DORA ist seit Januar Pflicht: Warum zwei Drittel der Finanzunternehmen die Anforderungen verfehlen
Benedikt Langer
6 Min. Lesezeit Seit dem 17. Januar 2025 ist DORA geltendes Recht. Die EU-Verordnung zur digitalen operativen ...
Zum Beitrag
4 Min. Lesezeit
Immer mehr Unternehmen holen Workloads aus der Public Cloud zurück in eigene Rechenzentren oder Private-Cloud-Umgebungen. Der Trend heißt Cloud-Repatriation und widerspricht dem bisherigen Cloud-first-Mantra. Für CIOs ist das keine Rückwärtsbewegung, sondern eine strategische Reife: Wer versteht, welche Workloads wo am besten aufgehoben sind, optimiert Kosten, Compliance und Kontrolle gleichzeitig.
Das Wichtigste in Kürze
- 📊 Gegentrend bestätigt: Laut IDC haben 71 Prozent der Unternehmen bereits Workloads aus der Public Cloud zurückgeholt. Der Trend beschleunigt sich 2026 durch Kostendruck und Regulierung.
- 💰 Kostenersparnis bis 50 Prozent: Unternehmen wie 37signals berichten von Einsparungen bis zu 7 Millionen Dollar über fünf Jahre durch den Wechsel von AWS zu eigener Hardware.
- 🔒 Regulierung treibt Repatriation: NIS2, DORA und EU AI Act machen Datensouveränität zur Pflicht. Bestimmte Workloads dürfen nicht in US-kontrollierte Clouds.
- ⚠️ Keine Pauschalantwort: Repatriation ist nicht für alle Workloads sinnvoll. KI-Training, globales Scaling und Burst-Kapazität bleiben Cloud-Stärken.
- 🎯 Workload-Placement-Matrix: CIOs brauchen eine datenbasierte Entscheidungsgrundlage: Welcher Workload gehört wohin und warum?
Warum Unternehmen aus der Cloud zurückkehren
Cloud-first war das Paradigma des vergangenen Jahrzehnts. Unternehmen migrierten Workloads massiv in die Public Cloud, getrieben von Flexibilitätsversprechen, Skalierbarkeit und dem Wunsch, sich nicht um Hardware kümmern zu müssen. Doch nach Jahren der Nutzung zeigen sich die Schattenseiten: Kosten, die unkontrolliert steigen. Vendor Lock-in, der den Wechsel erschwert. Compliance-Anforderungen, die mit US-kontrollierten Hyperscalern schwer vereinbar sind.
IDC hat in einer Untersuchung festgestellt, dass 71 Prozent der Unternehmen bereits Workloads aus der Public Cloud zurückgeholt haben. Die Gründe sind vielfältig: Kostenoptimierung steht an erster Stelle, gefolgt von Datensouveränität und Performance-Anforderungen. Besonders im DACH-Raum spielt die regulatorische Landschaft eine zunehmende Rolle: NIS2, DORA und der EU AI Act stellen Anforderungen an die Datenkontrolle, die mit bestimmten Cloud-Konfigurationen nicht erfüllbar sind.
Der prominenteste Fall ist 37signals, das Unternehmen hinter Basecamp und HEY. Gründer David Heinemeier Hansson dokumentierte den Umzug von AWS zu eigener Hardware und berichtete von projizierten Einsparungen von 7 Millionen Dollar über fünf Jahre. Der Fall ist nicht eins zu eins auf den deutschen Mittelstand übertragbar, zeigt aber das Prinzip: Ab einer bestimmten Größe und Vorhersagbarkeit der Workloads ist eigene Infrastruktur wirtschaftlicher als Cloud-Miete.
„Die Entscheidung, Workloads aus der Public Cloud zurückzuholen, ist in den meisten Fällen eine Kostenentscheidung. Unternehmen mit vorhersagbaren Workloads können auf eigener Infrastruktur 30 bis 50 Prozent sparen.“
IDG/Supermicro Cloud Survey (2024)
Die drei Treiber der Repatriation
Treiber 1: Kostenwahrheit nach Jahren der Cloud-Nutzung. Viele Unternehmen haben erst nach mehreren Jahren Cloud-Nutzung die tatsächlichen Total Cost of Ownership berechnet. Egress-Kosten, Storage-Kosten, Premium-Support und der Aufwand für Cloud-Architekten summieren sich. Laut Flexera liegt das durchschnittliche Cloud-Waste bei 29 Prozent. Bei vorhersagbaren Workloads mit stabiler Last ist eigene Infrastruktur oft 30 bis 50 Prozent günstiger als die äquivalente Cloud-Konfiguration. Der Break-Even hängt von der Größe ab, liegt aber typischerweise bei 100 bis 200 virtuellen Maschinen oder äquivalenter Container-Last.
Treiber 2: Regulatorische Anforderungen an Datensouveränität. Der EU Data Act, NIS2 und der EU AI Act verschärfen die Anforderungen an die Kontrolle über Daten. Der CLOUD Act der USA erlaubt US-Behörden den Zugriff auf Daten bei US-Unternehmen, unabhängig vom Standort der Server. Ein EU-Rechenzentrum von AWS oder Microsoft schützt nicht automatisch vor diesem Zugriff. Für sensible Daten in regulierten Branchen kann das bedeuten: Sovereign Cloud oder eigene Infrastruktur, tertium non datur.
Treiber 3: Performance und Latenz. Bestimmte Workloads profitieren von der physischen Nähe zur Datenquelle. Industrielle IoT-Anwendungen, Echtzeitanalysen in der Fertigung und bestimmte KI-Inferenz-Workloads erfordern Latenzzeiten unter 10 Millisekunden, die Cloud-Architekturen nicht immer garantieren können. Edge Computing und On-Premises-Infrastruktur bieten hier Vorteile, die mit Cloud-Lösungen nicht erreichbar sind.
Die Workload-Placement-Matrix
Cloud-Repatriation bedeutet nicht, dass alle Workloads zurückkommen. CIOs brauchen ein differenziertes Framework, das jeden Workload individuell bewertet. Die Entscheidung hängt von vier Faktoren ab: Kosten, Compliance, Performance und Skalierbarkeit.
71 %
haben Workloads zurückgeholt
32 %
durchschnittliches Cloud-Waste
7 Mio. $
Einsparung 37signals/5 Jahre
Quellen: IDC 2025, Flexera State of Cloud 2026, 37signals Blog
Cloud bleibt richtig für: KI-Training mit GPU-Bursts, globale Applikationen mit variablem Traffic, Disaster Recovery und Backup, Entwicklungs- und Testumgebungen, SaaS-Anwendungen mit etabliertem Ökosystem. Hier überwiegen die Vorteile der Skalierbarkeit und Flexibilität die Kostenprämie.
Repatriation lohnt sich für: Stabile Produktions-Workloads mit vorhersagbarer Last, Datenbanken mit hohem I/O-Bedarf, regulatorisch sensible Daten in DACH, Legacy-Anwendungen die Cloud-nativ umgebaut werden müssten, HPC-Workloads mit konstanter GPU-Auslastung über 70 Prozent. Diese Workloads profitieren von niedrigeren Stückkosten und voller Datenkontrolle.
Der Hybrid-Ansatz als Königsweg: Die meisten Unternehmen werden bei einem hybriden Modell landen. Regulatorisch kritische und kostenintensive Workloads auf eigener oder souveräner Infrastruktur, variable und globale Workloads in der Public Cloud. Die Herausforderung liegt nicht in der Entscheidung, sondern in der Umsetzung: Netzwerkanbindung, Daten-Synchronisation und einheitliches Management über beide Welten hinweg erfordern Investitionen in Plattform-Engineering und Multi-Cloud-Kompetenz.
Wie CIOs die Repatriation dem Board erklären
Die größte Herausforderung ist die Kommunikation. „Wir gehen zurück aus der Cloud“ klingt nach Rückschritt. CIOs müssen die Botschaft als strategische Reife positionieren: „Wir optimieren unsere IT-Architektur auf Basis von vier Jahren Cloud-Erfahrung. Workloads, die in der Cloud teurer sind als auf eigener Infrastruktur und die keine Cloud-spezifischen Vorteile nutzen, bringen wir zurück. Das spart X Euro pro Jahr bei gleichbleibender oder besserer Compliance.“
Der Business Case muss konkret sein: TCO-Vergleich pro Workload über 3 bis 5 Jahre, Compliance-Verbesserung durch Datensouveränität, Performance-Gains für latenzsensitive Anwendungen und vermiedene Risiken durch reduzierten Vendor Lock-in. Mit diesen Zahlen wird Cloud-Repatriation zur logischen Konsequenz einer datenbasierten Entscheidung, nicht zum Eingeständnis einer Fehlstrategie.
Häufige Fragen
Was ist Cloud-Repatriation?
Cloud-Repatriation bezeichnet die Verlagerung von Workloads aus der Public Cloud zurück in eigene Rechenzentren, Private-Cloud-Umgebungen oder Colocation-Standorte. Der Trend wird von Kostenoptimierung, regulatorischen Anforderungen und Performance-Überlegungen getrieben.
Für welche Workloads lohnt sich die Rückverlagerung?
Stabile Produktions-Workloads mit vorhersagbarer Last, Datenbanken mit hohem I/O-Bedarf, regulatorisch sensible Daten und Legacy-Anwendungen profitieren am meisten. Der Break-Even liegt typischerweise bei 100 bis 200 virtuellen Maschinen oder äquivalenter Container-Last.
Wie hoch sind die Einsparungen?
Je nach Workload-Profil berichten Unternehmen von 30 bis 50 Prozent Kostenersparnis bei vorhersagbaren Workloads. Das prominenteste Beispiel ist 37signals mit projizierten 7 Millionen Dollar Einsparung über fünf Jahre. Die tatsächlichen Einsparungen hängen von der spezifischen Workload-Struktur ab.
Widerspricht Repatriation der Cloud-Strategie?
Nein. Repatriation ist kein Anti-Cloud-Statement, sondern ein Zeichen strategischer Reife. Die meisten Unternehmen landen bei einem hybriden Modell: regulatorisch kritische und kostenintensive Workloads auf eigener Infrastruktur, variable und globale Workloads in der Public Cloud.
Welche Risiken birgt Cloud-Repatriation?
Die größten Risiken sind der initiale Investitionsaufwand für eigene Infrastruktur, der Bedarf an Fachpersonal für den Betrieb und die Komplexität einer hybriden Architektur. CIOs sollten mit einer TCO-Analyse über mindestens drei Jahre starten, bevor sie die Entscheidung treffen.
Lesetipps der Redaktion
- Sovereignty-Washing: Warum ein EU-Rechenzentrum keine Datensouveränität garantiert – cloudmagazin mit der 7-Punkte-Checkliste.
- FinOps: Wie Unternehmen Cloud-Kosten in den Griff bekommen – cloudmagazin über Kostenoptimierung.
- ERP-Cloud-Migration im Mittelstand: Warum Replatforming die bessere Strategie ist – MyBusinessFuture.
Mehr aus dem MBF Media Netzwerk
- Sovereign Cloud als Board-Entscheidung – Digital Chiefs
- VMware-Kostenfalle 2026: IT-Teams und die Alternativen – cloudmagazin
Quelle Titelbild: Brett Sayles / Pexels
