma verschärft — CLOUD Act und europäischer Datenschutz.
- US-Recht gefährdet Datensouveränität trotz EU-Rechenzentren — Rechtliche Analyse zur Datensouveränität.
- Privatim: Auslagerung sensibler Behördendaten in M365 unzulässig — Schweizer Datenschutzbehörden zu M365.
- Cloud-Verbot für Schweizer Behörden — Privatim-Beschluss zur Cloud-Nutzung.
- Kanton Luzern stellt CISO nach Kritik an Microsoft-Cloud frei — Interne Kritik und Konsequenzen.
- The Taboo Of SaaS Vendor Lock-In — Implikationen und Alternativen bei SaaS-Lock-in.
- Shadow IT Exists Because Official IT Failed — Organisatorische Ursachen von Schatten-IT.
- Shadow IT And Cloud Adoption — Sicherheits- und Compliance-Risiken durch Schatten-IT.
- 10 Common Cloud Strategy Mistakes to Avoid (Gartner) — Cloud als Governance-Thema.
- Six Cloud Strategy Pitfalls (Splunk) — Audit- und Compliance-Fallen.
- Common Mistakes in Creating a Cloud Strategy — Monokultur-Risiken.
Weiterlesen
- Die Cloud-Frage: Ein Streitgespräch zwischen Zürich und Berlin — Schweiz vs. Deutschland im Cloud-Diskurs
- Cloud in Europa: Ja zur Cloud – aber wo bleiben die Alternativen? — Europäische Alternativen zu US-Diensten
- Digitale Souveränität: Deutschland zwischen Anspruch und Abhängigkeit — Die deutsche Perspektive
- Lidl, Microsoft und Google: Unabhängigkeit oder nur ein Wechsel der Abhängigkeit? — Wenn Konzerne eigene Cloud-Wege gehen
- „Der beste Service für den Kunden”: Wie Softwareanbieter mit Abos Abhängigkeiten schaffen — Die Mechanik hinter SaaS-Abhängigkeit
- Lift and Shift – Übergang oder Sackgasse? — Cloud-Migration strategisch gedacht
- Datenschutz und Kontrolle – der unterschätzte Vorteil lokaler Modelle — Alternative: Daten lokal halten