Dein ISMS enthält deine wertvollsten Informationen
Ein ISMS dokumentiert systematisch, wo dein Unternehmen verwundbar ist. Risikoanalysen, Schwachstellenbewertungen, Maßnahmenpläne, Incident-Berichte, Netzwerkdiagramme, Zugangsdaten-Konzepte - das sind die Kronjuwelen deiner IT-Sicherheit. Ausgerechnet diese Informationen lädst du in eine SaaS-Plattform hoch, die auf Servern läuft, über die du keinerlei Kontrolle hast? Das verdient einen zweiten Blick.
Cloud-basierte Compliance-Tools sind bequem. Kein Server-Setup, kein Update-Aufwand, sofort startklar. Aber diese Bequemlichkeit hat einen Preis, der in den Hochglanz-Landingpages selten auftaucht: Du gibst die Hoheit über deine sensibelsten Daten an einen Dritten ab.
Der Cloud Act und das Kontrollproblem
Wenn dein ISMS-Anbieter seinen Hauptsitz in den USA hat oder amerikanische Cloud-Infrastruktur nutzt, greift der US CLOUD Act. Dieses Gesetz verpflichtet amerikanische Unternehmen, Daten auf Anfrage von US-Behörden herauszugeben, auch wenn die Server physisch in der EU stehen. Nach den Schrems-II-Urteilen des EuGH ist die Rechtslage klar: Ein angemessenes Datenschutzniveau für personenbezogene Daten in den USA ist nicht gegeben. Für Risikoanalysen und Sicherheitsdokumentation, die weit über personenbezogene Daten hinausgehen, gilt das erst recht.
Das ist kein theoretisches Risiko. Für ein Unternehmen, das gerade eine ISO-27001-Zertifizierung anstrebt oder NIS2-Anforderungen erfüllen muss, ist die Frage „Wo liegen unsere ISMS-Daten?" eine Frage, die jeder Auditor stellen wird. Und „auf den Servern eines US-Anbieters" ist eine Antwort, die Folgefragen produziert.
Vendor Lock-in: Der stille Kontrollverlust
Datensouveränität endet nicht bei der Frage, in welchem Land der Server steht. Genauso entscheidend ist, ob du deine Daten jederzeit vollständig exportieren und zu einem anderen System migrieren kannst. Viele SaaS-Plattformen machen den Einstieg leicht und den Ausstieg schwer. Proprietäre Datenformate, eingeschränkte Export-Funktionen, keine dokumentierte API - all das bindet dich an einen Anbieter, ob du willst oder nicht.
Stell dir vor, dein ISMS-Anbieter wird aufgekauft, verdoppelt die Preise oder stellt den Betrieb ein. Wenn deine Risikobewertungen, Maßnahmen und Audit-Protokolle in einem Format stecken, das nur diese eine Plattform lesen kann, hast du ein ernstes Problem - und zwar genau dann, wenn du es am wenigsten brauchen kannst.
Was Self-Hosting wirklich kostet
Das häufigste Argument gegen Self-Hosting lautet: „Zu teuer, zu aufwendig." Das war vor zehn Jahren richtig. Heute sieht die Rechnung anders aus. Ein Managed Server bei einem deutschen Hoster kostet zwischen 20 und 50 Euro im Monat. Docker-Container machen das Deployment planbar und wiederholbar. Updates laufen über einen einzigen Befehl. Der tatsächliche Administrationsaufwand für eine Self-Hosted-Anwendung liegt bei wenigen Stunden pro Monat.
Vergleiche das mit den typischen SaaS-Kosten für ISMS-Software: 300 bis 800 Euro pro Monat, je nach Nutzeranzahl und Funktionsumfang. Über drei Jahre summiert sich das auf 10.000 bis 30.000 Euro. ISMS Lite kostet als Self-Hosted-Lösung 500 Euro pro Jahr im Abo oder 2.500 Euro als Einmalkauf. Deine Daten liegen auf deinem Server, in deinem Netz, unter deiner Kontrolle.
Datensouveränität ist kein Luxus
Self-Hosting ist nicht altmodisch oder rückwärtsgewandt. Es ist die konsequente Anwendung desselben Prinzips, das du in deinem ISMS predigst: Kontrolliere deine kritischen Assets. Minimiere Abhängigkeiten von Dritten. Kenne deine Angriffsfläche. Wenn du deinen Kunden erklärst, dass sie ihre Daten schützen müssen, dann fang bei deiner eigenen Compliance-Software an.
Diese Themenseite versammelt unsere Artikel rund um Datensouveränität, Self-Hosting und die praktische Umsetzung. Von der rechtlichen Einordnung des Cloud Act über den TCO-Vergleich zwischen SaaS und Self-Hosted bis hin zur konkreten Docker-Anleitung für dein eigenes ISMS. Jeder Artikel gibt dir Wissen und Werkzeuge, um eine fundierte Entscheidung zu treffen, wo deine sensibelsten Daten liegen sollen.
