--- title: "Vendor Lock-in vermeiden: 7 Strategien für IT-Entscheider" date: 2026-01-27T11:50:00+01:00 author: FAST LTA canonical_url: "https://www.fast-lta.de//de/blog/vendor-lock-in-vermeiden" section: "Entries: Articles" --- ### War­um Ven­dor Lock-in im Sto­rage-Bereich beson­ders gefähr­lich ist [\#](#warum-vendor-lock-in-im-storage-bereich-besonders-gef%C3%A4hrlich-ist "Warum Vendor Lock-in im Storage-Bereich besonders gefährlich ist") Sto­rage und Back­up sind kei­ne aus­tausch­ba­ren Diens­te. Ihre Daten lie­gen dort über Jah­re, teils Jahr­zehn­te. Was bei einer SaaS-Appli­ka­ti­on noch tole­rier­bar ist (not­falls manu­ell migrie­ren), wird bei Peta­bytes an Pro­duk­ti­ons- und Archiv­da­ten zum ernst­haf­ten Problem. Die drei häu­figs­ten Lock-in-Mecha­nis­men im Storage-Bereich: - **Pro­prie­tä­re Daten­for­ma­te:** Daten, die nur mit der Soft­ware eines Anbie­ters les­bar sind - **Egress-Kos­ten:** Trans­fer­ge­büh­ren, die einen Wech­sel fak­tisch unfi­nan­zier­bar machen - **Feh­len­de Por­ta­bi­li­tät:** kein stan­dar­di­sier­ter Export­weg, kei­ne APIs, kei­ne Interoperabilität --- ### Die 7 Stra­te­gien [\#](#die-7-strategien "Die 7 Strategien") #### 1. Offe­ne Stan­dards und Pro­to­kol­le bevor­zu­gen [\#](#1-offene-standards-und-protokolle-bevorzugen "1. Offene Standards und Protokolle bevorzugen") Die Wahl des Pro­to­kolls ent­schei­det dar­über, ob Ihre Infra­struk­tur aus­tausch­bar bleibt oder nicht. Bevor­zu­gen Sie Sys­te­me, die auf eta­blier­ten, her­stel­ler­un­ab­hän­gi­gen Stan­dards basieren: **Für Netz­werk­spei­cher (NAS):** - **NFS** (Net­work File Sys­tem): POSIX-kon­form, Linux­/U­nix-Stan­dard - **SMB/CIFS**: Win­dows-Stan­dard, brei­te Kompatibilität **Für Block­spei­cher:** - **iSCSI**: Netz­werk-Block-Sto­rage über TCP/IP, brei­te Unterstützung - **FC (Fib­re Chan­nel)**: Enter­pri­se-Stan­dard, herstellerunabhängig **Für Objekt­spei­cher:** - **S3-kom­pa­ti­bles API**: Ursprüng­lich AWS, aber der De-fac­to-Stan­dard für Objekt­spei­cher. Sys­te­me mit S3-kom­pa­ti­blem API sind mit allen gän­gi­gen Back­up-Appli­ka­tio­nen kom­pa­ti­bel und gegen­ein­an­der austauschbar. **Faust­re­gel:** Wenn ein Anbie­ter Ihnen erklärt, war­um Sie sein pro­prie­tä­res Pro­to­koll benö­ti­gen, fra­gen Sie, wel­ches Stan­dard­pro­to­koll alter­na­tiv ver­füg­bar ist. Wenn kein Stan­dard exis­tiert: Fin­ger weg. --- #### 2. Pro­prie­ta­ry-For­mat-Risi­ken bei Back­up-Soft­ware erken­nen [\#](#2-proprietary-format-risiken-bei-backup-software-erkennen "2. Proprietary-Format-Risiken bei Backup-Software erkennen") Back­up-Soft­ware ist nicht das Glei­che wie Back­up-Spei­cher. Aber auch hier lau­ert Lock-in: im Back­up-For­mat selbst. **Was ist ein pro­prie­tä­res Back­up-For­mat?** Man­che Back­up-Soft­ware spei­chert Siche­run­gen in einem For­mat, das nur mit die­ser Soft­ware selbst les­bar ist. Ein Res­to­re ohne die Ori­gi­nal-Soft­ware ist dann nicht möglich. **Was bedeu­tet das prak­tisch?** Wenn der Her­stel­ler die Lizenz­prei­se ver­dop­pelt, sein Pro­dukt ein­stellt oder auf­ge­kauft wird, sit­zen Sie fest. Ein Wech­sel der Back­up-Soft­ware bedeu­tet dann, alle bestehen­den Back­ups neu ein­zu­le­sen oder zu verlieren. **Was statt­des­sen fordern:** - Back­up-For­ma­te, die stan­dar­di­sier­te Con­tai­ner nut­zen (z. B. VHD, VMDK, VHDX für VM-Backups) - Export­funk­ti­on in bare-metal-kom­pa­ti­ble Images - Doku­men­tier­te APIs für Res­to­re-Ope­ra­tio­nen ohne GUI **Kon­kre­te Fra­ge an den Anbie­ter:** ​„Kann ich mei­ne Back­ups mit einem ande­ren Pro­dukt wie­der­her­stel­len, ohne Ihre Soft­ware zu nutzen?” --- #### 3. Egress-Kos­ten im Vor­feld kal­ku­lie­ren [\#](#3-egress-kosten-im-vorfeld-kalkulieren "3. Egress-Kosten im Vorfeld kalkulieren") Egress-Kos­ten, also Gebüh­ren für das Her­aus­la­den von Daten, sind das am häu­figs­ten unter­schätz­te Lock-in-Instru­ment bei Cloud-Spei­cher. Typi­sche Inter­net-Egress-Lis­ten­prei­se lie­gen je nach Anbie­ter und Staf­fel grob zwi­schen 0,05 und 0,09 USD pro GB. **Rechen­bei­spiel:** Ein Unter­neh­men mit 200 TB pro­duk­ti­vem Back­up in AWS S3 zahlt nach Lis­ten­preis für einen voll­stän­di­gen ope­ra­ti­ven Daten­ex­port: 200.000 GB × 0,09 USD = 18.000 USD Egress-Kos­ten, ein­ma­lig und noch ohne Per­so­nal­auf­wand und Downtime. **Die Rechts­la­ge hat sich geän­dert:** Der EU Data Act (VO (EU) 2023⁄2854, in Kraft seit 11. Janu­ar 2024, anwend­bar seit 12. Sep­tem­ber 2025) begrenzt Wech­sel­ent­gel­te beim Anbie­ter­wech­sel auf die tat­säch­li­chen Kos­ten. Ab dem 12. Janu­ar 2027 sind Wech­sel­ent­gel­te kom­plett ver­bo­ten, ein­schließ­lich Egress beim Anbie­ter­wech­sel. AWS, Goog­le und Micro­soft haben Exit-Egress-Gebüh­ren bereits 2024 erlas­sen, jeweils mit Bedin­gun­gen (bei Azu­re etwa nur beim kom­plet­ten Exit inklu­si­ve Kün­di­gung aller Sub­scrip­ti­ons). Wich­tig: Regu­lä­rer ope­ra­ti­ver Egress, etwa für Res­to­res oder Res­to­re-Tests im lau­fen­den Betrieb, bleibt kostenpflichtig. **Was Sie vor der Ent­schei­dung prüfen:** 1. Wie hoch sind die Egress-Kos­ten pro GB für den lau­fen­den Betrieb (Res­to­res, Tests)? 2. Unter wel­chen Bedin­gun­gen ent­fal­len Exit-Egress-Gebüh­ren beim Anbieterwechsel? 3. Bie­tet der Anbie­ter phy­si­schen Daten­trans­fer (z. B. Hard­ware-Ver­sand) als Alternative? 4. Wie setzt der Anbie­ter die Data-Act-Vor­ga­ben zu Wech­sel­ent­gel­ten kon­kret um? --- #### 4. Exit-Stra­te­gien ver­trag­lich sichern [\#](#4-exit-strategien-vertraglich-sichern "4. Exit-Strategien vertraglich sichern") Unter­zeich­nen Sie kei­nen Ver­trag mit einem Cloud- oder Sto­rage-Anbie­ter ohne expli­zi­te Exit-Rege­lun­gen. Ver­trau­en ist gut, ver­trag­li­che Sicher­heit ist besser. **Was der EU Data Act seit Sep­tem­ber 2025 fordert:** - Cloud-Pro­vi­der müs­sen **Daten­por­ta­bi­li­tät** in offe­nen For­ma­ten ermöglichen - **Inter­ope­ra­bi­li­täts-APIs** müs­sen bereit­ge­stellt werden - Kei­ne über­mä­ßi­gen tech­ni­schen oder kom­mer­zi­el­len Hin­der­nis­se beim Wechsel - Maxi­ma­le Kün­di­gungs­frist für den Wech­sel: 2 Mona­te; stan­dard­mä­ßi­ger Über­gangs­zeit­raum für die Migra­ti­on: 30 Tage **Was Sie zusätz­lich ver­trag­lich absi­chern sollten:** - Maxi­ma­le Export­dau­er (SLA für Daten­rück­ga­be, z. B. ​„voll­stän­di­ger Export inner­halb von 10 Werktagen”) - For­mat-Spe­zi­fi­ka­ti­on im Ver­trag (kein pro­prie­tä­res For­mat ohne Konverter) - Pflicht zur akti­ven Migra­ti­ons­hil­fe bei Vertragsende - Daten­lösch­nach­weis nach erfolg­tem Export (rele­vant für DSGVO-Compliance) - Klau­seln für außer­or­dent­li­che Kün­di­gung bei Preis­er­hö­hun­gen über einen defi­nier­ten Schwellenwert **For­mu­lie­rungs­bei­spiel für Aus­schrei­bun­gen:** ​„Der Anbie­ter ver­pflich­tet sich, auf Anfor­de­rung des Auf­trag­ge­bers alle gespei­cher­ten Daten inner­halb von \[X\] Werk­ta­gen in einem stan­dar­di­sier­ten, her­stel­ler­un­ab­hän­gi­gen For­mat bereit­zu­stel­len. Die Bereit­stel­lung erfolgt kos­ten­frei oder zu vor­ab ver­ein­bar­ten Trans­fer­kos­ten von maxi­mal \[X\] EUR/TB.” --- #### 5. Mul­ti­ven­dor-Archi­tek­tur: Back­up-Soft­ware und Sto­rage-Hard­ware tren­nen [\#](#5-multivendor-architektur-backup-software-und-storage-hardware-trennen "5. Multivendor-Architektur: Backup-Software und Storage-Hardware trennen") Eine der wich­tigs­ten struk­tu­rel­len Maß­nah­men gegen Lock-in: Tren­nen Sie die Ebe­nen Ihrer Back­up-Infra­struk­tur voneinander. **Das Pro­blem der ver­ti­ka­len Inte­gra­ti­on:** Man­che Anbie­ter ver­kau­fen Back­up-Appli­ances, bei denen Hard­ware, Betriebs­sys­tem, Back­up-Soft­ware und Sto­rage-Pro­to­koll aus einer Hand kom­men und auf­ein­an­der abge­stimmt sind. Das ver­ein­facht den Betrieb, schafft aber maxi­ma­le Abhängigkeit. **Das Prin­zip der Entkopplung:** - Back­up-Soft­ware: Markt­stan­dards mit offe­ner API (Vee­am, Commv­ault, Bacu­la etc.) - Back­up-Spei­cher: her­stel­ler­un­ab­hän­gi­ge Hard­ware mit Standardprotokollen - Archiv: dedi­zier­te WORM-Hard­ware, unab­hän­gig von der Backup-Software - Netz­werk: Stan­dards (iSCSI, NFS, SMB) statt pro­prie­tä­rer Protokolle **Kon­kre­ter Vor­teil:** Wenn Sie Vee­am als Back­up-Soft­ware und ein S3-kom­pa­ti­bles On-Pre­mi­ses-Spei­cher­sys­tem ein­set­zen, kön­nen Sie jeder­zeit die Back­up-Soft­ware wech­seln (Daten blei­ben im Stan­dard-For­mat auf der Hard­ware), die Hard­ware wech­seln (Back­up-Soft­ware spricht Stan­dards, nicht pro­prie­tä­re APIs) und bei­des sepa­rat aus­schrei­ben und getrennt verhandeln. --- #### 6. Daten­por­ta­bi­li­tät tes­ten, bevor man unter­schreibt [\#](#6-datenportabilit%C3%A4t-testen-bevor-man-unterschreibt "6. Datenportabilität testen, bevor man unterschreibt") Jeder Anbie­ter behaup­tet, Daten­por­ta­bi­li­tät zu unter­stüt­zen. Weni­ge las­sen sich dabei tes­ten. For­dern Sie einen Pro­of of Con­cept (PoC) als Vertragsvoraussetzung. **Was ein PoC für Daten­por­ta­bi­li­tät umfasst:** 1. **Export-Test:** Expor­tie­ren Sie eine defi­nier­te Daten­men­ge in ein Stan­dard-For­mat. Mes­sen Sie Zeit, Feh­ler­ra­te und Kosten. 2. **Import-Test bei einem Kon­kur­ren­ten:** Impor­tie­ren Sie die expor­tier­ten Daten bei einem alter­na­ti­ven Anbie­ter oder On-Pre­mi­ses. Läuft das voll­stän­dig und ohne Datenverlust? 3. **Res­to­re-Test ohne Ori­gi­nal-Soft­ware:** Stel­len Sie ein Back­up wie­der her, ohne die Back­up-Soft­ware des Anbie­ters zu nut­zen. Ist das möglich? 4. **API-Test:** Doku­men­tie­ren Sie, wel­che APIs für den Daten­ex­port exis­tie­ren. Gibt es eine stan­dar­di­sier­te REST-API? Ist sie ohne pro­prie­tä­ren Cli­ent nutzbar? **Was Sie beim PoC bewerten:** - Voll­stän­dig­keit des Exports (alle Meta­da­ten, alle Dateiversionen) - Kom­pa­ti­bi­li­tät der expor­tier­ten For­ma­te mit Standard-Tools - Dau­er und Auf­wand für den Migrationsprozess - Trans­pa­renz der Kosten **Hin­weis:** Kein Anbie­ter, der bei einem PoC schei­tert, wird bei einem ech­ten Migra­ti­ons­fall bes­ser abschneiden. --- #### 7. Eva­lua­ti­ons­kri­te­ri­en für sou­ve­rä­ne Spei­cher­lö­sun­gen [\#](#7-evaluationskriterien-f%C3%BCr-souver%C3%A4ne-speicherl%C3%B6sungen "7. Evaluationskriterien für souveräne Speicherlösungen") Abschlie­ßend: eine struk­tu­rier­te Grund­la­ge für die Bewer­tung von Spei­cher­lö­sun­gen in Ausschreibungen. **Lock-in-Risi­ko­be­wer­tung nach Speichertyp:** - **Cloud-Archiv­klas­sen (z. B. Gla­cier Deep Archi­ve):** hohes Lock-in-Risi­ko durch hohe Abruf-Hür­den, ope­ra­ti­ve Egress-Kos­ten und US-Rechts­zu­griff (CLOUD Act); nur für unkri­ti­sche Daten - **Cloud S3 Stan­dard (S3-kom­pa­ti­bles API, EU-Regi­on):** mitt­le­res Risi­ko durch ope­ra­ti­ve Egress-Kos­ten und feh­len­de voll­stän­di­ge Daten­ho­heit; mit Exit-SLA und EU Data Act absichern - **On-Pre­mi­ses NAS (Stan­dard­pro­to­kol­le):** nied­ri­ges Risi­ko, Haupt­fak­tor ist die Abhän­gig­keit vom Hard­ware-Her­stel­ler; Hard­ware diver­si­fi­zie­ren, offe­ne Pro­to­kol­le fordern - **On-Pre­mi­ses WORM-Hard­ware:** sehr nied­ri­ges Risi­ko; Daten hard­ware-sei­tig unver­än­der­lich, voll­stän­di­ge Kon­trol­le; emp­foh­len für Archiv, Com­pli­ance, kri­ti­sche Daten --- ### Check­lis­te für Aus­schrei­bun­gen: Daten­por­ta­bi­li­tät und Lock-in [\#](#checkliste-f%C3%BCr-ausschreibungen-datenportabilit%C3%A4t-und-lock-in "Checkliste für Ausschreibungen: Datenportabilität und Lock-in") Nut­zen Sie die­se Fra­gen in jeder Aus­schrei­bung für Sto­rage- und Backup-Lösungen: **Pro­to­kol­le und Formate** - Wel­che Stan­dard­pro­to­kol­le wer­den unter­stützt? (NFS, SMB, iSCSI, S3-kompatibel) - In wel­chem For­mat wer­den Back­ups gespei­chert? Ist die­ses For­mat her­stel­ler­un­ab­hän­gig lesbar? - Gibt es pro­prie­tä­re Daten­struk­tu­ren, die einen Res­to­re ohne die Anbie­ter­soft­ware verhindern? **Por­ta­bi­li­tät und Export** - Wie lan­ge dau­ert ein voll­stän­di­ger Daten­ex­port bei \[X\] TB Datenmenge? - Wel­che Kos­ten fal­len für den voll­stän­di­gen Export an? - Wird ein PoC für Daten­por­ta­bi­li­tät vor Ver­trags­ab­schluss ermöglicht? - Gibt es eine REST-API für auto­ma­ti­sier­ten Datenexport? **Ver­trag­li­che Exit-Sicherung** - Ent­hält der Ver­trag eine Klau­sel zur Daten­rück­ga­be in Stan­dard­for­ma­ten bei Vertragsende? - Ist eine maxi­ma­le Export­dau­er ver­trag­lich definiert? - Gibt es außer­or­dent­li­che Kün­di­gungs­rech­te bei Preis­er­hö­hun­gen über \[X\] %? - Erfüllt der Anbie­ter die Anfor­de­run­gen des EU Data Act (Por­ta­bi­li­tät, Inter­ope­ra­bi­li­tät, Wechselentgelte)? **Sou­ve­rä­ni­tät** - Unter wel­chem Rechts­sys­tem lie­gen die Daten? - Kann ein aus­län­di­sches Gericht Zugriff auf die Daten anordnen? - Ist die phy­si­sche Infra­struk­tur in Deutsch­land oder der EU? - Ist der Anbie­ter ein EU-Unter­neh­men ohne US-Muttergesellschaft? --- ### Fazit: Kon­trol­le beginnt bei der Ent­schei­dung [\#](#fazit-kontrolle-beginnt-bei-der-entscheidung "Fazit: Kontrolle beginnt bei der Entscheidung") Ven­dor Lock-in ist kein Natur­ge­setz. Er ent­steht durch feh­len­de Fra­gen im Beschaf­fungs­pro­zess und lässt sich durch kon­se­quen­te Anfor­de­run­gen von Anfang an ver­hin­dern. Die tech­ni­schen Mit­tel dafür exis­tie­ren: offe­ne Pro­to­kol­le, her­stel­ler­un­ab­hän­gi­ge For­ma­te, ver­trag­li­che Exit-Klau­seln, PoC-Tests vor Vertragsunterzeichnung. On-Pre­mi­ses-Lösun­gen mit Stan­dard­pro­to­kol­len bie­ten dabei struk­tu­rell mehr Unab­hän­gig­keit als Cloud-Diens­te, weil die Kon­trol­le über Hard­ware, Daten­for­ma­te und Zugriffs­rech­te voll­stän­dig beim Betrei­ber liegt. --- ### Wei­ter­füh­ren­de Res­sour­cen [\#](#weiterf%C3%BChrende-ressourcen "Weiterführende Ressourcen") → Was ist Daten­sou­ve­rä­ni­tät? (/de/­b­log/­was-ist-daten­sou­ve­rae­ni­tae­t/) → EU Data Act: Was sich für Cloud-Nut­zer ändert (/de/­b­log/eu-data-act-cloud-nut­zer/) → CLOUD Act und US-Zugriff auf Ihre Daten (/de/­b­log/us-cloud-act-erklaer­t/) → Schrems II: Fol­gen für IT-Ent­schei­der (/de/­b­log/­schrems-ii-fol­gen-it-ent­schei­der/) → Egress-Kos­ten Cloud: Was Daten­trans­fer wirk­lich kos­tet (/de/­b­log/e­gress-kos­ten-clou­d/) ### DSGVO Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung). [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)