Zwischen Sicherheit und Skalierbarkeit: Warum Unternehmen auf die Hybrid-Cloud als Rückgrat ihrer IT setzen

Wie wir im ersten Artikel unserer Blog-Reihe zur Cloud beschrieben haben, stellt das viele Unternehmen und Organisationen vor ein Dilemma. Für sie ist eine Schwarz-Weiss-Entscheidung für oder gegen die Cloud keine zufriedenstellende Option, wenn sie gleichzeitig die Kontrolle über sensible Daten behalten, aber auch Innovationen wie die KI für sich nutzen wollen.

In diesem Spannungsfeld hat sich die Hybrid-Cloud als Lösung etabliert. Sie gilt als Brücke zwischen der agilen Welt der Public Cloud und der abgesicherten Infrastruktur der Private Cloud oder des klassischen Rechenzentrums. Anders als bei reinen Public-Cloud-Strategien behalten Unternehmen mit der Hybrid-Cloud bestimmte Systeme, Daten oder Anwendungen vollständig unter eigener Kontrolle, ohne auf moderne Cloud-Funktionalitäten verzichten zu müssen.

Das Konzept ist dabei nicht neu, doch erst durch ausgereiftere Tools für Datenintegration, hybride Netzwerke und Security-Lösungen wird die Hybrid-Cloud nun wirklich handhabbar – und zunehmend geschäftsrelevant. 

Was ist eine Hybrid-Cloud?

Die Begriffsverwendung rund um «Hybrid», «Multi-Cloud» und «Private Cloud» ist oft unscharf. Klar definieren lässt sich die Hybrid-Cloud durch ihre funktionale Verzahnung: Eine hybride IT-Infrastruktur kombiniert mindestens eine Private-Cloud-Komponente mit einer Public-Cloud-Plattform wie AWS, Azure von Microsoft oder Google Cloud zu einer integrierten Lösung.

Bei einer solchen Hybrid-Cloud-Infrastruktur sind die folgenden Komponenten von besonderer Bedeutung:

• On-Premises-Datenzentrum: Lokales Rechenzentrum mit physischen Servern, auf denen geschäftskritische Anwendungen betrieben und sensible Daten gehalten werden.
• Cloud-Umgebung: Virtuelle Infrastruktur und Plattformdienste, die Skalierbarkeit und Agilität ermöglichen.
• Virtuelle Netzwerke (VNets/VPCs): Logische Netzwerke in der Cloud, die Kommunikation und Segmentierung von Ressourcen sicherstellen.
• API Gateways: Steuern und sichern den Zugriff auf Cloud-Services und ermöglichen eine standardisierte Schnittstelle für Anwendungen.
• Remote Gateways: Ermöglichen den sicheren Zugriff auf Netzwerkressourcen in On-Premises-Umgebungen.
• VPN Gateways: Stellen verschlüsselte Virtual-Private-Network-(VPN-)Verbindungen zwischen Cloud und On-Premises-Systemen her, um den Datenverkehr sicher über öffentliche Netzwerke zu leiten.
• VPN-Verbindung: Tunnel für sicheren, verschlüsselten Datenverkehr zwischen verschiedenen Standorten und Cloud-Umgebungen.

Welche Vorteile ergeben sich aus der Hybrid-Cloud?

Statt einer radikalen Verlagerung aller Prozesse in die Cloud kombinieren immer mehr Unternehmen eigene Rechenzentren mit externen Hyperscaler-Plattformen. Der zentrale Vorteil hierbei ist die Möglichkeit, Workloads und Daten dynamisch zwischen den Umgebungen zu verschieben: Beispielsweise bleibt der Datenspeicher zu Hause, die Rechenleistung wird bei Bedarf aus der Cloud dazugeschaltet. Die Verbindung ist dabei nicht nur technisch, sondern strategisch. Sie erlaubt es, Ressourcen flexibel zu verteilen und gleichzeitig den Überblick zu behalten.

Diese Verbindung macht die Hybrid-Cloud für viele Unternehmen zu einem strategischen Enabler, insbesondere in regulierten Branchen.

Was klingt wie ein IT-Feinschliff, ist in Wahrheit ein Fundament im gegenwärtigen IT-Zeitalter. Denn die Hybrid-Cloud befähigt Unternehmen dazu, beides zu tun: das Alte bewahren und das Neue nutzen. Sie ist der stille Vermittler zwischen Legacy-System und digitaler Zukunft.

Wo ist der Einsatz einer Hybrid-Cloud sinnvoll?

Die Hybrid-Cloud hat sich in der Praxis als strategisches Werkzeug für sehr konkrete Herausforderungen bewährt. Wer Daten effizient nutzen, aber sensible Informationen schützen muss, setzt auf eine Architektur, die beides erlaubt: Kontrolle und Skalierbarkeit. Ein Blick in vier Schlüsselbranchen der Schweiz zeigt, wie unterschiedlich der hybride Ansatz eingesetzt wird und wie greifbar seine Wirkung ist.

Hybrid-Coud-Lösungen in der Praxis: Fertigungsindustrie

In der Industrie etwa geht es um nichts Geringeres als um den Takt der Produktion (Industrie-4.0-Ansätze). Bei Fertigungsunternehmen laufen in den Maschinen Sensoren, die in Echtzeit Temperatur, Vibration und Druck messen. Diese Daten fliessen zunächst in lokale Systeme, damit sie mit einer möglichst geringen Latenz in der Systemsteuerung ankommen. Erst zur weiterführenden (und ressourcenhungrigen) Analyse werden sie in die Cloud gespiegelt. Dort berechnet eine KI, wann mit dem nächsten Lagerdefekt oder Schmiermittelverlust zu rechnen ist – lange bevor die Maschine ausfällt.

Hybrid-Cloud-Lösungen in der Praxis: Gesundheitswesen

Das Universitätsspital Basel nutzt seit einigen Jahren eine Lösung, bei der sensible Patientendaten lokal gespeichert und durch ein On-Premises-System mit Scality-RING-Architektur gesichert werden. Bei dieser Architektur handelt es sich um eine hochskalierbare, softwarebasierte Speicherlösung, die speziell für objekt- und dateibasierte Daten entwickelt wurde und sich für Cloud-, Backup-, Archivierungs- und medienintensive Anwendungen eignet. Sie wird häufig in Hybrid-Cloud-Infrastrukturen eingesetzt.

Gleichzeitig laufen bildgebende Verfahren, wie etwa die Auswertung von Röntgen- oder MRT-Aufnahmen, über eine cloudbasierte KI. Die skalierbare Rechenleistung beschleunigt die Diagnose, während die vollständige Datenhoheit beim Spital bleibt. Ein wichtiger Punkt in einer Branche, die strengen Datenschutz- und Dokumentationspflichten unterliegt.

Hybrid-Cloud-Lösungen in der Praxis: Öffentlicher Sektor

Beim Bundesamt für Informatik und Telekommunikation (BIT) ist man dabei, die Swiss Government Cloud aufzubauen. Dabei handelt es sich um eine hybride Cloud-Strategie, die bis 2032 gestaffelt eingeführt wird. Ziel ist es, kantonale und kommunale Services wie E-Government-Plattformen oder Terminvergabesysteme bei Bedarf in die Public Cloud auszulagern, aber dabei die Kontrolle über personenbezogene Daten zu behalten. Diese sollen auf privaten Servern innerhalb der föderalen Infrastruktur gespeichert bleiben. Das Konzept bietet nicht nur Flexibilität, sondern erfüllt auch die hohen Anforderungen an IT-Souveränität, wie sie im staatlichen Kontext unabdingbar sind.

Hybrid-Cloud-Lösungen in der Praxis: Finanzsektor

Im Finanzsektor wiederum sind es regulatorische Rahmenbedingungen, die den Ausschlag geben – kombiniert mit dem steigenden Bedarf an digitalem Kundenerlebnis. Während kritische Daten – etwa Kontoinformationen, Identitätsnachweise oder Kreditverträge – strikt innerhalb geschützter Private-Cloud-Umgebungen verbleiben, werden neue Services wie Budgetplanung, Portfolioanalyse oder digitale Kommunikation in der Public Cloud realisiert. So können Banken auf neue Anforderungen ihrer Kundschaft reagieren, ohne dabei gegen Regularien der FINMA oder der DSGVO zu verstossen.

Was all diese Beispiele verbindet, ist ihre Unterschiedlichkeit. Denn die Hybrid-Cloud folgt keinem festen Modell – sie orientiert sich an der Realität der jeweiligen Branche. In der Industrie ist sie Garant für stabile Steuerung und vorausschauende Wartung, im Gesundheitswesen sichert sie Datenaustausch bei maximaler Rechenleistung. Die Verwaltung nutzt sie, um Ressourcen effizient zu verteilen, ohne Kontrolle aufzugeben. Und der Finanzsektor profitiert von einer Architektur, die Innovation und Regulierung unter einen Hut bringt. So wird aus einem technischen Konzept eine differenzierte Strategie – und aus Theorie greifbarer Alltag.

Wann ist von einer Hybrid-Cloud abzuraten?

Die Hybrid-Cloud gilt als strategisches IT-Modell der Zukunft – flexibel, sicher, ausbaufähig. Doch sie ist nicht für alle Organisationen der passende Weg. Gerade dort, wo Einfachheit, Tempo oder knappe Ressourcen im Vordergrund stehen, kann sie schnell zur Überforderung werden.

Unpassende Geschäftsausrichtung

Ein typisches Beispiel hierfür sind Start-ups. Wer ohne technische Altlasten beginnt, setzt in der Regel auf cloudnative Systeme – und das aus gutem Grund. Statt sich mit komplexen Integrationen oder Governance-Strukturen zu befassen, zählen hier Geschwindigkeit und Skalierbarkeit. Der Fokus liegt auf schnellem Markteintritt, nicht auf langwieriger Infrastrukturpflege.

Limitierte Ressourcen

Auch kleine Betriebe mit begrenztem IT-Budget oder ohne eigene Fachabteilung fahren mit einfacheren Modellen oft besser. Standardisierte Software-as-a-Service-(SaaS-)Lösungen – etwa für Buchhaltung, Lagerverwaltung oder Kommunikation – sind in solchen Fällen nicht nur günstiger, sondern auch wartungsärmer. Eurostat bestätigt: Über 40 Prozent der Kleinstunternehmen in der EU setzen heute auf Cloud-Dienste, die überwiegend als vollständig ausgelagerte Lösungen laufen.

Geographische Faktoren

Wer in abgelegenen Regionen oder Schwellenländern operiert, stösst bei hybriden Architekturen schnell an technische Grenzen. Fehlende Glasfaseranbindungen, instabile Netze oder schlechte Latenz machen die zuverlässige Kopplung zwischen lokaler Infrastruktur und Cloud-Diensten oft schlicht unmöglich. In solchen Fällen ist eine On-Premises-Infrastruktur vorzuziehen.

Hohe Anforderungen bei Umsetzung und Betrieb

Die Vorstellung, man könne einfach zwei Welten zusammenschalten und damit das Beste aus beiden herausholen, ist trügerisch. In Wahrheit verlangt die Hybrid-Cloud ein Höchstmass an Disziplin und Expertise: Wer nicht genau weiss, wie Systeme miteinander sprechen, wo sensible Übergänge verlaufen oder welche Daten wohin dürfen, riskiert mehr als nur Performance-Probleme. Es drohen Sicherheitslücken, Kostenexplosionen oder rechtliche Konflikte.

Technische Integration allein reicht also nicht. Ebenso entscheidend sind abgestimmte Prozesse, Rollen und Steuerungsmechanismen, insbesondere bei hybriden Architekturen, die nahtlos, aber auch transparent funktionieren müssen.

Und dann sind da die Kosten. Was bei guter Planung Einsparungen verspricht, kann bei unklarer Steuerung zum Fass ohne Boden werden. Denn Cloud-Anbieter rechnen nicht in Monatsmieten, sondern in Millisekunden und Gigabytes. Wer nicht misst, was genutzt wird, zahlt schnell zu viel und merkt es oft erst spät.

Daniel Hogg, Head of Architecture bei Adnovum, bringt es auf den Punkt:

Was gilt es bei der Planung einer Hybrid-Cloud-Infrastruktur zu beachten?

Laut unserem Architektur-Experten Daniel Hogg, Head of Architecture, hängt der Erfolg einer hybriden Cloud-Architektur selten von den verwendeten Technologien, sondern von der Art und Weise der Integration von On-Premises-Systemen mit öffentlichen und/oder privaten Cloud-Ressourcen ab. Oberste Priorität sollte dabei die Planung einer standardisierten, sicheren und resilienten Architektur sein, um langfristig keinen Flickenteppich aus schlecht abgestimmten Services zu erhalten, die Performance-Engpässe und Sicherheitslücken aufweist.

Unsere Erfahrung aus diversen Kundenprojekten in regulierten Industrien zeigt, dass richtig geplante Hybrid-Architekturen die Leistungsfähigkeit einer Organisation steigern, sofern ein Augenmerk auf die folgenden Fallstricke beim Aufbau gerichtet ist:

Konnektivität und Netzwerk

Eine Hybrid-Umgebung ist netzwerkseitig ein Kreislauf von einer On-Premises-Umgebung (On-Prem) zur Cloud und wieder zurück. Eine falsch konfigurierte oder unterdimensionierte Verbindung kann zu Latenzspitzen, unvorhersehbarem Durchsatz oder gar Ausfällen führen. Wenn alle Verbindungen nur über öffentliche Netze laufen, führt zum Beispiel ein Ausfall der Internetverbindung zwischen On-Prem und Cloud unweigerlich zu einem Systemausfall mit potenziell negativen Konsequenzen hinsichtlich Kundenzufriedenheit und Umsatz. Eine Empfehlung ist, für kurzfristige, weniger kritische Verbindungen (z.B. Test- und Entwicklungsumgebungen) und Anwendungen mit geringen Anforderungen an die Bandbreite und zeitunkritischer Datenübertragung ein kostengünstiges VPN einzusetzen, und für hochverfügbare und performante Anwendungen, die eine garantierte Bandbreite benötigen (z.B. Echtzeit-Transaktionssysteme im Finanzsektor), eine private dedizierte Verbindung.

Fallstricke:

• Die ausschliessliche Nutzung des öffentlichen Internets für den Verkehr zwischen Cloud und On-Prem ohne Redundanz bildet ein Risiko hinsichtlich Verbindungsstabilität und Ausfällen.
• Die Domain-Name-System-(DNS-)Auflösung zwischen den Umgebungen kann fehlschlagen und zu Verbindungsabbrüchen führen, sofern keine saubere DNS-Strategie verfolgt wird.
• Eine fehlende Trennung des Datenverkehrs zwischen Cloud und On-Prem für verschiedene Umgebungen (z.B. Produktion vs. Test) stellt ein erhebliches Sicherheitsrisiko dar. Dadurch kann es zu Compliance-Verstössen, Datenverfälschung und Betriebsstörungen kommen.

Empfehlungen:

• Richten Sie redundante, geografisch verteilte Netzwerkpfade ein zur Vermeidung von «Single Points of Failure». Nutzen Sie dedizierte direkte Verbindungen zwischen Rechenzentrum und Cloud (z.B. AWS Direct Connect, Azure ExpressRoute) für kritische Anwendungen, die eine stabile Verbindung und vorhersehbare Performance zwischen Rechenzentrum und Cloud benötigen.
• Richten Sie ein DNS-Forwarding ein, damit Cloud- und On-Prem-Dienste zuverlässig Namen auflösen können. Die Cloud-Provider bieten dafür spezielle hybride DNS-Services an.
• Segmentieren Sie ihre Umgebungen mittels virtueller Netzwerke und Subnetze, trennen Sie den Datenverkehr durch unterschiedliche VPN-Verbindungen und Gateways und führen Sie strikte Zugriffsberechtigungen ein. Dies begrenzt Sicherheitsvorfälle und Störungen auf bestimmte Bereiche.

Sicherheit und Compliance

Sicherheit darf niemals optional sein und muss von Anfang an in jede Architektur integriert werden. Dies gilt insbesondere für Hybrid-Cloud-Infrastrukturen, da hier unterschiedliche Sicherheitsmechanismen und -standards aufeinandertreffen, was ein erhöhtes Compliance-Risiko birgt.

Beispielsweise können unterschiedliche Identitätssysteme in der Cloud und On-Prem dazu führen, dass Änderungen stetig angeglichen und synchronisiert werden müssen. Wechseln Mitarbeitende ihre Rolle in einem System, muss dies zeitnah im anderen System übertragen werden, um das Prinzip der geringsten Rechte einzuhalten und rechtliche Vorgaben zu erfüllen. Eine zentrale Kontrolle über die Zugriffsrechteverwaltung kann diese Komplexität und damit das Risiko von versehentlich unberechtigten Zugriffen auf ein Minimum reduzieren.

Fallstricke:

• Getrennte Sicherheits-, Identitäts- und Zugriffsmodelle für Cloud- und On-Prem-Umgebungen können schnell zu Chaos und Sicherheitslücken führen.
• Sich auf reine Perimeter-Sicherheit (Firewalls) ohne Zero-Trust-Prinzipien zu verlassen, erleichtert es potenziellen Angreifern, sich von System zu System zu bewegen, wenn sie einmal die erste Sicherheitshürde überwunden haben.
• Eine fehlende Verschlüsselung für Daten in Bewegung und im Ruhezustand zwischen Umgebungen stellt ein Risiko hinsichtlich Datenintegrität, Vertraulichkeit und Compliance dar. Dies ist besonders relevant für hybride Umgebungen, da Daten dabei oft über öffentliche Netze ausgetauscht werden.

Empfehlungen:

• Setzen Sie auf eine einheitliche Identitätsverwaltung. Mittels föderiertem Identitäts- und Zugriffsmanagement können Benutzer- und Rollenrechte über alle Umgebungen hinweg synchron und konsistent gehalten werden.
• Setzen Sie auf Zero Trust mit starker Authentifizierung, verfolgen Sie das Prinzip der geringsten Zugriffsrechte und überprüfen Sie dieses kontinuierlich. Jeder Zugriff sollte individuell und mit minimalen Berechtigungen autorisiert werden.
• Verschlüsseln Sie alle Hybrid-Datenflüsse mit neuesten Verfahren, verwenden Sie ein zentrales Schlüsselmanagement für alle Schlüssel und sammeln Sie Zugriffslogs zentral und rückverfolgbar.

Resilienz

Ein hybrider Ansatz erhöht die Komplexität der Resilienz-Strategie um ein Vielfaches, da verschiedene Fehlerquellen für Ausfallszenarien betrachtet werden müssen. Werden Kundendaten beispielsweise ausschliesslich im On-Premises-Rechenzentrum gespeichert, sollte für den Fall eines Stromausfalls ein automatisches Failover mit einem Zweitstandort und/oder in der Cloud eingerichtet werden, um längerfristige Serviceunterbrechungen zu vermeiden.

Fallstricke:

• Die Annahme, dass Cloud-Anbieter automatisch regions- oder hybridübergreifendes Failover bieten, kann bei lokalen Störungen zu Systemausfällen führen.
• Tests der Failover-Prozesse zwischen On-Prem- und Cloud-Workloads dürfen nicht vernachlässigt werden.
• Fehlende Abhängigkeitsanalysen können Serviceunterbrechungen und weitere Probleme wie Performance-Einschränkungen führen, z.B. wenn eine Cloud-Anwendung auf einer einzelnen On-Prem-Datenbank basiert.

Empfehlungen:

• Richten Sie ein automatisches Failover zwischen Cloud- und On-Prem-Systemen ein. Cloud-Provider bieten für die Hochverfügbarkeit und den Backup von Daten in hybriden Umgebungen entsprechende Werkzeuge wie Storage Gateway und File Sync.
• Führen Sie regelmässig Disaster-Recovery-Tests durch, indem Sie Ausfälle simulieren und so sicherstellen, dass die Failover-Prozesse funktionieren.
• Eliminieren Sie Single Points of Failure in der Konnektivität und im Storage und gestalten Sie ihre Systeme so, dass diese unabhängig voneinander laufen können (= lose Kopplung).

Kapazitätsplanung

Kapazitätsprobleme können sowohl in der Cloud als auch On-Prem auftreten, wobei die On-Prem-Skalierung auf diejenige in der Cloud abgestimmt sein sollte. Beispielsweise können Workloads in der Cloud durch Auto-Scaling problemlos mit plötzlichen Lastspitzen umgehen, während jedoch On-Prem-Datenbanken und -Anwendungsserver die Daten eventuell nicht schnell genug verarbeiten können, was in lange Antwortzeiten sowie Timeouts resultiert. Eine entsprechende Kapazitätsplanung mit einer Identifikation der langsamsten Elemente ist deshalb wichtig, um Flaschenhälse zu vermeiden.

Fallstricke:

• Überschätzung der Elastizität, denn Cloud-Scaling löst keine Engpässe in fest dimensionierten On-Prem-Systemen.
• Vernachlässigung der Latenzeffekte beim Verschieben von Workloads zwischen On-Prem und Cloud.
• Fehlende oder unzureichende Reservierung von Cloud-Kapazitäten für planbare Lasten.

Empfehlungen:

• Erstellen Sie ein ganzheitliches Leistungsprofil für Cloud- und On-Prem-Komponenten und planen Sie den Einsatz von Auto-Scaling in der Cloud und die Beschaffung von On-Prem-Hardware entsprechend der Anforderungen.
• Halten Sie daten- und latenzsensible Prozesse lokal, während in der Cloud eher eine elastische Skalierung von Workloads genutzt werden sollte.
• Reservieren Sie Cloud-Kapazitäten für erwartete Spitzenlasten und erweitern Sie die On-Prem-Hardware entsprechend der Anforderungen.

Infrastrukturmanagement und Monitoring

Ohne einheitliche Sicht auf Workloads und deren Abhängigkeiten kann die Hybrid-Cloud schnell zum blinden Fleck werden, wenn verschiedene Verwaltungs- und Überwachungssysteme zum Einsatz kommen. Der Ausfall kritischer Komponenten wird dann oftmals zu spät bemerkt und die Fehlersuche verlängert sich um ein Vielfaches.

Fallstricke:

• Getrennte, nicht integrierte Infrastrukturmanagement- und Monitoring-Tools für Cloud und On-Prem führen schnell zu einer unzureichenden Überwachung des Systemverhaltens.
• Eine Fokussierung nur auf Uptime-Metriken ohne Erkennung früher Warnsignale in den Performance- oder Security-Logs kann zu unerwartetem Serviceverhalten und unzureichender Sicherheitsüberwachung führen.

• Ein verteiltes Fehlerbehandlungsmanagement und Logging führt zu langen komplexen Fehlerbehandlungszyklen, geprägt durch Zeitverluste aufgrund aufwendiger Informationsbeschaffung.

Empfehlungen:

• Führen Sie integrierte Infrastrukturmanagement- und Monitoring-Lösungen ein, um betriebliche Konsistenz durch Automatisierung, Portabilität und einheitliche Überwachung sicherzustellen.
• Automatisieren Sie die Behebung gängiger Vorfälle, z.B. durch die Einführung von Auto-Scaling oder den Neustart von Diensten, um sich auf neue Vorkommnisse konzentrieren zu können und kontinuierlich die Systemstabilität zu erhöhen.
• Führen Sie alle Systemmetriken und -Logs zentral zusammen, um Events zu korrelieren und Fehlerquellen schnell identifizieren und beheben zu können.

Fazit

Das Hybrid-Versprechen «Flexibilität ohne Kontrollverlust» lässt sich nur durch disziplinierte Planung in den Bereichen Konnektivität, Sicherheit, Resilienz, Kapazität und Monitoring einlösen.

Eine gewichtige Rolle spielt hierbei Standardisierung und Konsistenz, da dadurch die Automatisierung erleichtert und Fehlerquellen minimiert werden. Brüche in Architektur oder Prozessen erzeugen dagegen «Flickenteppiche» mit höherem Betriebsaufwand, Sicherheitslücken und unvorhersehbarer Performance. Das Architekturprinzip der losen Kopplung hilft darüber hinaus, die Resilienz zu gewährleisten, wenn jede Umgebung (Cloud und On-Prem) in der Lage ist, im Notfall in einem eingeschränkten, aber funktionsfähigen Modus weiterzuarbeiten, wenn die andere ausfällt.

Für regulierte Branchen muss zudem ein Augenmerk auf Compliance geworfen werden. Hier gilt Vertrauen durch Nachweisbarkeit durch zentral gesteuerte Identitäten, lückenlose Verschlüsselung mit kontrollierten Schlüsseln, private Konnektivität, routinemässige Desaster-/Recovery-Tests, Retention- und Backup-Nachweise, sowie zentrales Monitoring und Alerting für die gesamte Hybrid-Umgebung.

Was bedeutet eine Hybrid-Cloud-Infrastruktur bezüglich Sicherheit und Datenschutz?

Eine hybride Infrastruktur bietet die Flexibilität, Ressourcen dort einzusetzen, wo sie am besten passen. Eine hybride Architektur verschiebt allerdings die Sicherheits- und Datenschutzherausforderungen auf ein Zusammenspiel von mindestens zwei unterschiedlichen Umgebungen.

Wie spielen Architektur, Sicherheit und Datenschutz zusammen?

In der lokalen Infrastruktur kommen klassische Sicherheitsmechanismen und Prozesse zum Tragen; in der Public Cloud kommen hingegen neue Fragen auf, z.B. Tenant Isolation, Rechteverwaltung in der Cloud, Sicherheit der API-Schnittstellen, Datenverschlüsselung und viele mehr. 

Dies bedeutet typisch grössere Komplexität, die, wie wir wissen, in sich selbst schon ein Sicherheitsrisiko darstellt.

Was sind die Knackpunkte oder Stolpersteine?

Wenn zwei oder mehr heterogene Umgebungen betrieben werden, kann dies unangenehme Konsequenzen haben: Unklare Verantwortlichkeiten, Datenlokalisierungsprobleme, mangelnde Interoperabilität auf Ebenen wie Verschlüsselung und Rechteverwaltung, mangelnde Sichtbarkeit der verschiedenen Systeme, dezentral verwaltete Logs und nicht zuletzt der Mangel an Fachkräften, die sich sowohl mit On-Premises- als auch mit modernen Cloud-Security-Systemen auskennen.

Was bedeutet dies organisatorisch?

Um diese Fallstricke zu vermeiden, braucht es nicht nur klare technologische Architekturplanung, sondern generell und von Anfang an starke Security Governance:  Genau untersuchte Business-Prozesse, eindeutige Dokumentation, klare Rollen und Verantwortlichkeiten, neue vertragliche Regelungen mit den Cloud-Providern aber auch mit anderen Auslagerungspartnern, Verständnis des Shared-Responsibility-Modells und schlussendlich überdachte Incident-Response-Prozesse. Das Ziel muss eine möglichst homogene Sicherheitsverwaltung sein.

Sicherheits- und Datenschutzprozesse wie Verschlüsselung, Key-Management, IAM-Prozesse, Endpunktsicherheit, Log-Analyse (SIEM/SOAR), Datenminimisierung und Consent-Management müssen wo immer möglich nahtlos in beide Umgebungen integriert und zentral verwaltet werden können.

Zudem muss wo möglich Automatisierung eingesetzt werden, um das Risiko manuell bedingter Fehler zu minimieren. Themen wie Asset- und Configuration-Management bis hin zu Log-Management und -Analyse haben Unternehmen über Jahre Kopfzerbrechen bereitet. Hier bieten Cloudumgebungen sehr attraktive Möglichkeiten. Via APIs können Server, Load Balancer und andere Systeme sicher konfiguriert, homogen aufgesetzt und automatisiert überwacht werden. Viele Prinzipien der Cloud-Automatisierung können inzwischen mithilfe moderner Automatisierungs- und Orchestrationstools (z.B. Terraform) auch on-premises benutzt werden.

Welche Skills brauchen die Mitarbeitenden?

Vor allem brauchen die Mitarbeitenden praktische Erfahrung mit Cloud-Migrationen und der Verwaltung hybrider Umgebungen. Konkret bedeutet dies Erfahrung in Cloud-Architektur und mit relevanten Tools (z.B. IaC – Terraform, Pulumi), in Security Engineering (IAM, Zero Trust, KMS, SIEM) und Netzwerk-Engineering (SD-WAN, VPN, Subnetting, Segmentierung) sowie in Governance, Risk und Compliance. Zertifizierungen sind ebenfalls interessant, und gewisse Vendor-Zertifikate können gerade im Bereich der Hyperscaler sehr interessant sein. Schlussendlich sollte auch der Bereich Datenschutz nicht vernachlässigt werden, ein Thema, das weit über technische Grenzen hinaus in feine geschäftsprozessbezogene und juristische Details gehen kann.

Zusammenfassende Empfehlung

Eine hybride Infrastruktur bietet die Flexibilität, das Geschäft zukunftssicher zu organisieren. Um Sicherheit und Datenschutz zu gewährleisten, müssen von Anfang an eine klare Architektur, starke Sicherheitskontrollen und ein robuster und transparenter Datenschutzansatz etabliert werden. Von besonderer Wichtigkeit sind Automatisierung und die Zentralisierung der Sicherheitskontrollen, die nahtlos in alle Umgebungen integriert sind.

Das Hybrid-Versprechen «Flexibilität ohne Kontrollverlust» lässt sich nur durch disziplinierte Planung in den Bereichen Konnektivität, Sicherheit, Resilienz, Kapazität und Monitoring einlösen.

Unser Fazit lautet deshalb: Die Hybrid-Cloud ist mehr als Technik – sie ist eine strategische Haltung

Man kann Server kaufen, Infrastruktur skalieren, Software lizenzieren. Aber die Hybrid-Cloud ist mehr als das – sie ist keine Ware, sondern eine Entscheidung. Eine strategische Haltung, die sich nicht in Zeilen Code oder Budgetposten messen lässt. Unternehmen, die diesen Weg einschlagen, entscheiden sich nicht für eine bestimmte Technologie – sondern für eine neue Art, mit Verantwortung, Risiko und Wandel umzugehen.

Denn die Hybrid-Cloud verlangt nicht weniger als einen Perspektivwechsel. Wer sie nutzt, gibt Kontrolle nicht einfach ab, sondern verteilt sie bewusst. Zwischen intern und extern. Zwischen dem, was im eigenen Haus bleiben muss, und dem, was getrost ausgelagert werden kann.

Das setzt Vertrauen voraus – in die eigene IT, in etablierte Prozesse, aber auch in Partner und Plattformen, die ausserhalb des direkten Einflussbereichs liegen. Es ist ein Spagat, der Planung und Mut zugleich verlangt: Welche Systeme bleiben? Welche Daten dürfen wohin? Wo beginnt Flexibilität, und wo hört Sicherheit auf?

Wer diesen Spagat wagt, gewinnt. Nicht über Nacht, nicht per Mausklick. Sondern Schritt für Schritt – mit jedem Projekt, jedem Use Case, jeder Verbesserung. Die Hybrid-Cloud ist kein Ziel, sondern ein Werkzeug. Aber eines, das Unternehmen genau das gibt, was sie in einem sich ständig wandelnden Markt brauchen: Handlungsspielraum.

Die Freiheit, zu wachsen, ohne die Kontrolle zu verlieren. Die Möglichkeit, zu innovieren, ohne sich vom eigenen Kern zu entfremden. Am Ende ist es eine Haltung: gestalten statt verwalten, integrieren statt abschotten.

Wer bereit ist, Verantwortung neu zu denken, macht aus IT kein Abwehrbollwerk, sondern ein strategisches Rückgrat. Genau dafür ist die Hybrid-Cloud da.

Im letzten Teil der Blog Serie 2025 werden wir demnächst auf die Multi-Cloud als mögliche Strategie eingehen.

Möchten Sie weitere Informationen und Unterstützung für Ihre Hybrid-Cloud-Strategie?

Autoren

Patrik Meier

Head of Cloud Solutions

Stefan Dydak

Head of Security Consulting