hagel IT-Services
Festpreis-Angebot
8 Min.

Geopolitische Risiken 2026: Was Mittelstands-IT jetzt absichern muss

Jens Hagel
Jens Hagel in IT-Insights

Inhalt in Kürze

  • Geopolitik ist 2026 nicht mehr nur Konzern-Thema — Tech-Decoupling, NIS2 und Schrems II treffen jeden Mittelständler mit IT-Strategie.
  • Drei Brennpunkte: US-China-Tech-Konflikt (Hardware, Cloud), EU-Regulierung (NIS2, AI Act, Cyber Resilience Act) und Lieferketten-Risiken (Halbleiter, Energie).
  • Schutzschicht für KMU: EU-Cloud-Optionen prüfen, NIS2 strukturiert angehen, Business Continuity für 30 – 90 Tage planen.
  • Pragmatisch statt panisch: Nicht raus aus Microsoft, aber strategisch ergänzen. Diversifikation statt Wechsel.

Warum 2026 das Jahr der digitalen Souveränität wird

Wer 2023 von „digitaler Souveränität” sprach, klang nach EU-Beamtin auf Sonntagsrede. 2026 ist das Thema in jeder Geschäftsführungs-Sitzung angekommen — getrieben von drei harten Realitäten:

  1. Tech-Decoupling USA / China: Hardware-Lieferketten werden unsicherer, Exportkontrollen verschärft.
  2. Cloud Act und Schrems II: US-Cloud-Anbieter und DSGVO bleiben in einem ungelösten Konflikt.
  3. NIS2 und Cyber Resilience Act: Die EU zieht regulatorisch die Zügel an — auch für den Mittelstand.

Laut Bitkom-Studie sehen neun von zehn Unternehmen sich abhängig von ausländischen Digitalimporten. Die PwC-Studie zeigt: 58 % der deutschen Unternehmen beziehen den Großteil ihrer Technologie aus den USA. Diese Zahlen sind keine Statistik mehr — sie sind Risiko.

9 / 10
Unternehmen sehen sich abhängig von ausländischen Digitalimporten (Bitkom)
58 %
der Unternehmen beziehen die meiste Technologie aus den USA
50 MA / 10 M€
NIS2-Schwellenwerte für Mittelständler in 18 Sektoren

Die drei Brennpunkte konkret

1. Tech-Decoupling — die unsichtbare Lieferkette

Der Konflikt zwischen USA und China läuft seit 2018 — und beschleunigt sich. Halbleiter, KI-Chips, Seltene Erden: Wo früher globale Arbeitsteilung war, wird heute reglementiert. Konsequenz für den Mittelstand: Hardware-Lieferzeiten schwanken stärker, Preise steigen, Verfügbarkeit von KI-Beschleunigern wird zum Engpass.

Laut Frühjahrsprojektion 2026 belasten Handelskonflikte und Fragmentierung des Welthandelssystems den globalen Handel weiterhin. Für IT-Verantwortliche heißt das: Bei kritischer Hardware (Server, Firewalls, KI-Infrastruktur) auf zwei Lieferanten setzen, nicht einen — und sechs bis neun Monate Vorlauf einplanen statt sechs Wochen.

2. Cloud-Souveränität — der ungelöste Knoten

Microsoft 365, Google Workspace, AWS — die großen US-Plattformen sind technisch konkurrenzlos. Sie sind aber auch dem US Cloud Act unterworfen. Das schafft einen Konflikt mit der DSGVO, den juristisch keiner sauber gelöst hat. Schrems II hat 2020 erste Lücken aufgezeigt, das EU-US Data Privacy Framework versucht sie zu schließen — bleibt aber angefochten.

Praxis-Realität 2026

Microsoft 365 mit EU Data Boundary, BYOK-Verschlüsselung und Sensitivity Labels ist für die meisten KMU eine vertretbare Lösung. Für Mandantenakten, Patientendaten oder Geschäftsgeheimnisse mit Auslandsbezug lohnt eine zusätzliche Schicht — EU-Anbieter wie IONOS, OVHcloud oder STACKIT. Differenzierte Strategie statt Schwarz-Weiß.

In unserer Cloud-Beratung Hamburg trennen wir grundsätzlich zwischen Standard-Workloads (Office, Mail, Kollaboration) und sensiblen Workloads (Mandantendaten, Forschungsdaten). Die erste Gruppe geht meist in Microsoft 365 EU. Die zweite bekommt eine zusätzliche Schicht — souveräne Cloud oder lokale Speicherung mit verschlüsseltem Backup. Hintergrund auch im Artikel China entwickelt eigenes Betriebssystem — was bedeutet das für KMU?.

Erdkugel mit Lichtnetzen — geopolitische Risiken treffen Mittelstands-IT 2026 konkret bei Hardware, Cloud und Compliance
Tech-Decoupling, Cloud Act und Schrems II machen aus „digitaler Souveränität" eine praktische Bauaufgabe — kein politisches Schlagwort mehr.

3. NIS2, CRA und EU AI Act — die regulatorische Welle

Drei Regelwerke wirken parallel: NIS2 (Netzwerk- und Informationssicherheit), CRA (Cyber Resilience Act für vernetzte Produkte) und EU AI Act. Sie alle stellen Anforderungen, die im Mittelstand spürbar ankommen:

  • NIS2 trifft Unternehmen ab 50 Mitarbeitern oder 10 Mio. € Umsatz in 18 Sektoren — Gesundheit, Energie, Logistik, digitale Dienste, produzierendes Gewerbe. Geschäftsführer haften persönlich. Mehr dazu im NIS2-Betroffenheits-Check.
  • Cyber Resilience Act verpflichtet Hersteller vernetzter Produkte zu Security-Updates und Schwachstellen-Management.
  • EU AI Act klassifiziert KI-Anwendungen in vier Risikoklassen. Wer KI im Produkt nutzt, muss Risikoklasse, Datenherkunft und Funktionsweise dokumentieren.

Mehr zum strategischen Umgang mit den neuen Pflichten: Cybersecurity-Risikomanagement für Geschäftsführer 2026.

Lieferketten-Risiko: Was Geschäftsführer praktisch tun

Lieferketten sind nicht mehr nur Logistik. Sie sind auch IT-Lieferketten — Cloud-Anbieter, Software-Hersteller, MSPs, Hardware-Distributoren. Geopolitische Schocks können jeden dieser Punkte treffen.

  • Inventur: Listen Sie Ihre kritischen IT-Abhängigkeiten auf. Welche Software können Sie nicht eine Woche ohne? Welcher Cloud-Anbieter? Welche Hardware-Lieferanten?
  • Klassifizierung: Jede Abhängigkeit bekommt eine Risikobewertung. Geopolitische Exponiertheit (Land), Ersetzbarkeit (Markt-Alternativen), Ausfallzeit-Tolerierung (RTO/RPO).
  • Alternativen vorqualifizieren: Für jedes hoch-kritische Element mindestens eine vorqualifizierte Alternative — auch wenn Sie sie aktuell nicht nutzen. Im Ernstfall bringt es Tage, im Worst Case Wochen Zeitgewinn.
  • Vorrat / Vertrag: Hardware-Vorratshaltung für 30 – 90 Tage bei Kritischem (Firewalls, Server). Cloud-Verträge so gestalten, dass Daten-Export möglich ist (Cloud Exit).
  • Quartals-Review: Geopolitik bewegt sich schnell. Was vor sechs Monaten sicher war, ist heute Risiko. Vierteljährlich neu bewerten.
    • Jens Hagel

    „Wir starten jede Zusammenarbeit mit einer Cyber-Risikoanalyse gemeinsam mit der Geschäftsführung. Nicht um Angst zu machen, sondern um ehrlich zu sehen, wo Sie stehen — und was als Erstes passieren muss. Geopolitik gehört da rein."

    Jens Hagel, Geschäftsführer hagel IT-Services

    Konkrete Hebel: Was 2026 wirklich schützt

    Theorie ist gut, Praxis besser. Was Sie als Geschäftsführer in den nächsten 90 Tagen anstoßen können:

    • Cloud-Inventur: Welche US-Cloud-Anbieter nutzen Sie? Welche Daten liegen wo? Welche EU-Alternativen gibt es für die kritischsten?
    • EU-Backup einrichten: Verschlüsseltes Backup zusätzlich bei einem europäischen Anbieter. Selbst wenn Sie weiter Microsoft 365 nutzen — eine zweite Schicht in Europa schützt vor mehreren Risikoszenarien.
    • NIS2-Status klären: Sind Sie betroffen? Wenn ja, ist ein Risikomanagement-System Pflicht. Wenn nein, sind Sie über die Lieferkette oft trotzdem indirekt betroffen.
    • Identity-Lock-In prüfen: Wer ist Ihr Identity Provider (Azure AD / Entra ID, Google)? Was passiert, wenn dieser Anbieter ausfällt oder gesperrt wird? Notfall-Konzept dokumentieren.
    • Hardware-Bevorratung: Firewalls, Switches, Notebook-Pool. Wenn die nächste Lieferkettenstörung kommt, haben Sie 90 Tage Puffer.
    • Cyber-Versicherung neu bewerten: Geopolitische Risiken sind oft ausgeschlossen. Prüfen Sie Wording und Deckung. Bei staatlich gestützten Angriffen greift die Versicherung oft nicht.

    Bedeutet das, raus aus US-Cloud?

    Nein. Das wäre weder realistisch noch sinnvoll. Microsoft 365 hat in der EU Data Boundary, Sensitivity Labels, Conditional Access und MFA-Mechanismen, die kein europäischer Anbieter aktuell gleichwertig liefert. Wer aus Prinzip wechselt, verliert technische Tiefe, ohne das geopolitische Risiko wirklich zu senken.

    Die kluge Antwort heißt Diversifikation:

    Drei-Schichten-Modell

    1. Standard-Workloads (Office, Mail, Teams, Standard-CRM): Microsoft 365 oder Google Workspace mit EU Data Boundary. Pragmatisch, leistungsfähig, akzeptiertes Risiko.
    2. Sensible Workloads (Mandantendaten, Patientendaten, Forschungsdaten): EU-Cloud (IONOS, OVHcloud, STACKIT) oder On-Premises mit verschlüsseltem EU-Backup.
    3. Notfall-Resilienz (Backup, Identity-Failover): Eine zweite Schicht bei einem unabhängigen EU-Anbieter. Selbst wenn Sie sie nie brauchen — sie ist Ihre Versicherung.

    Diese Architektur diskutieren wir in jeder Cloud-Beratung und konkretisieren sie auf Ihre Branche und Datenklassen.

    Hamburg-Bezug: Hafen, Logistik, Mittelstand

    Hamburg ist als Logistikstandort besonders exponiert. Containerverkehr, Spedition, Großhandel — alles drei profitiert von freien Lieferketten und leidet besonders unter Sanktionen oder Handelskonflikten. Für Hamburger Unternehmen ist Geopolitik daher kein abstraktes Thema, sondern Tagesgeschäft.

    Wir beraten zahlreiche Logistik- und Speditionsunternehmen in Hamburg sowie Industriebetriebe zu genau diesen Themen — Lieferketten-IT, EU-Datenresidenz, NIS2-Compliance. Wer in Hamburg sitzt und international agiert, kommt um eine seriöse Geopolitik-Risikobewertung 2026 nicht mehr herum.

    „Wir hatten 24 Jahre lang denselben IT-Dienstleister — bis er plötzlich Insolvenz angemeldet hat. Von einem Tag auf den anderen standen wir ohne Support da. Seitdem wissen wir: Man braucht einen Partner, der stabil aufgestellt ist."

    Marcus Wendt, Geschäftsführer, Medizintechnik, 35 Mitarbeiter

    Das gleiche Prinzip gilt für Cloud-Anbieter, Hardware-Lieferanten und Software-Hersteller. Stabilität ist 2026 wieder ein eigenständiges Kriterium — neben Preis und Funktion.

    Drei Take-aways für die nächste Geschäftsführungs-Sitzung

    1. Geopolitik gehört in die IT-Strategie. Nicht als Sonntagsrede, sondern als konkrete Risiko-Bewertung pro Workload, pro Lieferant, pro Daten-Klasse.
    2. Diversifikation schlägt Wechsel. Eine zweite Schicht bei einem EU-Anbieter — für Backup, Identity-Failover, sensible Daten — schützt mehr als ein vollständiger Plattform-Wechsel.
    3. NIS2 ist nicht optional. Wenn Sie über 50 Mitarbeiter haben oder in einem der 18 Sektoren tätig sind, müssen Sie handeln. Geschäftsführer haften persönlich.

    Wo steht Ihre IT zu Geopolitik und Souveränität?

    Wir machen mit Ihnen eine ehrliche Bestandsaufnahme — 15 Minuten Erstgespräch kostenlos. Sie wissen danach, ob Handlungsbedarf besteht und welcher.

    Erstgespräch buchen →

    Quellen und vertiefende Studien

    Jens Hagel
    Jens Hagel
    Gründer & Geschäftsführer, hagel IT-Services GmbH

    Seit 2004 begleite ich Hamburger Unternehmen bei der IT-Modernisierung. Microsoft Solutions Partner, WatchGuard Gold Partner, ausgezeichnet als Deutschlands bester IT-Dienstleister 2026 (Brand eins/Statista). Wenn Sie IT-Fragen haben, bin ich direkt erreichbar.

    Frage stellen Profil ansehen
    Thorsten Eckel

    «Mit Hagel IT haben wir einen erfahrenen Partner, auf den wir uns jederzeit zu 100 % verlassen können.»

    Thorsten Eckel
    Geschäftsführer · Hanse Service
    Deutschlands beste IT-Dienstleister 2026 — brand eins / Statista
    Bester IT-Dienstleister
    2026 — brand eins / Statista
    Fallstudie · Gesundheit
    Vom IT-Chaos zur sicheren Praxis: Einblicke in unsere Infrastruktur-Analyse (ISA) am Beispiel einer Therapiepraxis
    Ausgezeichnete Bewertung
    Basierend auf 46 Bewertungen

    „Wir arbeiten seit einiger Zeit mit hagel IT zusammen und sind absolut zufrieden. Das Team ist kompetent, freundlich und immer schnell zur Stelle, wenn Hilfe gebraucht wird. Besonders schätzen wir die individuelle Beratung, den zuverlässigen Support und die modernen IT-Lösungen, die perfekt auf unsere Bedürfnisse abgestimmt sind. Ein rundum professioneller Partner, den wir uneingeschränkt weiterempfehlen können!"

    Robin Koppelmann
    Alle ansehen
    Kostenlos & unverbindlich

    IT-Herausforderungen? Wir helfen.

    Sprechen Sie mit unseren Experten — 15 Minuten, kostenlos, kein Vertriebsdruck.

    Festpreis-Angebot anfordern Lieber direkt Termin?

    Häufig gestellte Fragen

    Praktisch trifft Sie geopolitisches Risiko an drei Stellen: Bei der IT (Cloud Act, Sanktionen, Hardware-Lieferengpässe), bei den Lieferketten (Halbleiter, Energie, Rohstoffe) und bei der Compliance (NIS2, EU AI Act, Schrems II). Konkret: Wenn Sie Microsoft 365 nutzen, Hardware aus Asien beziehen oder Software an Industriekunden verkaufen, sind Sie betroffen.

    Der US Cloud Act erlaubt US-Behörden, auf Daten zuzugreifen, die ein US-Anbieter weltweit speichert — auch in deutschen Rechenzentren. Das kollidiert direkt mit der DSGVO. Microsoft, Google und AWS haben EU Data Boundaries eingerichtet, aber die juristische Klärung ist noch nicht abgeschlossen. Wer sensible Daten verarbeitet, sollte das Risiko bewerten.

    Für Standard-Office, E-Mail und allgemeine Kollaboration reicht Microsoft 365 EU Data Boundary in den meisten Fällen. Für besonders sensible Daten — Patientendaten, Mandantenakten, Geschäftsgeheimnisse mit Auslandsbezug — lohnt der Blick auf europäische Anbieter wie IONOS, OVHcloud oder STACKIT. Eine differenzierte Strategie ist klüger als „alles oder nichts".

    Drei Schritte: Erstens kritische Abhängigkeiten identifizieren (Welche Hardware, Software, Dienstleister können Sie nicht ersetzen?). Zweitens Alternativen vorqualifizieren — auch wenn Sie sie nicht sofort einsetzen. Drittens Vorräte und Verträge so gestalten, dass Sie 30 – 90 Tage überbrücken können. Das ist klassisches Business Continuity Management.

    Wahrscheinlich ja — die Schwelle liegt bei 50 Mitarbeitern oder 10 Mio. € Umsatz in den 18 betroffenen Sektoren. Dazu zählen unter anderem Gesundheit, Energie, Logistik, digitale Dienste und produzierendes Gewerbe. Konkret können Sie es in 2 Minuten prüfen — über unseren NIS2-Betroffenheits-Check.

    Wir machen sie als Teil unserer Cyber-Risiko-Analyse für Bestandskunden ohne Aufpreis. Für Neukunden ist sie Teil des kostenpflichtigen Infrastruktur-Audits. Wichtig: Risiko-Analyse ist kein Einmal-Termin, sondern ein vierteljährlicher Review. Geopolitik ändert sich schneller als Hardware.

    Wer das pauschal empfiehlt, kennt den Mittelstand nicht. Microsoft 365 und Google Workspace sind technisch top und für die meisten Anwendungsfälle alternativlos. Die richtige Antwort: Strategisch ergänzen. EU-Backup-Lösungen, EU-Identitätsprovider als Notfall-Option, sensible Daten ggf. trennen. Diversifikation statt Wechsel.

    Das könnte Sie auch interessieren

    IT-Insights

    Maklerbüro Hamburg: IT-Stack 2026 für Immobilienprofis
    IT-Insights

    Hafen-IT 4.0: Die Digitalisierung der Hamburger Logistik 2026
    IT-Insights

    n8n vs Make vs Microsoft Power Automate: Workflow-Tools 2026 für Hamburger KMU