89 Prozent der deutschen Unternehmen, die digitale Technologien importieren, halten sich für abhängig – jedes zweite sogar für „stark abhängig". Open Source gilt als der naheliegende Ausweg. Dieser Artikel nimmt das Versprechen ernst: Was hält es, was nicht, und was davon ist für ein mittelständisches Unternehmen tatsächlich umsetzbar?
„Digitale Souveränität" ist ein Begriff, der inzwischen auf jeder zweiten Konferenzfolie steht und dabei erstaunlich unscharf bleibt. Eine brauchbare Definition liefert Bitkom-Präsident Dr. Ralf Wintergerst:
„Digital souverän ist ein Land, das eigene substanzielle Fähigkeiten in digitalen Schlüsseltechnologien besitzt und selbstbestimmt darüber entscheiden kann, aus welchen Ländern es digitale Technologien bezieht." – Dr. Ralf Wintergerst, Bitkom-Präsident, Januar 2025
Entscheidend ist der zweite Halbsatz: Souveränität heißt nicht Autarkie. Niemand muss alles selbst bauen. Es geht um die Fähigkeit, wählen zu können – und darum, dass diese Wahl auch dann noch besteht, wenn ein Anbieter die Preise erhöht, das Produkt einstellt oder sein Heimatstaat die Regeln ändert.
Wie es um diese Wahlfreiheit steht, hat der Bitkom im November 2025 erhoben (605 Unternehmen ab 20 Beschäftigten, repräsentativ). Die Ergebnisse sind unbequem:
Getrennt davon erhoben – und in der Presse gern verwechselt: 51 Prozent der Unternehmen sehen sich „stark abhängig" speziell von den USA. Im Januar 2025 waren es noch 41 Prozent. Ebenfalls 51 Prozent sehen sich stark abhängig von China.
Bemerkenswerter als die Abhängigkeit selbst ist die Entwicklung des Vertrauens. Im Januar 2025 vertrauten noch 51 Prozent der befragten Unternehmen den USA als Technologielieferant, im November 2025 waren es 38 Prozent. 60 Prozent vertrauen den USA nur wenig oder gar nicht. Die Abhängigkeit ist also nicht gewachsen, weil das Vertrauen gewachsen wäre – sondern obwohl es schwindet. Genau das ist die unangenehme Lage: Man arbeitet mit jemandem, dem man immer weniger traut, weil die Alternativen fehlen oder Aufwand bedeuten.
Wie wenig Auswahl real besteht, zeigt der Cloud-Markt. Nach Zahlen der Synergy Research Group (Juli 2025) entfallen 70 Prozent des europäischen Cloud-Markts auf Amazon, Microsoft und Google zusammen. Die europäischen Anbieter kommen gemeinsam auf rund 15 Prozent – ein Wert, der sich seit 2022 nicht bewegt hat. Die größten europäischen Anbieter, SAP und Deutsche Telekom, liegen bei je 2 Prozent.
„Unsere Daten liegen in Frankfurt" ist der Satz, mit dem die Diskussion in vielen Unternehmen endet. Er ist beruhigend – und er greift zu kurz. Der CLOUD Act von 2018 knüpft die Herausgabepflicht nicht an den Ort der Daten, sondern an das Unternehmen: US-Anbieter müssen auf behördliche Anordnung Daten herausgeben, die in ihrem Besitz oder unter ihrer Kontrolle sind – gleich, auf welchem Kontinent die Festplatte steht. Das gilt auch für europäische Tochtergesellschaften amerikanischer Konzerne.
Die europäische Rechtslage sagt das Gegenteil. Artikel 48 DSGVO erkennt Anordnungen aus Drittstaaten nur an, wenn sie auf einem völkerrechtlichen Abkommen beruhen. Der Europäische Datenschutzausschuss hat das in seinen Leitlinien zu Artikel 48 (finale Fassung im Juni 2025) bekräftigt: Eine Anfrage nach dem CLOUD Act ist für sich genommen keine taugliche Rechtsgrundlage für eine Übermittlung.
Wie dieser Widerspruch in der Praxis aufgelöst wird, hat im Juni 2025 Anton Carniaux, Direktor für Öffentliche Angelegenheiten und Recht bei Microsoft France, vor dem französischen Senat beantwortet. Gefragt, ob er unter Eid garantieren könne, dass Daten französischer Bürger niemals ohne Zustimmung französischer Behörden an US-Behörden gelangen, sagte er:
„Non, je ne peux pas le garantir." – „Nein, das kann ich nicht garantieren." – Anton Carniaux, Microsoft France, Anhörung vor dem französischen Senat, 10. Juni 2025
Fairerweise gehört der Kontext dazu: Carniaux ergänzte, dass solche Anfragen bislang nicht vorgekommen seien und Microsoft jede Anfrage sorgfältig prüfe. Der Punkt ist also nicht, dass US-Konzerne europäische Daten ausliefern. Der Punkt ist, dass sie es bei einer formal korrekten Anordnung müssten – und dass daran weder ein Rechenzentrum in Frankfurt noch eine EU-Datengrenze etwas ändert. Wer das für sein Unternehmen ausschließen will, muss beim Anbieter ansetzen, nicht beim Standort.
Und das EU-US Data Privacy Framework? Der Angemessenheitsbeschluss von 2023 gilt weiterhin. Das Gericht der EU wies die Klage Latombe im September 2025 ab; das Rechtsmittel dagegen ist beim Europäischen Gerichtshof anhängig. Verlassen kann man sich auf diese Konstruktion also – bis ein Gericht oder die Politik sie ändert. Zwei Vorgänger, Safe Harbor und Privacy Shield, sind genau daran gescheitert. Seit dem Sommer 2026 hat diese Frage eine neue Dringlichkeit – dazu gleich mehr.
Wie konkret das werden kann, haben wir an anderer Stelle beschrieben: Microsoft übergab dem FBI BitLocker-Wiederherstellungsschlüssel – ein dokumentierter Einzelfall, der zeigt, dass es nicht bei der Theorie bleibt.
Wer wissen will, wie belastbar eine solche politische Konstruktion ist, hat seit diesem Sommer ein Anschauungsbeispiel. Am 29. Juni 2026 entschied der US Supreme Court in der Sache Trump v. Slaughter mit sechs zu drei Stimmen, dass der gesetzliche Absetzungsschutz für die Kommissare der Federal Trade Commission gegen die Gewaltenteilung verstößt. Chief Justice John Roberts stützte die Mehrheitsmeinung auf die „Unitary Executive“-Lehre: Die Verfassung überträgt die vollziehende Gewalt dem Präsidenten – also müssen ihm die Behörden, die sie ausüben, auch unterstehen. Damit kippte das Gericht Humphrey's Executor aus dem Jahr 1935: den Präzedenzfall, der die Unabhängigkeit der US-Regulierungsbehörden 91 Jahre lang getragen hatte.
Eine Präzisierung, die in vielen Schlagzeilen untergegangen ist – auch in deutschen: Die FTC wurde nicht abgeschafft und nicht für verfassungswidrig erklärt. Sie hat ihre Zuständigkeiten und ihre Durchsetzungsbefugnisse behalten. Gefallen ist allein der Schutz ihrer Kommissare vor Entlassung; sie können nun jederzeit und ohne Angabe von Gründen ausgetauscht werden. In den USA ist das eine Frage der Machtverteilung. Für den europäischen Datenschutz ist es eine Frage des Fundaments.
Die FTC ist die Behörde, die auf amerikanischer Seite durchsetzen soll, dass zertifizierte Unternehmen die Zusagen aus dem Data Privacy Framework auch einhalten – und sie ist eine der Stellen, an die sich Betroffene aus der EU wenden können. Der Angemessenheitsbeschluss der EU-Kommission von 2023 nennt sie über 250 Mal. Entscheidend ist aber eine einzige Stelle: Erwägungsgrund 60 beschreibt die FTC als unabhängige Behörde, deren Kommissare nur wegen Unfähigkeit, Pflichtverletzung oder Amtsmissbrauch entlassen werden können. Genau dieser Satz ist seit dem 29. Juni 2026 nicht mehr zutreffend.
Eine Warnung zu den Zahlen, die gerade durch die Fachpresse gehen: Verbreitet ist die Angabe, der Beschluss berufe sich „259 Mal auf die Unabhängigkeit der FTC". Das ist nachzählbar falsch – es vermengt zwei Dinge. Die Zahl stammt aus einer Pressemitteilung der Bürgerrechtsorganisation noyb und meint schlicht, wie oft die Behörde erwähnt wird; noybs eigenes Schreiben an die Kommission formuliert vorsichtiger und spricht von „über 250 Mal". Auf ihre Unabhängigkeit stützt sich der Beschluss im Kern an einer Stelle. Das ist keine Entwarnung – ein tragender Erwägungsgrund bleibt ein tragender Erwägungsgrund. Aber wer mit der größeren Zahl argumentiert, verliert das Gespräch, sobald jemand den Beschluss aufmacht.
Das ist kein Formfehler. Artikel 8 Absatz 3 der EU-Grundrechtecharta verlangt, dass die Einhaltung des Datenschutzes von einer unabhängigen Stelle überwacht wird. Das ist europäisches Primärrecht – nichts, was die Kommission im Verhandlungsweg großzügig auslegen könnte.
„Selbst nach der eigenen Logik der EU-Kommission ist die Grundlage für jedes EU-US-Datenabkommen tot.“ – Max Schrems, noyb, Juni 2026 (Übersetzung aus dem Englischen)
Mit Schreiben vom 30. Juni 2026 – einen Tag nach dem Urteil – forderte noyb die EU-Kommission auf, den Angemessenheitsbeschluss geordnet zurückzunehmen, und kündigte eine Klage vor dem Europäischen Gerichtshof an, die in der Presse bereits unter „Schrems III“ läuft. Eingereicht war sie Mitte Juli 2026 noch nicht.
Dagegen steht eine ruhigere Lesart, die man kennen sollte, bevor man in Aktionismus verfällt. In einer Analyse für die IAPP argumentierten Anfang Juli 2026 die Rechtswissenschaftler Théodore Christakis, Kenneth Propp und Peter Swire, das Urteil treffe den Rechtsschutzmechanismus gerade nicht: Der Data Protection Review Court und die Beschwerdewege für EU-Bürger beruhen nicht auf einem Absetzungsschutz des Kongresses, sondern auf einer Executive Order und der Selbstbindung der Exekutive. Dazu sagt Slaughter nichts. Bemerkenswert daran ist: Es ist ausgerechnet die Säule, an der Safe Harbor und Privacy Shield gescheitert sind – staatliche Überwachung und fehlender Rechtsschutz –, die das Urteil nicht berührt. Getroffen ist die Aufsicht über die Unternehmen.
Zur Redlichkeit gehört, dass hier keine der beiden Seiten neutral ist. noyb will klagen und braucht das starke Argument. Peter Swire wiederum gehört zu den bekanntesten akademischen Verteidigern des Frameworks und war an dessen Entstehung beteiligt. Ein Schiedsurteil gibt es also nicht – nur zwei gut begründete Lesarten und ein Gericht, das irgendwann entscheiden wird.
Die EU-Kommission selbst hat den Beschluss nicht angetastet. Ihr Sprecher Markus Lammert erklärte, man habe die Entscheidung „zur Kenntnis genommen" und werde etwaige Auswirkungen „sorgfältig analysieren". Der Europäische Datenschutzausschuss prüft die Folgen für die Aufsichtsmechanismen, hat sich aber bis Mitte Juli 2026 nicht förmlich geäußert. Das ist die diplomatische Fassung von: Wir sehen das Problem und handeln heute nicht.
Die vernünftige Haltung ist deshalb weder Panik noch Achselzucken: wissen, welche Daten wohin fließen, die eigene Risikobewertung aktualisieren – und für die wirklich kritischen Systeme eine Antwort haben, falls sich die Grundlage ändert.
Der verbreitete Reflex lautet: Dann nehmen wir eben Standardvertragsklauseln. Hier lohnt es sich, genau hinzusehen, denn dieser Reflex ist der teuerste Denkfehler in der ganzen Debatte. Standardvertragsklauseln sind kein Blatt Papier, das man nachreicht, wenn das erste ungültig wird. Sie verpflichten Sie als Verantwortlichen, selbst zu prüfen, ob im Empfängerland ein gleichwertiges Schutzniveau überhaupt erreichbar ist – das sogenannte Transfer Impact Assessment.
Diese Prüfung stellt exakt dieselben Fragen, die der Angemessenheitsbeschluss beantwortet hat: Welche Zugriffsrechte hat der Staat? Gibt es unabhängige Kontrolle? Gibt es wirksamen Rechtsschutz? Wenn die Antwort auf die zweite Frage seit Juni 2026 schwächer ausfällt, dann fällt sie in Ihrer eigenen Prüfung schwächer aus – nicht nur in der der Kommission. Ein anderes Dokument löst kein Problem, das im Rechtsraum liegt und nicht im Vertrag.
Und genau deshalb steht dieser Abschnitt in einem Artikel über Open Source. Wer die Frage „Dürfen meine Daten dorthin?“ allein juristisch beantwortet, hat sein Risiko an eine Konstruktion delegiert, über die andere entscheiden: ein Gericht in Washington, eine Kommission in Brüssel, ein Präsident, der eine Behördenspitze austauscht. Nichts davon steht in Ihrem Einflussbereich. In Ihrem Einflussbereich steht die Architektur – welche Daten überhaupt dorthin gehen, wie schnell Sie sie zurückbekommen, und ob es für den kritischen Teil eine Lösung gibt, bei der sich die Frage gar nicht erst stellt.
Seit dem Jahr 2000 gab es drei solcher Konstruktionen: Safe Harbor, Privacy Shield, Data Privacy Framework. Zwei davon hat der Europäische Gerichtshof kassiert. Man muss das nicht dramatisieren – aber wer die vierte Runde abwartet, wartet nicht auf Klärung. Er wartet auf die nächste Runde.
An dieser Stelle kommt in den meisten Texten der Satz vom „Vier-Augen-Prinzip der ganzen Welt": Bei quelloffener Software könne jeder den Code prüfen, deshalb sei sie sicherer. Der erste Teil stimmt. Der zweite ist eine Schlussfolgerung, die die Realität nicht immer deckt – und wer sie zu forsch vorträgt, verliert beim ersten informierten Zuhörer seine Glaubwürdigkeit.
Drei Fälle, die jeder kennen sollte, der mit dem Argument arbeitet:
Ein Fehler in OpenSSL erlaubte es, bis zu 64 Kilobyte Serverspeicher auszulesen – private Schlüssel inklusive. Der Code war seit Ende 2011 im Umlauf und blieb über zwei Jahre unentdeckt, obwohl OpenSSL rund zwei Drittel aller Webserver absicherte. Betroffen waren bei Bekanntwerden etwa 500.000 Server. Der eigentliche Skandal steckte im Kleingedruckten: Gepflegt wurde die Bibliothek von einer Handvoll Freiwilliger, davon einer in Vollzeit, bei Spenden von rund 2.000 US-Dollar im Jahr.
Eine Schwachstelle in der Java-Bibliothek Log4j erlaubte Angreifern, beliebigen Code auszuführen – Höchstwertung 10.0. Der fehlerhafte Code existierte seit 2013, also rund acht Jahre. Gemeldet wurde er schließlich von einem Sicherheitsforscher bei Alibaba Cloud. Nach einer Auswertung von Wiz und EY waren 93 Prozent der Cloud-Unternehmensumgebungen verwundbar.
Der beunruhigendste Fall, weil es kein Versehen war: Ein Beitragender hatte sich über Jahre Vertrauen in einem Kompressions-Projekt erarbeitet und schleuste dann eine Hintertür ein, die über den Build-Prozess in OpenSSH landete – Codeausführung ohne Anmeldung, auf einem großen Teil der Linux-Server dieser Welt. Gefunden wurde sie durch Zufall: Der Entwickler Andres Freund wunderte sich über eine halbe Sekunde Verzögerung bei fehlschlagenden SSH-Logins. Kein Audit, kein Prozess – Neugier.
Das Muster ist in allen drei Fällen dasselbe: kritische Infrastruktur, minimale Ressourcen. „Viele Augen" ist eine Möglichkeit, kein Automatismus. Wer Open Source einsetzt, weil es angeblich von selbst sicher ist, hat das Argument nicht verstanden.
Aber – und das ist der Punkt, der übrig bleibt und der trägt: Alle drei Fälle wurden gefunden. Andres Freund konnte die Hintertür nur entdecken, weil er den Quelltext lesen konnte. In einer geschlossenen Software wäre sie nicht auffindbar gewesen; sie wäre einfach dort geblieben. Die ehrliche Formulierung lautet deshalb nicht „Open Source ist sicherer", sondern: Bei Open Source ist Prüfung überhaupt möglich. Ob sie stattfindet, ist eine Frage von Geld und Aufmerksamkeit. Und genau das lässt sich organisieren – Vertrauen in eine Blackbox nicht.
Kaum ein Thema erzeugt so viel diffuse Angst wie Open-Source-Lizenzen. Für den betrieblichen Alltag genügt eine grobe Landkarte:
Permissive Lizenzen (MIT, Apache 2.0) erlauben praktisch alles: nutzen, ändern, weitergeben, auch in kommerzielle Produkte einbauen und verkaufen. Die Pflichten beschränken sich im Wesentlichen auf Namensnennung und das Mitliefern des Lizenztexts. Apache 2.0 enthält zusätzlich eine ausdrückliche Patentlizenz – für Unternehmen der praktisch wichtigste Unterschied zu MIT.
Copyleft-Lizenzen (GPL) verlangen: Wer die Software weitergibt, muss den Quellcode der abgeleiteten Werke unter derselben Lizenz mitliefern. Die AGPL erweitert das auf den Netzwerkfall – wer eine veränderte Version als Online-Dienst anbietet, muss den Quellcode den Nutzern dieses Dienstes anbieten.
Die Pflichten von GPL und AGPL entstehen bei Weitergabe beziehungsweise bei der Bereitstellung modifizierter Software über ein Netzwerk. Wer Open Source schlicht im eigenen Haus einsetzt, ist davon nicht betroffen. Der verbreitete Reflex „GPL ist gefährlich für Unternehmen" trifft auf den Normalfall des Mittelstands – Software benutzen, nicht vertreiben – schlicht nicht zu.
Das Land Schleswig-Holstein baut seine Verwaltung seit April 2024 auf Open Source um – rund 30.000 Arbeitsplätze. Nach Angaben der Landesregierung vom Dezember 2025 sind fast 80 Prozent der Arbeitsplätze auf LibreOffice umgestellt, Microsoft Office und Outlook dort deinstalliert. Rund 44.000 Postfächer wanderten von Exchange auf Open-Xchange, mit etwa 110 Millionen Mail- und Kalenderobjekten; der Exchange-Server wurde im Oktober 2025 abgeschaltet. Das Land beziffert die Einsparung auf über 15 Millionen Euro Lizenzkosten pro Jahr, bei einer einmaligen Investition von 9 Millionen Euro für 2026.
Zur Einordnung: Die 15 Millionen Euro sind eine Eigenangabe des migrierenden Landes, kein Prüfergebnis eines Rechnungshofs. Und die Migration verlief nicht reibungslos: Im September 2025 gab es Störungen beim Mailzugang der Justiz – Ursache war allerdings ein fehlkonfigurierter Load Balancer im Rechenzentrum, nicht die Open-Source-Software. Gewerkschaften und Personalräte kritisierten, die Beschäftigten seien unzureichend beteiligt worden. Beides gehört zum Bild.
„Wenn wir jetzt nicht wechseln, werden wir immer tiefer in der Abhängigkeit landen." – Dirk Schrödter, Digitalisierungsminister Schleswig-Holstein, Mai 2026
Wer über Open Source in der Verwaltung schreibt und LiMux verschweigt, argumentiert unredlich. München stellte ab 2004 auf Linux und freie Software um und hatte bis 2012 rund 12.600 von 15.500 Arbeitsplätzen migriert. 2017 beschloss der Stadtrat die Rückkehr zu Windows. Der Bund der Steuerzahler bezifferte die Migrationskosten auf 19,1 Millionen Euro, die geplante Rückmigration auf rund 49,3 Millionen Euro; die Stadt selbst hatte zuvor Einsparungen von 11,7 Millionen Euro berichtet.
Die offiziellen Gründe für das Aus sind lehrreicher als die üblichen Deutungen: Am Ende liefen rund 18.500 LiMux- und 10.700 Windows-Clients parallel. Software wurde nicht aktuell gehalten, veraltete Programme liefen ohne Herstellersupport weiter. Der Befund lautet also nicht „Linux funktioniert nicht", sondern: Der Parallelbetrieb zweier Welten über dreizehn Jahre war das Problem – zusammen mit fehlender politischer Kontinuität. Für den Mittelstand ist das die wichtigste Lehre des ganzen Artikels: Eine halbe Migration ist teurer als gar keine und teurer als eine ganze.
Das Zentrum für Digitale Souveränität (ZenDiS) ist eine bundeseigene Gesellschaft. Sie betreibt openCode, die Code-Plattform der Verwaltung, und openDesk – eine Office- und Kollaborationssuite für den öffentlichen Sektor. openDesk erfindet dabei nichts neu, sondern bündelt etablierte Open-Source-Komponenten: Open-Xchange für Mail, Element für Chat und Video, Nextcloud für Dateien, Collabora für Dokumente, Nubus für die Identitäten. Der Quellcode liegt offen, die Community Edition ist kostenlos.
Für den Mittelstand ist openDesk selten direkt relevant – interessant ist das Signal: Der Bund hält es für möglich und nötig, eine vollwertige Alternative zum Marktstandard aufzubauen. Auch Dänemarks Digitalisierungsministerium kündigte im Juni 2025 an, auf LibreOffice zu wechseln, samt ausdrücklich eingeplanter Rückfalloption. Wie diese Umstellung ausgegangen ist, ist öffentlich nicht dokumentiert – wir führen sie deshalb als Ankündigung, nicht als Erfolgsgeschichte.
Hier muss man ehrlich sein, gerade als Dienstleister, der damit Geld verdient: Die Lizenz ist kostenlos, die Software nicht. Was bei proprietären Produkten als Lizenzgebühr auf der Rechnung steht, taucht bei Open Source an anderer Stelle wieder auf – als Betrieb, Aktualisierung, Absicherung, Sicherung, Support und vor allem als Kompetenz, die jemand haben muss.
Man findet im Netz beeindruckende Prozentzahlen zu Einsparungen durch Open Source. Wir nennen hier keine, und das ist Absicht: Die belastbaren Vollkostenstudien sind entweder zwanzig Jahre alt oder stammen von Anbietern, die etwas verkaufen wollen. Wie eine solche Rechnung ausgeht, hängt in der Fachliteratur bemerkenswert zuverlässig davon ab, wer sie in Auftrag gegeben hat.
Die einzige konkrete, aktuelle Zahl, die wir guten Gewissens nennen können, ist deshalb die aus Schleswig-Holstein: über 15 Millionen Euro Lizenzeinsparung im Jahr bei 9 Millionen Euro Investition – als Eigenangabe des Landes. Für ein einzelnes Unternehmen lässt sich daraus nichts ableiten. Die richtige Frage lautet ohnehin nicht „Was spare ich?", sondern: Was kostet mich der Ausstieg, wenn ich ihn eines Tages brauche?
Kein mittelständisches Unternehmen wird und muss Microsoft 365 abschalten. Digitale Unabhängigkeit im Mittelstand ist keine Grundsatzentscheidung, sondern eine Reihe kleiner, nüchterner Schritte:
Nicht jede Abhängigkeit ist kritisch. Interessant sind die Systeme, deren Ausfall oder Preiserhöhung Sie nicht aussitzen könnten – und die Daten, deren Offenlegung Sie ruinieren würde. Der Rest darf ruhig bleiben, wo er ist.
Fragen Sie bei jedem System: Wie bekomme ich meine Daten hier wieder heraus – vollständig, in einem Format, das ein anderes System lesen kann? Wenn darauf niemand antworten kann, ist das die eigentliche Abhängigkeit, nicht der Preis.
Nicht aus Ideologie, sondern weil sie den Wechsel zu einer Projektaufgabe machen statt zu einer Verhandlungsposition des Anbieters. Schleswig-Holstein konnte 44.000 Postfächer bewegen, weil die Zielformate offen sind.
Nicht mit dem ERP. Sondern dort, wo eine offene Lösung ohne Reibung besser ist als der Status quo – ein Passwortmanager, ein Dateiaustausch, eine Wissensdatenbank. Erfolge in kleinen Systemen bauen das Vertrauen für größere auf.
Die Lehre aus Heartbleed und München: Software, die niemand pflegt, ist ein Risiko – ob quelloffen oder nicht. Klären Sie vorher, wer aktualisiert, überwacht, sichert und im Zweifel haftet. Genau das ist der Teil, der Geld kostet.
Wenn Sie ein System umstellen, stellen Sie es um. Der Dauer-Parallelbetrieb hat LiMux das Genick gebrochen und kostet in jedem Unternehmen dasselbe: doppelte Pflege, doppelte Schulung, doppelter Ärger – und am Ende die Rückabwicklung.
Weil Ratschläge wohlfeil sind, ein konkretes Beispiel dafür, wie so ein kleiner Schritt aussieht. Passwörter sind für jedes Unternehmen kritisch und liegen trotzdem erschreckend oft in einer Excel-Tabelle. Die verbreiteten Passwortmanager sind Dienste amerikanischer Anbieter – also genau die Konstellation, um die es in diesem Artikel geht.
Wir haben deshalb Vaultwarden genommen, eine quelloffene Server-Implementierung, die zu den Clients von Bitwarden kompatibel ist, und betreiben sie auf eigener Hardware in Hattingen. Entwickelt haben wir die Software nicht – sie stammt aus einem offenen Projekt. Unsere Arbeit steckt genau in dem Teil, der laut diesem Artikel Geld kostet: aufsetzen, absichern, aktualisieren, überwachen, sichern und ansprechbar sein. Die Ver- und Entschlüsselung findet auf dem Gerät des Anwenders statt; auf unserem Server liegt nur Chiffrat, auch für uns unlesbar.
Das ist keine Weltanschauung, sondern eine nüchterne Rechnung: bekannte Technik, offen einsehbar, kein Hersteller-Lock-in, ein Betreiber im selben Rechtsraum – und ein Ansprechpartner mit Telefonnummer. Der Managed Passwortmanager im Detail.
Digitale Unabhängigkeit lässt sich nicht kaufen. Man kann sie auch nicht durch den Wechsel zu einem europäischen Anbieter herstellen, wenn man dort dieselben geschlossenen Formate und dieselbe Ahnungslosigkeit über die eigenen Daten mitbringt. Souveränität ist eine Eigenschaft der eigenen IT: Wissen, wo die Daten liegen, sie herausbekommen können, und die eingesetzte Technik im Zweifel prüfen lassen können.
Open Source ist dafür kein Selbstläufer und kein Sparprogramm. Es ist die Voraussetzung dafür, dass Prüfung und Wechsel überhaupt möglich sind – der Rest ist Arbeit. Diese Arbeit kostet Geld, aber sie ist wenigstens Ihre Entscheidung. Und das ist der ganze Unterschied.
„Deutschland und Europa müssen sich aus einseitigen Abhängigkeiten befreien und ihre digitale Zukunft selbst in die Hand nehmen." – Dr. Ralf Wintergerst, Bitkom-Präsident, November 2025
Als IT-Systemhaus in NRW schauen wir uns mit Ihnen an, welche Abhängigkeiten Sie tragen können und welche nicht – und welche Schritte sich für Ihr Unternehmen rechnen. Ohne Ideologie und ohne Migrationsprojekt, das niemand braucht.
Passwort-Tresor auf Basis von Vaultwarden – gehostet auf unserer Hardware in Hattingen.
Mehr erfahren →Strategische Beratung zu Digitalisierung, Cloud-Strategie und digitaler Souveränität.
Mehr erfahren →Datensicherung mit Wahlmöglichkeit beim Speicherort – inklusive PCI-DSS-konformem S3-Speicher.
Mehr erfahren →Digitale Unabhängigkeit fängt selten beim ERP an. Meistens fängt sie bei etwas an, das heute in einer Excel-Tabelle steht.
Microsoft übergibt Wiederherstellungsschlüssel an US-Behörden. Der CLOUD Act und seine Folgen für die Datensouveränität.
Managed Services für KMU: IT einfach professionell betreibenProaktive IT-Betreuung statt Feuerwehr-Einsätze – mit planbaren Kosten und professionellem Management.