Digitalisierung & KI

Cloud-Migration: Strategien, Kosten und die häufigsten Fehler

10 Min. Lesezeit
Kurze Antwort

Cloud-Migration bedeutet die Verlagerung von IT-Systemen, Anwendungen oder Daten in öffentliche, private oder hybride Cloud-Umgebungen – mit den richtigen Strategien lassen sich dabei typische Fehler und unerwartete Kosten vermeiden.

Wer die Cloud ohne Strategie betritt, tauscht bekannte Probleme gegen teurere neue. ✦

Was Cloud-Migration bedeutet und warum Unternehmen es tun

Cloud-Migration bezeichnet die Verlagerung von IT-Ressourcen – Anwendungen, Daten, Infrastruktur – aus dem unternehmenseigenen Rechenzentrum oder von lokalen Servern in eine Cloud-Umgebung. Das kann eine öffentliche Cloud wie Amazon Web Services, Microsoft Azure oder Google Cloud sein, eine private Cloud im eigenen Rechenzentrum oder eine hybride Kombination aus beidem.

Die Motive sind vielfältig: Unternehmen wollen Hardware-Wartung und Investitionskosten reduzieren, schneller skalieren, ortsunabhängig arbeiten oder veraltete Systeme modernisieren. Oft ist auch die Ablösung von End-of-Life-Software der Auslöser – wenn der Hersteller keinen Support mehr liefert, wird die Migration zum sicherheitskritischen Thema.

Was in der Theorie attraktiv klingt, erweist sich in der Praxis als komplexes Unterfangen. Cloud-Migration ist kein Umzug, bei dem man Kisten packt und anderswo abstellt. Es ist eine Transformation, die technische, organisatorische, rechtliche und finanzielle Dimensionen hat. Unternehmen, die das unterschätzen, erleben böse Überraschungen: explodierende Cloud-Rechnungen, Datenschutzverstöße oder Systemausfälle während der Migration.

Die 6 R der Cloud-Migration

  1. Rehost – Lift & Shift

    Die Anwendung wird unverändert in die Cloud verschoben. Schnell und günstig in der Umsetzung, aber ohne Cloud-Optimierung. Sinnvoll als erster Schritt oder für Legacy-Systeme, die nicht angefasst werden sollen.

  2. Replatform – Lift, Tinker & Shift

    Die Anwendung wird mit kleineren Anpassungen auf eine Cloud-optimierte Plattform gehoben – zum Beispiel von einer eigenen Datenbank auf einen verwalteten Cloud-Datenbankdienst. Moderate Aufwände, spürbare Vorteile.

  3. Repurchase – Drop & Shop

    Die bestehende Anwendung wird aufgegeben und durch eine SaaS-Lösung ersetzt. Beispiel: Migration von einem selbst gehosteten CRM zu Salesforce oder HubSpot. Einfach, aber abhängig von Anbieterangebot.

  4. Refactor – Re-architect

    Die Anwendung wird grundlegend neu entwickelt, um Cloud-native Konzepte wie Microservices, Container und serverlose Funktionen zu nutzen. Höchster Aufwand, aber maximale Cloud-Vorteile und Skalierbarkeit.

  5. Retire – Stilllegen

    Anwendungen, die nicht mehr benötigt werden, werden abgeschaltet. Oft unterschätzt: Eine Migration ist der ideale Zeitpunkt, Altlasten zu bereinigen.

  6. Retain – Behalten

    Manche Anwendungen verbleiben bewusst on-premises – wegen Latenzanforderungen, regulatorischer Vorgaben oder fehlender Cloud-Reife. Eine hybride Strategie ist oft die realistischste Lösung.

Cloud-Anbieter im Vergleich: AWS, Azure, Google Cloud

Amazon Web Services (AWS) ist der Marktführer mit dem breitesten Serviceangebot und dem größten Partnernetzwerk. AWS eignet sich für Unternehmen, die maximale Flexibilität und die ausgereifteste Infrastruktur suchen. Die Preismodelle sind komplex, die Dokumentation umfangreich.

Microsoft Azure ist die bevorzugte Wahl für Unternehmen, die bereits stark auf Microsoft-Produkte setzen – Windows Server, Active Directory, Microsoft 365 und Dynamics 365 lassen sich nahtlos integrieren. Azure ist in Europa besonders stark und bietet umfangreiche Compliance-Zertifizierungen für sensible Branchen.

Google Cloud Platform (GCP) punktet bei Datenanalyse, Machine Learning und Kubernetes. Google Kubernetes Engine gilt als führend in der Container-Orchestrierung. Für KMU ohne spezifische Google-Affinität ist GCP oft die dritte Wahl, aber in KI-lastigen Projekten eine ernsthafte Option.

Eine hybride Cloud kombiniert on-premises Infrastruktur mit Public Cloud. Das ist keine Kompromisslösung, sondern für viele KMU die pragmatisch richtige Antwort: Unkritische Workloads wandern in die Cloud, sensible Daten und latenzabhängige Systeme bleiben lokal.

DSGVO und Cloud: Nicht alle Daten dürfen in jede Cloud. Nach dem Schrems-II-Urteil des EuGH sind Datentransfers in die USA ohne Standardvertragsklauseln (SCCs) und geeignete technische Maßnahmen unzulässig. Prüfen Sie vor der Migration, welche Daten personenbezogen sind und welche Verarbeitungsverträge erforderlich sind.

Kostenplanung: CapEx vs. OpEx und die Falle der Cloud-Kosten

Einer der häufigsten Irrtümer: Cloud spart automatisch Geld. Das stimmt – aber erst nach einer sorgfältigen Optimierungsphase. Viele Unternehmen, die Systeme per Lift & Shift migrieren, zahlen in der Cloud mehr als vorher, weil sie Cloud-Ressourcen wie on-premises Hardware behandeln: immer eingeschaltet, selten optimiert.

Der fundamentale Unterschied: Klassische IT-Investitionen sind CapEx (Capital Expenditure) – einmalige Anschaffungskosten für Server und Lizenzen, die über Jahre abgeschrieben werden. Cloud ist OpEx (Operational Expenditure) – laufende Betriebskosten, die monatlich anfallen und von der tatsächlichen Nutzung abhängen. Das verändert die Finanzplanung grundlegend.

FinOps (Financial Operations) ist die Antwort auf unkontrollierte Cloud-Kosten. Als Disziplin bringt FinOps IT, Finance und Business zusammen, um Cloud-Ausgaben transparent zu machen, zu optimieren und zu steuern. Konkrete Maßnahmen: Rightsizing von Instanzen, Auto-Scaling, Reserved Instances für planbare Workloads und konsequentes Tagging aller Ressourcen zur Kostenzuordnung.

Typische Migrationsfehler und wie Sie sie vermeiden

  • Mangelndes Assessment: Wer Abhängigkeiten zwischen Systemen nicht kennt, migriert blind und riskiert Ausfälle
  • Fehlende Exit-Strategie: Wer keinen Plan B hat, wenn die Cloud nicht funktioniert, ist erpressbar
  • Vendor Lock-in ignoriert: Proprietäre Cloud-Services machen den späteren Wechsel teuer und schwierig
  • Sicherheit nachgelagert: Sicherheitskonzepte müssen vor der Migration definiert werden, nicht danach
  • Unterschätzte Testaufwände: Jede migrierte Anwendung muss in der Cloud vollständig neu getestet werden
  • Kein Kostenmonitoring: Ohne Budget-Alerts und FinOps-Prozesse explodieren Cloud-Rechnungen unbemerkt
  • Mitarbeiter vergessen: Cloud erfordert neue Kompetenzen – Schulungen müssen Teil der Migrationsplanung sein

Shared Responsibility Model: Wer ist für was verantwortlich?

In der Cloud teilen sich Anbieter und Kunde die Sicherheitsverantwortung – aber die Grenze ist nicht immer intuitiv. Das Shared Responsibility Model besagt: Der Cloud-Anbieter ist verantwortlich für die Sicherheit der Cloud-Infrastruktur (physische Sicherheit der Rechenzentren, Hypervisor, Netzwerkinfrastruktur). Der Kunde ist verantwortlich für die Sicherheit in der Cloud – also für alles, was er auf der Infrastruktur betreibt: Betriebssystemkonfiguration, Zugriffsrechte, Verschlüsselung, Anwendungssicherheit und Datenschutz.

Ein häufiger Denkfehler: Weil die Daten in der Cloud des Anbieters liegen, sei dieser für deren Schutz zuständig. Das ist falsch. Ein falsch konfigurierter S3-Bucket bei AWS ist die Verantwortung des Kunden – und war Ursache zahlreicher aufsehenerregender Datenpannen. Identity and Access Management (IAM), Verschlüsselung at rest und in transit sowie regelmäßige Security-Audits bleiben Aufgabe des Unternehmens.

Für KMU bedeutet das: Cloud-Migration erhöht nicht automatisch die Sicherheit. Sie verlagert Verantwortung, erfordert neue Kompetenzen und macht Sicherheitsfehler potenziell öffentlicher als bei lokalen Systemen hinter der Firewall.

Führen Sie vor jeder Cloud-Migration ein Workload-Assessment durch: Welche Anwendungen existieren? Welche haben Abhängigkeiten zueinander? Welche Daten verarbeiten sie? Wie kritisch sind sie für den Geschäftsbetrieb? Diese Bestandsaufnahme dauert zwei bis vier Wochen und verhindert die teuersten Migrationsfehler.
Zusammenfassung
  • Die 6 R der Migration helfen, für jede Anwendung die richtige Strategie zu wählen – von Lift & Shift bis Refactoring.
  • Cloud-Kosten müssen aktiv gesteuert werden: FinOps ist keine Option, sondern Pflicht.
  • DSGVO und Shared Responsibility Model erfordern rechtliche und sicherheitstechnische Vorbereitung vor der Migration.
  • Ein vollständiges Workload-Assessment und eine Exit-Strategie sind die wichtigsten Risikominimierungsmaßnahmen.

Cloud-Migration planen

INREMA begleitet KMU durch jede Phase der Cloud-Migration – von der Strategie über das Assessment bis zur sicheren Umsetzung und FinOps-Optimierung.

Beratung anfragen

Häufige Fragen

Was ist der erste Schritt bei einer Cloud-Migration?
Der erste Schritt ist ein Workload-Assessment: eine vollständige Bestandsaufnahme aller Anwendungen, ihrer Abhängigkeiten, der verarbeiteten Daten und ihrer Geschäftskritikalität. Erst danach lässt sich die richtige Migrationsstrategie für jede Anwendung festlegen.
Welcher Cloud-Anbieter ist für KMU am besten geeignet?
Das hängt von der bestehenden IT-Landschaft ab. Microsoft-lastige Unternehmen profitieren meist von Azure. Wer maximale Flexibilität und das breiteste Serviceangebot sucht, wählt AWS. Google Cloud ist besonders stark bei Datenanalyse und KI. Hybride Ansätze sind für viele KMU die pragmatischste Lösung.
Dürfen personenbezogene Daten in die öffentliche Cloud?
Ja, aber nur unter bestimmten Voraussetzungen. Es müssen Verarbeitungsverträge (AVV) mit dem Cloud-Anbieter abgeschlossen werden. Bei Drittlandtransfers (z.B. USA) sind Standardvertragsklauseln (SCCs) und technische Schutzmaßnahmen erforderlich. Besonders sensible Daten können regulatorisch ausgeschlossen sein.
Wie verhindere ich Vendor Lock-in bei der Cloud-Migration?
Durch Einsatz offener Standards und portabler Technologien wie Container (Docker/Kubernetes), Vermeidung proprietärer Cloud-Services wo möglich, eine klare Exit-Strategie im Voraus und regelmäßige Evaluierung von Multi-Cloud-Optionen. Vollständiger Lock-in ist schwer zu vermeiden, aber bewusstes Management reduziert das Risiko erheblich.

War dieser Artikel hilfreich?

Verwandte Artikel
Datenschutz & Compliance
IT-Sicherheit für KMU: Der Basis-Schutz den jedes Unternehmen braucht
10 Min. Lesezeit
Digitalisierung & KI
KI-Infrastruktur: Was Unternehmen wirklich brauchen — und was sie sich sparen können
6 Min. Lesezeit
Websites & Software
Microservices-Architektur: Wann sie sinnvoll ist – und wann ein Monolith besser bleibt
10 Min. Lesezeit

Haben Sie weitere Fragen?

Unser Team hilft Ihnen persönlich und direkt weiter.

← Zur Kategorie Kontakt aufnehmen