„Cloud first" war ein Jahrzehnt lang die Standard-Antwort auf jede Infrastruktur-Frage. 2026 verschiebt sich der Diskurs spürbar – nicht aus Cloud-Skepsis, sondern aus drei pragmatischen Gründen: rechtliche Risiken, betriebswirtschaftliche Realitäten und die Erkenntnis, dass moderne Open-Source-Stacks Enterprise-Niveau erreichen.
Drei Treiber, die self-hosted gerade jetzt zurückbringen
1. Rechtliche Drittstaaten-Risiken
Der US Cloud Act (2018) erlaubt US-Behörden weiterhin den Zugriff auf Daten amerikanischer Anbieter – auch dann, wenn die Daten physisch in der EU liegen. Schrems II (2020) hat den Privacy Shield gekippt; das EU-US Data Privacy Framework von 2023 steht aktuell vor der nächsten gerichtlichen Überprüfung. Wer 2026 sensible Daten (Mitarbeiter, Kunden, IP) in einer Hyperscaler-Cloud verarbeitet, übernimmt damit einen residual rechtlichen Risikoposten, der schwer kalkulierbar ist.
2. NIS-2 verlangt Nachweisbarkeit – nicht „Anbieter-Versprechen"
Die NIS-2-Richtlinie fordert Audit-fähige Beweise zu Datenflüssen, Drittparteien-Risiko und Incident-Response-Bereitschaft. „Wir vertrauen Microsoft" reicht nicht – der Wirtschaftsprüfer braucht Logs, Konfigurations-Snapshots, Berechtigungs-Reviews. In SaaS-Umgebungen sind genau diese Artefakte oft schwer zugänglich oder nur per Premium-Plan.
3. SaaS-Kostenkurven werden steiler
Pro-Seat-Pricing klingt billig, bis die Lizenzkosten 2,5× pro vier Jahre wachsen, die „Premium"-Features in höheren Tiers verschwinden und „AI Add-Ons" 30 % oben drauf kommen. Eine self-hosted Plattform kostet vorne mehr (Setup, Schulung), aber bleibt danach kalkulierbar – die Hardware ist nahezu konstant, Open Source ist 0 €.
Was Self-Hosting heute nicht mehr ist
Self-Hosting 2026 hat wenig mit dem Server-Schrank von 2015 gemeinsam. Drei wesentliche Verschiebungen:
- Container-Orchestrierung ist Mainstream. Docker Compose, Kubernetes, Nomad – jeder Service als Image, deklarativ, reproduzierbar.
- Open-Source-Reife: Mailcow, Keycloak, Wazuh, MISP, OpenCTI, Nextcloud, ERPNext, Matrix – jedes davon konkurrenzfähig zum kommerziellen Pendant.
- Managed-Hoster in der EU: IONOS, Hetzner, Open Telekom Cloud, OVHcloud – fertige bare-metal- und VM-Optionen ohne Hyperscaler-Lock-in.
Was Self-Hosting weiterhin verlangt
Self-hosted ist nicht „kostenlos". Es verlangt drei Dinge: Patch-Disziplin (CVE-Tracking, monatliches Patching), Backup- und DR-Konzept (3-2-1-Regel, regelmäßige Restore-Tests), und Monitoring-Reife (jemand muss sehen, wenn etwas kippt). Wer das nicht intern stemmt, kann es als Managed Service einkaufen – die Souveränität bleibt trotzdem im eigenen Vertrag.
Was eine integrierte Plattform daran ändert
Der häufigste Grund, warum Self-Hosting scheitert: zu viele Einzelteile, zu wenig Integration. Ein Mailserver hier, eine Sandbox da, eine SIEM-Inseln dort – die Klebearbeit frisst die Einsparung. SecTepe.Comm ist der Versuch, dieses Klebearbeit-Problem strukturell zu lösen: ein Compose-Bundle, ein Identity-Provider, ein Audit-Trail, ein Update-Zyklus.
Wann self-hosted nicht passt
Realistisch: für Sub-50-Mitarbeiter-Firmen ohne dedizierte IT bleibt SaaS oft die richtige Wahl – das Verhältnis aus Setup-Aufwand und tatsächlichem Nutzen kippt. Sobald aber regulatorische Anforderungen (NIS-2, KRITIS, ISO 27001), spezifische Datenschutz-Anforderungen (Patientendaten, Steuerdaten, personenbezogene HR-Daten in größerem Umfang) oder einfach das Total-Cost-of-Ownership-Argument greifen, ändert sich die Rechnung schnell.
Fazit
Self-hosted ist 2026 keine Nostalgie, sondern eine strategische Antwort auf konkrete Probleme: Drittstaaten-Risiko, NIS-2-Nachweispflicht, SaaS-Kostenkurve. Die Open-Source-Bausteine sind erwachsen, EU-Hoster sind verfügbar, integrierte Plattformen wie SecTepe.Comm reduzieren den Klebearbeit-Aufwand auf ein Minimum. Wer heute eine Refresh-Entscheidung trifft, sollte die Variante „self-hosted in EU" mindestens auf Augenhöhe mit der SaaS-Variante bewerten.