Kurzvorstellung Max Hille
Maximilian Hille ist Head of Sales bei der tecRacer, einem führenden führende AWS-Partner in der DACH-Region und als einziger zertifizierter AWS Premier Tier Services und Advanced Tier Training Partner auf Cloud-Lösungen spezialisiert. Mit umfassender AWS-Expertise unterstützt tecRacer Unternehmen bei Cloud-Transformation, Modernisierung und sicheren, skalierbaren IT-Lösungen. Seit über 15 Jahren hat Max sich der Verbreitung Cloud-nativer Architekturen und Vorgehensweisen im deutschen Mittelstand verschrieben und gehört zu den Veteranen der europäischen Cloud Native-Bewegung.
Gregor: Bereits in den ersten beiden Interviews dieser Serie haben wir über die Bedrohungsszenarien und den Einfluss der Trump-Regierung auf europäische Unternehmen und ihre Cloud- & Technologiestacks gesprochen. Was tut sich seitdem?
Max: Genau das ist die schwierige Frage, der wir uns nach wie vor konfrontiert sehen. Bis zuletzt schien es eher ruhig zu sein und der Handels-, Zoll- und Sanktionskonflikt auf andere Staaten zu fokussieren. Doch das muss nicht so bleiben. Seit dem 4.6. sind erneut Strafzölle von bis zu 50 Prozent auf Eisen, Stahl und Aluminium aus der EU wirksam. Die Geschwindigkeit von Ankündigungen, Durchsetzungen und Aufhebungen dieser neuen Dekrete, Zölle oder sonstigen Vorgaben im globalen Handel lassen sich in den heißen Phasen kaum im Einzelnen verfolgen. An Tag 1 werden Zölle auf zahlreiche Güter und Dienstleistungen verhängt, Gegenzölle ins Leben gerufen, vor Nutzungen bestimmter Güter gewarnt und am nächsten Tag kommt alles ganz anders. Was passiert in den nächsten Wochen in den USA? Wie reagiert die neue Bundesregierung und welche sonstigen globalen Konflikte setzen den europäischen Wirtschaftsraum und die uneingeschränkte Technologienutzung unter Druck? Vermutlich weiß nicht einmal die US-Regierung selbst genau, was sie in den kommenden Wochen verkünden werden.
Gregor: Was bedeutet das nun für Unternehmen in Europa?
Max: Wenn wir auf die lokalen bzw. europäischen Unternehmen schauen und in unserem Fall auch deren IT-Infrastruktur, können diese nicht in derselben Geschwindigkeit auf diese Ankündigungen reagieren. Selbst 90 Tage, wie die zwischenzeitliche und noch andauernde Zollpause dauern soll, sind eine utopisch kurze Zeitspanne für einen Umbau, über den wir hier reden.
Fakt ist, dass sich Unternehmensentscheider wie beispielsweise CIOs und CTOs nun zurecht fragen, wie sie mit der Situation umgehen sollen und was die Abhängigkeit von US-amerikanischen Technologien für sie bedeutet.
"Die Abhängigkeiten auf allen Ebenen der IT sind massiv."
Gregor: Wie viele und welche Abhängigkeiten von US-amerikanischer Technologie bestehen heute?
Max: Die Abhängigkeiten sind massiv – und sie betreffen alle Ebenen der IT. Im Softwarebereich sind es Klassiker wie VMware, Oracle oder Microsoft, die fast überall im Einsatz sind. Im Hardwarebereich stammen zentrale Komponenten – etwa Prozessoren (Intel, AMD), Chipsätze oder auch viele Storage-Controller – überwiegend von US-Firmen. Im Netzwerk dominieren Cisco und Juniper bei Routern und Switches. Auch Endgeräte wie Laptops oder Smartphones nutzen fast ausnahmslos US-Betriebssysteme wie Windows, macOS, iOS oder Android. Bei SaaS-Diensten sind Google Workspace, Microsoft 365, Salesforce oder Adobe nahezu Standard. Anderswo kommt die Software zwar aus Europa, doch der technische Unterbau, insbesondere wenn es gehostete SaaS-Services, läuft vieles technisch oder organisatorisch über amerikanische Subsysteme. Kurz: Die Abhängigkeit ist strukturell, nicht nur punktuell.
Gregor: Vor welchen Risiko-Szenarien genau haben Unternehmen denn Angst?
Max: Unternehmen fürchten in erster Linie geopolitisch motivierte Eingriffe – also keine klassischen Cyberangriffe, sondern regulative oder politische Maßnahmen. Dazu zählen etwa Entity-Bans, bei denen bestimmte Unternehmen oder Länder von US-Technologien ausgeschlossen werden. Auch sogenannte Kill-Switches sind zwar unrealistisch, aber kein unmögliches Bedrohungsszenario – also die Möglichkeit, dass ein US-Anbieter zentral Funktionen deaktivieren kann, z. B. durch Lizenzentzug oder unterbrochene Updates. Viele Szenarien drehen sich um Geschäftsunterbrechungen: Was passiert, wenn ein Cloud-Service plötzlich abgeschaltet wird, ein Lizenzserver nicht mehr erreichbar ist oder ein kritischer SaaS-Dienst nicht mehr nutzbar ist? Die Sorge ist, dass die eigene digitale Infrastruktur zum Spielball internationaler Politik wird – ohne Vorwarnung und ohne Handlungsspielraum.
Gregor: Wie sähen solche Attacken technisch konkret aus?
Max: Technisch sind das oft keine spektakulären Angriffe, sondern gezielte Eingriffe in kritische Abhängigkeiten. Mittlerweile ist sogar denkbar, dass es ganz reguläre politische Entscheidungen, denen die Anbieter folgen (müssen). Ein Beispiel: Ein Lizenzserver für VMware oder Oracle wird deaktiviert – plötzlich lassen sich virtuelle Maschinen nicht mehr starten oder verwalten. Oder ein Update wird zurückgehalten, wodurch Sicherheitslücken offenbleiben. Auch ein „Silent Kill Switch“ ist denkbar – etwa durch ein verpflichtendes Software-Update, das bestimmte Funktionen blockiert. Bei SaaS-Diensten wie Microsoft 365 könnte ein Zugang einfach gesperrt oder ein Account deaktiviert werden – ohne Vorwarnung. Donald Trump könnte das alles anordnen, durch politische oder regulatorische Vorgaben, und trifft genau die Punkte, an denen Unternehmen am verwundbarsten sind: Verfügbarkeit, Integrität und Kontrolle über die eigene IT. Dagegen ist kein Cybersecurity-Tool der Welt gerüstet.
"Unternehmen müssen ihre Kronjuwelen kennen."
Gregor: Was kann ein CTO einer Organisation jetzt konkret tun, um sich zu schützen? Welche Maßnahmen kann ein Unternehmen jetzt schon treffen?
Max: Der erste Schritt ist Transparenz: Ein CTO muss genau wissen, welche Abhängigkeiten es gibt – in Infrastruktur, Software, Endgeräten und Diensten. Danach geht es darum, die sogenannten „Kronjuwelen“ – also besonders kritische Daten und Anwendungen – abzusichern. Das heißt: verlässliche Backups anlegen, idealerweise auf einer zweiten, souveränen Infrastruktur, und klare Notfallpläne entwickeln. Ein Minimalansatz wäre: das Migrationskonzept in der Schublade haben, falls ein bestimmter Dienst ausfällt. Etwas weiter gedacht kann man auch beginnen, kritische Komponenten schrittweise zu entkoppeln – z. B. durch Containerisierung, den Einsatz offener Standards oder die Einführung von Multi-Cloud-Strategien. Ziel ist nicht totale Autarkie, sondern ein bewusstes Risikomanagement mit Handlungsfähigkeit im Ernstfall.
Gregor: Vor was kann er sich nicht mehr schützen? Was geht über die Wirkungsmacht eines CTOs einer einzelnen Organisation hinaus?
Max: Eine IT-Organisation kann viele Risiken operativ abfedern – aber nicht alles liegt in seiner Hand. Er kann sich nicht vor politischen Entscheidungen wie einem breiten Technologie-Embargo oder regulatorischen Eingriffen in Lizenzmodelle schützen. Das gilt besonders für Unternehmen im E-Commerce oder im FinTech-Bereich, die stark auf US-basierte Payment-Dienstleister,, Cloud-Plattformen oder Compliance-APIs angewiesen sind. Auch im Netzwerkbereich gibt es kritische Abhängigkeiten – etwa bei transatlantischen Routingpunkten, Authentifizierungsdiensten oder API-Zugängen, die zentral in US-Infrastrukturen verankert sind. Selbst wenn lokal gehostet wird, bleiben viele Verbindungen technisch oder rechtlich von US-Unternehmen kontrolliert. Diese strukturelle Abhängigkeit lässt sich auf Organisationsebene kaum vollständig auflösen – hier braucht es politische und industrieübergreifende Lösungen.
Gregor: Wie könnte ein schrittweiser Übergang von US-Technologien zu souveräneren Alternativen praktisch aussehen – ohne das Geschäft zu gefährden?
Max: Ein vollständiger Bruch ist weder realistisch noch sinnvoll. Der pragmatische Weg ist ein schrittweiser, risikoorientierter Übergang. Zuerst identifiziere ich besonders kritische Systeme und beginne dort mit der Entkopplung – etwa durch den Einsatz offener Standards, Containerisierung oder Plattform-Abstraktionen. Bei neuen Projekten sollte von Anfang an geprüft werden, ob europäische oder offene Alternativen wie IONOS, StackIT, OVH, Open Telekom Cloud & Co. möglich sind. Im SaaS- und API-Bereich kann man gezielt redundante Schnittstellen aufbauen, um im Ernstfall flexibel zu bleiben. Im E-Commerce oder FinTech-Umfeld bedeutet das z. B., nicht nur einen Zahlungsanbieter einzusetzen, sondern mehrere. Wichtig ist: Es geht nicht um Autarkie um jeden Preis, sondern um Wahlfreiheit und Exit-Strategien. Migration sollte vorbereitet, aber nicht sofort notwendig sein – das reduziert Risiko, ohne das Geschäft zu blockieren.
"Wer aus Angst vor dem Kontrollverlust alles kontrollieren will, der verliert am Ende möglicherweise sein Geschäft."
Gregor: Was ist mit den Souvereign Clouds der Hyperscaler
Max: Aktuell werden diese Konzepte sehr kritisch gesehen. Es ist auch tatsächlich eine Gratwanderung. Sovereign Clouds von Oracle oder AWS, aber auch vergleichbare Optionen von Google oder Microsoft mit DELOS haben einiges getan, um den Unternehmen mehr Kontrolle und mehr prozessuale Sicherheitsschleusen sowie vertragliche Anpassungen mitbringen. Sie erhöhen die Souveränität und stellen für einige Unternehmen die hinreichende Antwort da, da sie objektiv und gutgläubig mehr Abschottung versprechen und die Integrität der US-Provider verbessern. Doch wer komplett autark von der US-Politik sein will und misstrauisch bei der geopolitischen Lage ist, sieht hier nur ein Pflaster auf die bekannte Technologie und Problematik. Es ist wie immer eine Abwägungssache. Ich möchte die souveränen Clouds daher nicht abschreiben.
Gregor: Wo genau ist die Grenze zwischen rationalem Risikomanagement und überzogener Autarkiebestrebung („Selbstmord aus Angst vor dem Tod“)?
Max: Die Grenze liegt dort, wo Maßnahmen mehr Schaden anrichten als das eigentliche Risiko. Rationales Risikomanagement bedeutet: Ich kenne meine Abhängigkeiten, bewerte die Bedrohungsszenarien und sichere die kritischen Teile meines Geschäfts ab – etwa durch Backups, Ausweichpläne und bewusst gesetzte Redundanzen. Überzogene Autarkiebestrebung beginnt da, wo ich versuche, sämtliche US-Technologien sofort zu ersetzen, meinen Stack komplett umzubauen und dabei Produktivität, Sicherheit und Innovationsfähigkeit gefährde. Gerade für mittelständische Unternehmen wäre das wirtschaftlich und organisatorisch kaum verkraftbar. Ziel muss Handlungsfähigkeit sein – nicht Isolation. Wer aus Angst vor dem Kontrollverlust alles kontrollieren will, verliert am Ende oft beides: Kontrolle und Geschäft. Aber jetzt ist die beste Zeit, dies auch konkret zu bewerten und durch eine Expertenmeinung abzusichern.
Gregor: Vielen Dank für Deine Zeit!
