top of page

Der Souveränitäts-Bluff: Warum wir nur Mieter im eigenen Geschäft sind

  • Autorenbild: Schlomo Schapiro
    Schlomo Schapiro
  • 11. Feb.
  • 5 Min. Lesezeit

Aktualisiert: 16. Feb.


Management-Zusammenfassung:

  • Das Risiko: Wir haben zwar das rechtliche Eigentum an unseren Cloud-Daten, aber keinen operativen Zugriff darauf. Wenn ein Anbieter uns aussperrt, können wir nicht mehr arbeiten.

  • Die Compliance-Lücke: Aktuelle SaaS-Backups erfüllen wahrscheinlich nicht die DORA/NIS2-Anforderungen, weil sie ohne die Zusammenarbeit des Anbieters nicht wiederhergestellt werden können.

  • Die Lösung: Eine „Rettungsboot-Architektur”, die eine neutrale, anbieterunabhängige Kopie kritischer Daten speichert, damit man in Krisenzeiten ein „minimal funktionsfähiges Unternehmen” betreiben kann.

(Gemeinsame Veröffentlichung mit meinem persönlichen Blog unter schlomo.schapiro.org)

Wir sind stolz auf unsere „Cloud First”-Strategien und wiegen uns in falscher Sicherheit, weil unsere Verträge uns das „Eigentum” an den Daten garantieren.


Wenn jedoch der Stecker gezogen wird – sei es aufgrund technischer Ausfälle, geopolitischer Spannungen oder einfach wegen einer gesperrten Kreditkarte, dann kommt die brutale Wahrheit ans Licht: Wir haben zwar das Eigentumsrecht, aber nicht den Besitz.


Wir sind Mieter in unserem eigenen Unternehmen, und der Vermieter hat die Schlösser ausgetauscht.


Während die europäische Politik über die Abhängigkeit von ausländischen Zahlungsdiensten wie VISA und MasterCard diskutiert, sehen wir uns in unserem täglichen IT-Betrieb einer unmittelbareren existenziellen Bedrohung ausgesetzt. Ist SaaS eine Giftpille? Es ist nicht von Natur aus gut oder schlecht, aber unser derzeitiger Ansatz ist eine strategische Falle. Wir müssen aufhören, uns wie gut versicherte Mieter zu verhalten, und anfangen, uns wie Eigentümer zu verhalten.


Dazu müssen wir unsere „Minimum Viable Company” (das „minimal funktionsfähige Unternehmen” ) identifizieren und schützen – also die Kerndaten und -prozesse, die nötig sind, um das Geschäft am Leben zu erhalten, wenn die Cloud verschwindet. Wir müssen nicht das ganze Luxuskreuzfahrtschiff unseres SaaS-Stacks nachbauen, sondern brauchen nur ein Rettungsboot, das schwimmt.


Lies weiter, um alle Details zu erfahren.


Eigentum vs. Besitz: Die harte Wahrheit



Das grundlegende Risiko von SaaS ist nicht „Sicherheit” oder „Kosten” – es ist die Illusion der Kontrolle.


Stell dir das so vor: Du hast den Fahrzeugbrief für dein Auto (Eigentum), aber das Auto steht in einer Garage, die dir nicht gehört, und der Garagenbesitzer hat den einzigen Satz Schlüssel (Besitz). Wenn der Garagenbesitzer beschließt, die Türen wegen eines „Verstoßes gegen die Nutzungsbedingungen” oder einer Abrechnungsstreitigkeit zu verschließen, ist dein rechtliches Eigentum wertlos. Du stehst auf der Straße und starrst auf ein Auto, das dir zwar gehört, aber das du nicht fahren kannst.


Wir akzeptieren, dass der SaaS-Anbieter jederzeit ohne Vorankündigung den Zugriff auf unsere eigenen Daten sperren kann. Wir akzeptieren, dass wir uns mit den Funktionen begnügen müssen, die er uns zur Verfügung stellt. Wir akzeptieren blindes Vertrauen in seine Sicherheitsvorkehrungen.


Das ist nicht nur eine technische Unannehmlichkeit, sondern eine Krise der Souveränität. Digitale Souveränität bedeutet nicht, alles selbst aufzubauen. Es bedeutet, die Wahl und die Möglichkeit zu haben, den Betrieb einzustellen oder fortzusetzen, selbst wenn der Cloud-Anbieter nicht mehr da ist.

Das „15-Minuten-Audit” für CEOs: Frag deinen CIO heute: „Wenn [wichtiger SaaS-Anbieter] heute Nachmittag unser Konto sperrt, haben wir dann eine PDF-Kopie aller offenen Rechnungen und eine CSV-Liste aller aktiven Kunden auf einem Server, den wir kontrollieren?”


Wenn die Antwort „Nein, das ist im Cloud-Backup” lautet, bist du nicht abgesichert. Du bist gefangen.

Die Rettungsboot-Architektur: Der „Daten-Jailbreak“


Wie kommen wir wieder in den Besitz unserer Daten? Wir brauchen einen „Daten-Jailbreak“.


Die „Rettungsboot-Architektur“ ist ein einfaches, aber radikales Konzept:


Bewahre eine vollständige Kopie deiner Daten in deinem eigenen Besitz auf, während du die SaaS-Angebote in vollem Umfang nutzt.



Das ist so, als würdest du auf eine Transatlantikkreuzfahrt gehen und ein persönliches Rettungsboot mitnehmen, das neben dem Schiff herfährt. Während jedem Passagier ein Platz in den Rettungsbooten des Schiffes garantiert ist, bietet kein SaaS-Anbieter eine integrierte Ausstiegsmöglichkeit.


Die Herausforderung: Die „No Restore“-Falle


Theoretisch ist das ganz einfach: Automatisiere Backups auf lokalem Speicher. In der Praxis machen es SaaS-Anbieter aber willkürlich schwierig. Nachdem ich Dutzende von SaaS-Angeboten analysiert habe, musste ich feststellen, dass Standard-APIs oft Fallen sind:


  • Die Metadaten-Lücke: Man kann Dateien exportieren, aber nicht die Berechtigungen oder Freigabesteuerungen, die ihnen ihren Kontext geben. Man kann die Konfiguration, die das SaaS-Verhalten definiert, auch nicht exportieren.

  • Die Einbahnstraße: Anbieter bieten oft keine Importfunktion für die Daten, die man exportieren kann. Man kann nur einen Teil seiner Inhalte exportieren, nicht alle.

  • Die „Compliance”-Ausrede: Anbieter verweisen auf manuelle, einmal im Monat nutzbare DSGVO-Exporte, wenn sie nach automatisierten Backup-Lösungen gefragt werden.


Wir müssen unsere Daten aus diesen proprietären Silos befreien. Ein echter „Data Jailbreak” wandelt proprietäre SaaS-Daten in neutrale, nutzbare Formate (JSON, CSV, PDF, EML, DOCX, XLSX, PPTX usw.) um, die ohne die ursprüngliche Anwendung lesbar sind.


Praktische Beispiele für dieses Problem und seine Lösung sind:


  • Microsoft 365: Siehe die neuen Microsoft 365 Backup-Lösungen, auch wenn ich keine Details darüber finden konnte, was sich nicht ordnungsgemäß wiederherstellen lässt.


  • Google Workspace: Siehe meine „Mission Impossible”-Analyse für eine Best-Practice-Lösung.


  • Harvest Timetracking: Siehe meinen Artikel über „vibe-coded” Backup-Tools, in dem beschrieben wird, wie man eigene Extraktions-Tools erstellen kann, wenn es keine gibt.


Die Rebellion: Eine Strategie für digitale Unabhängigkeit


Deine IT-Strategie muss sich von „Verwaltung von Abonnements” zu „Sicherung des Überlebens” verschieben. Das ist dein Aufstand gegen die Bindung an einen bestimmten Anbieter.


  1. Backup ist Widerstand: Hake nicht einfach ein Compliance-Kästchen für DORA oder NIS2 ab. Nutze dein Backup-Budget, um echte Unabhängigkeit aufzubauen.


  2. Akzeptiere die unvollständige Wiederherstellung: Möglicherweise kannst du Daten nie perfekt in die SaaS-Plattform zurückführen.


  3. Akzeptiere das einfach. Ein Haufen JSON-Dateien und PDFs auf einem lokalen Server ist unendlich besser als ein gesperrtes Konto. Du kannst diese Daten immer noch suchen, lesen und damit arbeiten.


  4. Entwickle deine eigenen Tools: Wenn ein Anbieter keine Export-API anbietet, entwickle selbst eine. Mit moderner KI-gestützter Entwicklung („Vibe Coding“) ist das Schreiben eines benutzerdefinierten Scrapers oder API-Konnektors zum „Jailbreak“ deiner Daten schneller und kostengünstiger als je zuvor.


Die No-Restore-Lösung: Aufbau eines „minimal funktionsfähigen Unternehmens”



Wir sollten unser SaaS-Portfolio nicht nur nach Kosten, sondern auch nach Überlebensnotwendigkeit kategorisieren. Ich schlage drei Kategorien vor, um dein „minimal funktionsfähiges Unternehmen” aufzubauen – das Rettungsboot, das dich über Wasser hält, wenn das Luxuskreuzfahrtschiff sinkt.


  1. Geschäftskritische Systeme (dein Rettungsboot und Notstromaggregat)


    Alles, was du brauchst, um den Betrieb aufrechtzuerhalten und Geld zu verdienen.


    Für diese reicht ein Backup nicht aus. Du brauchst die No-Restore-Lösung (siehe das Video oder die Folien meines Vortrags). Dabei handelt es sich um ein verkleinertes, betriebsbereites Ersatzsystem, in dem deine Daten und Benutzer bereits aktiv sind. Wie der Notstromgenerator eines Krankenhauses, das nicht die Küchen versorgt, sondern die Patienten am Leben hält. Wenn der SaaS-Ausfall eintritt, wechselst du sofort den Betrieb.


  2. Wichtige Systeme


    Alles andere, wo die Daten wichtig sind. Hier akzeptieren wir eine unvollständige Wiederherstellung. Wir brauchen ein solides Backup, um sicherzustellen, dass wir die Daten haben, auch wenn die Wiederherstellung manuelle Arbeit oder die Migration zu einem anderen Tool erfordert. Das kann eine Weile dauern. Das Unternehmen überlebt, auch wenn es wehtut.


  3. Nice-to-have-Systeme


    Wenn sie ausfallen, sind sie weg. Wir überspringen das Backup. Wenn der Anbieter uns aussperrt, fangen wir von vorne an oder entscheiden, dass wir sie nicht brauchen.


Fazit


Souveränität bedeutet, „Nein” sagen zu können. Wenn du zu Microsoft oder Salesforce nicht „Nein” sagen kannst, weil du keine Möglichkeit hast, auszusteigen, bist du nicht souverän.


Ich hoffe, diese Gedanken helfen dir bei deinen Plänen rund um Software as a Service.


Wir bei Tektit Consulting unterstützen dich gerne bei der Entwicklung deiner eigenen IT-Strategie – damit du auch dann noch einen Schlüssel zu deinem eigenen Haus hast, wenn der Vermieter die Schlösser austauscht.

Kommentare

bottom of page