• Leistungen
  • Referenzen
  • Über uns
  • Kontakt
    • 8. Mai 2025

    Digitale Souveränität – IT-Infrastruktur raus aus den USA?

    von Corinna Baldauf

    Die letzten Monate haben deutlich gezeigt, dass die USA unter Trump kein zuverlässiger Partner mehr sind. Wer noch Zweifel hatte: Microsoft hat gerade dem Strafgerichtshof in Den Haag einzelne E-Mail-Konten gesperrt.

    Dummerweise, sind fast alle Unternehmen in Deutschland auf IT-Infrastruktur in den USA – oft in Form von Microsoft – angewiesen. Was tun?

    SaaS-Dienste, Cloud-Hosting, business-kritische Prozesse oder E-Mail, wenn das alles plötzlich nicht zugänglich wäre – sei es weil der Zugriff gesperrt wurde oder es die EU-Rechtslage nicht mehr zulässt – wäre das mit teuren Stillständen verbunden.

    Wie kann man sich dagegen wappnen? Wir diskutieren das regelmäßig intern und mit Kund:innen. Markus Denhoff (Gründer und CTO von reinorange) sagt da immer schlaue Sachen zu. Darum habe ich ihn mir geschnappt und mal gezielter interviewt.


    Corinna: Unabhängigkeit von IT-Infrastruktur in den USA – Warum ist das Thema gerade für den Mittelstand wichtig?

    Markus: Eigentlich betrifft das ja alle, den Mittelstand aber besonders, weil es dort sehr oft viele verstreute IT-Systeme gibt – so ein gewachsener Zoo von Systemen, die nur von wenigen Leuten betreut werden. Bei dem, was ich so sehe, ist die Abhängigkeit von einzelnen Anbietern und Services dort fast immer hoch. Neben unserer anekdotischen Evidenz bestätigt das auch eine Studie von Bitkom zu „Digitale Souveränität“.

    Das Thema war allerdings schon vorher relevant, aber ich merke, dass vielen erst jetzt wirklich bewusst wird, wie viele ihrer Dienste aus den USA kommen und auch dort gehostet werden.

    Corinna: Was wäre denn der Worst Case?

    Markus: Das wäre im Großen, wenn es rechtlich schwierig wird, Dienste in den USA zu hosten. Eine schnelle Migration wird viele vor ernsthafte Probleme stellen. Das betrifft Prozesse, von denen manche schon seit mehr als zehn Jahren laufen.

    Damit das eintritt, muss natürlich noch einiges passieren. Bei neuen Gesetzen gäbe es sicher einen riesigen Aufschrei und Aufschübe – ähnlich wie bei den Zöllen. Das soll aber nicht heißen, dass man sich darauf ausruhen kann.

    Im Kleinen wird es dann auch so etwas sein, wie jetzt beim Strafgerichtshof in Den Haag, bei dem einzelne E-Mail-Konten gesperrt wurden. Das ist deutlich schwieriger, weil man dann als Unternehmen allein dasteht.

    Daher können wir insgesamt weniger als gesetzt annehmen als früher und müssen mehr über „Und wenn das nicht so ist?” nachdenken.

    Corinna: Was empfiehlst du?

    Markus: Zunächst sollte man sich die Frage stellen, an welchen Stellen es denn echte Probleme gibt. Welche kritischen Daten, kritische Kommunikation oder kritischen Abläufe gibt es?

    Um zu vermeiden, dass die Produktionsstraße im Ernstfall mehrere Wochen stillsteht, sollte man für diese geschäftskritischen Prozesse einen Plan B entwickeln. Man sollte alles einmal durchspielen mit der Annahme: „Wir können Dienst X nicht mehr benutzen.“

    Resilientere Lösungen fühlten sich erst einmal nach Overkill an, solange die Dienstleister zuverlässig waren. Jetzt, wo sich das ändert, sollte man zumindest wissen, worauf man im Fall des Falles umschwenken will. Denn eine Firma mit mehreren Hundert Mitarbeitern kann man nicht einfach so umstellen. Letztendlich ist es natürlich eine Kosten-Nutzen-Rechnung, die man aber aufmachen sollte, bevor man in Hektik schlechte Entscheidungen treffen muss.

    Einfacher ist es bei Neuentwicklungen. Da hat man die Chance, es direkt unabhängiger zu entwickeln. Bei der Technologie-Auswahl und -Implementierung denken wir immer darüber nach, wie man sie halbwegs einfach austauschen kann oder eine andere Exit-Strategie hat.

    Corinna: Also Open-Source–Lösungen?

    Markus: Ja! Wobei, jein, es muss nicht unbedingt Open Source sein. Wichtig ist, dass man es im Notfall selbst betreiben kann oder zumindest alle Daten leicht exportieren und in ein anderes System übernehmen kann. So verwenden wir beispielsweise GitLab und nicht GitHub, da wir die Community-Edition selbst hosten können und nicht alle Prozesse umstellen müssten.

    Corinna: Und europäisch?

    Markus: Ja, es lohnt sich bei jeder Tool-Auswahl zu prüfen, ob es eine europäische Alternative gibt. Zum Beispiel auf diesen Seiten:

    Corinna: Gibt es einfache Schritte, die man tun kann?

    Markus: Wie gesagt, einmal alles durchgehen, gewichten und für die wirklich kritischen Punkte einen Plan B erarbeiten. Genau das machen wir aktuell mit Kunden zusammen.

    Wo der Aufwand gering ist, kann man das Umstellen schon mal üben. Vielleicht fängt man mit dem Newsletter-Tool an, da es nicht mit so vielen Systemen integriert ist.

    Bei neuen Systemen sollte man direkt darauf achten, sie unabhängiger aufzustellen. Das sollte auch als offizielle Devise in der Firma ausgerufen und in entsprechenden Richtlinien für die Auswahl verankert werden.

    Neben den produktionskritischen Systemen würde ich einen Fokus auf Dienste legen, bei denen personenbezogene Daten im Spiel sind. Hier habe ich Sorge, dass es schneller akut wird, als wir denken. Da gab es (unter verlässlicheren Präsidenten) schon viel Hin und Her mit SafeHarbor, dann PrivacyShield und jetzt aktuell PrivacyFramework. Was, wenn das ersatzlos wegfällt?

    Corinna: Was tut reinorange eigentlich selbst?

    Markus: Wir haben von Anfang an immer geprüft, ob es auch eine Open-Source-Variante gibt. Können wir das notfalls selbst hosten? Manchmal haben wir uns für Souveränität entschieden, beispielsweise bei Projektmanagement, Wiki und Source-Code-Management. Manchmal haben wir uns dagegen entschieden, beispielsweise bei Slack und Google Workspace. Wir arbeiten remote und das Syncing bei Google ist leider wirklich gut.

    Slack ist für uns jedoch keine Knowledge-Base, alte Chats sind uns egal. Wir könnten also innerhalb weniger Tage auf Mattermost umsteigen. Google Workspace wäre natürlich aufwändiger, aber wir haben das mal durchgespielt und geschätzt, dass es zwar wehtun würde, wir aber nach sehr kurzer Zeit wieder voll handlungsfähig wären.

    Corinna: Das kann aber so auch nicht jeder machen, oder?

    Markus: Nein, man muss klar sagen, dass unsere Lage eine andere ist, als die einer Durchschnittsfirma, weil wir unsere IT selbst betreiben. Das ist eine privilegierte Situation. Wir kennen uns aus, können mit überschaubaren Kosten selbst Dinge umsetzen und im Zweifelsfall schnell Dienste umziehen. Das ist auch eine Form von Unabhängigkeit.

    Corinna: Kommt jetzt die „Digitale Souveränität“?

    Markus: Die USA ist der Anlass, darüber zu sprechen, aber das Thema ist eigentlich immer da – die generelle Resilienz von Systemen. Wenn’s einem auf die Füße fällt, ist’s doof, aber vorher kriegt man keine Gelder losgeeist. Wir müssen dringend weg von „das klappt schon alles“ hin zu „was passiert denn, wenn das nicht funktioniert“?

    Dabei muss man aber den Spagat zwischen Pessimismus und dem positiven Einsatz von Technologie finden. Das ist eine wirklich große Herausforderung.

    Über die Autorin
    Corinna Baldauf

    Corinna Baldauf ist seit vielen Jahren in der agilen Szene bekannt als Mutter des Retromaten und für ihre 1-Pager zu Agilität, Lean, Produktmanagement, Facilitation und Dev-Themen. Sie ist seit Januar 2024 (rein)orange.

    Portrait von Corinna Baldauf

    Weiterlesen

    24. Januar 2025

    The Sound of reinorange: Bonjour Tristesse

    Mehr lesen

    16. Dezember 2024

    The Sound of reinorange: Xmas Edition

    Mehr lesen

    21. Oktober 2024

    The Sound of reinorange: Frankly, Quentin, I Don't Give a Damn

    Mehr lesen
    Alle Artikel ansehen
    info@reinorange.com
    +49 203 600194-0
    Hansegracht 17
    47051 Duisburg
    © 2025 reinorange GmbH