85 Prozent der deutschen Unternehmen halten Deutschland für zu abhängig von US-Cloud-Anbietern. 95 Prozent nennen Vertrauen in IT-Sicherheit, Datenschutz und Compliance als Must-have-Kriterium bei der Providerwahl. Und 87 Prozent fordern Schutz vor unbefugtem Zugriff, auch durch den Cloud-Anbieter selbst.

Das sind keine abstrakten Stimmungsbilder. Das sind Signale, die auf eine konkrete regulatorische Realität treffen: Das -Dachgesetz verpflichtet Betreiber kritischer Infrastrukturen zu Risikoanalysen, dokumentierten Resilienzplänen und nachweisbaren Schutzmaßnahmen. Wer Backup, Archivierung und bislang als nachrangig behandelt hat, steht unter Erklärungsdruck.

Für CIOs und CISOs in kritischen Infrastrukturen stellt sich damit eine Frage, die der Bitkom Cloud Report 2026 schärfer formuliert als jede Compliance-Broschüre: Wie souverän ist Ihre Infrastruktur wirklich?

Was das KRI­TIS-Dach­ge­setz kon­kret for­dert

Das -Dachgesetz (offiziell: -DachG) setzt die EU-CER-Richtlinie in deutsches Recht um und erweitert den Schutzrahmen für kritische Anlagen. Der Fokus liegt auf physischer Resilienz: Zugangskontrollen, Krisenreaktionspläne, Schutz vor physischen Angriffen und Sabotage. Das Gesetz verpflichtet Betreiber unter anderem zu:

  • Redundanten Systemen für Daten und Betrieb
  • Meldepflichten bei Vorfällen gegenüber dem BBK (binnen 24 Stunden)
  • Risikoanalysen und dokumentierten Resilienzplänen
  • Nachweisbarer Resilienz gegenüber physischen und digitalen Bedrohungen

Ergänzend dazu greift mit Anforderungen an die IT-Sicherheit, darunter Maßnahmen zur Angriffserkennung (Logging, Anomalie-Erkennung, Monitoring). Beide Regelwerke wirken für -Betreiber parallel und verstärken sich gegenseitig.

Was der Bit­kom Cloud Report 2026 zeigt

Der jährlich erscheinende Cloud Report von Bitkom Research liefert dieses Jahr Daten, die für -Betreiber besondere Relevanz haben. Befragt wurden 603 Unternehmen aller Branchen in Deutschland ab 20 Beschäftigten, Zielpersonen waren Geschäftsführung, CIOs und IT-Führungspositionen.

IT-Sicherheit ist das wichtigste Cloud-Ziel. Aber das allein reicht nicht

75 Prozent der Cloud-nutzenden Unternehmen geben an, mit der Cloud primär die IT-Sicherheit erhöhen zu wollen. Das ist eine deutliche Steigerung um 18 Prozentpunkte gegenüber 2024. Der Impuls ist verständlich, die Umsetzung birgt jedoch einen strukturellen Widerspruch, den der Report selbst benennt.

Bei der Auswahl von Cloud-Providern nennen 87 Prozent der Unternehmen den Schutz vor unbefugtem Zugriff des Cloud-Anbieters selbst als Must-have-Kriterium. Wer also die Sicherheit erhöhen will, indem er Daten in die Cloud verlagert, erwartet gleichzeitig, dass der Anbieter keinen unkontrollierten Zugriff auf diese Daten hat. Das ist ein Ziel, das viele Public-Cloud-Verträge strukturell nicht erfüllen können.

Die Souveränitätslücke: Wunsch und Realität klaffen weit auseinander

71 Prozent der befragten Unternehmen nutzen aktuell Cloud-Dienste von Anbietern aus den USA. Bevorzugen würden diesen Ansatz nur 8 Prozent. Umgekehrt: 91 Prozent würden deutsche Cloud-Anbieter bevorzugen, tatsächlich genutzt werden sie von 53 Prozent.

Diese Lücke ist kein Nischenproblem. 85 Prozent der Unternehmen halten Deutschland für zu abhängig von US-Anbietern. 80 Prozent fordern deutsche oder europäische Hyperscaler. Und 64 Prozent der Cloud-Nutzer sagen, die aktuelle US-Politik zwingt sie, ihre Cloud-Strategie zu überdenken (im Vorjahr waren es 50 Prozent).

Für -Betreiber kommt eine weitere Dimension hinzu: Gemäß -DachG und müssen Sicherheitsmaßnahmen nachweisbar wirksam und souverän kontrollierbar sein. Die Frage, ob ein US-Anbieter im Zweifelsfall weisungsgebunden gegenüber US-Behörden agiert, ist keine theoretische.

Lock-in als operatives Risiko

Das größte Hindernis beim Cloud-Providerwechsel sind laut Report Lock-in-Effekte: 59 Prozent der Unternehmen nennen sie als zentrale Wechselbarriere, verursacht durch schwierige Datenexporte, Migrationskomplexität oder proprietäre Formate. 45 Prozent nennen zu hohen personellen Aufwand und Anwendungskomplexität, 28 Prozent sehen ein zu hohes Risiko.

Für -Betreiber ist ein solches Lock-in nicht nur ein wirtschaftliches Problem. Es ist ein Resilienzproblem. Wer bei einem Ausfall oder einer regulatorischen Änderung nicht handlungsfähig wechseln kann, hat keine echte Infrastruktursouveränität.

Cloud-Kosten: Kalkulation wird schwieriger

64 Prozent der cloud-nutzenden Unternehmen berichten, dass ihre Betriebskosten 2025 gestiegen sind. Für 2026 erwarten 54 Prozent erneut steigende Ausgaben. Der Report hält fest: „Schwer kalkulierbare Kosten können ein Grund dafür sein, dass Unternehmen nicht sämtliche IT-Anwendungen in die Cloud verlagern."

Für -Betreiber mit Haushalts- und Planungspflichten ist Kalkulierbarkeit kein Nice-to-have. Sie ist eine Anforderung.

Was ein Cloud-Ausfall tatsächlich kostet

Bitkom Research hat in derselben Erhebung gefragt, wie lange Unternehmen ohne Cloud-Zugang überhaupt arbeitsfähig bleiben. Das Ergebnis: Knapp die Hälfte der Unternehmen käme irgendwann zum Stillstand, ein kleiner Teil sofort.

Das ist keine Worst-Case-Spekulation. 28 Prozent der Cloud-Nutzer hatten in den vergangenen zwölf Monaten bereits einen gravierenden Ausfall erlebt.

Was das bedeutet, lässt sich beziffern: Branchenstudien (Gartner, ITIC) setzen IT-Ausfallkosten für mittelgroße und große Unternehmen bei mehreren hunderttausend Euro pro Stunde an. 41 Prozent der Großunternehmen berichten laut ITIC von Verlusten zwischen einer und fünf Millionen Euro pro Ausfallstunde. Für -Betreiber kommen Meldepflichten, Behördenverfahren und Reputationsschäden hinzu, die in keiner Stundenkalkulation auftauchen.

Bemerkenswert ist, was Unternehmen daraus gezogen haben: Drei Viertel sichern wichtige Daten bereits außerhalb der Cloud. Zwei Drittel haben Notfall- und pläne. Mehr als die Hälfte kann einen lokalen Notbetrieb starten.

Das ist kein Argument gegen die Cloud. Es ist ein Argument dafür, dass kritische Daten und Betriebsfähigkeit nicht ausschließlich von ihr abhängen dürfen. Für -Betreiber ist das keine Empfehlung, sondern regulatorische Grundlage: Das -DachG fordert genau diese Redundanz und Wiederherstellungsfähigkeit, unabhängig vom Primärsystem.

Was das für Ihre Infrastruktur bedeutet

Der Bitkom Cloud Report beschreibt ein Spannungsfeld, das sich nicht durch einen weiteren Cloud-Vertrag auflösen lässt. Die Antwort liegt in einer Infrastrukturentscheidung: Was muss vollständig unter Ihrer Kontrolle bleiben?

Für Datensicherung, Langzeitarchivierung und gibt es eine klare Antwort: On-Premises, unveränderlich, ohne externe Abhängigkeit.

Was Zero Loss Storage bedeutet

Zero Loss Storage bezeichnet eine Speicherarchitektur, bei der Daten ohne Ausnahme integer, vollständig und wiederherstellbar gespeichert werden. Das setzt voraus: keine stillen Bit-Fehler, nachweisliche Integrität, definierte Recovery-Zeiten und kein Single Point of Failure. Es ist kein Marketing-Begriff. Es ist eine Eigenschaft, die sich in der Infrastruktur entweder nachweisen lässt oder nicht.

Was ein Air Gap leistet

bezeichnet die physische oder logische Trennung eines Speichersystems vom Netzwerk und vom Internet. Ein echter verhindert, dass , Malware oder unbefugte Zugriffe das Backup-Ziel erreichen. Er ist die wirksamste bekannte Maßnahme gegen Backup-Verschlüsselung durch , vorausgesetzt er ist strukturell verankert und nicht nur konfigurierbar.

Was WORM für KRITIS bedeutet

(Write Once, Read Many) bezeichnet unveränderliche Datenspeicherung: Einmal geschrieben, kann ein Datensatz nicht überschrieben, gelöscht oder manipuliert werden. Für -Betreiber ist eine Voraussetzung für revisionssichere Archivierung nach , , und branchenspezifischen Anforderungen wie § 291a SGB V (Gesundheitswesen) oder den Anforderungen der BaFin (Finanzsektor).

Fazit

Der Bitkom Cloud Report 2026 liefert keine neuen Argumente gegen die Cloud. Er liefert belastbare Zahlen dafür, dass , Kostenklarheit und Anbietersunabhängigkeit für deutsche Unternehmen und -Betreiber zunehmend strategische Priorität haben. Wunsch und Wirklichkeit liegen dabei noch weit auseinander.

Das -Dachgesetz ist in Kraft. Die Frage ist nicht, ob Sie auf Cloud verzichten müssen. Die Frage ist, ob Ihre Backup- und Archivierungsinfrastruktur den Anforderungen an Souveränität, Unveränderlichkeit und nachweisliche Resilienz standhält.

FAST LTA entwickelt und produziert Speichersysteme für genau diesen Anspruch: in München, seit über 25 Jahren, ohne Cloud-Zwang.

Jetzt Gespräch ver­ein­ba­ren: Spre­chen Sie mit unse­ren Exper­ten dar­über, wie Silent Bricks und Silent Cubes Ihre KRI­TIS-kon­for­me Back­up- und Archi­vie­rungs­stra­te­gie absichern.

Häufig gestellte Fragen (FAQ)

Gilt das -Dachgesetz auch für mittelgroße Betreiber?
Ja. Das -DachG erfasst nicht nur die traditionellen „großen" -Sektoren, sondern erweitert den Schutzrahmen auf Betreiber kritischer Anlagen, die bestimmte Schwellenwerte überschreiten. Auch Einrichtungen in den Bereichen Gesundheit, Ernährung, Wasser und digitale Infrastruktur sind betroffen.

Reicht ein Cloud-Backup für -Anforderungen aus?
Ein Cloud-Backup kann Teil einer sein. Es genügt allein in der Regel nicht, wenn keine nachweisliche Kontrolle über den Zugriffsschutz, die physische Datenhaltung und die Wiederherstellungszeiten besteht. und das -DachG fordern nachweislich resiliente Systeme. Das schließt Fragen der ein.

Was unterscheidet On-Premises-Backup von Cloud-Backup regulatorisch?
Bei On-Premises-Speichern liegt die vollständige beim Betreiber. Es gibt keine vertraglichen Abhängigkeiten von Drittanbieter-Zugriffsrechten, keine Risiken durch ausländische Behördenanfragen (Cloud Act) und keine Unsicherheit über Rechenzentrumsstandorte. Das vereinfacht Compliance-Nachweise erheblich.

Wie lange müssen -relevante Daten aufbewahrt werden?
Das hängt vom Sektor ab. Im Gesundheitswesen gelten teils 10 Jahre und mehr, im Finanzsektor schreibt (Art. 17) mindestens 5 Jahre für IKT-bezogene Vorfallsaufzeichnungen vor; handelsrechtliche Aufbewahrungsfristen nach HGB können darüber hinausgehen. erfordert -Eigenschaften, nicht nur regelmäßige Backups.

Kann On-Premises-Infrastruktur mit Cloud-Diensten kombiniert werden?
Ja. Ein hybrider Ansatz ist möglich und für viele Organisationen sinnvoll. Entscheidend ist, dass die kritischen Daten und die Backup-Infrastruktur unter vollständiger eigener Kontrolle bleiben. Cloud-Dienste können ergänzend genutzt werden, etwa für weniger kritische Arbeitslasten.

Quel­le: Bit­kom Cloud Report 2026, Bit­kom Rese­arch GmbH, DOI: 10.64022/2026-cloud-report-2026. Reprä­sen­ta­ti­ve Befra­gung von 603 Unter­neh­men in Deutsch­land, CATI-Methode.