Cloud-Abhängigkeit als KRITIS-Risiko – Revival der Datensicherung vor Ort

(Auszug aus der Pressemitteilung)

Eine aktuelle Bitkom-Befragung von 603 Unternehmen bringt es auf den Punkt: 85 Prozent der deutschen Unternehmen halten Deutschland für zu abhängig von US-Cloud-Anbietern. 95 Prozent nennen Vertrauen in IT-Sicherheit, Datenschutz und Compliance als Must-have-Kriterium bei der Providerwahl. Und 87 Prozent fordern Schutz vor unbefugtem Zugriff, auch durch den Cloud-Anbieter selbst. Diese Signale treffen auf eine konkrete regulatorische Realität: Das KRITIS-Dachgesetz verpflichtet Betreiber kritischer Infrastrukturen zu Risikoanalysen, dokumentierten Resilienz-Plänen und nachweisbaren Schutzmaßnahmen. Wer Backup, Archivierung und Notfallwiederherstellung bislang als nachrangig behandelt hat, steht unter Erklärungsdruck.

Anzeige

Für CIOs und CISOs in kritischen Infrastrukturen stellt sich damit eine Frage, die der Bitkom Cloud Report 2026 schärfer formuliert als jede Compliance-Broschüre: Wie souverän ist Ihre Infrastruktur wirklich?

Roland Stritt, CRO bei FAST LTA in München, geht dieser Frage auf den Grund:

Das KRITIS-Dachgesetz setzt die EU-CER-Richtlinie in deutsches Recht um und erweitert den Schutzrahmen für kritische Anlagen. Der Fokus liegt auf physischer Resilienz: Zugangskontrollen, Krisenreaktionspläne, Schutz vor physischen Angriffen und Sabotage. Das Gesetz verpflichtet Betreiber unter anderem zu:

  • Redundanten Systemen für Daten und Betrieb
  • Meldepflichten bei Vorfällen gegenüber dem BBK (binnen 24 Stunden)
  • Risikoanalysen und dokumentierten Resilienz-Plänen
  • Nachweisbarer Resilienz gegenüber physischen und digitalen Bedrohungen

Ergänzend dazu greift NIS2 mit Anforderungen an die IT-Sicherheit, darunter Maßnahmen zur Angriffserkennung. Beide Regelwerke wirken für KRITIS-Betreiber parallel und verstärken sich gegenseitig.

IT-Sicherheit ist das wichtigste Cloud-Ziel. Aber das allein reicht nicht

Der Cloud Report von Bitkom Research berichtet: 75 Prozent der Cloud-nutzenden Unternehmen geben an, mit der Cloud primär die IT-Sicherheit erhöhen zu wollen. Das ist eine deutliche Steigerung um 18 Prozentpunkte gegenüber 2024. Der Impuls ist verständlich, die Umsetzung birgt jedoch einen strukturellen Widerspruch, den der Report selbst benennt.

Bei der Auswahl von Cloud-Providern nennen 87 Prozent der Unternehmen den Schutz vor unbefugtem Zugriff des Cloud-Anbieters selbst als Must-have-Kriterium. Wer also die Sicherheit erhöhen will, indem er Daten in die Cloud verlagert, erwartet gleichzeitig, dass der Anbieter keinen unkontrollierten Zugriff auf diese Daten hat. Das ist ein Ziel, das viele Public-Cloud-Verträge strukturell nicht erfüllen können.

Die Souveränitätslücke: Wunsch und Realität klaffen weit auseinander

71 Prozent der befragten Unternehmen nutzen aktuell Cloud-Dienste von Anbietern aus den USA. Bevorzugen würden diesen Ansatz nur 8 Prozent. Umgekehrt: 91 Prozent würden deutsche Cloud-Anbieter bevorzugen, tatsächlich genutzt werden sie von 53 Prozent.

Diese Lücke ist kein Nischenproblem. 85 Prozent der Unternehmen halten Deutschland für zu abhängig von US-Anbietern. 80 Prozent fordern deutsche oder europäische Hyperscaler. Und 64 Prozent der Cloud-Nutzer sagen, die aktuelle US-Politik zwingt sie, ihre Cloud-Strategie zu überdenken (im Vorjahr waren es 50 Prozent).

Für KRITIS-Betreiber kommt eine weitere Dimension hinzu: Gemäß KRITIS-DachG und NIS2 müssen Sicherheitsmaßnahmen nachweisbar wirksam und souverän kontrollierbar sein. Die Frage, ob ein US-Anbieter im Zweifelsfall weisungsgebunden gegenüber US-Behörden agiert, ist keine theoretische.

Lock-in als operatives Risiko

Das größte Hindernis beim Cloud-Providerwechsel sind laut Report Lock-in-Effekte: 59 Prozent der Unternehmen nennen sie als zentrale Wechselbarriere, verursacht durch schwierige Datenexporte, Migrationskomplexität oder proprietäre Formate. 45 Prozent nennen zu hohen personellen Aufwand und Anwendungskomplexität, 28 Prozent sehen ein zu hohes Risiko.

Für KRITIS-Betreiber ist ein solches Lock-in nicht nur ein wirtschaftliches Problem. Es ist ein Resilienz-Problem. Wer bei einem Ausfall oder einer regulatorischen Änderung nicht handlungsfähig wechseln kann, hat keine echte Infrastruktursouveränität.

Cloud-Kosten: Kalkulation wird schwieriger

64 Prozent der cloud-nutzenden Unternehmen berichten, dass ihre Betriebskosten 2025 gestiegen sind. Für 2026 erwarten 54 Prozent erneut steigende Ausgaben. Der Report hält fest: „Schwer kalkulierbare Kosten können ein Grund dafür sein, dass Unternehmen nicht sämtliche IT-Anwendungen in die Cloud verlagern.“

Für KRITIS-Betreiber mit Haushalts- und Planungspflichten ist Kalkulierbarkeit kein Nice-to-have. Sie ist eine Anforderung.

Was ein Cloud-Ausfall tatsächlich kostet

Bitkom Research hat in derselben Erhebung gefragt, wie lange Unternehmen ohne Cloud-Zugang überhaupt arbeitsfähig bleiben. Das Ergebnis: Knapp die Hälfte der Unternehmen käme irgendwann zum Stillstand, ein kleiner Teil sofort.

Das ist keine Worst-Case-Spekulation. 28 Prozent der Cloud-Nutzer hatten in den vergangenen zwölf Monaten bereits einen gravierenden Ausfall erlebt. Was das bedeutet, lässt sich beziffern: Branchenstudien (Gartner, ITIC) setzen IT-Ausfallkosten für mittelgroße und große Unternehmen bei mehreren hunderttausend Euro pro Stunde an. 41 Prozent der Großunternehmen berichten laut ITIC von Verlusten zwischen einer und fünf Millionen Euro pro Ausfallstunde. Für KRITIS-Betreiber kommen Meldepflichten, Behördenverfahren und Reputationsschäden hinzu, die in keiner Stundenkalkulation auftauchen.

Bemerkenswert ist, was Unternehmen daraus gezogen haben: Drei Viertel sichern wichtige Daten bereits außerhalb der Cloud. Zwei Drittel haben Notfall- und Wiederanlaufpläne. Mehr als die Hälfte kann einen lokalen Notbetrieb starten. Das ist kein Argument gegen die Cloud. Es ist ein Argument dafür, dass kritische Daten und Betriebsfähigkeit nicht ausschließlich von ihr abhängen dürfen. Für KRITIS-Betreiber ist das keine Empfehlung, sondern regulatorische Grundlage: Das KRITIS-DachG fordert genau diese Redundanz und Wiederherstellungsfähigkeit, unabhängig vom Primärsystem.

Was das für Ihre Infrastruktur bedeutet

Der Bitkom Cloud Report beschreibt ein Spannungsfeld, das sich nicht durch einen weiteren Cloud-Vertrag auflösen lässt. Die Antwort liegt in einer Infrastrukturentscheidung: Was muss vollständig unter Ihrer Kontrolle bleiben? Für Datensicherung, Langzeitarchivierung und Notfallwiederherstellung gibt es eine klare Antwort: On-Premises, unveränderlich, ohne externe Abhängigkeit.

Im Fokus stehen dabei drei Begriffe:

  • Zero Loss Storage bezeichnet eine Speicherarchitektur, bei der Daten ohne Ausnahme integer, vollständig und wiederherstellbar gespeichert werden. Das setzt voraus: keine stillen Bit-Fehler, nachweisliche Integrität, definierte Recovery-Zeiten und kein Single Point of Failure. Es ist kein Marketing-Begriff. Es ist eine Eigenschaft, die sich in der Infrastruktur entweder nachweisen lässt oder nicht.
  • Air Gap bezeichnet die physische oder logische Trennung eines Speichersystems vom Netzwerk und vom Internet. Ein echter Air Gap verhindert, dass Ransomware, Malware oder unbefugte Zugriffe das Backup-Ziel erreichen. Er ist die wirksamste bekannte Maßnahme gegen Backup-Verschlüsselung durch Ransomware, vorausgesetzt er ist strukturell verankert und nicht nur konfigurierbar.
  • WORM (Write Once, Read Many) bezeichnet unveränderliche Datenspeicherung: Einmal geschrieben, kann ein Datensatz nicht überschrieben, gelöscht oder manipuliert werden. Für KRITIS-Betreiber ist WORM eine Voraussetzung für revisionssichere Archivierung nach NIS2, DORA, BSI-Grundschutz und branchenspezifischen Anforderungen wie § 291a SGB V (Gesundheitswesen) oder den Anforderungen der BaFin (Finanzsektor).

Datensouveränität, Kostenklarheit und Anbieter-Unabhängigkeit

Der Bitkom Cloud Report 2026 liefert keine neuen Argumente gegen die Cloud. Er liefert belastbare Zahlen dafür, dass Datensouveränität, Kostenklarheit und Anbieter-Unabhängigkeit für deutsche Unternehmen und KRITIS-Betreiber zunehmend strategische Priorität haben. Wunsch und Wirklichkeit liegen dabei noch weit auseinander.

Das KRITIS-Dachgesetz ist in Kraft, die NIS2-Meldepflicht steht an. Die Frage ist nicht, ob deutsche Unternehmen auf Cloud verzichten müssen. Die Frage ist, ob ihre Backup- und Archivierungsinfrastruktur den Anforderungen an Souveränität, Unveränderlichkeit und nachweisliche Resilienz standhält.

Roland Stritt, CRO bei FAST LTA