Wenn Schlüsseldienste ausfallen:
Risikoaudit
Ein französischer Richter am Internationalen Strafgerichtshof will ein Hotelzimmer buchen. Er reicht seine Kreditkarte. Abgelehnt. Die zweite Karte. Abgelehnt. Beide Karten europäischer Banken, beide Konten gedeckt — aber der Zahlungsverkehr läuft über Visa und Mastercard. Amerikanische Netzwerke. Amerikanische Regeln.
Der Richter steht auf einer US-Sanktionsliste. Nicht wegen eines Verbrechens. Weil er für ein Gericht arbeitet, das Washington als Bedrohung betrachtet.
Er kann kein Auto mieten. Nicht online einkaufen. Er lebt und arbeitet in Europa, aber sein wirtschaftliches Leben ist über Nacht zum Stillstand gekommen — weil die Infrastruktur, die es trägt, amerikanisch ist.
Er greift zum iPhone, um seine Bank anzurufen. Dann die Erkenntnis: Das Gerät in seiner Hand stammt aus Cupertino, Kalifornien. Seine Kontakte liegen in der iCloud. Die Banking-App kam aus dem App Store. Selbst das Werkzeug, mit dem er das Problem lösen will, gehört zur selben Lieferkette, die gerade versagt hat.
Er ist Richter, nicht Unternehmer. Aber die Infrastruktur, an der es bei ihm gescheitert ist, ist dieselbe, auf der europäische Unternehmen ihren gesamten Geschäftsbetrieb aufbauen.
Was sich verändert hat
Bis vor kurzem war die Abhängigkeit von US-Technologie ein theoretisches Risiko. Etwas, das in Strategiepapieren stand und in Vorstandssitzungen nickend zur Kenntnis genommen wurde. Das hat sich geändert — und zwar nicht durch eine einzelne Entscheidung, sondern durch eine Verschiebung der Spielregeln.
Drei juristische Instrumente machen die Abhängigkeit jetzt operativ relevant:
Der CLOUD Act gibt US-Behörden Zugriff auf Daten, die von US-Unternehmen gespeichert werden — egal wo auf der Welt. Der Defense Production Act erlaubt dem Präsidenten, Unternehmen zur Herausgabe von Technologie zu zwingen. Und die Einstufung als Supply Chain Risk kann ein Unternehmen über Nacht vom gesamten US-Ökosystem abschneiden — wie bei Huawei und Kaspersky.
Keines dieser Instrumente ist neu. Neu ist, dass die Schwelle für ihren Einsatz gesunken ist. Die Entlassung der Aufsichtsgremien, die den EU-US Data Privacy Framework überwachen sollten. Kurzfristige Zollentscheidungen ohne Konsultation. Die Ausweitung von Sanktionsregimen auf Verbündete. Wer seine Geschäftsplanung auf politische Berechenbarkeit in Washington stützt, plant auf einer Annahme, die sich nicht mehr belegen lässt.
Die Konsequenz zeichnet sich bereits ab: Laut einer Gartner-Umfrage planen 61 % der westeuropäischen CIOs, ihre Abhängigkeit von US-Cloud-Anbietern zu reduzieren. Digitale Souveränität ist kein Konferenzbegriff mehr. Es ist eine Beschaffungsentscheidung.
Die Kette, die niemand sieht
Die meisten Unternehmen wissen nicht, wie tief ihre Abhängigkeit reicht. Sie sehen Microsoft 365 und denken: E-Mail. Aber die Abhängigkeit ist eine Kette — und wenn ein Glied bricht, bricht alles.
Es beginnt am unsichtbarsten Punkt.
Identität — der Hauptschalter. Entra ID (ehemals Azure AD) verwaltet in den meisten Unternehmen sämtliche Benutzerkonten und Zugriffsrechte. Dieser eine Dienst entscheidet, wer sich wo anmelden kann. Fällt er aus, kann sich niemand einloggen. Bei keinem System. Kein E-Mail. Kein Dateizugriff. Kein VPN. Keine Fachanwendung. Alles, was folgt, hängt an diesem einen Punkt.
Betriebssystem. Windows läuft auf dem Großteil der Unternehmens-Desktops. macOS und iOS dominieren in vielen Branchen. Beide erfordern laufende Lizenzierung. Ohne Updates: Sicherheitsrisiko. Ohne Lizenz: unbrauchbar.
Produktivität. Microsoft 365 bündelt E-Mail, Kalender, Dateien, Intranet und Chat. Jedes Dokument, jede E-Mail, jeder Termin — alles bei einem US-Anbieter. Wer den Zugang verliert, verliert nicht ein Werkzeug. Er verliert die Arbeitsgrundlage.
Cloud und Backups. Infrastruktur auf AWS, Azure oder GCP. Backups auf S3, Glacier oder OneDrive. Fällt der Zugang weg, ist nicht nur die Produktion betroffen — die Datensicherung fällt mit, weil sie beim selben Anbieter liegt.
Kommunikation. Teams, Zoom, Slack. Wer nicht kommunizieren kann, kann nicht koordinieren. Nicht entscheiden. Nicht reagieren.
Zahlungsverkehr. Visa und Mastercard verarbeiten den Großteil der europäischen Kartenzahlungen. Wie der Fall des Richters zeigt: US-Sanktionen können den Zahlungsverkehr innerhalb Europas blockieren. Nicht theoretisch. Nachweislich.
Und jetzt die entscheidende Einsicht: Diese Abhängigkeiten sind nicht voneinander isoliert. Sie sind verkettet. Entra ID authentifiziert den Zugang zu Microsoft 365. Microsoft 365 läuft auf Azure. Die Backups liegen auf Azure. Die Kommunikation läuft über Teams — das ebenfalls auf Azure läuft. Ein einziger Lizenzentzug, eine einzige Sanktionsentscheidung kann diese gesamte Kette unterbrechen.
Nicht ein System fällt aus. Das System fällt aus.
Was keine Theorie mehr ist
Im März 2022 drehte Microsoft russischen Unternehmen über Nacht den Zugang ab. Lizenzen, Cloud-Dienste, Updates — von einem Tag auf den anderen weg. Iranische Nutzer sind seit Jahren von Google-Diensten, Apple-Funktionen und Cloud-Plattformen abgeschnitten.
Für europäische Unternehmen erscheint das undenkbar. Aber der Mechanismus existiert, er wurde eingesetzt, und die Schwelle für seinen Einsatz ist gesunken. Was früher extremen Krisenlagen vorbehalten war, ist heute ein Instrument, das kurzfristig und ohne Vorankündigung aktiviert werden kann.
Dann die wirtschaftliche Variante: Broadcom hat nach der Übernahme von VMware die Lizenzkosten für europäische Cloud-Anbieter teilweise verzehnfacht. Dauerlizenzen abgeschafft, Abonnement erzwungen. Vendor Lock-in macht das möglich: Wer seine gesamte Infrastruktur auf einer Plattform aufgebaut hat, kann nicht in Wochen wechseln. Einseitige Preisänderungen sind kein Ausnahmefall — sie sind Geschäftsmodell.
Und dann die leise Variante: Google hat über 290 Produkte eingestellt. Ohne Vorankündigung. Die Entscheidung, einen Dienst fortzuführen, liegt beim Anbieter — nicht beim Kunden.
Keines dieser Szenarien erfordert einen Krieg oder eine Krise. Es genügt eine Vertragsänderung, eine Sanktion oder eine Geschäftsentscheidung in einer Jurisdiktion, die Sie nicht kontrollieren.
Das Risiko ist nicht, dass eines dieser Szenarien eintritt. Das Risiko ist, dass keines davon einen Notfallplan hat.
Der Notfallplan
Die Terminologie stammt aus dem Disaster Recovery. Sie ist direkt anwendbar:
Hot Standby — eine funktionsfähige Alternative läuft parallel. Im Ernstfall: sofortiger Umstieg.
Pilot Light — die Alternative ist konfiguriert und getestet, aber nicht im produktiven Einsatz. Aktivierung: Stunden bis Tage.
Dokumentierter Plan — die Alternative ist identifiziert, der Migrationsweg dokumentiert, aber nichts aufgebaut. Aktivierung: Wochen bis Monate.
Für jede kritische Abhängigkeit sollte mindestens ein Pilot Light existieren. Der Aufwand dafür ist überschaubar — die Kosten eines Ernstfalls ohne Vorbereitung sind es nicht:
| Abhängigkeit | Risiko bei Ausfall | Pilot Light (Minimum) |
|---|---|---|
| Entra ID | Kein Login möglich | Souveräner Identity Provider (Keycloak/LDAP) konfiguriert, Sync getestet |
| Windows | Desktops unbrauchbar | Linux-Images erstellt, Deployment auf Testgruppe erprobt |
| Microsoft 365 (Mail) | Kein E-Mail-Verkehr | Souveräner Mailserver konfiguriert, DNS-Umschaltung vorbereitet |
| Microsoft 365 (Dokumente) | Dateizugriff verloren | LibreOffice / Collabora installiert, Kompatibilität getestet |
| Teams / Zoom | Kommunikationsausfall | Matrix/Element-Server aufgesetzt, Zugänge eingerichtet |
| AWS / Azure / GCP | Infrastruktur weg | Konto bei europäischem Cloud-Anbieter, Grundkonfiguration vorhanden |
| Backups (S3/Glacier) | Datenverlust | Regelmäßiger Backup-Export auf souveränen Storage getestet |
| Apple (iOS/macOS) | Geräte veralten, Apps gesperrt | Device-Management-Plan für Android/Linux erstellt |
| Zahlungsverkehr | Transaktionen blockiert | SEPA-Lastschrift aktiv, Verträge mit EU-Zahlungsdienstleister |
Einige europäische Institutionen sind bereits weiter. Frankreich hat 500.000 Beschäftigte in 15 Ministerien auf Visio migriert, eine souveräne Alternative zu Zoom. Österreichs Militär arbeitet mit Open-Source-Diensten. Die EU-Kommission kommuniziert über Matrix. Das Europäische Parlament hat im Januar 2026 mit 471 zu 68 Stimmen einen „Open Source first"-Beschluss gefasst.
Die Alternativen existieren. Sie funktionieren. Bei Regierungen und Streitkräften, deren Sicherheitsanforderungen über denen der meisten Unternehmen liegen. Die Frage ist nicht, ob sie funktionieren. Die Frage ist, ob sie bei Ihnen rechtzeitig einsatzbereit sind.
Warum jetzt
Eine Microsoft-365-Migration dauert typischerweise 6 bis 18 Monate. Eine Cloud-Migration 12 bis 24 Monate. Ein Identity-Provider-Wechsel 3 bis 12 Monate. Ein Desktop-Betriebssystem-Wechsel 12 bis 36 Monate.
Das sind Zeiträume für geordnete Projekte unter normalen Bedingungen. Mit Budget, mit Personal, mit einem funktionierenden Tagesgeschäft.
Wer nach dem Ernstfall beginnt, hat keinen dieser Zeiträume.
Stattdessen: Mitarbeiter, die morgens ins Büro kommen und sich nicht anmelden können. Kunden, die keine Antwort erhalten. Lieferanten, die keine Rechnungen bekommen. Verträge, die platzen, weil die Systeme fehlen, mit denen sie verwaltet werden.
Ein Pilot Light verändert dieses Kalkül grundlegend. Es reduziert die Aktivierungszeit von Monaten auf Tage — den Unterschied zwischen geordnetem Umstieg und operativem Stillstand.
Was zu tun ist
Fünf Schritte. Keiner davon erfordert, US-Technologie zu ersetzen. Jeder davon stellt sicher, dass Sie es könnten, wenn Sie müssten.
1. Abhängigkeiten kartieren. Nicht nur die offensichtlichen — Microsoft, Google, Amazon. Auch die Schichten darunter: DNS-Anbieter, Zertifizierungsstellen, CDN-Provider, Zahlungsabwickler. Alles, was bei Ausfall den Betrieb stoppt.
2. Risiken priorisieren. Was legt den Betrieb sofort lahm? Was ist verkraftbar? Die Antwort auf die erste Frage bestimmt, wo die Notfallplanung beginnt.
3. Alternativen dokumentieren. Für jede kritische Abhängigkeit: Was ist die Alternative? Wie wird sie aktiviert? Wer ist verantwortlich? Ein Plan, den niemand kennt, ist kein Plan.
4. Pilot-Projekte starten. Die drei kritischsten Abhängigkeiten. Reale Bedingungen, echte Nutzer, nicht Papier. Die Erfahrung aus einem einzigen Piloten ist mehr wert als jedes Strategiedokument.
5. Jährlich testen. Ein Notfallplan, der nicht getestet wird, ist keiner. Simulieren Sie den Ausfall eines kritischen US-Dienstes. Was dabei ans Licht kommt, entscheidet im Ernstfall über die Handlungsfähigkeit Ihres Unternehmens.
Was dieser Artikel nicht ist
Dieser Artikel empfiehlt nicht, US-Technologie zu meiden. Er ist sachlich, nicht parteiisch. US-Anbieter liefern in vielen Bereichen die leistungsfähigsten Produkte auf dem Markt. Unternehmen, die sie einsetzen, handeln wirtschaftlich rational.
Aber wirtschaftlich rational handelt auch, wer die Abhängigkeit von einem einzigen Anbieter, einer einzigen Jurisdiktion, einem einzigen Zahlungssystem als das behandelt, was es ist: ein Betriebsrisiko. Eines, das sich managen lässt — aber nur, solange man damit anfängt, bevor es akut wird.
Wer erst im Ernstfall nach Alternativen sucht, findet keine. Er findet Chaos.
Die Werkzeuge — Open Source, souveräne Cloud-Infrastruktur, offene Standards — sind ausgereift und verfügbar. Was in den meisten Unternehmen fehlt, ist nicht die Technologie. Was fehlt, ist die Entscheidung.
Der französische Richter, dessen Kreditkarten nicht mehr funktionieren, der zum iPhone greift und merkt, dass auch das iPhone amerikanisch ist — er hatte keine Wahl. Er stand auf einer Liste, und die Infrastruktur versagte. Auf ganzer Linie.
Europäische Unternehmen haben heute noch eine Wahl. Die Frage ist, wie lange.
Quellen
- Executive Order: Imposing Sanctions on the International Criminal Court (Federal Register, Feb. 2025)
- Digital Sovereignty – Build vs. Buy (UC Today, Feb. 2026)
- Microsoft suspends new sales in Russia (Microsoft, März 2022)
- Euro cloud body says Broadcom licensing unfair (The Register, Mai 2025)
- Killed by Google: Verzeichnis eingestellter Google-Dienste
- Trump’s sacking of PCLOB members threatens data privacy (Lawfare, Jan. 2025)
- Europe votes to tackle deep dependence on US tech (Computerworld, Jan. 2026)
- LaSuite: Die souveräne Produktivitätssuite der französischen Verwaltung
- Pentagon vs. Anthropic: Strategische Analyse (digital-independence.org, Feb. 2026)
Themenübersicht: Cloud und Infrastruktur