Digitale Souveränität: Warum Schweizer KMU ihre Microsoft-Abhängigkeit überdenken sollten

Das Support-Ende von Windows 10 zwingt KMU zu neuer Hardware, die Lizenzkosten steigen, und der US CLOUD Act greift auf Schweizer Daten durch. Warum Anbieter-Abhängigkeit ein Sicherheitsrisiko ist und welche Open-Source-Alternativen realistisch sind.

Im Oktober 2025 hat Microsoft den Support für Windows 10 beendet. Millionen technisch einwandfreier Geräte erhalten seither keine Sicherheitsupdates mehr, weil sie die Hardware-Anforderungen von Windows 11 nicht erfüllen. Die Optionen: neue Geräte kaufen, kostenpflichtige Extended Security Updates abonnieren oder ungepatcht weiterarbeiten. Letzteres ist aus Sicherheitssicht keine Option. Die Episode zeigt ein strukturelles Problem, das weit über Windows hinausgeht: Wer seine gesamte IT auf einen einzigen Anbieter aufbaut, übernimmt dessen Roadmap, dessen Preispolitik und dessen Rechtsraum gleich mit. Genau darum geht es bei digitaler Souveränität. Vorweg: Dies ist kein Aufruf, Microsoft morgen zu kündigen. Ein sauber konfigurierter M365-Tenant lässt sich sicher betreiben, wir prüfen das regelmässig in unseren Assessments. Aber Abhängigkeit ist ein Risiko. Und Risiken gehören bewertet.

Wenn der Hersteller entscheidet, wann Ihre Hardware veraltet ist

Windows 11 verlangt TPM 2.0 und aktuelle Prozessorgenerationen. Geräte, die für Büroarbeit noch Jahre ausreichen würden, fallen damit aus dem Support. Extended Security Updates kosten Unternehmen im ersten Jahr rund 61 US-Dollar pro Gerät, der Preis verdoppelt sich in jedem Folgejahr. Wer zahlt, kauft Zeit, keine Lösung. Es gibt eine dritte Option, die in vielen Evaluationen gar nicht erst auftaucht: Linux. Moderne Distributionen wie Ubuntu LTS laufen performant auf genau jener Hardware, die Microsoft aussortiert hat, und erhalten fünf bis zehn Jahre Sicherheitsupdates. Für Standard-Arbeitsplätze mit Browser, E-Mail und Office-Dokumenten ist das längst alltagstauglich. Der eigentliche Punkt ist aber strategisch: Wer eine glaubwürdige Alternative hat, verhandelt mit jedem Anbieter aus einer anderen Position.

Ihre Daten, fremdes Recht: US CLOUD Act trifft nDSG

Microsoft betreibt Rechenzentren in der Schweiz, und viele KMU wählen bewusst die Region «Switzerland North». Was dabei untergeht: Der US CLOUD Act von 2018 verpflichtet amerikanische Anbieter, Daten an US-Behörden herauszugeben, unabhängig davon, wo sie gespeichert sind. Der Serverstandort Zürich schützt also nur bedingt. Für Berufsgeheimnisträger wie Anwälte oder Ärzte und für alle, die besonders schützenswerte Personendaten nach nDSG bearbeiten, ist das ein reales Spannungsfeld. Wie real, zeigte der Mai 2025: Nach US-Sanktionen gegen den Chefankläger des Internationalen Strafgerichtshofs wurde laut Medienberichten dessen Microsoft-E-Mail-Konto gesperrt. Eine politische Entscheidung in Washington beendete den Zugriff auf ein Postfach in Den Haag. Die Frage für Ihr KMU lautet nicht, ob dieses Szenario Sie trifft. Sondern was es bedeutet, dass es möglich ist.

Das Klumpenrisiko: ein Anbieter fällt aus, alles steht

Am 29. Oktober 2025 legte eine fehlerhafte Konfiguration in Azure Front Door für Stunden Microsoft 365, Teams und unzählige abhängige Dienste lahm, nur gut eine Woche nach dem grossen AWS-Ausfall. Wer E-Mail, Telefonie, Dateiablage und Identitätsverwaltung beim selben Anbieter bündelt, macht aus jeder Störung einen Totalausfall. Dazu kommt die Sicherheitsdimension: 2023 verschaffte sich die Gruppe Storm-0558 mit einem gestohlenen Microsoft-Signaturschlüssel Zugriff auf Exchange-Online-Postfächer, darunter solche von US-Regierungsstellen. Das Cyber Safety Review Board sprach in seinem Untersuchungsbericht von einer Kette vermeidbarer Fehler und einer unzureichenden Sicherheitskultur. Monokulturen sind in der IT so riskant wie in der Landwirtschaft: eine Schwachstelle, alle betroffen.

Open Source ist erwachsen geworden

Das ist keine Nischenposition mehr. Der Bund verpflichtet sich mit dem EMBAG seit 2024, selbst entwickelte Software als Open Source freizugeben. Schleswig-Holstein migriert 30'000 Verwaltungsarbeitsplätze auf LibreOffice und Linux. Und die EU diskutiert souveräne Cloud-Infrastruktur nicht mehr als Vision, sondern als Beschaffungskriterium. Für KMU gibt es heute für fast jeden Microsoft-Baustein eine ausgereifte Alternative: Nextcloud auf Schweizer Servern statt SharePoint und OneDrive, LibreOffice oder OnlyOffice statt Office, Proxmox statt VMware, dessen Lizenzkosten sich nach der Broadcom-Übernahme für viele Kunden vervielfacht haben. Der Sicherheitsvorteil: Offener Code ist auditierbar. Sie müssen niemandem glauben, Sie können prüfen lassen. Wir wissen das aus eigener Praxis: Unser SIEM läuft auf Wazuh, Open Source, mit über 2'400 Detection Rules auf Schweizer Infrastruktur. Nicht aus Ideologie, sondern weil wir wissen wollen, was unser Stack tut, und weil die Logs unserer Kunden die Schweiz nicht verlassen sollen.

Realistisch bleiben: Was geht und was (noch) nicht

Eine Vollmigration ist für die meisten KMU weder nötig noch sinnvoll. Branchensoftware läuft oft nur unter Windows, gewachsene Excel-Makros und Power-BI-Auswertungen lassen sich nicht über Nacht ersetzen, und ein Active-Directory-Umfeld ist tief mit dem Rest der Infrastruktur verwoben. Wer das ignoriert, produziert gescheiterte Projekte und frustrierte Teams. Der realistische Weg ist hybrid und schrittweise. Erstens: Inventarisieren Sie Ihre Abhängigkeiten. Welche Geschäftsprozesse hängen an welchem Anbieter, und was würde ein Ausfall oder Ausstieg kosten? Zweitens: Prüfen Sie bei jeder Neubeschaffung eine Open-Source-Option mit. Drittens: Beginnen Sie dort, wo der Wechsel wenig wehtut, etwa bei Dateiaustausch, Virtualisierung oder Server-Workloads. Viertens: Definieren Sie eine Exit-Strategie für Ihre kritischsten Dienste. Souveränität ist kein Schalter, sondern ein Spektrum. Jeder Schritt verbessert Ihre Verhandlungsposition und reduziert Ihr Klumpenrisiko.

Nächste Schritte

Behandeln Sie Anbieter-Abhängigkeit wie jedes andere Sicherheitsrisiko: identifizieren, bewerten, reduzieren. Eine Exit-Strategie ist wie ein Backup. Man hofft, sie nie zu brauchen, aber wenn man sie braucht, ist es zu spät, sie zu erstellen. MilesGuard analysiert im Rahmen unserer Sicherheitsaudits auch Ihre Vendor-Abhängigkeiten: Wir inventarisieren, welche Geschäftsprozesse an welchen Anbietern hängen, bewerten Klumpen- und Rechtsraumrisiken und zeigen, wo Open-Source-Alternativen für Ihr KMU realistisch sind und wo Sie besser beim Status quo bleiben. Ehrlich, technisch und ohne Ideologie.