Sichere Cloud - Vergleich für Management

Executive Summary

Die Kernfrage: Vertrauen wir unsere Daten AWS, Azure und Google Cloud an – oder nutzen wir Open Source-Alternativen welche die Digitalen Prinzipien berücksichtigen, allen voran Nextcloud bei einem europäischen (besser schweizerischem) Anbieter oder sogar im Self-Hosting?

Einfache Antwort:

• US-Hyperscaler ❌
  = Mächtig, global, aber mit "US-Rucksack" (CLOUD Act, permanenter Überwachung)
• Nextcloud in der Schweiz (oder in der EU) ✅
  = Vergleichbare Feature-Vielfalt wie Hyperscaler, transparente KI-Verwendung, volle Datenkontrolle & schweizer (allenfalls EU-) Gesetze

Das zentrale Problem: Vendor Lock-In

Was ist das?

Ihr kauft eine Lösung und seid dann gefangen. Ein späterer Wechsel kostet massiv Zeit und Geld.

Hyperscaler (AWS, Azure, Google)

• Hunderte proprietäre Dienste, die ineinander verzahnt sind
• Beispiele: AWS Lambda, DynamoDB, Azure Cosmos DB – nicht einfach woanders zu nutzen
• Folge: Wechsel erfordert Neuschreiben von Code, Datenmigration, Neuschulung
• Kosten: Oft 6-12 Monate und siebenstellige Budgets

Quellen: Mirantis – How public clouds actually lock you in, 2025, CAST AI – Vendor Lock-In, 2025

Nextcloud (Open-Source)

• Offene Standards: WebDAV, CalDAV, CardDAV, REST-APIs
• Gleiche Software, egal ob Sie sie selbst betreiben oder Anbieter wechseln
• Wechsel: Backup → Restore auf neuem Server, fertig. Tage, nicht Monate.
• Kosten: Niedrig, oft intern machbar

Transparenz: Was sieht der Anbieter?

Hyperscaler

❓Können wir den Code einsehen

❗Nein. Propriätärer Quellcode = Black Box. ☹️

❓Können Mitarbeiter des Anbieters unsere Daten einsehen?

❗Ja. Policies sollen es verhindern, aber: Prüfungen sind schwer. ☹️

❓Können Behörden den Zugriff auf unsere Daten erzwingen?

❗Ja – bei US-Anbietern ist das die zentrale Gefahr. Auch der mutmaslich permanenter Zugriff auf unsere Daten 😧

Open Source (Nextcloud)

❓Können wir den Code einsehen?

❗Ja, komplett. Open Source = GitHub = Audit möglich. ☺️

❓Können Mitarbeiter des Anbieters unsere Daten einsehen?

❗Bei sicherem Anbieter und bei guter Konfiguration: Nein (wenn Client-Verschlüsselung aktiv). ☺️

❓Können Behörden den Zugriff auf unsere Daten erzwingen?

❗Nur über lokale Gerichte (CH/EU-Gesetze), nicht via CLOUD Act. 😐

Quellen: Nextcloud – Verschlüsselung & Sicherheit, 2025, Nextcloud – Sicherheit & Authentifizierung, 2025, weitere

Das CLOUD-Act-Risiko – Der Game Changer

Was ist der US CLOUD Act?

Kurz: Ein US-Gesetz von 2018, das US-Behörden erlaubt, Daten von Unternehmen wie AWS, Microsoft, Google zu fordern – egal wo die Daten liegen. Es besteht zudem der Vrdacht, dass US-Behörden permanenten Zugriff auf Daten haben die bei Unternehmen mit US-Hauptsitz gespeichert sind.

Konkret:

• US-Firma speichert Ihre Daten in einem CH- oder EU-Rechenzentrum
• US-Behörde fordert die Daten an
• Microsoft/Google/Amazon/Apple müssen liefern – auch wenn das gegen GDPR oder andere regioale Gesetze und Weisungen verstösst
• Sie erfahren meist nichts davon (Geheimhaltung)

Quellen: Wire – CLOUD Act vs. EU-Souveränität, 2025, IT-LEXIKON – Was ist der Cloud Act, DSB Kanton Zürich – CLOUD Act, 2024, opencloud.eu – CLOUD Act erklärt, 2025, weitere

Die Konsequenzen für CH-/EU-Unternehmen

Das sind die Hauptgründe, warum Schweizer und EU-Unternehmen zunehmend die Alternative suchen ...endlich.

Datenverschlüsselung: "At Rest" & "In Transit"

Was bedeutet das?

🧘Data at Rest = Daten im Speicher (beim Anbieter)

🏃‍➡️Data in Transit = Daten unterwegs (im Netzwerk)

Hyperscaler

Folge: Wenn eine Behörde zugreift, sieht sie Ihre Daten im Klartext. 😧

Quelle: Pilotcore – AWS vs Azure vs Google Cloud 2025

Open Source (Nextcloud)

Folge: Selbst wenn eine Behörde Zugriff erzwingt können Daten bei sicherer Implementation nicht entschlüsselt gelesen werden. ☺️

Quellen: Nextcloud – Verschlüsselung & Hardening, 2025, YouTube – Nextcloud: Multiple layers of encryption, 2025, weitere

Technische Fähigkeiten für Geräte & Integration

Hyperscaler

🟩 Web, Mobile, IoT, AI, Machine Learning, serverless, global verfügbar

🟩 Praktisch unbegrenzte Skalierung

🟧 Nachteil: Funktioniert oft nur mit den eigenen Produkten

Open Source (Nextcloud)

🟩 Web, Desktop, Mobile (iOS/Android)

🟩 Datei-Sync, Kalender/Aufgaben (CalDAV), Kontakte (CardDAV), E-Mail-Integration

🟩 Dokumente bearbeiten (mit Collabora oder OnlyOffice)

🟩 Rest-APIs für Custom-Integration

🟩 Transparente KI-Integration nach Bedarf

🟧 Nachteil: Kein Ersatz für spezialisierte IoT-Plattformen oder KI-Services von Hyperscalern

Quellen: Nextcloud – Secure Sharing, 2025, VPSBG – Nextcloud Open-Source Review, 2025, weitere

Datenhaltung – USA vs. UK vs. EU vs. Schweiz

Der Rechtsrahmen (vereinfacht)

🇺🇸 USA

• Datenschutz: Fragmentiert, kein Bundesniveau wie GDPR 😧
• Behördenzugriff: Stark (NSA, FBI, FISA, Patriot Act, CLOUD Act) 😧
• Problem: Hyperscaler unterliegen CLOUD Act, auch wenn Daten in CH/EU liegen 😧

🇬🇧 UK

• Post-Brexit: UK-GDPR (ähnlich wie EU-GDPR) 😐
• CLOUD Act: US-Anbieter (Microsoft, AWS in London) unterliegen CLOUD Act 😧
• Vorteil vs. USA: Strenger Datenschutz, aber kein eigenständiger CLOUD-Act-Äquivalent 😐

🇪🇺 EU

• Datenschutz: GDPR – weltweit eines der strengsten Gesetze ☺️
• Behördenzugriff: Nur über nationale Gerichte & Rechtshilfe-Verträge 😐
• CLOUD Act: Konflikt! GDPR sagt „Nein" zu Behördenzugriff ohne Rechtshilfe, CLOUD Act sagt „Ja" 😧
• Realität: EU-Anbieter ohne US-Mutter (z.B. Anbieter in Deutschland) sind CLOUD-Act-frei 😐
• US-Anbieter: Auch im EU-Rechenzentrum = CLOUD-Act-Risiko 😧

🇨🇭 Schweiz

• Datenschutz: Neues Gesetz (revDSG, ab Sept. 2023) – ähnlich GDPR, teilweise strenger ☺️
• Besonderheit: Schweiz ist nicht EU, hat aber Abkommen (Angemessenheitsbeschluss) ☺️
• CLOUD Act: Nicht direkt anwendbar, aber US-Anbieter mit Schweizer Tochter problematisch 😧
• Vorteil: Traditionelle Stärke in Datenschutz, strikte Kontrollen ☺️
• Ruf: Schweiz + Open Source = "Goldstandard" für hochsensible Daten ☺️

Quellen: Opsone – revDSG vs. GDPR, 2024, Adnovum – Unterschiede nDSG vs. DSGVO, 2023, KMU.admin.ch – revDSG, 2024, convotis – US cloud services & data protection, 2025, Deepcloud.swiss – US vs. Swiss data protection, 2025, UMB – Private Cloud in Switzerland, 2025

Praktische Szenarien – Wo liegt die beste Lösung?

Szenario A: Schweizer Finanzfirma, hochsensible Kundendaten

Lösung: Nextcloud auf Schweizer Infrastruktur (z.B. Anbieter ohne US-Mutter). Vollständige revDSG-Compliance, CLOUD Act spielte keine Rolle.

Szenario B: EU-Medienagentur, Foto-/Video-Kollaboration

Lösung: AWS/Google Cloud in EU-Region + Eigen-Key-Management, ODER Nextcloud für File-Sharing + spezialisierter Media-Dienst.

Szenario C: Startup, schnelle Skalierung, weltweite Nutzer

Lösung: AWS/Azure in EU-Region, Später GDPR-Konformes Setup (Data Processing Agreement). Nextcloud ist hier langsamer im Setup.

Empfehlung für Entscheidungsträger

Frage dich:

1. Speichern wir hochsensible Daten (Medizin, Finanzen, Staatsdaten)?
   
   Ja → Nextcloud in CH/EU mit lokaler Verschlüsselung
   
   
2. Brauchen wir KI/Maschinelles Lernen/spezialisierte Cloud-Dienste?
   
   Ja → Hyperscaler (akzeptieren Sie das CLOUD-Act-Risiko mit Policies)
   
   Nein → Nextcloud oder Hybrid
   
   
3. Ist Datensouveränität ein Compliance-Muss?
   
   Ja → Nextcloud
   
   Nein → Hyperscaler
   
   
4. Könnte ein Provider-Wechsel für unser Business tödlich sein?
   
   Ja → Nextcloud
   
   Nein → Hyperscaler
   
   
5. Sind wir in USA, UK, EU oder Schweiz heimisch?
   
   CH/EU mit Datenschutz-Fokus → Nextcloud + lokales Hosting
   
   US/Global → Hyperscaler
   

Fazit

Hyperscaler (AWS, Azure, Google Cloud):

✅ Flexibel, global

✅ Beste Performance für spezialisierte Workloads

❌ Vendor Lock-In

❌ CLOUD Act schafft rechtliche Unsicherheit für CH/EU

❌ Höhere Kosten durch Abhängigkeit

Nextcloud (mit CH-/EU-Hosting):

✅ Volle Datenkontrolle

✅ revDSG/GDPR-konform ohne CLOUD-Act-Risiko

✅ Kein Lock-In

✅ Open Source = Transparenz & Audit

✅ Günstiger für Basis-Szenarien

❌ Nicht für massive AI/ML/spezialisierte Workloads

Die Wahrheit: Es ist kein Entweder-Oder. Hybrid ist oft die beste Strategie:

🟩 Nextcloud für Dateien, Collaboration, Groupware

🟨 Hyperscaler für spezialisierte Services (KI, Analytics, etc.)

🟥 Sensitive Daten gehören zu Nextcloud, nicht zu US-Anbietern.

Viel Spass beim Wechsel zu sicheren Lösungen und beim Ausbau der Digitalen Selbstbestimmung.