Home » News » KRITIS » Cloud-Abhängigkeit wird für KRITIS zum Resilienzrisiko

Cloud-Abhängigkeit wird für KRITIS zum Resilienzrisiko

85 Prozent der deutschen Unternehmen halten die Abhängigkeit von US-Cloud-Anbietern für zu groß. Für Betreiber kritischer Infrastrukturen wird daraus mehr als eine strategische Sorge: Sie müssen Redundanz, Wiederanlauf und Kontrolle über ihre Daten nachweisbar absichern.

2 Min. Lesezeit
Futuristisches KRITIS-Netzwerk
Foto: ©AdobeStock/Zucide

Die Cloud gilt vielen Unternehmen als Sicherheitsgewinn. Doch je stärker geschäftskritische Prozesse von einzelnen Anbietern abhängen, desto größer wird das Risiko bei Ausfällen, politischen Konflikten oder regulatorischen Änderungen. Der Bitkom Cloud Report 2026 zeigt dieses Spannungsfeld deutlich: 95 Prozent der befragten Unternehmen betrachten Vertrauen in IT-Sicherheit, Datenschutz und Compliance als unverzichtbar, 87 Prozent verlangen Schutz vor Zugriffen durch den Provider selbst.

Für Betreiber kritischer Infrastrukturen (KRITIS) ist diese Forderung eng mit gesetzlichen Pflichten verbunden. Das KRITIS-Dachgesetz setzt die europäische Critical Entities Resilience Directive (CER) um und verlangt belastbare Vorkehrungen gegen physische und digitale Gefahren. Ergänzend verschärft die zweite Richtlinie zur Netzwerk- und Informationssicherheit (NIS2) die Anforderungen an IT-Schutz und Vorfallmanagement.

Redundanz wird zur Nachweispflicht

Das KRITIS-Dachgesetz verpflichtet Betreiber unter anderem zu:

  • redundanten Systemen für Daten und Betrieb
  • Meldungen an das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) binnen 24 Stunden
  • Risikoanalysen und dokumentierten Resilienzplänen
  • nachweisbarer Widerstandsfähigkeit gegen physische und digitale Bedrohungen

Damit rücken Backup, Archivierung und Notfallwiederherstellung ins Zentrum der Infrastrukturplanung. Drei Viertel der Unternehmen sichern wichtige Daten bereits außerhalb der Cloud, zwei Drittel verfügen über Wiederanlaufpläne und mehr als die Hälfte kann einen lokalen Notbetrieb aufnehmen.

Europäische Cloud gewünscht US-Clouds tatsächlich genutzt

71 Prozent der Unternehmen verwenden Cloud-Dienste aus den USA, bevorzugen würden sie jedoch nur acht Prozent. 91 Prozent wünschen sich deutsche Anbieter, tatsächlich sind solche aber nur bei 53 Prozent im Einsatz. Zugleich geben 64 Prozent an, die US-Politik zwinge sie zur Überprüfung ihrer Cloud-Strategie.

Hinzu kommt das Lock-in-Risiko: 59 Prozent sehen schwierige Datenexporte, proprietäre Formate und komplexe Migrationen als größte Hürde beim Anbieterwechsel. Für KRITIS-Betreiber ist das nicht nur eine Kostenfrage. Wer bei einem Ausfall oder neuen rechtlichen Vorgaben nicht wechseln kann, verliert operative Handlungsfähigkeit.

Auch die Kalkulation wird schwieriger. 64 Prozent der Cloud-Nutzer meldeten 2025 gestiegene Betriebskosten, 54 Prozent erwarten für 2026 weitere Erhöhungen. Der Report warnt, schwer planbare Ausgaben könnten bewirken, dass Unternehmen bei einem Teil ihrer Anwendungen das Cloud-Potenzial nicht nutzen und so wirtschaftliche Nachteile erleiden.

Lokale Sicherung als Rückversicherung

28 Prozent der Cloud-Nutzer erlebten binnen zwölf Monaten einen gravierenden Ausfall. Roland Stritt, Chief Revenue Officer (CRO) bei FAST LTA, leitet daraus eine zentrale Infrastrukturfrage ab: Welche Daten und Systeme müssen vollständig unter eigener Kontrolle bleiben? Für Datensicherung, Langzeitarchivierung und Notfallwiederherstellung hat er eine klare Antwort: On-Premises, unveränderlich, ohne externe Abhängigkeit.

Für Backup und Archivierung stehen dabei drei Konzepte im Mittelpunkt:

  • Zero Loss Storage: Daten werden vollständig, integer und nachweisbar wiederherstellbar gespeichert – ohne stille Bitfehler oder einzelnen Ausfallpunkt.
  • Air Gap: Das Speichersystem ist physisch oder logisch von Netzwerk und Internet getrennt und damit für Schadsoftware schwer erreichbar.
  • Write Once, Read Many (WORM): Einmal gespeicherte Daten können nicht überschrieben, gelöscht oder manipuliert werden.

Eine lokale, unveränderliche Datensicherung ist damit kein Gegenentwurf zur Cloud. Sie bildet die Rückversicherung für den Fall, dass externe Dienste ausfallen, Zugriffe eingeschränkt werden oder ein Anbieterwechsel kurzfristig notwendig wird. Für KRITIS-Betreiber entscheidet sich digitale Souveränität deshalb nicht allein am Standort eines Rechenzentrums, sondern an der Fähigkeit, Daten und Betrieb unabhängig wiederherzustellen.

Porträt Roland Stritt
Foto: FAST LTA

Roland Stritt, CRO bei FAST LTA

Newsletter Abonnieren

Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.

Andere interessante News

Pentesting

Wann Eigenentwicklung zur Kostenfalle wird

Unternehmen wollen Penetrationstests mit KI automatisieren und erwägen eigene Werkzeuge. Doch zwischen einer schnellen Demo und einem belastbaren Produktivsystem liegen hohe techni...

Roboter und Mensch zeigen auf das Wort Productivity

„Workslop“ statt Produktivität: KI macht Arbeit – wenn Kompetenz fehlt

KI soll Unternehmen effizienter machen. Doch wer nur Tools einkauft, gewinnt noch keine Produktivität. Ohne Fachwissen, Datenkompetenz und klare Standards entsteht schnell das Gege...

Bruch zwischen den USA und Europa

US-Urteil bringt Europas Fundament für transatlantischen Datentransfer ins Wanken

Ein Urteil des US Supreme Court zu Entlassungsrechten des Präsidenten trifft Europa an empfindlicher Stelle: beim EU-US Data Privacy Framework. Die Entscheidung zeigt, warum Datens...