Wie Unternehmen kritische IT‑Systeme outsourcen
– ohne ihre Datensouveränität zu verlieren
Warum Outsourcing heute neu gedacht werden muss Viele mittelständische Unternehmen befinden sich in einem technologischen Spannungsfeld.
Einerseits wächst der Druck, IT‑Systeme zu modernisieren, Digitalisierung voranzutreiben und dem steigenden Fachkräftemangel entgegenzuwirken. Andererseits stehen Verantwortliche vor der Sorge, durch Outsourcing die Kontrolle über ihre sensibelsten Daten zu verlieren.
Hinzu kommen neue regulatorische Anforderungen – allen voran NIS‑2, seit Dezember 2025 offiziell in Deutschland aktiv – die das Thema IT‑Sicherheit zur persönlichen Haftungsfrage für Geschäftsführungen machen.
Vor diesem Hintergrund wird klar:
Outsourcing ist möglich – aber nur, wenn Datensouveränität garantiert bleibt.
Genau damit beschäftigt sich dieser Blog-Artikel und der folgende Blick hinter die Kulissen eines tiefgehenden Expertengesprächs mit Guido Berndt, Associate Partner / Prokurist bei Orise Digital GmbH (ehemals Advanced Applications GmbH).
#kritisch
Was sind kritische IT‑Systeme wirklich?
Doch tatsächlich sind kritisch alle Systeme, die schützenswerte Informationen enthalten, z. B.:
DSGVO‑relevante Daten
- Mitarbeiterdaten (Lohnabrechnungen, Gehaltsdaten, Personalakten)
- Bewerberdaten
- Arbeitszeitdaten
- Kundendaten (CRM)
Betriebswirtschaftliche und finanzielle Daten
- Auftragsdaten
- internationale Bilanzen
- Preisinformationen
- Compliance‑relevante Historien
Unternehmensgeheimnisse (u. U. nicht DSGVO, aber schutzpflichtig)
- Konstruktionszeichnungen
- Produktionsrezepte
- Messprotokolle
- Entwicklungsdokumentation
- Fertigungs- und Qualitätsinformationen
Fazit:
Nicht das System entscheidet – sondern der Inhalt.
Und die Inhalte liegen mittlerweile in einer Vielzahl unterschiedlicher Anwendungen, meist über Jahre gewachsen, oft mit unzähligen Schnittstellen.
#fehlannahmen
Fehlannahme 1: „Europäische Hyperscaler‑Clouds sind automatisch sicher.“
Viele Unternehmen verlassen sich darauf, dass europäische Datacenter von AWS, Microsoft oder Google automatisch vor US‑Behördenzugriff geschützt sind.
Das ist nicht der Fall.
Da alle genannten Anbieter US‑Unternehmensmütter haben, gilt weiterhin der CLOUD Act – und damit das Recht für US‑Behörden, Datenzugang einzufordern, auch ohne Wissen des Unternehmens.
Fehlannahme 2: „SAP RISE / Private Cloud = souverän.“
SAP bewirbt seine Private‑Cloud‑Angebote als souverän oder datenschutzkonform.
Doch im Kleingedruckten steht:
- SAP läßt Teile seiner Cloud auch bei AWS, Google, Microsoft betreiben
- CLOUD Act gilt dann weiterhin
- Eine SAP eigene, wirklich souveräne Private Cloud ist erst in Vorbereitung und höher bepreist
- es existiert keine System‑Ownership, nur ein Software‑Service
- es gibt keinen garantierten Exit‑Plan, was teure und komplexe Migrationen zur Folge haben kann, wenn man SAP verlässt
Das bedeutet:
Unternehmen verlieren faktisch die Kontrolle – auch wenn die Marketing‑Claims anderes suggerieren.
Fehlannahme 3: „SAP-Outsourcing nimmt mir die generelle IT‑Verantwortung ab.“
Wenn Firmen ihre SAP‑Systeme in die SAP‑Cloud verschieben, bleiben trotzdem alle weiteren Systeme (BI, EDI, CAD, CRM, Produktionssysteme etc.) weiterhin zu managen – inklusive Security.
Die generelle Verantwortung bleibt. Oft verschärft sich die Komplexität, ihr gerecht zu werden, sogar.
#betriebsmodell
Warum das Betriebsmodell wichtiger ist als die Plattform
Software‑Service (SaaS / RISE / Hyperscaler)
- Kunde hat keine Adminrechte
- Kunde besitzt das System nicht
- keine Kontrolle, kein Superuser, kein vollständiges Logging
- Abhängigkeit → Hoch
- Exit‑Risiko → Sehr hoch
- Datenschutzrisiko → meist nicht eliminiert
Systemservice (z. B. Orise Advanced Hybrid Cloud)
- Kunde besitzt weiterhin System‑Ownership
- Provider verwaltet im Auftrag, aber kann nichts eigenmächtig tun
- Superuser‑Konzept sichert vor Behördenzugriffen
- vollständige Dokumentation & Auditierbarkeit
- Betrieb in deutschen Rechenzentren → kein CLOUD‑Act‑Risiko
- hoher Schutzgrad, auch organisatorisch
Kernbotschaft:
Datensouveränität entsteht nicht durch die Plattform – sondern durch das Betriebsmodell.
Der Mehrwert eines ganzheitlichen Outsourcing‑Partners
Integration aller Systeme in einer souveränen Umgebung
- SAP
- Non‑SAP
- Produktionssysteme
- CAD
- BI
- CRM
- EDI
- M365
- Security‑Layer
→ alles orchestriert in einem stabilen, sicheren Gesamtbetrieb.
System‑Ownership bleibt beim Kunden
Das wichtigste Prinzip:
Der Kunde behält jederzeit die Hoheit über seine Systeme und Daten.
Sicherheit durch technische UND organisatorische Maßnahmen
- Superuser‑Mechanismus
- deutsche Rechenzentren
- Firewalls, Zero‑Trust, Verschlüsselung
- MFA‑Absicherung
- regelmäßige Audits (ISAE 3402, ISO 27001)
- Exit‑Management
- Unterstützung bei NIS‑2 und IT‑Grundschutz
Kostenkontrolle und klare SLA
Kunden profitieren von:
- klar kalkulierbaren Kosten
- einem einheitlichen SLA statt vielen Einzelverträgen
- Vermeidung von Vendor‑Lock‑in Effekt
- oft signifikant geringeren Betriebs‑ und Lizenzkosten
#fazit
Fazit: Datensouveränität ist machbar – mit dem richtigen Modell
Outsourcing muss nicht Kontrollverlust bedeuten.
Mit einem Systemservice‑Modell, deutschem Hosting, Superuser‑Rechten, klaren SLAs und vollständiger Auditierbarkeit lässt sich Outsourcing sogar zu einem Sicherheitsgewinn machen.
Die Frage lautet also nicht:
„Cloud oder kein Cloud?“
sondern:
„Wie behalte ich die Hoheit über meine Systeme und Daten?“
Die Antwort:
Über System‑Ownership, echte Transparenz und einen Partner, der Architektur, Integration und Sicherheit ganzheitlich denkt.
Diesen Artikel herunterladen
Haben Sie Fragen oder wünschen eine Beratung? Ihr Ansprechpartner: Guido Berndt · Associate Partner / Prokurist
Rheinwaldstraße 38
78628 Rottweil
Phone: 0741 17 44 16 600
E-Mail: service.DE-ROT@orise.com