Inhalt in Kürze
- China entwickelt seit Jahren mit Kylin und openKylin eigene Betriebssysteme, um sich von westlicher Software unabhängig zu machen — ein politisches Signal mit globalen Auswirkungen
- Frankreich migriert die Gendarmerie und Behörden auf Linux und Open-Source-Tools — als Reaktion auf US-Cloud-Abhängigkeit und steigende Lizenzkosten
- Das BSI hat im April 2026 die C3A-Souveränitätskriterien für Cloud-Dienste veröffentlicht — relevant für regulierte Branchen und öffentliche Vergabe
- Für deutsche KMU ist ein kompletter Exit aus Microsoft & Co. selten realistisch — eine bewusste Reduktion der Abhängigkeit ist möglich und sinnvoll
- Pragmatischer Einstieg: Daten-Inventur, Cloud-Verträge prüfen, Exit-Strategien dokumentieren, Open Source dort einsetzen, wo es nicht weh tut
Die Nachricht von Chinas eigenem Betriebssystem klang 2014 nach einer randständigen Episode. Heute, zwölf Jahre später, ist sie Teil einer viel größeren Bewegung: digitale Souveränität als geopolitisches Thema. Frankreich migriert die Gendarmerie auf Linux. Niederlande prüft Open-Source-Alternativen zu Microsoft 365. Die EU-Kommission verabschiedet ein Cloud Sovereignty Framework. Und das BSI legt im April 2026 mit den C3A-Kriterien einen Maßstab für souveräne Cloud-Dienste vor.
Was bedeutet das alles für ein Hamburger KMU mit 20, 50 oder 150 Mitarbeitern? Wir sortieren die Lage und geben pragmatische Empfehlungen.
Chinas OS-Strategie: Von Kylin zu openKylin
China verfolgt seit den 2000er-Jahren eine konsequente Politik der OS-Eigenentwicklung. Kylin ist die Linux-basierte Distribution für Behörden und Militär; openKylin wurde 2023 als Community-Projekt veröffentlicht. Beide setzen auf Linux-Kernel und Open-Source-Komponenten — keine komplette Eigenentwicklung, sondern eine kontrollierbare Variante eines bewährten Systems.
Hintergrund: Snowden-Enthüllungen, US-Sanktionen, Sorge um Backdoors in westlicher Software. Inzwischen ist die Nutzung von Windows in chinesischen Behörden faktisch verboten. Ein politischer Schritt, kein technischer — und einer, der zunehmend Schule macht.
Frankreich, Niederlande, Dänemark: Europa zieht nach
Was als chinesische Eigenheit begann, ist 2026 europäische Realität. Frankreich hat einen Migrationsplan vorgelegt: Linux statt Windows in der Verwaltung, europäische Tools statt US-Produkte, verbindliche Migrationspfade für jede Behörde. Die Niederlande prüft Microsoft-Alternativen für die Regierung. Der Internationale Strafgerichtshof in Den Haag hat Microsoft Office komplett verlassen — nach US-Sanktionen gegen den Chefankläger.
Die Treiber sind dieselben, die auch deutsche KMU spüren:
- Steigende Lizenzkosten. Microsoft 365 wurde im Juli 2026 um bis zu 16,7 % teurer — die Inflation der letzten Jahre summiert sich.
- US-Recht-Reichweite. Der CLOUD Act gibt US-Behörden Zugriff auf Daten US-amerikanischer Cloud-Anbieter, auch wenn die Daten physisch in Europa liegen.
- Lieferketten-Risiken. Sanktionen, geopolitische Konflikte und Embargos können Software-Lizenzen oder Cloud-Zugänge von einem Tag auf den anderen entwerten.
- KI-Trainingsdaten. Wer Cloud-Office nutzt, gibt Daten potenziell für KI-Training frei — die Opt-out-Bedingungen sind komplex.
Was BSI und EU als Maßstab setzen
Das BSI hat am 27. April 2026 die C3A (Cloud Computing Compliance Criteria for Sovereignty) veröffentlicht. Sie ergänzen den bekannten C5-Katalog und definieren acht Souveränitäts-Aspekte für Cloud-Dienste — von Datenresidenz über Verschlüsselungs-Schlüsselkontrolle bis Exit-Strategie. Cloud-Anbieter müssen die Kriterien erfüllen, wenn sie als „souverän” beworben werden wollen.
Parallel dazu hat die EU-Kommission im April 2026 das Cloud Sovereignty Framework vorgestellt: acht Souveränitätsziele und fünf SEAL-Levels für die öffentliche Beschaffung. Gaia-X liefert dazu das Zertifizierungs-Label. Eine eigene europäische Hyperscaler-Cloud entsteht aktuell mit der Delos Cloud (T-Systems, SAP) sowie OVHcloud, Ionos und Stackit.
Die Wahrheit ist: Komplette Unabhängigkeit von Microsoft ist für die meisten KMU 2026 nicht realistisch. Aber jede dokumentierte Exit-Option, jeder reduzierte Single-Point-of-Failure macht Sie ein Stück souveräner. Wir fangen pragmatisch an, nicht ideologisch.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
Linux statt Windows: Was funktioniert, was nicht
Die Versuchung ist groß: Lizenzkosten weg, Werbung weg, Telemetrie weg. In der Praxis ist ein vollständiger Linux-Umstieg im KMU selten erfolgreich. Was wir bei Kunden in Hamburg sehen:
| Bereich | Linux-tauglich heute? | Hinweis |
|---|---|---|
| Server | Ja, fast immer | Web, Datei, Datenbank — Linux ist Standard, viele Kunden nutzen es längst |
| Virtualisierung | Ja | Proxmox, KVM als Hyper-V/VMware-Alternative |
| Office-Arbeitsplatz | Bedingt | LibreOffice ersetzt Word/Excel zu ~85 % — Komplex-Excel mit Makros bricht |
| Branchensoftware | Selten | Steuerberater-, Anwalts-, ERP-Software meist Windows-only |
| Adobe Creative | Nein | Photoshop, InDesign laufen nicht nativ auf Linux |
| Microsoft Teams | Bedingt | Linux-Client existiert, manche Funktionen eingeschränkt |
| Active Directory / Entra | Komplex | Anbindung möglich, aber Mehraufwand bei Identity-Management |
Für die meisten KMU-Arbeitsplätze ist die ehrliche Antwort 2026: Windows bleibt, aber bewusster. Wer trotzdem migrieren will, sollte mit nicht-kritischen Rollen (Empfang, Werkstatt, Logistik-Terminal) starten und Erfahrungen sammeln.
Cloud-Souveränität in der Praxis
Spannender als der Desktop-Wechsel ist die Cloud-Strategie. Hier hat ein KMU echte Hebel:
1. Inventur: Welche Cloud-Dienste laufen? Wo liegen die Daten physisch? Wer hat die Schlüssel?
2. Klassifizierung: Welche Daten sind kritisch (Mandantenakten, Patientendaten, Personaldaten)?
3. Kritisches lokal/EU-only: Sensible Daten in deutsche Rechenzentren oder On-Premises.
4. Exit-Optionen dokumentieren: Welcher Dienst lässt sich in 4 Wochen ersetzen, welcher nicht?
5. Verträge prüfen: Datenresidenz-Klauseln, Schlüsselkontrolle, Audit-Rechte aufnehmen.
Konkrete Werkzeuge auf europäischer Seite:
- Datenspeicher: Nextcloud, Hetzner Storage Box, IONOS Object Storage
- Office-Suite: ONLYOFFICE, LibreOffice + Collabora Online
- Mail: mailbox.org, Tutanota, lokale Exchange-Server
- Videokonferenz: Jitsi, BigBlueButton, Webex (Cisco — US-, aber EU-Datenstandorte)
- Cloud-Hosting: OVHcloud, Hetzner, IONOS, T-Systems Delos Cloud
Für komplette Branchen-Migrationen sehen wir aktuell den größten Sprung im Gesundheits- und Justiz-Sektor — getrieben von Cloud-Compliance in Hamburg und der DSGVO-Pflicht für Unternehmen.
Was Hamburger KMU jetzt konkret tun sollten
Wir empfehlen unseren Kunden an unserem Standort Hamburg keinen ideologischen Sprint, sondern einen strukturierten 12-Monats-Plan:
- Quartal 1 — Bestandsaufnahme. Cloud- und Software-Inventur. Welche Dienste? Welche Verträge? Welche Datenkategorien? Welche Abhängigkeiten von einzelnen Anbietern?
- Quartal 2 — Risiko-Klassifizierung. Welche Systeme sind geschäftskritisch? Was passiert, wenn ein US-Anbieter morgen den Zugang sperrt? Wo liegen die echten Single-Points-of-Failure?
- Quartal 3 — Exit-Strategien dokumentieren. Für jeden kritischen Dienst: Wie kommen wir wieder raus? Welche Migrations-Optionen gibt es? Welche Daten-Export-Formate sind verfügbar?
- Quartal 4 — Pilot-Migrationen. Kleine, niedrig-riskante Bereiche auf Open-Source oder EU-Anbieter umstellen. Lessons Learned dokumentieren. Plan für 2027 schreiben.
Aus der Praxis: Wenn der Anbieter ausfällt
Souveränität klingt theoretisch — bis ein Anbieter wegfällt. Wir haben das in Hamburg mehrfach erlebt:
Wir hatten 24 Jahre lang denselben IT-Dienstleister — bis er plötzlich Insolvenz angemeldet hat. Von einem Tag auf den anderen standen wir ohne Support da. Seitdem wissen wir: Man braucht einen Partner, der stabil aufgestellt ist.
Das ist Souveränität auf Mikro-Ebene: Was passiert, wenn ein Lieferant wegbricht? Auf Makro-Ebene gilt dasselbe für US-Cloud-Anbieter — nur dass die Konsequenzen größer sind. Wer Patientendaten in einer Cloud speichert, deren Anbieter aufgrund von Sanktionen den Zugang sperrt, hat ein massives Problem.
Bei jedem neuen Cloud-Vertrag drei Fragen klären: Welche Daten-Export-Formate sind garantiert? Wie lange dauert ein vollständiger Export? Wer hat die Verschlüsselungs-Schlüssel? Steht das im Vertrag — schwarz auf weiß? Ein flexibler IT-Vertrag ist die halbe Souveränität.
OS-Souveränität ist kein Selbstzweck
Wir sind in Hamburg keine Linux-Fanatiker. Microsoft 365 ist für die meisten unserer Kunden die richtige Lösung — produktiv, integriert, gut beherrscht. Aber: Mit klarem Kopf, dokumentierten Exit-Optionen und der Bereitschaft, Sensitives nicht auch noch in die letzte US-Cloud zu schieben. Eine fundierte Cloud-Beratung mit Souveränitäts-Fokus gehört dazu.
Die Microsoft 365 Migration und Lizenzierung gehört dazu — aber genauso die Frage, welche Daten besser nicht in OneDrive landen. Eine Kanzlei-Cloud in Hamburg sieht anders aus als eine Architekturbüro-Cloud — und das ist gut so.
Wie souverän ist Ihre IT wirklich?
15 Minuten Erstgespräch. Wir machen mit Ihnen eine schnelle Souveränitäts-Bestandsaufnahme.
Termin buchen →Ihr nächster Schritt
Wenn Sie sich fragen, ob Ihre Cloud-Strategie 2026 noch trägt, sprechen Sie mit uns. Wir machen keine Vertriebs-Show, sondern eine ehrliche Bestandsaufnahme — und sagen Ihnen, wo Sie stehen. Bei Managed IT-Services Hamburg ist das Teil unseres Quartals-Reviews.
