ISMS

Self-Hosted vs. Cloud: Datensouveränität bei Compliance-Software

14 Min. Lesezeit
TL;DR
  • Datensouveränität bedeutet, dass du jederzeit die vollständige Kontrolle darüber hast, wo deine Daten liegen, wer darauf zugreift und unter welcher Rechtsordnung sie gespeichert sind.
  • Cloud-Lösungen bieten schnellen Start und geringen Betriebsaufwand, erfordern aber Vertrauen in den Anbieter und dessen Infrastruktur.
  • Self-Hosted-Lösungen geben dir maximale Kontrolle über Daten und Infrastruktur, verlangen aber eigene IT-Ressourcen für Betrieb und Wartung.
  • Regulatorische Anforderungen wie DSGVO, Schrems II und NIS2 stellen konkrete Anforderungen an die Datenhaltung, die bei der Hosting-Entscheidung berücksichtigt werden müssen.
  • Die richtige Wahl hängt von den regulatorischen Anforderungen, den verfügbaren IT-Ressourcen und der Sensibilität der verwalteten Daten ab.

Was Datensouveränität konkret bedeutet

Der Begriff Datensouveränität wird häufig verwendet, aber selten präzise definiert. Im Kern geht es um drei Dimensionen der Kontrolle über deine Daten:

Physische Kontrolle: Du weißt, wo deine Daten physisch gespeichert sind, und kannst diesen Speicherort bestimmen. Das klingt selbstverständlich, ist es aber bei vielen Cloud-Diensten nicht. Daten können über mehrere Rechenzentren verteilt sein, und der genaue Speicherort ändert sich möglicherweise dynamisch.

Rechtliche Kontrolle: Die Daten unterliegen einer Rechtsordnung, die du kennst und akzeptierst. Wenn deine Daten in einem EU-Rechenzentrum eines US-Unternehmens liegen, können sie trotzdem dem US CLOUD Act unterliegen, was bedeutet, dass US-Behörden unter bestimmten Umständen Zugriff verlangen können.

Technische Kontrolle: Du bestimmst, wer auf die Daten zugreifen kann. Das schließt nicht nur deine eigenen Mitarbeiter ein, sondern auch den Softwareanbieter, den Hosting-Provider und deren Mitarbeiter.

Bei gewöhnlicher Bürosoftware mag die Frage der Datensouveränität zweitrangig sein. Bei Compliance-Software verhält es sich anders. Ein ISMS-Tool enthält eine detaillierte Aufstellung deiner Sicherheitsrisiken, deiner Schwachstellen, deiner Schutzmaßnahmen und deren Wirksamkeit. Es dokumentiert, wo dein Unternehmen verwundbar ist. Diese Informationen sind für Angreifer mindestens so wertvoll wie für dich selbst.

Dazu kommen Audit-Ergebnisse, die Defizite aufzeigen, Vorfallberichte, die vergangene Sicherheitsvorfälle beschreiben, und Maßnahmenpläne, die offenlegen, welche Lücken noch nicht geschlossen sind. Es handelt sich also nicht um gewöhnliche Geschäftsdaten, sondern um eine Art Sicherheitslandkarte deines Unternehmens.

Cloud-Lösungen: Vorteile und Grenzen

Cloud-basierte Compliance-Software, also SaaS-Lösungen, bei denen der Anbieter die Infrastruktur betreibt, dominieren den Markt. Das hat gute Gründe, bringt aber auch spezifische Einschränkungen mit sich.

Vorteile von Cloud-Lösungen

Schneller Start. Du registrierst dich, richtest dein Konto ein und kannst sofort arbeiten. Keine Server-Installation, keine Infrastruktur-Planung, keine Abstimmung mit der IT-Abteilung. Für Unternehmen, die schnell starten müssen, etwa weil eine Zertifizierung ansteht oder regulatorische Fristen drücken, ist das ein echter Vorteil.

Geringer Betriebsaufwand. Updates, Backups, Monitoring, Skalierung und Sicherheitspatches übernimmt der Anbieter. Du brauchst kein internes Team, das sich um den Betrieb der Software kümmert. Gerade für kleine IT-Abteilungen, die ohnehin ausgelastet sind, ist das eine erhebliche Entlastung.

Automatische Updates. Neue Features, Bugfixes und Sicherheitspatches werden vom Anbieter eingespielt, ohne dass du selbst aktiv werden musst. Du arbeitest immer mit der aktuellen Version, was auch aus Sicherheitssicht ein Vorteil sein kann.

Skalierbarkeit. Cloud-Lösungen skalieren in der Regel problemlos mit. Wenn dein Unternehmen wächst oder du mehr Nutzer hinzufügst, passt sich die Infrastruktur automatisch an.

Ortsunabhängiger Zugriff. Cloud-Software ist von überall erreichbar, was für verteilte Teams oder Unternehmen mit mehreren Standorten praktisch ist.

Grenzen von Cloud-Lösungen

Daten bei einem Dritten. Die offensichtlichste Einschränkung: Deine ISMS-Daten liegen auf der Infrastruktur des Anbieters. Du vertraust darauf, dass der Anbieter seine eigene Sicherheit im Griff hat, dass seine Mitarbeiter keinen unbefugten Zugriff nehmen und dass seine Subdienstleister ebenfalls vertrauenswürdig sind.

Abhängigkeit vom Anbieter. Wenn der Anbieter seinen Dienst einstellt, die Preise drastisch erhöht oder übernommen wird, hast du ein Problem. Zwar solltest du deine Daten exportieren können, aber die Migration auf eine andere Plattform ist immer mit Aufwand verbunden. Diese Abhängigkeit, oft als Vendor Lock-in bezeichnet, ist bei Compliance-Software besonders heikel, weil ein Ausfall oder eine erzwungene Migration mitten in einem Audit-Zyklus erhebliche Konsequenzen haben kann.

Eingeschränkte Kontrolle über die Infrastruktur. Du kannst in der Regel nicht bestimmen, auf welcher konkreten Hardware deine Daten laufen, welche Verschlüsselung auf Festplattenebene eingesetzt wird oder wie die Netzwerksegmentierung des Anbieters aussieht. Du musst dich auf die Angaben des Anbieters und gegebenenfalls auf dessen Zertifizierungen verlassen.

Multi-Tenancy. Die meisten SaaS-Lösungen nutzen eine Multi-Tenant-Architektur: Mehrere Kunden teilen sich dieselbe Infrastruktur, und die Trennung erfolgt auf Softwareebene. Das ist technisch üblich und bei sauberer Implementierung sicher, aber es bedeutet, dass eine Schwachstelle in der Mandantentrennung potenziell Daten mehrerer Kunden betreffen kann.

Rechtsordnung und Datenzugriff. Wenn der Anbieter seinen Hauptsitz außerhalb der EU hat, können ausländische Behörden unter bestimmten Umständen Zugriff auf deine Daten verlangen, auch wenn die Server physisch in der EU stehen. Der US CLOUD Act ist das prominenteste Beispiel, aber ähnliche Regelungen existieren in anderen Ländern.

Self-Hosted-Lösungen: Vorteile und Grenzen

Self-Hosted bedeutet, dass du die Software auf eigener Infrastruktur betreibst. Das kann ein physischer Server im eigenen Rechenzentrum sein, eine virtuelle Maschine bei einem Hosting-Provider deiner Wahl oder eine Container-Installation in deiner eigenen Cloud-Umgebung.

Vorteile von Self-Hosting

Volle Datenkontrolle. Du weißt genau, wo deine Daten liegen, weil du den Speicherort selbst gewählt hast. Kein Dritter hat Zugriff, es sei denn, du erlaubst es explizit. Für Unternehmen in regulierten Branchen oder mit strengen internen Vorgaben zur Datenhaltung ist das oft eine Grundvoraussetzung.

Keine Abhängigkeit von der Verfügbarkeit eines Dritten. Wenn der Softwareanbieter seinen Cloud-Dienst einstellt, hast du bei einer Self-Hosted-Lösung immer noch deine laufende Installation mit allen Daten. Du bist nicht darauf angewiesen, dass der Anbieter seine Server am Laufen hält.

Eigene Sicherheitsarchitektur. Du integrierst die Software in deine bestehende Sicherheitsinfrastruktur: eigene Firewall-Regeln, eigenes Monitoring, eigene Backup-Strategie, eigene Zugriffskontrollen. Das ergibt ein konsistentes Sicherheitskonzept, das du selbst steuerst.

Compliance mit strengen Datenhaltungsanforderungen. Manche regulatorischen Anforderungen oder vertraglichen Vereinbarungen schreiben vor, dass bestimmte Daten das eigene Netzwerk oder einen definierten geographischen Bereich nicht verlassen dürfen. Self-Hosting erfüllt diese Anforderung per Definition.

Kostenstruktur. Self-Hosted-Lösungen haben oft eine andere Kostenstruktur als SaaS: einmalige Lizenzkosten oder Open-Source-Modelle statt laufender pro-Nutzer-Gebühren. Bei steigender Nutzerzahl kann Self-Hosting langfristig günstiger sein, weil die Grenzkosten pro Nutzer nahe null liegen. Ein detaillierter TCO-Vergleich zwischen SaaS und Self-Hosted über fünf Jahre zeigt, wie sich die Gesamtkosten tatsächlich entwickeln.

Grenzen von Self-Hosting

Eigener Betriebsaufwand. Updates, Backups, Monitoring und Sicherheitspatches liegen in deiner Verantwortung. Du brauchst Mitarbeiter, die das können und die Zeit dafür haben. Wenn eine kritische Sicherheitslücke in der Software oder in einer Abhängigkeit entdeckt wird, musst du den Patch selbst einspielen.

Initiale Einrichtung. Die Installation und Konfiguration erfordern technisches Know-how. Je nach Komplexität der Software kann das Setup Stunden oder Tage dauern, während eine SaaS-Lösung sofort nutzbar ist.

Infrastrukturkosten. Auch wenn die Softwarelizenz günstiger sein mag, fallen Kosten für Server, Hosting, Strom, Netzwerk und IT-Personal an. Diese Kosten müssen in die Gesamtberechnung einfließen.

Skalierung. Wenn dein Unternehmen schnell wächst, musst du die Infrastruktur selbst skalieren. Bei einer SaaS-Lösung passiert das automatisch, bei Self-Hosting musst du planen und investieren.

Eigene Sicherheit gewährleisten. Self-Hosting gibt dir die Kontrolle, aber auch die Verantwortung. Wenn du deinen Server nicht ordentlich absicherst, sind deine Daten schlechter geschützt als bei einem professionell betriebenen Cloud-Dienst. Die Qualität der Sicherheit hängt direkt von deinen eigenen Fähigkeiten und Ressourcen ab.

Regulatorische Anforderungen im Detail

Die Entscheidung zwischen Cloud und Self-Hosted ist nicht nur eine technische Präferenz, sondern wird zunehmend von regulatorischen Anforderungen beeinflusst. Drei Regelwerke sind für europäische Unternehmen besonders relevant.

DSGVO und Datenverarbeitung

Die Datenschutz-Grundverordnung regelt den Umgang mit personenbezogenen Daten. Auch in einem ISMS fallen personenbezogene Daten an: Namen von Risikoeigentümern, Kontaktdaten von Mitarbeitern. Die technischen und organisatorischen Maßnahmen müssen entsprechend dokumentiert sein, möglicherweise Informationen über Sicherheitsvorfälle, die einzelne Personen betreffen.

Bei einer Cloud-Lösung ist der Softwareanbieter in der Regel Auftragsverarbeiter im Sinne der DSGVO. Das erfordert einen Auftragsverarbeitungsvertrag (AVV), der den Umfang der Verarbeitung, die technischen und organisatorischen Maßnahmen und die Rechte und Pflichten beider Seiten regelt.

Prüfe bei Cloud-Anbietern folgende Punkte:

  • Gibt es einen AVV, und ist er vollständig?
  • Wo werden die Daten verarbeitet und gespeichert?
  • Welche Subauftragsverarbeiter sind beteiligt, und wo sitzen diese?
  • Wie wird die Löschung nach Vertragsende gehandhabt?

Bei Self-Hosted entfällt die Auftragsverarbeitung durch den Softwareanbieter, wenn dieser keinen Zugriff auf die laufende Installation hat. Die Verantwortung für die DSGVO-konforme Verarbeitung liegt dann vollständig bei dir, was einerseits mehr Kontrolle bedeutet, andererseits aber auch, dass du selbst für angemessene technische und organisatorische Maßnahmen sorgen musst.

Schrems II und internationale Datentransfers

Das Schrems-II-Urteil des EuGH von 2020 hat die Übermittlung personenbezogener Daten in die USA erheblich erschwert. Zwar gibt es seit 2023 den EU-US Data Privacy Framework als neuen Angemessenheitsbeschluss, aber seine langfristige Stabilität ist umstritten. Manche Juristen halten eine erneute Aufhebung für wahrscheinlich, was Unternehmen, die auf US-Cloud-Dienste setzen, erneut in eine schwierige Lage bringen könnte.

Für Compliance-Software bedeutet das: Wenn du einen Cloud-Anbieter mit US-Muttergesellschaft nutzt, solltest du dir bewusst sein, dass sich die rechtliche Grundlage für die Datenübermittlung ändern kann. Ob du dieses Risiko eingehst, ist eine geschäftliche Entscheidung, aber du solltest sie bewusst treffen und nicht erst im Nachhinein feststellen, dass ein Problem besteht.

Self-Hosted-Lösungen auf EU-Infrastruktur umgehen dieses Problem vollständig, weil keine Datenübermittlung in Drittstaaten stattfindet. Cloud-Lösungen europäischer Anbieter mit ausschließlich europäischer Infrastruktur bieten ebenfalls einen hohen Grad an Rechtssicherheit, solange keine US-Subdienstleister im Spiel sind.

NIS2 und Cybersicherheitsanforderungen

Die NIS2-Richtlinie stellt Anforderungen an die Cybersicherheit betroffener Unternehmen, einschließlich der Sicherheit der eingesetzten IT-Systeme und der Lieferkette. Ein ISMS-Tool ist ein Teil deiner IT-Lieferkette, und seine Sicherheit muss im Rahmen deines Supply-Chain-Risikomanagements bewertet werden.

NIS2 fordert unter anderem:

  • Risikomanagement für die eingesetzte IT, einschließlich Cloud-Dienste
  • Berücksichtigung der Sicherheit der Lieferkette
  • Meldepflichten bei Sicherheitsvorfällen, die auch Vorfälle bei Dienstleistern einschließen können

Wenn dein ISMS-Tool als Cloud-Dienst betrieben wird, musst du den Anbieter in dein Lieferantenmanagement aufnehmen, seine Sicherheitsmaßnahmen bewerten und regelmäßig überprüfen. Bei Self-Hosting liegt die Sicherheitsverantwortung bei dir, was die Lieferantenbewertung vereinfacht, aber die eigene Betriebsverantwortung erhöht.

Wann welches Modell passt

Die Wahl zwischen Cloud und Self-Hosted ist keine Glaubensfrage, sondern eine pragmatische Entscheidung, die von den konkreten Umständen deines Unternehmens abhängt. Hier sind typische Szenarien und die dazu passenden Modelle.

Cloud ist vermutlich die bessere Wahl, wenn...

  • Dein Unternehmen keine eigene IT-Infrastruktur betreibt oder die IT-Abteilung bereits an der Kapazitätsgrenze arbeitet.
  • Du schnell starten musst und keine Zeit für Server-Setup und Konfiguration hast.
  • Dein Team verteilt arbeitet und ortsunabhängiger Zugriff wichtig ist.
  • Die verwalteten Daten zwar vertraulich, aber nicht hochsensibel sind (zum Beispiel ein ISMS in der Aufbauphase ohne Vorfallberichte).
  • Der Anbieter nachweislich vertrauenswürdig ist, seinen Sitz in der EU hat und eine ISO-27001-Zertifizierung vorweisen kann.

Self-Hosted ist vermutlich die bessere Wahl, wenn...

  • Regulatorische oder vertragliche Anforderungen vorschreiben, dass bestimmte Daten das eigene Netzwerk nicht verlassen dürfen.
  • Du in einer Branche arbeitest, in der Datensouveränität besonders kritisch ist (Verteidigung, Gesundheitswesen, kritische Infrastruktur, öffentliche Verwaltung).
  • Du bereits eine gut betreute IT-Infrastruktur hast und ein weiterer Dienst keinen unverhältnismäßigen Mehraufwand verursacht.
  • Du die Abhängigkeit von einem externen Dienstleister für dein zentrales Sicherheitsmanagementsystem minimieren möchtest.
  • Die langfristigen Kosten einer SaaS-Lösung das Budget übersteigen, insbesondere bei vielen Nutzern.

Es ist nicht schwarz-weiß

In der Praxis ist die Entscheidung oft weniger eindeutig als diese Szenarien suggerieren. Viele Unternehmen befinden sich irgendwo dazwischen und müssen abwägen, welche Faktoren für ihre Situation am stärksten wiegen.

Hybride Ansätze

Neben dem reinen Cloud- und dem reinen Self-Hosted-Modell gibt es Zwischenformen, die versuchen, die Vorteile beider Welten zu kombinieren.

Managed Hosting

Bei diesem Modell wird die Software auf dedizierter Infrastruktur betrieben, die von einem Hosting-Anbieter deiner Wahl verwaltet wird. Du hast mehr Kontrolle über den Standort und die Konfiguration als bei einer SaaS-Lösung, musst dich aber nicht selbst um den täglichen Betrieb kümmern. Allerdings brauchst du einen vertrauenswürdigen Hosting-Partner und musst die Verantwortlichkeiten klar regeln.

Eigene Cloud-Umgebung

Manche Unternehmen betreiben Self-Hosted-Software in ihrer eigenen Cloud-Umgebung (AWS, Azure, private Cloud). Das kombiniert die Vorteile von Self-Hosting (eigene Kontrolle, eigene Sicherheitsrichtlinien) mit der Flexibilität und Skalierbarkeit der Cloud. Voraussetzung ist allerdings, dass das Unternehmen bereits eine Cloud-Umgebung betreibt und das Know-how für deren Verwaltung hat.

Daten-Residenz bei Cloud-Anbietern

Einige SaaS-Anbieter bieten die Möglichkeit, die Region für die Datenhaltung zu wählen: EU-only, Deutschland-only oder sogar ein spezifisches Rechenzentrum. Das adressiert einen Teil der Datensouveränitätsbedenken, löst aber nicht das grundsätzliche Thema des Zugriffs durch den Anbieter oder dessen Rechtsordnung.

Entscheidungsmatrix

Um die Entscheidung zu strukturieren, hilft eine gewichtete Bewertung der relevanten Kriterien. Die folgende Matrix ist ein Ausgangspunkt, den du an deine Situation anpassen solltest.

Regulatorische Anforderungen (Gewicht: hoch) Gibt es gesetzliche oder vertragliche Vorgaben, die eine bestimmte Datenhaltung erfordern? Wenn ja, kann das die Entscheidung bereits determinieren.

Sensibilität der Daten (Gewicht: hoch) Wie kritisch sind die im Tool verwalteten Daten? Ein ISMS in der Aufbauphase enthält weniger sensible Informationen als eines, das seit Jahren produktiv ist und detaillierte Vorfallberichte enthält.

Verfügbare IT-Ressourcen (Gewicht: hoch) Hast du die personellen und technischen Ressourcen, um eine Self-Hosted-Lösung dauerhaft zu betreiben? Ehrlichkeit ist hier wichtig. Ein schlecht gewarteter Self-Hosted-Server ist unsicherer als eine professionell betriebene Cloud-Lösung.

Budget (Gewicht: mittel) Kalkuliere die Gesamtkosten über drei bis fünf Jahre, einschließlich aller versteckten Kosten (Infrastruktur, Personal, Migration).

Geschwindigkeit des Starts (Gewicht: mittel) Wie dringend brauchst du die Lösung? Wenn die ISO-27001-Zertifizierung in drei Monaten ansteht, kann die schnellere Verfügbarkeit einer Cloud-Lösung den Ausschlag geben.

Vendor Lock-in (Gewicht: mittel) Wie einfach ist ein Anbieterwechsel? Bei Self-Hosted hast du deine Daten lokal und kannst jederzeit migrieren. Bei Cloud-Lösungen hängt das von den Exportmöglichkeiten ab.

Skalierbarkeit (Gewicht: niedrig bis mittel) Wie stark wird dein ISMS in den nächsten Jahren wachsen? Bei starkem Wachstum kann die automatische Skalierung einer Cloud-Lösung vorteilhaft sein.

Worauf du bei beiden Modellen achten solltest

Unabhängig davon, ob du dich für Cloud oder Self-Hosted entscheidest, gibt es Qualitätsmerkmale, die in jedem Fall erfüllt sein sollten.

Verschlüsselung. Daten sollten sowohl bei der Übertragung (TLS) als auch im Ruhezustand (Encryption at Rest) verschlüsselt sein. Bei Cloud-Lösungen frage nach, wer die Schlüssel verwaltet. Bei Self-Hosted bist du dafür selbst verantwortlich.

Zugriffssteuerung. Rollenbasierte Berechtigungen, die sicherstellen, dass jeder Nutzer nur auf die für ihn relevanten Daten zugreifen kann. Multi-Faktor-Authentifizierung sollte mindestens als Option verfügbar sein.

Backup und Recovery. Wie werden Backups erstellt, wo werden sie gespeichert, und wie schnell kann im Ernstfall wiederhergestellt werden? Bei Cloud-Lösungen ist das oft inkludiert, bei Self-Hosted musst du es selbst einrichten.

Audit-Trail. Wer hat wann was geändert? Eine lückenlose Änderungshistorie ist nicht nur für Audits wichtig, sondern auch für die interne Nachvollziehbarkeit.

Vollständiger Datenexport. Unabhängig vom Hosting-Modell musst du in der Lage sein, alle Daten vollständig und in einem offenen Format zu exportieren. Dieses Kriterium ist nicht verhandelbar.

ISMS Lite verfolgt einen konsequenten Self-Hosted-Ansatz: Die Software läuft auf deiner Infrastruktur, deine Daten verlassen dein Netzwerk nicht, und du behältst die volle Kontrolle über Betrieb und Datenhaltung. Mit 500€/Jahr im Abo oder 2.500€ als Einmalkauf liegt es preislich deutlich unter den meisten SaaS-Alternativen, ohne Seat-Lizenzen oder versteckte Kosten. Ob dieses Modell zu deiner Situation passt, hängt von den oben beschriebenen Faktoren ab.

Fazit: Eine bewusste Entscheidung treffen

Die Frage nach dem Hosting-Modell für Compliance-Software ist keine Nebensache und kein reines IT-Thema. Es geht darum, wo die sensibelsten Informationen über die Sicherheitslage deines Unternehmens gespeichert werden, wer darauf zugreifen kann und unter welchen rechtlichen Rahmenbedingungen das geschieht.

Beide Modelle haben ihre Berechtigung. Eine Cloud-Lösung bei einem vertrauenswürdigen europäischen Anbieter mit nachgewiesener Sicherheitskompetenz kann eine hervorragende Wahl sein. Eine Self-Hosted-Lösung auf eigener, gut betreuter Infrastruktur ebenso. Problematisch wird es nur, wenn die Entscheidung unreflektiert getroffen wird, wenn die Cloud gewählt wird, weil es „einfacher" ist, ohne die Implikationen für die Datensouveränität zu bedenken, oder wenn Self-Hosting gewählt wird, obwohl die Ressourcen für einen sicheren Betrieb fehlen.

Nimm dir die Zeit, die relevanten Faktoren für dein Unternehmen zu bewerten. Beziehe dabei nicht nur die IT ein, sondern auch den Datenschutzbeauftragten, die Rechtsabteilung und die Geschäftsführung. Die Entscheidung über die Datensouveränität deiner Compliance-Infrastruktur ist eine strategische Entscheidung, die Aufmerksamkeit auf der richtigen Ebene verdient.

Weiterführende Artikel

Self-Hosted Cloud Datensouveränität DSGVO Compliance

Volle Kontrolle über deine ISMS-Daten?

ISMS Lite ist eine self-hosted ISMS-Lösung, die auf deiner eigenen Infrastruktur läuft. Deine Daten bleiben bei dir, ohne Kompromisse bei der Funktionalität.

Jetzt installieren