dreherIT – Lösungen, die weiterdenken.

Netzwerk-Audit für KMU: Warum „läuft doch” ein Risiko ist

Frank Dreher — Tue, 24 Feb 2026 13:41:11 +0000

Das Problem: Netzwerke wachsen still und unkontrolliert

In den meisten KMU entstand die IT-Infrastruktur nicht durch einen Masterplan, sondern durch Wachstum. Ein Router hier, ein Switch dort, ein Gerät, das „eigentlich ersetzt werden sollte”, aber noch läuft. Irgendwann weiß niemand mehr genau, was alles verbunden ist – und warum.

Das ist kein Einzelfall. Es ist der Normalzustand.

Typische Situationen, die wir in der Praxis vorfinden:

Netzwerkgeräte mit Firmware-Stand von 2019 – bekannte Sicherheitslücken, nie gepatcht
WLAN-Passwörter, die seit der Inbetriebnahme nicht geändert wurden
Keine Netzsegmentierung: Drucker, Server und Mitarbeiter-Laptops im selben Segment
Geräte, die sich ins Netzwerk eingebucht haben und still vor sich hin laufen – ohne dass jemand weiß, was sie dort tun
Firewall-Regeln, die einmal „schnell” eingerichtet – und nie überprüft wurden

Einzeln betrachtet klingt jeder dieser Punkte nach einer Kleinigkeit. Zusammen ergeben sie ein Einfallstor.

Das Risiko: Was auf dem Spiel steht

Ein schlecht gewartetes Netzwerk ist keine abstrakte Gefahr. Es hat konkrete Konsequenzen.

Betriebsunterbrechung: Ein kompromittiertes Gerät kann innerhalb von Minuten das gesamte Netzwerk lahmlegen. Ein Halcyon-Report nennt im Mittel 21 Tage operative Downtime nach einem erfolgreichen Ransomware-Angriff – gerechnet bis Systeme und Abläufe wieder laufen.

Datenschutz: Wenn unbefugte Geräte im Netzwerk aktiv sind oder Zugriffsrechte nicht sauber vergeben wurden, kann das schnell zu einem DSGVO-relevanten Vorfall führen. Art. 32 DSGVO fordert ein dem Risiko angemessenes Schutzniveau. Ohne nachvollziehbare Dokumentation wird es im Vorfall deutlich schwieriger, getroffene Maßnahmen gegenüber Behörden oder Partnern zu begründen.

Haftung: Fehlende Dokumentation und nicht behobene bekannte Sicherheitslücken können die Nachweisführung gegenüber Versicherungen, Behörden oder Geschäftspartnern deutlich erschweren – besonders dann, wenn ein Vorfall bereits eingetreten ist.

Das Unangenehme daran: Die meisten dieser Risiken sind unsichtbar – solange nichts passiert.

Die Lösung: Netzwerk-Audit mit dreherIT

Ein Netzwerk-Audit schafft Klarheit darüber, was wirklich in Ihrer Infrastruktur steckt – und wo Handlungsbedarf besteht.
Kein pauschales „alles muss neu”, sondern eine ehrliche Bestandsaufnahme mit verwertbarem Ergebnis.

Phase 1 – Bestandsaufnahme:
Wir erfassen alle aktiven Geräte, Verbindungen und Konfigurationen.
Was ist im Netzwerk? Was sollte dort sein – und was nicht?

Phase 2 – Analyse:
Wir prüfen Firmware-Stände, Firewall-Regeln, WLAN-Konfiguration, Segmentierung und Zugriffsstrukturen systematisch gegen gängige Best Practices, Herstellerempfehlungen und Risikoprinzipien.

Phase 3 – Dokumentation & Empfehlung:
Sie erhalten ein greifbares Ergebnis:

Netzplan mit Geräte- und VLAN-Übersicht (Ist-Stand)
Risiko-Matrix (kritisch / hoch / mittel / niedrig) mit Quick Wins (Sofortmaßnahmen)
Maßnahmenplan mit Priorität und Aufwandsschätzung

Es geht nicht darum, Probleme zu erfinden. Es geht darum, zu wissen, worauf Sie sich verlassen können.

Das Ergebnis

Nach einem Netzwerk-Audit wissen Sie:

Welche Geräte in Ihrer Infrastruktur aktiv sind
Wo konkrete Sicherheitsrisiken bestehen – und wie dringend sie sind
Was mit überschaubarem Aufwand sofort verbessert werden kann
Wo mittel- und langfristig investiert werden sollte

Sie haben eine dokumentierte Grundlage – für interne Entscheidungen, für Gespräche mit Versicherungen und für die nächste IT-Prüfung.

Wie sicher ist Ihre Infrastruktur wirklich?

Erfahren Sie im Detail, wie unser strukturierter Audit-Prozess Schwachstellen aufdeckt und Ihre IT-Sicherheit langfristig stärkt.

Schweizer Cloud-Verbot: Warum Hybrid-Strategien jetzt Pflicht werden

Frank Dreher — Wed, 03 Dec 2025 16:55:25 +0000

Ende November haben die schweizerischen Datenschutzbeauftragten (Privatim) eine Resolution veröffentlicht, die internationale Cloud-Dienste für Behörden mit sensiblen Daten de facto stark einschränkt. Über die Entscheidung berichtete unter anderem Heise Online. Die offizielle Resolution findet sich beispielsweise beim Kanton Freiburg (Privatim-Mitteilung), eine juristische Einordnung liefert Steiger Legal.

US-Hyperscaler wie AWS, Microsoft oder Google sollen für besonders schützenswerte oder gesetzlich geheimhaltungspflichtige Personendaten kaum noch als vollwertige SaaS-Lösungen eingesetzt werden – vor allem, weil echte Ende-zu-Ende-Verschlüsselung und eine belastbare Rechtslage fehlen.

Für Unternehmen in Deutschland ist das ein Warnsignal: Nicht die Cloud an sich steht zur Disposition, sondern der unreflektierte „Alles-in-die-Cloud“-Ansatz. Die Zukunft ist hybrid – aber mit klarer Strategie.

Was ist in der Schweiz passiert?

Die Konferenz der schweizerischen Datenschutzbeauftragten hat in ihrer Stellungnahme die Nutzung internationaler Public-Cloud-Dienste durch Behörden massiv eingeschränkt. Kernpunkte der Position:

Behörden dürfen sensible und geheimhaltungspflichtige Personendaten in der Regel nicht mehr in internationalen SaaS-Diensten verarbeiten.
US-Hyperscaler stehen besonders im Fokus, weil der US CLOUD Act Anbieter zur Herausgabe von Daten an US-Behörden verpflichten kann – auch dann, wenn die Daten physisch in Europa oder der Schweiz liegen. Eine Einordnung zu Herausgabeverlangen aus Drittstaaten liefert das European Data Protection Board: Guidelines 02/2024 on Article 48 GDPR (PDF).
Hauptkritikpunkte sind fehlende echte Ende-zu-Ende-Verschlüsselung mit Schlüsselhoheit beim Kunden sowie der Kontrollverlust über Subdienstleister, Vertragsbedingungen und Zugriffe.
Cloud-Dienste sind damit nicht generell verboten, aber nur noch dann zulässig, wenn die Behörde selbst verschlüsselt und der Anbieter keinen Zugriff auf die Schlüssel hat.

Auch wenn diese Resolution formal nur für Schweizer Behörden gilt, setzt sie ein deutliches Signal: Wer besonders schützenswerte Daten in internationale Public Clouds auslagert, bewegt sich regulatorisch auf dünnem Eis.

Was bedeutet „Hybrid“ eigentlich?

In vielen Diskussionen werden unterschiedliche Dinge unter „Hybrid Cloud“ verstanden. Technisch meint Hybrid-Cloud im Kern:

Die Kombination aus eigener Infrastruktur (On-Premises oder Private Cloud) und einem oder mehreren Public-Cloud-Anbietern, die so integriert sind, dass Workloads zwischen diesen Welten verteilt werden können.

Für eine klassische Definition können Sie sich z. B. an den Glossareinträgen von Google Cloud oder NetApp orientieren.

Für die Praxis lassen sich grob drei Bausteine unterscheiden:

On-Premises / Private Cloud im eigenen Haus
Eigene Server, Storage und Netzwerk in der eigenen Umgebung – etwa ein Linux- oder VMware-Cluster im Serverraum.
Private Cloud im europäischen Rechenzentrum
Dedizierte Server oder Managed-Hosting bei europäischen Anbietern, die rechtlich in der EU / im EWR sitzen – z. B. ein dedizierter Server bei einem deutschen oder europäischen Hoster.
Public Cloud / Hyperscaler
Dienste wie Microsoft 365, Azure, AWS, Google Cloud oder spezialisierte SaaS-Anwendungen.

„Hybrid“ heißt also nicht automatisch „Hyperscaler + europäisches RZ“, sondern: Sie kombinieren eigene Infrastruktur mit Cloud-Ressourcen – idealerweise so, dass die sensiblen Daten unter Ihrer Kontrolle bleiben und nur das in die Public Cloud wandert, was dort sinnvoll und vertretbar ist.

Für unsere Kunden definieren wir Hybrid daher so:

Hybrid bedeutet: Eigene Infrastruktur (z. B. Nextcloud-Server) plus ein europäisches Rechenzentrum – und nur dort, wo es fachlich und rechtlich passt, ausgewählte Public-Cloud-Dienste.

Gerade im Kontext von digitaler Souveränität ist diese Trennung zentral: Kritische Daten verbleiben in Ihrer Kontrolle, zusätzliche Cloud-Dienste werden bewusst und begründet gewählt.

Warum „reine Hyperscaler-Strategien“ ins Risiko laufen

Die Schweizer Resolution ist kein Ausreißer, sondern Teil eines größeren Trends. Drei Punkte sollten Unternehmen im Blick behalten:

1. Digitale Souveränität & Datenschutz

Internationale Public Clouds unterliegen oft auch ausländischem Recht (z. B. US CLOUD Act).
Viele SaaS-Anbieter bieten keine echte Ende-zu-Ende-Verschlüsselung mit ausschließlich kundenseitig kontrollierten Schlüsseln.
Für regulierte Branchen (Gesundheitswesen, öffentliche Hand, kritische Infrastrukturen) steigen die Anforderungen durch NIS2, DORA & Co. deutlich – inklusive Vorgaben zu Risikomanagement, Business Continuity und Exit-Strategien. Einen Überblick über die NIS2-Pflichten für Unternehmen bietet z. B. PwC.

Kurz gesagt: Wer alle geschäftskritischen Daten in eine einzige internationale SaaS-Plattform schiebt, macht sich angreifbar – technisch, rechtlich und politisch.

2. Kosten & Lock-in

Lange Zeit galt: „Cloud ist billiger“. Das stimmt längst nicht mehr pauschal. Das Beispiel des Software-Hauses 37signals (Basecamp/HEY) zeigt: Der Rückzug aus AWS auf eigene Hardware spart laut deren Zahlen rund zehn Millionen US-Dollar innerhalb von fünf Jahren – vor allem, weil laufende Cloud-Betriebskosten und Overhead entfallen. Die Details legt Gründer David Heinemeier Hansson in seinem Beitrag „Our cloud-exit savings will now top ten million over five years“ offen.

Natürlich lässt sich dieses Beispiel nicht 1:1 auf jedes Unternehmen übertragen. Es zeigt aber, dass „Cloud = automatisch günstiger“ ein Mythos ist – insbesondere bei dauerhaft laufenden, gut kalkulierbaren Workloads.

3. Resilienz & Exit-Strategie

Spätestens mit NIS2 wird von vielen Unternehmen erwartet, dass sie Business-Continuity- und Desaster-Recovery-Konzepte vorhalten – dazu gehören Backups, Fallback-Szenarien und Exit-Strategien gegenüber kritischen Dienstleistern, inklusive Cloud-Providern.

Pragmatisch heißt das:

Was passiert, wenn ein großer Cloud-Dienst für Stunden oder Tage ausfällt?
Können Sie weiterarbeiten – oder steht der Betrieb?
Gibt es eine technische und organisatorische Möglichkeit, Daten aus der Cloud wieder herauszubekommen und in einer alternativen Umgebung weiterzuarbeiten?

Eine sauber designte Hybrid-Architektur beantwortet diese Fragen besser als der „Alles-in-eine-SaaS“-Ansatz. Wie wir das Thema IT-Sicherheit und Compliance insgesamt betrachten, lesen Sie auf unserer Seite IT-Sicherheit & Datenschutz.

Wie eine pragmatische Hybrid-Strategie für KMU aussehen kann

Für mittelständische Unternehmen, Praxen und Kanzleien geht es nicht darum, morgen alles aus der Cloud zurückzuholen. Sinnvoll ist ein schrittweises Vorgehen:

Ziele & Rahmenbedingungen klären
- Welche Geschäftsprozesse sind wirklich kritisch?
- Welche Daten wären im Falle eines Abflusses oder Ausfalls existenzbedrohend?
- Welche regulatorischen Vorgaben gelten (DSGVO, NIS2, branchenspezifische Regeln)?
Datenklassen und Workloads unterscheiden
- Hochsensible Daten (Patientendaten, Rechtsdokumente, Finanzdaten, vertrauliche Kundendaten)
- Operative Geschäftsdaten (Projekte, interne Dokumente)
- Unkritische Kollaborationsdaten (z. B. Marketing-Material, Präsentationen, Schulungsunterlagen)
Architektur passend zu den Daten wählen
- Hochsensible Daten: On-Premises oder im europäischen Rechenzentrum, möglichst mit eigener Verschlüsselung und klarer Zugriffskontrolle.
- Operative Geschäftsdaten: Häufig ideal in einer europäischen Private-Cloud- oder Hybrid-Lösung (z. B. Nextcloud, Open-Source-Dienste im Rechenzentrum). Einen Einstieg in solche Ansätze finden Sie auf unserer Seite Cloud & Self-Hosting.
- Unkritische Workloads: Hier können Hyperscaler oder spezialisierte SaaS-Dienste weiterhin sinnvoll sein – solange Verträge, Verschlüsselung und Exit-Strategie passen.
Exit-Strategie & Fallback planen
- Regelmäßige, lokal lesbare Backups (nicht nur innerhalb desselben Cloud-Anbieters)
- Testweise Wiederherstellung in einer alternativen Umgebung (z. B. zweiter Hoster, On-Prem-Server)
- Dokumentierte Notfallpläne für Cloud-Ausfälle
Schritt für Schritt umsetzen
- Keine „Big Bang“-Migration, sondern priorisierte Roadmap
- Beginnen Sie dort, wo Risiko und Abhängigkeit heute am größten sind (z. B. E-Mail, Dateiablage, Passwort-Management).

Fazit: On-Prem war nie weg – aber Hybrid wird zum neuen Normal

Die Schweizer Entscheidung zeigt: Regulierer akzeptieren internationale Public Clouds nicht mehr als universelle Lösung für alle Datentypen. Sensible Daten brauchen technische und rechtliche Kontrolle – und die erreichen Sie nur, wenn Sie Ihre Infrastruktur aktiv gestalten.

On-Premises- und europäische Rechenzentrums-Lösungen sind keine Nostalgie, sondern ein strategischer Baustein für digitale Souveränität.
Hybrid-Architekturen verbinden diese Kontrolle mit der Flexibilität moderner Cloud-Dienste.
Reine „Alles-in-die-Cloud“-Strategien ohne Exit-Plan werden in den nächsten Jahren zunehmend schwer begründbar sein – fachlich wie regulatorisch.

dreherIT unterstützt Sie dabei, eine solche Hybrid-Strategie zu entwickeln und umzusetzen – mit einem klaren Fokus auf europäische Rechenzentren, Open-Source-Lösungen und digitale Souveränität.

dreherIT – Lösungen, die weiterdenken.
Damit Ihre Daten dort bleiben, wo sie hingehören: unter Ihrer Kontrolle.

Ist Ihre Cloud-Strategie hybrid und souverän?

Wir analysieren gemeinsam mit Ihnen, wo heute unnötige Abhängigkeiten von Hyperscalern bestehen – und wie Sie mit einer Hybrid-Architektur aus eigener Infrastruktur und europäischem Rechenzentrum wieder mehr Kontrolle gewinnen.

VPN am Limit: Warum Zero-Trust zum neuen Sicherheitsstandard wird

Frank Dreher — Tue, 11 Nov 2025 16:16:36 +0000

Die Arbeitswelt hat sich in wenigen Jahren grundlegend gewandelt: Teams arbeiten flexibel von zuhause, von mobilen Geräten oder aus verteilten Niederlassungen. Anwendungen liegen längst nicht mehr ausschließlich im eigenen Rechenzentrum, sondern zunehmend in europäischen Cloud-Diensten wie Microsoft 365 oder Google Workspace. Gleichzeitig haben sich die Bedrohungen professionalisiert – Angriffe zielen heute gezielt auf Identitäten, Endgeräte und Netzwerkzugänge.

Diese Realität stellt klassische VPN-Infrastrukturen vor ein Problem. Das Modell, das jahrzehntelang als Standard galt, stößt erkennbar an seine Grenzen. Deshalb etablieren Unternehmen weltweit einen alternativen Ansatz: Zero-Trust-Networking. In diesem Artikel zeigen wir, warum klassische VPNs nicht mehr ausreichen – und weshalb Zero-Trust der logische nächste Schritt ist.

Warum klassische VPNs ihre Schutzwirkung verlieren

Das traditionelle VPN-Modell basiert auf einer Grundannahme, die heute nicht mehr zutrifft: Wer sich mit dem VPN verbindet, gilt automatisch als vertrauenswürdig. Nach erfolgreichem Login erhält ein Nutzer Zugriff auf große Teile des internen Netzwerks – unabhängig davon, ob er sich gerade im Büro, im Homeoffice oder in einem öffentlichen WLAN befindet.

Dieses Modell erzeugt mehrere Sicherheitsprobleme:

1. Breite Netzsicht („Lateral Movement“)

Sobald ein Angreifer ein einziges Gerät kompromittiert oder Zugangsdaten erbeutet, kann er sich im internen Netzwerk seitlich bewegen. Diese Bewegungen sind schwer zu erkennen und zählen zu den häufigsten Mustern bei Ransomware-Angriffen.

2. Zentrale Schwachstellen am VPN-Gateway

VPN-Gateways sind ein attraktives Ziel. Bleiben Sicherheitsupdates aus oder treten Schwachstellen in VPN-Clients auf, kann ein einziges Gerät zum Einstiegspunkt für Angreifer werden.

3. Unnötige Latenz bei Cloud-Diensten

Da der gesamte Verkehr über einen zentralen Tunnel geführt wird, entstehen unnötig lange Wege („Backhauling“). Das bremst moderne Cloud-Anwendungen sichtbar aus – insbesondere Videokonferenzen und Kollaborationstools.

4. Hoher administrativer Aufwand

Zertifikate, statische IP-Freigaben, manuelle Firewall-Regeln und verschiedene Client-Versionen sorgen für Komplexität. Fehler an dieser Stelle sind einer der häufigsten Gründe für Sicherheitsvorfälle.

VPNs wurden für ein anderes Zeitalter entwickelt – eines mit stationären Arbeitsplätzen und klaren Netzwerkgrenzen. Genau diese Grenzen verschwimmen heute.

Zero-Trust: Sicherheit beginnt nicht beim Netzwerk, sondern bei Identität

Zero-Trust-Networking bricht mit der alten Logik des Netzwerkvertrauens. Statt einem „Alles oder nichts“-Zugriff stellt Zero-Trust jede einzelne Verbindung in Frage. Das zugrunde liegende Prinzip lautet:

„Vertraue nichts und niemandem. Überprüfe jeden Zugriff – immer.“

Der Zugriff richtet sich nicht nach der Netzwerkposition, sondern nach:

Identität des Nutzers
Sicherheitszustand des Geräts
Kontext (Ort, Uhrzeit, Risikoindikatoren, Verhalten)
konkreter Anwendung, nicht dem gesamten Netzwerk

Damit entsteht ein Sicherheitsmodell, das exakt auf moderne Arbeitsumgebungen zugeschnitten ist.

Wie Zero-Trust in der Praxis funktioniert

Ein Zero-Trust-System prüft jede Verbindung nach drei Schritten:

1. Identität prüfen

Nutzer müssen sich eindeutig ausweisen – idealerweise per Multi-Faktor-Authentifizierung.

2. Geräte-Compliance prüfen

Nur Geräte, die definierte Sicherheitsrichtlinien erfüllen (z. B. Verschlüsselung, aktuelles Patch-Level), erhalten Zugriff.

3. Zugriff auf konkrete Anwendungen erlauben

Der Zugriff erfolgt nicht mehr auf das gesamte LAN, sondern gezielt auf die benötigten Anwendungen. Dadurch entfällt die breite Netzsicht vollständig.

Das minimiert die Angriffsfläche erheblich und verhindert, dass ein einzelnes kompromittiertes Gerät zum Risiko für das gesamte Unternehmen wird.

Welche Vorteile Zero-Trust Unternehmen bietet

Zero-Trust-Networking adressiert zentrale Schwächen klassischer VPN-Modelle und schafft gleichzeitig eine Grundlage für moderne, verteilte Arbeitsformen.

Die wichtigsten Vorteile auf einen Blick:

Sicherer Zugriff von überall
Homeoffice, Außendienst und Niederlassungen arbeiten stabil ohne VPN-Abbrüche.
Klare Zugangskontrolle statt breiter Netzsicht
Jeder Zugriff ist identitäts- und kontextbasiert. Laterale Bewegungen werden verhindert.
Weniger Komplexität im Betrieb
Keine Zertifikatsdateien, keine statischen Freigaben, deutlich weniger Konfigurationsaufwand.
Optimale Performance für Cloud-Anwendungen
Direkter Zugriff statt Umweg durch einen VPN-Konzentrator.
Nachvollziehbarkeit und Compliance
Alle Zugriffe sind eindeutig dokumentiert – hilfreich für Datenschutz und Audits.
Geeignet für hybride Teams und moderne Arbeitsmodelle
Zero-Trust unterstützt flexible Zusammenarbeit ohne Sicherheitsabstriche.

Fazit: Zero-Trust ist der notwendige Schritt nach dem VPN-Zeitalter

Die Risiken klassischer VPNs sind kein technisches Detail, sondern eine strategische Herausforderung. Die Art, wie Unternehmen arbeiten, hat sich verändert – ihre Sicherheitsarchitektur muss sich ebenfalls weiterentwickeln. Zero-Trust-Networking bietet einen Ansatz, der unmittelbar zu dieser Realität passt: Identitätsbasiert, flexibel, nachvollziehbar und deutlich sicherer als ein herkömmlicher VPN-Tunnel.

Für Unternehmen, die ihre Infrastruktur modernisieren möchten, ist Zero-Trust keine Option für „später“, sondern eine sinnvolle und langfristig notwendige Weiterentwicklung.

Wenn Sie wissen möchten, wie ein Zero-Trust-Ansatz in Ihrer Infrastruktur aussehen kann, beraten wir Sie gerne und zeigen mögliche Wege auf.

Ist Ihre 3-2-1-Strategie schon Realität?

Wir sorgen dafür, dass Ihr Backup-Konzept im Ernstfall auch funktioniert. Schnell, zuverlässig und garantiert wiederherstellbar.

Was ist die 3-2-1(+1+0) Backup-Strategie und warum ist sie überlebenswichtig?

Frank Dreher — Mon, 10 Nov 2025 12:13:56 +0000

Hoffen ist kein Backup-Plan.

Jede Festplatte kann ausfallen, jeder Klick ein Fehler sein. Die echten Risiken lauern aber tiefer: Ransomware jagt gezielt Ihre Backups, und ein einfacher Cloud-Sync (wie OneDrive oder Nextcloud) ist kein Backup – er synchronisiert auch die Verschlüsselung durch einen Hacker oder das versehentliche Löschen.

Key-Pain-Points (Boxen oder Icons):

Vergessene Laptops: 70% der Datenverluste in Unternehmen passieren auf Endgeräten im Homeoffice oder Außendienst.
Sync ≠ Backup: OneDrive & Co. schützen nicht vor Ransomware oder versehentlichem Löschen, da sie Änderungen mitsynchronisieren.
Ransomware-Gefahr: Angreifer zerstören zuerst die Backups, bevor sie die Live-Daten verschlüsseln.
Ungetestete Restores: Ein Backup, dessen Wiederherstellung nie getestet wurde, ist kein Backup. Es ist nur eine Hoffnung.

Die Lösung: Die 3-2-1(+1+0)-Strategie

Die alte „3-2-1-Regel“ (3 Kopien, 2 Medien, 1 Extern) ist eine gute Basis, aber gegen moderne Bedrohungen wie Ransomware reicht sie nicht mehr aus.

Deshalb liefern wir die moderne 3-2-1(+1+0)-Strategie. Die (+1) und (+0) sind die entscheidenden „Service-Add-ons“, die wir für Sie managen – sie garantieren, dass Ihr Backup nicht nur existiert, sondern im Ernstfall auch sicher und brauchbar ist.

Die Aufschlüsselung unseres Services:

3 Kopien: Wir sorgen dafür, dass Sie neben Ihren Livedaten zwei weitere Backup-Kopien besitzen.
2 Medien: Diese Kopien liegen auf unterschiedlichen Medien (z. B. eine lokale Appliance für Speed, ein Cloud-Speicher für Sicherheit).
1 Extern (Offsite): Mindestens eine Kopie ist immer außer Haus (Offsite), sicher vor lokalen Katastrophen wie Feuer oder Diebstahl.

… und hier beginnt unser Service-Versprechen:

(+1) Unveränderlich (Immutable): Das ist Ihr wichtigster Schutz gegen Ransomware. Wir nutzen standardmäßig S3 Object Lock (Compliance Mode). Das bedeutet: Ihre Offsite-Backups sind für eine definierte Frist absolut unlöschbar und unüberschreibbar. Selbst ein Angreifer mit vollem Admin-Zugriff (oder wir selbst) kann diese Sicherungen nicht manipulieren.
(+0) Fehler (Verifiziert): Ein Backup ist wertlos, wenn der Restore fehlschlägt. Wir führen regelmäßige, automatisierte Wiederherstellungstests durch und protokollieren diese. Sie erhalten den Nachweis, dass Ihre Daten sicher und wiederherstellbar sind.

Ihr Schutzschild nach Maß: Unsere BaaS-Module

Stellen Sie sich Ihren Schutz aus unseren gemanagten Kern- und Zusatzmodulen zusammen.

Modul 1: Server Protect (Das Fundament)

Sicherung Ihrer zentralen Infrastruktur – ob virtuell, physisch oder containerisiert.

Was wird gesichert: VMs, Container, Datenbanken, Fileserver, Anwendungsdaten (z. B. Nextcloud).
Unser technischer Vorteil: Wir sind spezialisiert auf Proxmox und nutzen den Proxmox Backup Server (PBS) für native, hocheffiziente VM-Sicherungen. Für Datei- und DB-Backups setzen wir auf quelloffene, end-to-end verschlüsselte Tools (z. B. restic/kopia-Basis).

Modul 2: Endpoint Protect (Das Laptop-Add-on)

Sichern Sie die vergessenen „Dateninseln“ Ihrer Schlüsselmitarbeiter.

Was wird gesichert: Gezielte Sicherung von Laptops und Desktops (Geschäftsführung, Vertrieb, Homeoffice).
Pakete: Wahlweise als „EDP-Light“ (Desktop, Dokumente) oder „EDP-Plus“ (inkl. Mail-Profilen etc.). Funktioniert auch von unterwegs, direkt in die Cloud.

Modul 3: SaaS Protect (Das Cloud-Add-on)

Ihre Daten in der Cloud (z. B. Microsoft 365) gehören Ihnen – das Backup ist Ihre Verantwortung.

Was wird gesichert: Microsoft 365 (Exchange Online, SharePoint, OneDrive).
Warum: Schutz vor versehentlichem Löschen durch Mitarbeiter, internen Risiken oder Ausfällen, die Microsoft nicht abdeckt. Hierfür nutzen wir marktführende, spezialisierte Werkzeuge.

Der dreherIT-Vorteil: Transparent, Effizient, Sicher.

Wir konkurrieren nicht über bunte Logos, sondern über technische Sauberkeit.

Lizenzkosten-Effizienz Wir setzen auf einen optimierten, quelloffenen Technologie-Stack, wo immer es sinnvoll ist. Statt auf teure All-in-One-Lizenzen zu setzen, die für Ihren Bedarf (z. B. Proxmox) unpassend sind, zahlen Sie bei uns für die gemanagte Dienstleistung – nicht für überflüssige Software-Pakete.
Technologie-Spezialist statt Generalist Wir sind Experten für Proxmox-Umgebungen. Unsere Expertise mit dem Proxmox Backup Server (PBS) und modernen Tools wie restic bedeutet für Sie eine technisch saubere, native Integration statt langsamer Agenten-Workarounds, die andere Anbieter nutzen würden.
Sicherheit als Standard, nicht als Extra Unser (+1)-Versprechen ist keine Marketing-Floskel: S3 Object Lock im Compliance Mode ist bei uns Standard für Offsite-Backups. Das ist eine technische Garantie für Unveränderbarkeit. Fragen Sie andere Anbieter, ob sie das standardmäßig liefern.

Ist Ihre 3-2-1-Strategie schon Realität?

Wir sorgen dafür, dass Ihr Backup-Konzept im Ernstfall auch funktioniert. Schnell, zuverlässig und garantiert wiederherstellbar.

Aus dem Schatten der NSA: Was uns EternalBlue über die Risiken von Closed-Source lehrt

Frank Dreher — Sat, 08 Nov 2025 17:49:59 +0000

Im Jahr 2016 trat eine mysteriöse Gruppe namens „Shadow Brokers“ an die Öffentlichkeit. Sie behauptete, die NSA gehackt zu haben und bot die erbeuteten Daten zum Verkauf an. Das erste Angebot – angeblich für 15.000 Dollar – wurde in der Community als Witz abgetan. Niemand glaubte, dass die Gruppe tatsächlich die NSA gehackt hatte und echte Geheimdaten für einen solch geringen Betrag anbieten würde.

Der Spott endete abrupt, als die Gruppe 2017 einen Teil ihres Arsenals kostenlos veröffentlichte. Darunter: EternalBlue.

EternalBlue war kein gewöhnliches Tool. Es war ein von der NSA entwickelter Exploit, der eine kritische, bis dahin unbekannte Schwachstelle (eine „Zero-Day-Lücke“) im SMB-Protokoll von Microsoft Windows ausnutzte. Wenige Wochen später nutzten Kriminelle genau dieses Tool, um die Ransomware WannaCry zu bauen. Das Ergebnis war eine globale Cyberkrise, die Krankenhäuser, Unternehmen und kritische Infrastrukturen lahmlegte.

Dieser Vorfall ist mehr als nur eine spannende Hacker-Geschichte. Er ist eine der deutlichsten Lektionen über die systemischen Risiken von Closed-Source-Software.

Das Kernproblem: Sicherheit durch Geheimhaltung (Closed-Source)

Was bedeutet „Closed-Source“? Einfach gesagt: Der Quellcode – das „Rezept“ der Software – ist ein Betriebsgeheimnis. Nur der Hersteller (wie Microsoft) kann ihn einsehen und verändern. Die Öffentlichkeit, Forscher und auch die Kunden selbst müssen dem Hersteller blind vertrauen, dass der Code sicher ist.

Der EternalBlue-Exploit (CVE-2017-0144) konnte nur deshalb existieren und über Jahre von der NSA gehortet werden, weil der Quellcode von Microsoft Windows Closed-Source ist.

Bei Closed-Source-Software gilt das Prinzip der „Security through Obscurity“ (Sicherheit durch Dunkelheit):

Mangelnde Transparenz: Niemand außer Microsoft kann den Code einsehen, prüfen oder auditieren. Die Öffentlichkeit (einschließlich Sicherheitsforschern) muss dem Hersteller blind vertrauen, dass der Code sicher ist.
Monopolisierte Fehlerbehebung: Nur der Hersteller (Microsoft) kann die Lücke schließen. Findet eine Organisation wie die NSA eine Lücke, meldet sie diese aber nicht, bleibt die Welt verwundbar.
Gefährliches „Hoarding“: Staatliche Akteure (und Kriminelle) können solche Lücken über Jahre hinweg als „Waffen“ horten und nutzen, ohne dass die Nutzer eine Chance haben, sich zu schützen.

Im Fall von WannaCry war die Welt darauf angewiesen, dass Microsoft einen Patch (MS17-010) entwickelt und dass die Nutzer diesen Patch rechtzeitig einspielen – was Millionen nicht taten.

Das Gedankenexperiment: EternalBlue im Open-Source-Modell

Stellen wir uns nun vor, das SMB-Protokoll oder das Betriebssystem selbst wäre Open-Source gewesen (wie z.B. bei Linux-Implementierungen wie Samba).

Die Open-Source-Philosophie basiert auf Transparenz und dem „Many Eyes Principle“ (auch bekannt als Linus’s Law: „Given enough eyeballs, all bugs are shallow“):

Transparenz & Auditierbarkeit: Jeder – von einem einzelnen Entwickler über Sicherheitsfirmen bis hin zur NSA selbst – kann den Quellcode einsehen.
Frühzeitige Entdeckung: Es ist extrem unwahrscheinlich, dass eine so kritische Lücke wie CVE-2017-0144 über Jahre unentdeckt geblieben wäre. Die globale Community von Sicherheitsforschern „jagt“ ständig nach solchen Fehlern.
Kein „Hoarding“ möglich: Eine Lücke, die im öffentlichen Code sichtbar ist (oder schnell gefunden wird), kann nicht geheim gehalten und als Waffe gehortet werden. Sie wird gemeldet und öffentlich behoben (gepatcht).
Dezentrale Fehlerbehebung: Selbst wenn der ursprüngliche Entwickler langsam reagiert, kann die Community einen Patch entwickeln und bereitstellen.

Das Argument, dass Angreifer den offenen Code ebenfalls einsehen können, ist zwar korrekt, wird aber durch die Realität widerlegt: Die Anzahl der „Verteidiger“ (White-Hats, Forscher, Entwickler), die den Code prüfen, ist ungleich größer als die der Angreifer. Transparenz zwingt zu besserer Code-Qualität.

Fazit für die IT-Strategie

Der Fall EternalBlue ist das ultimative Argument gegen das blinde Vertrauen in „Security through Obscurity“. Er hat gezeigt, dass das Closed-Source-Modell ein systemisches Risiko darstellt: Wir wissen nicht, welche Zero-Day-Lücken jetzt gerade von Akteuren gehortet werden.

Für Unternehmen bedeutet dies:

Vertrauen ist gut, Verifizierbarkeit ist besser: Open-Source-Software ist nicht per se „sicherer“, aber ihre Sicherheit ist verifizierbar. Der Code kann unabhängig auditiert werden.
Reduzierung von Abhängigkeiten: Der Einsatz von Open-Source reduziert die kritische Abhängigkeit von einem einzigen Hersteller, dessen Patch-Zyklen und dessen eigener interner Sicherheit (die bei der NSA offensichtlich versagt hat).
Digitale Souveränität: Wer auf Open-Source setzt, behält die Kontrolle über seine eigene Infrastruktur.

EternalBlue war ein Weckruf. In einer Zeit, in der Cyber-Bedrohungen zunehmen, ist Transparenz – das Kernprinzip von Open-Source – die robusteste Verteidigungsstrategie, die wir haben.

Online-Passwortmanager und HNDL: Ihr digitaler Generalschlüssel auf Abruf?

Frank Dreher — Fri, 07 Nov 2025 00:15:51 +0000

Im ersten Teil „Die tickende Zeitbombe in der Cloud“ haben wir das „Harvest Now, Decrypt Later“ (HNDL)-Risiko für allgemeine Cloud-Daten beleuchtet. Im zweiten Teil wenden wir dieses Prinzip auf das wohl sensibelste Gut an, das viele Nutzer der Cloud anvertrauen: ihre Passwörter.

Online-Passwortmanager wie Bitwarden, 1Password oder LastPass sind ein großer Sicherheitsgewinn. Sie lösen das „Ein-Passwort-für-alles“-Problem und ermöglichen für jeden Dienst einzigartige, komplexe Zugangsdaten. Gleichzeitig konzentrieren sie jedoch alle „Generalschlüssel“ an einem einzigen Ort – häufig in der Cloud.

Das „Zero-Knowledge“-Versprechen

Nahezu alle Cloud-Passwortmanager werben mit einem „Zero-Knowledge“-Modell. Das bedeutet: Alle Daten werden lokal auf Ihrem Gerät (Client-Side Encryption) mit Ihrem Master-Passwort verschlüsselt, bevor sie überhaupt an den Server des Anbieters gesendet werden.

Der Anbieter speichert nach eigener Aussage nur einen verschlüsselten „Daten-Blob“, den er selbst nicht entschlüsseln kann. Gegen heutige Angriffe ist das – bei starkem Master-Passwort und moderner Schlüsselausdehnung (z.B. Argon2, PBKDF2 mit hohen Iterationen) – in aller Regel ein sehr hohes Sicherheitsniveau.

HNDL: Wenn der „Daten-Blob“ zur Zeitkapsel wird

Das HNDL-Szenario stellt eine zusätzliche Perspektive dar: Die eigentliche Gefahr ist nicht, dass der Anbieter heute mitliest, sondern dass Angreifer den vollständig verschlüsselten Tresor kopieren und für die Zukunft aufbewahren.

Der Sicherheitsvorfall bei LastPass 2022 hat dieses Szenario real gemacht: Angreifer erbeuteten verschlüsselte Passwort-Tresore (Vaults) von Kunden. Für Vaults mit schwachen Master-Passwörtern oder wenig robusten KDF-Einstellungen musste man davon ausgehen, dass sie mit genügend Zeit und Rechenleistung angreifbar sind.

Die HNDL-Strategie folgt dabei zwei Schritten:

Harvest (jetzt sammeln): Der verschlüsselte Tresor wird kopiert und gespeichert. Aktuell ist er – bei starken Passwörtern – kaum zu knacken.
Decrypt Later (später entschlüsseln): Über Jahre oder Jahrzehnte können Angreifer mit immer stärkeren Ressourcen (z.B. spezialisierter Hardware oder neuen Angriffsverfahren) versuchen, diesen Tresor offline zu entschlüsseln (und scheinen diese mittlerweile zu knacken).

Zwei Wege zur Entschlüsselung in der Zukunft

Für gestohlene Tresore sind insbesondere zwei Vektoren relevant:

1. Brute-Force des Master-Passworts

Die zentrale Hürde ist die Stärke Ihres Master-Passworts und die Konfiguration der Schlüsselausdehnungsfunktion (z.B. Argon2, PBKDF2). Je schwächer das Passwort oder je niedriger die KDF-Parameter, desto realistischer wird ein erfolgreicher Brute-Force-Angriff – heute oder in einigen Jahren. Beim LastPass-Hack warnten Experten, dass Tresore mit schwachen Passwörtern als kompromittiert gelten müssen.

2. Künftige Kryptografie-Brüche (z.B. Quantencomputer)

Langfristig kommt ein zweiter Aspekt hinzu: Wenn künftige Angreifer in der Lage sind, heute verwendete Algorithmen oder deren Implementierung zu brechen (z.B. durch leistungsfähige Quantencomputer oder neue Krypto-Schwachstellen), kann ein historisch abgegriffener Tresor rückwirkend wertvoll werden – unabhängig davon, ob das Master-Passwort stark war.

Das Risiko ist hier höher als bei vielen „normalen“ Cloud-Speichern: Wird ein Passwort-Tresor kompromittiert, geht es nicht um einzelne Dokumente, sondern potenziell um den Zugang zu Ihrem gesamten digitalen Leben – E-Mail-Konten, Finanzzugänge, Unternehmensanwendungen, Identitäten.

Datensouveränität, Updates und Risikoappetit

Cloud-Passwortmanager sind ein Komfort-Sicherheitskompromiss: Sie erhöhen die Sicherheit gegenüber „Zettelwirtschaft“ und Mehrfachpasswörtern massiv, bündeln aber alle Schlüssel bei einem zentralen Dienstleister. Dieser wird damit zu einem attraktiven Ziel – technisch und (im Falle von US-Anbietern) auch juristisch.

Für die strategische Entscheidung spielen drei Faktoren zusammen:

Kryptografie & Implementierung
Starke Standard-Algorithmen, Zero-Knowledge-Architektur, korrekt konfigurierte KDFs und regelmäßige Updates sind Pflicht – unabhängig vom Betriebsmodell.
Juristischer Rahmen & Datensouveränität
Bei US-Anbietern (auch mit EU-Rechenzentren) bleibt das Restrisiko des US CLOUD Act bestehen: Ein verschlüsselter Daten-Blob kann rechtlich eingefordert und langfristig gespeichert werden – selbst wenn der Anbieter ihn nicht entschlüsseln kann. Für viele Unternehmen ist dieses Risiko akzeptabel, für manche (z.B. bestimmte Berufsgeheimnisträger, KRITIS-nahe Bereiche) nicht.
Operative Fähigkeiten & Delegationswunsch
Wer maximale Souveränität möchte, muss entweder selbst in gehärtete Infrastruktur, Zero-Trust-Zugänge, Monitoring und Backups investieren – oder diese Aufgaben an einen spezialisierten Dienstleister delegieren.

Optionen jenseits des reinen Cloud-Modells

Cloud-Passwortmanager sind ein Kompromiss: Sie bieten enormen Komfort, aber der Preis ist die Übergabe des „Generalschlüssels“ an einen zentralen Dienstleister, der zum perfekten HNDL-Ziel wird.

Je nach Schutzbedarf, Compliance-Vorgaben und Risikoappetit kommen unterschiedliche Betriebsmodelle in Frage:

Self-Hosting-Lösungen:
Open-Source-Varianten (z.B. Bitwarden-kompatible Server) können auf eigener Infrastruktur betrieben werden. Die Tresore verlassen in diesem Modell – auch in verschlüsselter Form – nicht die eigenen oder vertraglich klar kontrollierten Systeme.
Hybride & lokale Passwortmanager:
Moderne Passwortmanager speichern die Datenbank primär lokal und bieten Funktionen wie Gruppenverwaltung und Tagging. Die Synchronisation kann über eigene Dienste erfolgen – z.B. per WebDAV, Nextcloud oder einen dedizierten, selbst betriebenen Sync-Dienst.
Klassische Offline-Tools:
Lösungen wie KeePass speichern die Passwortdatenbank als lokale Datei. Die volle Verantwortung für Sicherung, Versionierung und sicheren Zugriff liegt beim Nutzer (z.B. über verschlüsselte USB-Sticks oder einen sicheren internen Speicherort).

Unser Fazit: Komfort vs. Souveränität bewusst entscheiden

Die HNDL-Bedrohung zeigt, dass sich maximale Bequemlichkeit und maximale Langzeitsicherheit bei der Passwortverwaltung nicht vollständig zur Deckung bringen lassen. Es bleibt eine bewusste Risikoentscheidung:

Für viele Unternehmen ist ein professioneller Cloud-Passwortmanager mit starker Kryptografie, sauber konfigurierten Sicherheitsparametern und klaren Prozessen der beste Weg.
Für Organisationen mit erhöhtem Schutzbedarf oder strengem Souveränitätsanspruch kann ein souverän betriebenes oder gemanagtes Self-Hosting-Modell die stimmigere Wahl sein.

Genau diesen Spagat zwischen Komfort und Datensouveränität lösen wir für Sie – mit der für Ihren Kontext passenden technischen Lösung und, auf Wunsch, mit gezielten Schulungen für Ihre Mitarbeitenden.

Schluss mit dem Passwort-Chaos

Wir liefern die passende, sichere Lösung für Ihr Unternehmen: Ob als selbst-gehosteter Passwort-Safe für volle Kontrolle oder als rundum-sorglos Service in unserem Abo.

Windows 11: “Sie sind nicht der Nutzer, Sie sind das Produkt” – die technische Sichtweise

Frank Dreher — Thu, 06 Nov 2025 19:03:47 +0000

Wenn Sie Windows 11 nutzen, hat Ihr Computer einen “Sicherheitschip”, das sogenannte Trusted Platform Module (TPM). Dies war eine zwingende Voraussetzung für das Upgrade. Offiziell dient dieser Chip Ihrer Sicherheit. Bei genauerer Betrachtung entpuppt er sich jedoch als perfektes Werkzeug der Kontrolle – und es ist nicht Ihre Kontrolle.

1. Der digitale Pass: Ihr PC bekommt eine unauslöschliche ID

Jeder TPM-Chip besitzt eine Art eingebrannte, fälschungssichere Seriennummer. Technisch heißt sie “Endorsement Key” (EK). Dieser Schlüssel kann niemals geändert werden. (Quelle: Trusted Computing Group).

Sobald Sie Windows 11 mit einem Microsoft-Konto einrichten und Funktionen wie die BitLocker-Verschlüsselung nutzen, wird dieser “digitale Pass” Ihres Rechners oft unweigerlich an Ihre persönliche Microsoft-ID gebunden. (Quelle: Microsoft-Dokumentation zur BitLocker-Wiederherstellung).

Microsoft (und potenziell jede Anwendung mit ausreichenden Rechten) kann Ihren Rechner nun eindeutig identifizieren. Anonymität auf Hardware-Ebene wird damit technisch ausgehebelt.

2. Die digitale Checkliste: Microsoft entscheidet, was “normal” ist

Dieser TPM-Chip fungiert bei jedem Systemstart als rigoroser Wachposten. Er führt eine “Checkliste” (technisch “PCRs”), was auf Ihrem Rechner passiert:

Ist das BIOS/UEFI unverändert? ✔️
Ist die Hardware dieselbe wie gestern? ✔️
Wird der originale Windows Bootloader geladen? ✔️

Das Problem: Sobald Sie etwas tun, was Microsoft nicht vorgesehen hat – zum Beispiel ein zweites Betriebssystem wie Linux installieren (Dual-Boot) – weicht die Realität von der “Checkliste” ab.

Das TPM meldet dann “Manipulation”. Wenn BitLocker aktiv ist (was bei Copilot+ PCs Standard ist), sperrt sich Ihr Laufwerk. (Quelle: Standard-Funktionsweise der Trusted Computing Group, TCG). Das System unterstellt, dass Sie ein Angreifer sind, obwohl Sie nur Ihr Eigentum nutzen.

3. Der digitale Türsteher: Kontrolle aus der Ferne

Jetzt kommt der entscheidende Punkt. Microsoft hat Cloud-Dienste (wie den “Azure Attestation Service“), die wie ein digitaler Türsteher agieren.

Dieser Dienst kann Ihren PC jederzeit aus der Ferne anfragen: “Schick mir deine signierte Checkliste!” (Quelle: Microsoft Azure-Dokumentation).

Ihr TPM muss gehorchen und meldet zurück: “Checkliste OK” oder “Alarm! Checkliste abweichend (z.B. Linux-Bootloader entdeckt)”.

Damit ist der Mechanismus zur Fernsteuerung etabliert. Microsoft (und jede App, die diesen Dienst nutzt) kann technisch erzwingen, was auf Ihrem PC laufen darf. Eine Banking-App könnte den Start verweigern, weil Sie Linux nutzen. Ein Streaming-Dienst könnte blockieren, weil Ihre Hardware nicht zertifiziert ist.

Sie haben die effektive Kontrolle über Ihren eigenen Computer verloren. Der Hersteller entscheidet, nicht der Besitzer.

4. Die Spekulation (- die Möglichkeit im Hinterkopf)

Hier verlassen wir die nachweisbaren Fakten und betreten den Raum der “Was-wäre-wenn”-Szenarien.

Fakt ist: Die neue Funktion “Windows Recall” erstellt permanent Screenshots von allem, was Sie tun. (Quelle: Microsoft-Ankündigungen).

Fakt ist: Copilot ist eine Cloud-verbundene KI.

Fakt ist: Der U.S. CLOUD Act kann US-Firmen (wie Microsoft) verpflichten, Daten an US-Behörden herauszugeben, egal wo auf der Welt sie gespeichert sind.

Das spekulative Szenario: Was, wenn Microsoft gezwungen wird, Copilot per “stillem Update” anzuweisen, Ihre “Recall”-Datenbank (die Screenshots der letzten Monate) zu analysieren?

Was, wenn eine Regierungsbehörde Microsoft (unter Berufung auf den CLOUD Act) anweist, eine heimliche Anfrage zu starten: “Durchsuche alle Rechner mit Recall nach [Begriff X] und melde die Treffer.”?

Technisch wäre dies ein möglicher Mechanismus für eine unbemerkte, massenhafte Überwachung direkt auf dem Endgerät des Nutzers. Auch wenn dies derzeit reine Spekulation über die Absichten ist: Die Architektur (permanente Aufzeichnung durch Recall + Fernsteuerbarkeit durch Cloud-KI) schafft die Möglichkeit dafür.

Fazit: Handlungsempfehlungen

Die einzige echte Kontrolle besteht darin, diese Mechanismen abzulehnen:

TPM im BIOS/UEFI deaktivieren: Sofern Ihr System dies zulässt. Dies ist der effektivste Weg, dem “digitalen Türsteher” die Grundlage zu entziehen.
Lokale Konten nutzen: Melden Sie sich niemals mit einem Microsoft-Konto bei Windows an. Dies erschwert die Verknüpfung Ihrer Hardware-ID (EK) mit Ihrer persönlichen Identität.
KI-Begleiter ablehnen: Deaktivieren Sie Copilot, Recall und ähnliche Funktionen, die Ihre Aktivitäten aufzeichnen und mit der Cloud verbunden sind.

Echte digitale Souveränität bedeutet, Herr über die eigene Hardware zu sein. Diese Systeme sind darauf ausgelegt, genau das zu untergraben.

Digitale Souveränität: Warum Europas Unabhängigkeit jetzt zählt

Frank Dreher — Thu, 06 Nov 2025 13:19:58 +0000

Einleitung

Wir nutzen sie jeden Tag: Cloud-Dienste speichern unsere Urlaubsfotos, verwalten unsere Geschäftsberichte und steuern unsere Fabriken. Doch während wir die Effizienz dieser digitalen Werkzeuge genießen, stellt sich eine entscheidende Frage: Wem „gehören“ diese Daten wirklich?

Digitale Souveränität ist die Antwort auf diese Frage. Es ist die Fähigkeit, selbstbestimmt über unsere digitalen Geschicke zu entscheiden – und sie ist entscheidend für die Zukunft unserer Wirtschaft, den Schutz unserer Grundrechte und die Stabilität unserer Demokratie.

Was ist „Digitale Souveränität“ überhaupt?

Digitale Souveränität bezeichnet die Fähigkeit von Staaten, Unternehmen und Bürgern, die digitalen Räume, in denen sie agieren, selbstbestimmt zu gestalten und zu kontrollieren.

Es geht dabei nicht um digitale Abschottung oder Isolation. Es geht um Handlungsfähigkeit.

Konkret bedeutet das:

Kontrolle über Daten: Zu wissen, wo die eigenen Daten (von Bürgern, Unternehmen oder Behörden) gespeichert sind, wer darauf zugreifen kann und nach welchen rechtlichen Regeln dies geschieht.
Technologische Unabhängigkeit: Nicht von einzelnen Anbietern oder Technologien (insbesondere aus Drittstaaten) existenziell abhängig zu sein.
Regulatorische Durchsetzung: Die Fähigkeit, eigene Gesetze und Grundwerte – wie die Datenschutz-Grundverordnung (DSGVO) in Europa – auch im digitalen Raum effektiv durchzusetzen.

(Quellen für diese Definitionen finden sich u.a. beim Bundesministerium für Wirtschaft und Klimaschutz (BMWK) oder dem Bundesamt für Sicherheit in der Informationstechnik (BSI), die diesen Begriff als Kernziel definieren.)

Warum wahre Digitale Souveränität so wichtig ist

Die Kontrolle über unsere digitalen Infrastrukturen ist kein „IT-Problem“, sondern eine strategische Notwendigkeit. Wenn wir diese Kontrolle abgeben, entstehen konkrete Risiken für Gesellschaft und Wirtschaft.

Schutz der Grundrechte (Datenschutz)
Europa hat mit der Datenschutz-Grundverordnung (DSGVO) weltweit den höchsten Standard für den Schutz persönlicher Daten gesetzt. Diese Regeln können jedoch untergraben werden, wenn die Daten von Anbietern verwaltet werden, die Gesetzen aus Drittstaaten unterliegen (siehe nächster Punkt). Wahre Souveränität stellt sicher, dass unsere europäischen Grundrechte auch in der digitalen Welt gelten. (Quelle: EuGH-Urteil „Schrems II“, C-311/18, das den Mangel an Schutz bei US-Transfers feststellte)
Wirtschaftliche Wettbewerbsfähigkeit
Eine starke Abhängigkeit von wenigen, außereuropäischen Technologieanbietern (ein sogenanntes Oligopol) schafft „Lock-in“-Effekte. Unternehmen werden abhängig von den Preismodellen, den Technologien und den Geschäftsbedingungen dieser Anbieter. Das hemmt Innovation und schwächt die Verhandlungsposition der europäischen Wirtschaft. Digitale Souveränität bedeutet, den eigenen Tech-Sektor zu stärken und fairen Wettbewerb zu ermöglichen. (Quelle: Analysen des Bundeskartellamts oder der EU-Kommission zur Marktmacht von Hyperscalern)
Sicherheit und Stabilität (KRITIS)
Kritische Infrastrukturen – unsere Energieversorgung, das Gesundheitswesen oder die öffentliche Verwaltung – werden zunehmend digitalisiert und in Clouds verlagert. Wenn diese Systeme auf Plattformen laufen, die von geopolitischen Spannungen oder den Entscheidungen anderer Staaten beeinflusst werden können, stellt dies ein massives nationales Sicherheitsrisiko dar. (Quelle: Warnungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) zum Schutz von KRITIS)
Demokratische Kontrolle
Im Kern geht es darum, wer die Regeln für unsere digitale Gesellschaft festlegt. Sind es die Geschäftsbedingungen von globalen Konzernen oder sind es unsere demokratisch legitimierten Gesetze? Digitale Souveränität stellt sicher, dass unsere Gesellschaft die Regeln für den digitalen Raum selbst definieren kann.

Die Herausforderung: Hyperscaler und der U.S. CLOUD Act

Auf dem Papier klingt „Datenspeicherung in der EU“ sicher. In der Praxis gibt es jedoch einen fundamentalen Konflikt, der Europas digitale Souveränität direkt bedroht.

Das Problem: Marktmacht trifft auf US-Gesetz

Das Problem besteht aus zwei Teilen:

Die Marktdominanz (Hyperscaler)
Der Markt für Cloud-Infrastruktur wird weltweit von einer Handvoll US-Unternehmen dominiert, den sogenannten „Hyperscalern“ (hauptsächlich Amazon Web Services (AWS), Microsoft Azure und Google Cloud). Europäische Unternehmen sind oft technisch und operativ von den Diensten dieser Giganten abhängig. (Quelle: Aktuelle Marktanalysen, z.B. von Synergy Research Group oder Gartner)
Der rechtliche Zugriff (U.S. CLOUD Act)
Das Hauptproblem ist der U.S. CLOUD Act (Clarifying Lawful Overseas Use of Data Act) von 2018.
Dieses US-Gesetz verpflichtet amerikanische Unternehmen (und deren Tochtergesellschaften weltweit), US-Behörden (wie dem FBI oder der NSA) Zugriff auf gespeicherte Daten zu gewähren.
Das ist der entscheidende Punkt: Dieser Zugriff muss gewährt werden, selbst wenn die Daten ausschließlich außerhalb der USA – beispielsweise in einem Rechenzentrum in Frankfurt oder Dublin – gespeichert sind.

Der unlösbare Konflikt mit der DSGVO

Hier entsteht die Zwickmühle für europäische Unternehmen:

Europäisches Recht (DSGVO) verbietet die Herausgabe von personenbezogenen Daten an Drittstaaten ohne ein angemessenes Schutzniveau oder eine klare Rechtsgrundlage.
US-Recht (CLOUD Act) erzwingt genau diese Herausgabe, ohne dass europäische Gerichte oder die betroffenen Personen ein Mitspracherecht hätten.

Ein US-Anbieter, der in Europa tätig ist, steckt damit in einem „Conflict of Laws“: Entweder er verstößt gegen die DSGVO (und riskiert massive Strafen in der EU) oder er widersetzt sich dem CLOUD Act (und riskiert Sanktionen in den USA).

Aus diesem Grund hat der Europäische Gerichtshof (EuGH) im Jahr 2020 das Datenschutzabkommen „Privacy Shield“ gekippt (Urteil „Schrems II“). Der Gerichtshof stellte fest, dass die US-Gesetzgebung (inkl. CLOUD Act und ähnlicher Überwachungsgesetze wie FISA 702) keinen ausreichenden Schutz für die Grundrechte von EU-Bürgern bietet. (Quelle: EuGH, Urteil in der Rechtssache C-311/18)

Fazit des Problems: Ein Rechenzentrum mit Standort „Deutschland“ bietet keine Sicherheit, wenn der Betreiber „U.S. Hyperscaler“ heißt.

Lösungsansätze: Der europäische Weg

Die Situation ist komplex, aber Europa ist nicht machtlos. Das Ziel ist nicht, das Internet „abzuschotten“, sondern Handlungsfähigkeit durch strategische Initiativen und klare Regeln zurückzugewinnen.

Förderung europäischer Infrastrukturen (Gaia-X)
Eine der bekanntesten Initiativen ist Gaia-X. Das Ziel von Gaia-X ist nicht, einen neuen Hyperscaler zu bauen, sondern einen Standard für eine föderierte, offene und transparente Dateninfrastruktur zu schaffen. Es soll ein „Marktplatz“ für vertrauenswürdige Cloud-Dienste entstehen, bei dem Anbieter (auch außereuropäische) transparent machen müssen, welche Regeln (z.B. DSGVO-Konformität, Immunität gegen CLOUD Act) sie einhalten. (Quelle: Offizielle Dokumentation von Gaia-X AISBL)
Nutzung von Open Source (Quelloffenheit)
Software, deren Quellcode offenliegt (Open Source), ist ein zentraler Baustein für digitale Souveränität. Sie ermöglicht Transparenz (man kann sehen, was die Software tut), Sicherheit (Fehler können von vielen entdeckt werden) und Anpassbarkeit. Vor allem aber verhindert sie den „Vendor Lock-in“: Man ist nicht an einen einzigen Anbieter gebunden und kann den Dienstleister wechseln oder die Software selbst betreiben.
Souveräne Cloud-Alternativen (Private & Hybrid Clouds)
Für viele sensible Daten (Behörden, Gesundheitswesen, KRITIS) ist die „Public Cloud“ der Hyperscaler keine Option. Hier sind Private Clouds (im eigenen Rechenzentrum betrieben) oder vertrauenswürdige europäische Cloud-Anbieter, die nicht dem U.S. CLOUD Act unterliegen, die souveräne Alternative. Diese bieten oft ein vergleichbares Maß an Flexibilität, aber mit voller rechtlicher und technischer Kontrolle.
Starke europäische Regulierung
Parallel zur Technologie schafft die EU einen neuen Rechtsrahmen. Gesetze wie der Digital Services Act (DSA) und der Digital Markets Act (DMA) zielen darauf ab, die Marktmacht der großen Plattformen (Gatekeeper) zu begrenzen, fairen Wettbewerb zu erzwingen und die Rechte der Nutzer im digitalen Raum zu stärken.

Fazit: Eine strategische Notwendigkeit

Digitale Souveränität ist kein technisches Nischenthema, sondern eine der zentralen strategischen Herausforderungen des 21. Jahrhunderts.

Es geht nicht darum, sich von der Welt abzuschotten, sondern darum, als Europa handlungsfähig zu bleiben. Wenn wir unsere kritischen Infrastrukturen, unsere Wirtschaftsdaten und die Kommunikation unserer Bürger vollständig in die Hände von Anbietern legen, die außereuropäischen Gesetzen wie dem U.S. CLOUD Act unterliegen, geben wir einen wesentlichen Teil unserer Selbstbestimmung auf.

Wahre digitale Souveränität – gestützt auf starke eigene Infrastrukturen, transparente Open-Source-Standards und ein klares Bekenntnis zu unseren Grundrechten (DSGVO) – ist die Voraussetzung für ein freies, sicheres und wettbewerbsfähiges Europa.

Internationaler Strafgerichtshof (IStGH) zieht die Reißleine: Von Microsoft zu OpenDesk

Frank Dreher — Tue, 04 Nov 2025 09:57:56 +0000

Nach Jahren der Abhängigkeit von US-Dienstleistern stellt der Internationale Strafgerichtshof (IStGH) in Den Haag seine Arbeitsplatz-Software auf OpenDesk um – eine vom Bund koordinierte Open-Source-Suite des ZenDiS (Zentrum für digitale Souveränität). Der Schritt ist mehr als eine IT-Entscheidung: Er steht für Europas Anspruch auf digitale Souveränität.

Hintergrund: Auslöser der Debatte waren US-Sanktionen gegen IStGH-Mitarbeiter – im Zuge dessen geriet die Abhängigkeit von US-Infrastruktur erneut ins Rampenlicht. Der Wechsel soll künftige „Kill-Switch“-Risiken minimieren und Handlungsfähigkeit in Krisen sichern.

Was ist OpenDesk? OpenDesk bündelt etablierte Open-Source-Bausteine (u.a. Nextcloud/Collabora/Element/OX) als europäische M365-Alternative und wird durch das ZenDiS für Behörden bereitgestellt. Parallel setzen weitere staatliche Akteure auf OpenDesk – u. a. der Öffentliche Gesundheitsdienst (Robert-Koch-Institut/„Agora“) sowie die Bundeswehr (Rahmenvertrag über „souveräne Kollaborationslösungen“).

Fakten-Hinweis zu Microsoft:
In Medienberichten wurde u.a. über eine Sperrung des Mail-Zugangs des Chefanklägers berichtet. Microsoft bestreitet jedoch, dem IStGH als Institution Dienste beendet oder ausgesetzt zu haben. Laut Microsoft-Präsident Brad Smith wurden die Services „in keiner Weise“ gegenüber dem Gerichtshof eingestellt. Der konkrete Vorgang bleibt umstritten.

Einordnung: 1800 Arbeitsplätze mögen überschaubar wirken – die Signalwirkung ist erheblich. Wenn selbst der IStGH Open-Source priorisiert, zeigt das, wie stark geopolitische Spannungen in die digitale Infrastruktur hineinreichen. Technologie ist nicht neutral; sie ist Machtinstrument. Euractiv

dreherIT – Praxisbezug

Wir unterstützen Sie bei Pilot, Migration und Betrieb von Open-Source-Arbeitsumgebungen (OpenDesk-Komponenten, Nextcloud, Collabora & Co.) – on-prem, im RZ oder hybrid.

Auf Wunsch zeigen wir Ihnen in 30 Minuten, wie ein souveräner Pilot in Ihrer Umgebung aussieht.

Quellen:
Heise.de: Internationaler Strafgerichtshof wirft Microsoft raus
Zendis.de: ZenDiS und RKI schließen Vertrag über Nutzung von openDesk für die ÖGD-Plattform Agora
Heise.de: Rahmenvertrag: MS-365-Alternative OpenDesk soll die Bundeswehr erobern

Die tickende Zeitbombe in der Cloud: Warum “Harvest Now, Decrypt Later” (HNDL) Hyperscaler zum Risiko macht

Frank Dreher — Thu, 30 Oct 2025 13:14:39 +0000

Cloud-Dienste, insbesondere die der großen Hyperscaler, gelten als Inbegriff für Skalierbarkeit, Kosteneffizienz und Bequemlichkeit. Doch hinter dieser Fassade verbirgt sich ein strategisches, langfristiges Risiko, das oft übersehen wird: „Harvest Now, Decrypt Later“ (HNDL).

Dieser Beitrag beleuchtet, warum gerade die zentrale Speicherung von Daten bei Cloud-Anbietern im Licht dieser Bedrohung kritisch gesehen werden muss – und in welchen Fällen die Cloud trotz HNDL-Risiko weiterhin sinnvoll sein kann.

Was ist “Harvest Now, Decrypt Later” (HNDL)?

Die HNDL-Strategie ist einfach und geduldig: Angreifer, häufig staatliche Akteure oder gut ausgestattete Organisationen, sammeln und speichern heute massenhaft verschlüsselte Daten.

Sie tun dies in der klaren Erwartung, dass zukünftige technologische Durchbrüche – allen voran die Entwicklung leistungsfähiger Quantencomputer – es ihnen ermöglichen werden, diese heute als sicher geltende Verschlüsselung zu brechen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt dieses Szenario als ernste Bedrohung für die Langzeitsicherheit klassischer Kryptografie (siehe BSI-Position zu Quantentechnologien).

Wann solche Quantencomputer tatsächlich zur Verfügung stehen, ist nicht sicher. Seriöse Schätzungen reichen von rund zehn bis über dreißig Jahre. Für Daten, die über Jahrzehnte hinweg vertraulich bleiben müssen, reicht diese Zeitspanne jedoch aus, um HNDL bereits heute als strategisches Risiko zu bewerten.

Besonders kritisch sind daher Daten, die langfristig sensibel bleiben: persönliche Informationen, Gesundheits- und Finanzdaten, vertrauliche Geschäftsstrategien, Forschungsdaten oder schutzwürdige staatliche Informationen.

Nicht alle Daten sind gleich kritisch

Wichtig ist die Unterscheidung der Datenklassen:

Kurzlebige oder zeitlich begrenzt sensible Daten (z.B. bestimmte operative Logdaten oder Kampagnen-Reports) verlieren nach einigen Jahren oft einen Großteil ihres Schutzbedarfs. Hier können die Vorteile der Cloud – Skalierbarkeit, Innovation, geringere Einstiegskosten – trotz HNDL-Risiko überwiegen.
Langfristig vertrauliche Daten (z.B. Personalakten, Patientendaten, IP, F&E-Ergebnisse, strategische Verträge) behalten ihren Wert und ihre Sensibilität über Jahrzehnte. Genau für diese Daten verschiebt HNDL die Risikobilanz deutlich zu Ungunsten einer unreflektierten Cloud-Nutzung.

Wer Verantwortung für Informationssicherheit übernimmt, muss daher zuerst klären, welche Daten wirklich langfristig vertraulich bleiben müssen – und diese Daten besonders schützen.

Warum die Cloud das perfekte Ziel für HNDL ist

Wenn man HNDL als reale Bedrohung anerkennt, wird die Nutzung von Cloud-Diensten, insbesondere von Hyperscalern, aus mehreren Gründen problematisch:

Zentrale Datensilos
Cloud-Plattformen sind riesige, zentrale Datensammlungen. Sie sind ein beliebtes und lohnendes Ziel, da Angreifer hier Millionen verschlüsselter Datensätze auf einmal abgreifen können. Schon einzelne erfolgreiche Angriffe liefern Angreifern genug „Material“, um es für zukünftige Entschlüsselungsversuche zu archivieren.

Verlust der Kontrolle
Als Nutzer gibt man seine Daten in die Hände eines Dritten. Man verliert die Kontrolle über die physische und logische Infrastruktur und weiß oft nicht, wie viele Kopien (Backups, Snapshots, Replikationen) existieren, wo sie gespeichert sind oder wie lange sie aufbewahrt werden. Jede zusätzliche Kopie verlängert das Zeitfenster, in dem HNDL-Angriffe potenziell erfolgreich sein können.

Langfristige Speicherung (auch unbeabsichtigt)
Daten in der Cloud können über Jahre in Backups verbleiben, selbst nach einer vermeintlichen Löschung. Für HNDL spielt es keine Rolle, ob ein Datensatz aktiv genutzt wird – entscheidend ist, dass irgendwo eine verschlüsselte Kopie überdauert.

Staatlicher Zugriff (z.B. CLOUD Act)
Anbieter mit Sitz in den USA unterliegen Gesetzen wie dem US CLOUD Act. Dieses Gesetz erlaubt es US-Behörden, Zugriff auf gespeicherte Daten zu verlangen, selbst wenn diese in europäischen Rechenzentren liegen. Selbst bei starker Verschlüsselung können Metadaten, Schlüsselmanagement, Integrationspunkte oder juristisch erzwungene technische Maßnahmen zusätzliche Risiken schaffen – und das steht im Spannungsfeld zur europäischen DSGVO und zum Anspruch auf digitale Souveränität.

Falsche Sicherheit: Argumente, die bei HNDL versagen

Im Kontext von HNDL verlieren gängige Sicherheitsversprechen einen Teil ihrer Überzeugungskraft:

„Aber meine Daten sind doch stark verschlüsselt!“
Ja, aber nur mit heutigen Algorithmen. HNDL ist eine Wette darauf, dass genau diese Verfahren (z.B. RSA oder ECC) durch zukünftige Quantencomputer langfristig brechbar sind. Was heute sicher ist, kann morgen rückwirkend entschlüsselt werden.

„Wir nutzen einen Zero-Knowledge-Anbieter.“
„Zero-Knowledge“ ist oft nur ein Versprechen auf Produktebene. Selbst wenn konsequent umgesetzt, können Metadaten, Indexe oder Zugriffsmuster Rückschlüsse zulassen. Zudem bleibt die Frage, ob wirklich alle Komponenten – inklusive Backups, Suchindizes und Telemetrie – durchgängig nach Zero-Knowledge-Prinzipien gestaltet sind.

„Komfort ist uns wichtiger.“
Das ist eine legitime Geschäftsentscheidung. Aber Komfort darf nicht über Vertraulichkeit gestellt werden, wenn es um langfristig sensible Daten geht. Wer HNDL ignoriert, trifft eine implizite Wette auf die Zukunft der Kryptografie – mit möglichen Folgen in 10, 20 oder 30 Jahren.

Maßnahmen: Krypto-Agilität, PQC und Architektur

Die Bedrohung durch HNDL ist real, auch wenn der genaue Zeitpunkt der praktischen Angriffe noch unklar ist. Wer heute Verantwortung für Daten mit langfristiger Vertraulichkeit übernimmt, muss die Bequemlichkeit der Cloud gegen das Risiko der zukünftigen Entschlüsselung abwägen.

Dazu gehören insbesondere:

Krypto-Agilität
Unternehmen müssen in der Lage sein, kryptografische Verfahren zu wechseln: Schlüssel rotieren, Protokolle anpassen, Algorithmen aktualisieren. Starre Systeme, die einmal „fest verschlüsselt“ wurden und dann zehn oder mehr Jahre unverändert laufen, sind im HNDL-Szenario besonders gefährdet.

Post-Quanten-Kryptografie (PQC)
Die wichtigste technische Antwort auf HNDL ist die Einführung von post-quanten-sicheren Verfahren. Das BSI und internationale Gremien empfehlen bereits dringend, die Migration zu PQC vorzubereiten. Standardisierungsprozesse – etwa beim NIST – laufen, und große Cloud-Anbieter arbeiten daran, entsprechende Bausteine in ihre Plattformen zu integrieren.

Dennoch gilt: Die Bereitstellung von PQC-Bausteinen durch Hyperscaler entlässt Unternehmen nicht aus der Verantwortung. Anwendungen, Datenflüsse, Schlüssel- und Backup-Konzepte müssen aktiv auf PQC und Krypto-Agilität ausgerichtet werden. Bereits heute abgegriffene, klassisch verschlüsselte Daten werden durch spätere PQC-Einführung nicht automatisch sicher.

Architektur- und Standortentscheidungen
Neben der Kryptografie spielt die Architektur eine zentrale Rolle: Wo liegen die besonders sensiblen Langzeitdaten? Wie viele Kopien existieren? Unter welcher Jurisdiktion stehen Speicherorte und Betreiber? Je zentralisierter, globaler und intransparenter eine Datenhaltung ist, desto attraktiver ist sie als Ziel für HNDL.

Fazit: Wo die Cloud passt – und wo Self-Hosting überlegen ist

Cloud-Dienste bieten enorme Vorteile und können – insbesondere für kurzlebige oder weniger kritische Daten – weiterhin eine sinnvolle Option sein. Wer jedoch Daten verarbeitet, die über Jahrzehnte hinweg vertraulich bleiben müssen, kann das HNDL-Risiko nicht ignorieren.

Gerade für hochsensible Langzeitdaten stellt sich daher die Frage, ob eine unreflektierte Cloud-Nutzung überhaupt tragbar ist – oder ob Self-Hosting und volle Kontrolle über die eigene Infrastruktur für diese Datenklasse der einzig verantwortbare Weg zur echten Datensouveränität sind.

Die zentrale Aufgabe für Unternehmen lautet: Daten klassifizieren, Risiken ehrlich bewerten und Architektur sowie Kryptografie so gestalten, dass sie auch der Welt von morgen standhalten – nicht nur der von heute.