Wir haben in unseren Projekten vier Konstellationen wiederholt gesehen, in denen Hybrid strukturell besser ist als reine Cloud oder reines On-Premise — keine Technologiefrage, sondern eine Frage der Regulatorik und der IT-Personaldecke.
Konstellation 1 — Klassifizierte Daten neben Standard-Workloads. Wer Gesundheitsdaten, Geschäftsgeheimnisse oder NIS-2-relevante Steuerungsdaten verarbeitet, hält diese in einer kontrollierten Zone. Office und CRM laufen parallel in der Public Cloud. Das NIS-2-UmsuCG ist seit 06.12.2025 in Kraft und betrifft 29.500 Unternehmen ohne Übergangsfrist — nachweisbare Kontrollarchitektur ist Pflicht.
Konstellation 2 — Migrationen vor dem SAP-ECC-Wartungsende 2027. Mittelständler mit SAP ECC stehen vor dem Wartungsende. 20 Prozent wählen laut erp.today-Marktanalyse 2026 einen hybriden Ansatz: kritische Module in der Sovereign-Zone, Standardmodule in der Public Cloud. SAP RISE mit Private-Edition-Komponenten ist 2026 der häufigste Vertragsstand. Die ERP-Strukturentscheidung fällt damit zwangsläufig hybrid.
Konstellation 3 — KI-Workloads mit Hochrisiko-Klassifizierung. Die EU AI Act Implementation Timeline macht Hochrisiko-KI-Systeme ab 02.08.2026 verpflichtend. Modelltraining auf personenbezogenen Daten gehört in eine Zone mit nachweisbarer Datensouveränität. Inferenz mit synthetischen Daten skaliert wirtschaftlich nur in der Public Cloud. Die Trennung erzwingt Hybrid.
Konstellation 4 — IT-Personaldecke unter 15 Vollzeit. Bitkom dokumentiert für 2025 rund 109.000 unbesetzte IT-Stellen. Mittelständler mit unter 15 IT-Vollzeitkräften betreiben kein 24/7-SOC. Sie verlagern Standardbetrieb in die Cloud und halten geschäftskritische Datenhoheit on-premise. Pure-On-Premise ist damit nicht verantwortbar, Pure-Cloud nicht souverän genug.
Wann Pure-Cloud oder Pure-On-Premise besser ist
Hybrid ist nicht universell. In drei Konstellationen schneidet die Reinform strukturell besser ab: digitale Geschäftsmodelle ohne KRITIS-Bezug fahren Pure-Cloud wirtschaftlicher; KRITIS-Betreiber und IP-intensive Familienunternehmen mit stabilem IT-Team fahren Pure-On-Premise souveräner; und überall dort, wo Hybrid ohne klaren Workload-Splitter gebaut wird, verdoppelt sich der Betriebsaufwand ohne Gegenwert.
Hybrid ist nicht universell. In unseren Projekten haben wir drei Konstellationen gesehen, in denen die hybride Architektur strukturell schlechter abschneidet als eine Reinform.
Pure Cloud sinnvoll: digitale Geschäftsmodelle, hohe Skalierung, geringe Regulatorik. Software-Anbieter ohne KRITIS-Bezug, Marketplaces oder Service-Modelle mit unter 500 Mitarbeitern fahren wirtschaftlich besser mit Pure-Cloud. Der Skalierungsvorteil überwiegt den Souveränitätsverlust, weil keine regulatorisch klassifizierten Datenklassen vorhanden sind. Computer Weekly DE weist für 2026 39 Prozent Cloud-ERP, 31 Prozent hybrid und 28 Prozent on-premise aus.
Pure On-Premise sinnvoll: hohe Datenklassifizierung, etablierte Betriebskompetenz. Familienbetriebe mit hohem IP-Anteil, fertigungsnahe Workloads unter 10 Millisekunden Latenz, Verteidigungszulieferer und KRITIS-Betreiber mit eigenem Rechenzentrum und IT-Team über 30 Vollzeit fahren mit On-Premise oft besser. Eine hybride Architektur würde Kontrollebenen vervielfachen ohne Workload-Bedarf.
Reinform sinnvoll: wenn kein nachvollziehbarer Workload-Splitter existiert. Wer Hybrid baut, weil es modern wirkt, baut zwei Welten parallel — mit doppelten Betriebskosten ohne klar zugewiesene Workloads. In drei Mandaten haben wir Hybrid-Architekturen wieder zurückgebaut, weil die ERP-Auswahlentscheidung keine Datenklassifizierung zugrunde gelegt hatte. Die Reinform war operativ günstiger und nicht weniger souverän.
Praxisbeispiel: Eine Dreher-Hybrid-Auswahlentscheidung 2025/26
Anonymisierte Auswahlentscheidung aus dem Mittelstand: Automotive-Zulieferer, 540 Mitarbeiter, drei Werke in Baden-Württemberg und Tschechien, SAP ECC mit Wartungsende 2027, 18-köpfiges IT-Team. Geschäftsleitung wollte Pure-Cloud — die regulatorische Prüfung erzwang einen Drei-Zonen-Hybrid. 14 Monate später lief die Migration im Plan, MES-Latenz bei 6,2 Millisekunden, KI-Pilot rechtskonform.
Wir haben in über 30 Projekten zwischen 2023 und 2026 hybride Architekturen für den DACH-Mittelstand entworfen — das folgende anonymisierte Beispiel zeigt die Auswahllogik konkret. Ein Automotive-Zulieferer mit 540 Mitarbeitern, drei Werken in Baden-Württemberg und Tschechien, 18 IT-Vollzeit, SAP ECC mit Wartungsende 2027.
Ausgangslage: Geschäftsleitung wollte Pure-Cloud auf S/4HANA Public Edition. Die regulatorische Prüfung ergab vier kritische Datenklassen — Produktentwicklungsdaten unter OEM-NDAs, Werksteuerungsdaten unter NIS-2-Pflicht, Mitarbeiterdaten und Lieferantenbewertungen mit DSGVO-Risiko. Pure-Cloud damit nicht souverän tragbar; Pure-On-Premise mit dem vorhandenen Team nicht 24/7 betreibbar.
Wir haben einen Drei-Zonen-Hybrid entworfen: Zone eins, Sovereign Private Cloud unter deutschem Recht für S/4HANA mit den vier kritischen Datenklassen, kontrolliert über Microsoft Azure Arc mit On-Premise-Kubernetes-Knoten in Stuttgart. Zone zwei, Public Cloud für Microsoft 365 und Reporting. Zone drei, On-Premise-MES für 8-Millisekunden-Echtzeit-Steuerung. Auswahlkriterien: BSI-C5-Prüfbarkeit, NIS-2-Compliance, EU-AI-Act-Konformität für die geplante Predictive-Maintenance-KI.
Das Ergebnis nach 14 Monaten: S/4HANA-Migration im Plan, MES-Latenz auf 6,2 Millisekunden, KI-Pilot rechtskonform, IT-Team auf 19 Mitarbeiter erweitert statt verdoppelt. Die Drei-Zonen-Trennung ist im Mittelstand zwischen 400 und 1.500 Mitarbeitern reproduzierbar — vorausgesetzt die Datenklassifizierung steht vor der Plattformauswahl.
Was Cloud-vs-Hybrid-Debatten meist verschweigen
Vier Lücken zwischen Vendor-Erzählung und DACH-Mittelstandsrealität, die in Cloud-vs-Hybrid-Debatten regelmäßig untergehen: die TCO-Eskalation über zehn Jahre, das größere Risiko aus Single-Vendor-Lock-in, der BSI C5:2026 als Beschaffungs-Checkliste, und die Tatsache, dass Souveränität messbar ist — keine Marketing-Etikette.
Die öffentliche Cloud-vs-Hybrid-Debatte folgt einem Anbieter-Drehbuch: Hyperscaler reden Cloud groß, On-Premise-Anbieter reden Souveränität groß. In unseren Projekten erleben wir konsistent vier Lücken zwischen dieser Erzählung und der DACH-Mittelstandsrealität — keine taucht in den deutschen Top-10-Definitionsartikeln auf.
1. Die TCO-Rechnung über zehn Jahre
Anbieter zeigen Cloud-Kosten im ersten Jahr. Über zehn Jahre eskalieren Abo-Kosten bei führenden Cloud-ERP-Anbietern in unserer Beobachtung um 5 bis 8 Prozent pro Jahr. Exit-Kosten beim Wechsel sind selten unter sechs Monatsraten. Hybrid erlaubt selektive Kostenoptimierung, weil nur ein Teil der Workloads im Abo-Korridor liegt — siehe unsere Analyse zur Cloud-ERP-Krise.
2. Single-Vendor-Lock-in ist das größere Risiko
Die Mainstream-Erzählung sagt: Hybrid ist komplex, Multi-Vendor riskant. In über 1.200 Projekten haben wir das Gegenteil gesehen: Single-Vendor-Architekturen erzeugen Kontrollverlust über Preisgestaltung, Roadmap und Datenmodell. Multi-Vendor-Kontrollebenen — Azure Arc, Anthos, Outposts und SAP RISE nebeneinander — sind die strukturelle Verteidigung.
3. BSI C5:2026 als Beschaffungs-Checkliste
Der BSI C5:2026 erschien Ende März 2026 mit 168 Kriterien in 17 Themenbereichen — neu: Container-Management, Confidential Computing, Post-Quanten-Kryptographie. Top-10-Definitionsartikel erwähnen den Katalog nicht. Er ist die einzige BSI-belastbare Vergleichsgrundlage für Hybrid-Auswahl.
4. Souveränität ist messbar, keine Marketing-Etikette
Gaia-X / GXDCH hat über 350 zertifizierte Cloud-Services nach Souveränitäts-Kriterien gelistet. Ein Anbieter, der das GXDCH-Siegel nicht durchläuft, hat im regulierten Mittelstand 2026 ein strukturelles Glaubwürdigkeitsproblem — unabhängig vom Marketing.
Unsere Einordnung
Wer hybride Architekturen 2026 evaluiert, ohne diese vier Lücken explizit zu adressieren, kauft eine Cloud-Stilfrage statt einer Architektur.
Wie wir hybride Architekturen methodisch entwerfen
Hybrid ist keine Stilfrage und keine Anbieterauswahl, sondern eine Architekturentscheidung mit fünf methodischen Phasen: Datenklassifizierung, Workload-Zuordnung, Kontrollebenen-Auswahl, Compliance-Nachweis und Exit-Strategie. Wer eine dieser fünf Phasen überspringt — typischerweise die Datenklassifizierung — landet bei einer Kontrollebene, die keine klassifizierten Workloads steuert.
Hybrid ist keine Stilfrage und keine reine Anbieterauswahl, sondern eine Architekturentscheidung mit fünf methodischen Phasen. Wir haben die Reihenfolge in unseren Mandaten konsequent eingehalten — sie integriert sich in die SCOReX®-orientierte Auswahllogik, die wir bei ERP- und ECM-Mandaten pflegen.
Phase eins — Datenklassifizierung. Jede Datenklasse erhält drei Attribute: Vertraulichkeitsstufe, regulatorische Anforderung (DSGVO, NIS-2, EU AI Act, GoBD) und Latenzanforderung. Ohne diese Klassifizierung führt die Hybrid-Diskussion ins Leere.
Phase zwei — Workload-Zuordnung. Jeder Workload wird genau einer Zone zugeordnet: Public Cloud, Sovereign Private Cloud oder On-Premise. Doppelzuordnung ist erlaubt, aber teuer — wir markieren sie explizit als Kostentreiber.
Phase drei — Kontrollebenen-Auswahl. Erst jetzt fällt die Plattformentscheidung. Azure Arc, Anthos, Outposts, SAP RISE — jede Plattform hat ein Profil, das zu bestimmten Datenklassen-Zone-Kombinationen passt. Eine vendor-neutrale Bewertung ist hier Pflicht.
Phase vier — Compliance-Nachweis. BSI C5:2026, NIS-2-Pflichtenkatalog und EU-AI-Act-Hochrisiko-Klassifikation werden gegen die Architektur geprüft. Lücken werden vor der Beschaffung geschlossen, nicht im Betrieb.
Phase fünf — Exit-Strategie. Jede Hybrid-Architektur erhält eine dokumentierte Exit-Klausel pro Zone. Wer nicht aussteigen kann, hat keine Architektur, sondern ein Abo.
Vendor-Vergleich: Azure Arc, AWS Outposts, Google Anthos, SAP RISE
Vier Plattformen, vier Eignungsprofile: Azure Arc liefert die breiteste Multi-Cloud-Reichweite und Microsoft-365-Integration; AWS Outposts die tiefste Single-Cloud-Erweiterung mit Souveränitätsoption ab 2026; Google Anthos die stärkste Kubernetes-Multi-Cloud-Experience; SAP RISE den SAP-spezifischen Hybrid-Vertrag. Keine universelle Antwort — jede Plattform passt nur zu bestimmten Workload-Zonen-Kombinationen.
Wir haben in unseren Projekten alle vier Plattformen mehrfach evaluiert und produktiv gesetzt. Aus unserer Erfahrung gibt es keine universelle Antwort — jede Plattform hat ein konkretes Eignungsprofil für den DACH-Mittelstand 2026.
Microsoft Azure Arc. Stärkste Multi-Cloud-Reichweite, integriert in Microsoft-365-dominierte Landschaften, mit Sovereign Public Cloud und Sovereign Private Cloud verfügbar. Die Delos Cloud unter deutschem Recht geht 2026 produktiv und ist für regulierte Mittelständler interessant. Schwäche: Lizenz-Komplexität.
AWS Outposts. Tiefste Single-Cloud-Erweiterung auf On-Premise — wer AWS in der Public Cloud nutzt, bekommt das identische Service-Set im eigenen Rechenzentrum. Seit Januar 2026 mit AWS European Sovereign Cloud in Brandenburg ohne CLOUD-Act-Exposure. Schwäche: schwächere Multi-Vendor-Anbindung.
Google Anthos. Stärkste Kubernetes-native Multi-Cloud-Experience, ideal für container-zentrierte Architekturen. Schwäche: geringere Marktdurchdringung im DACH-Mittelstand, weniger Partnerangebot.
SAP RISE mit Private Edition. Kein generischer Hybrid-Stack, sondern SAP-spezifische Hybrid-Variante. Für Mittelständler mit SAP-Bindung 2026 dominanter Vertragsstand — 30 Prozent Vollbetrieb auf S/4HANA Cloud Private Edition. Schwäche: Single-Vendor-Lock-in-Risiko.
Häufig gestellte Fragen
Nächste Schritte
Wer 2026 eine hybride Architektur ernsthaft erwägt, prüft drei Punkte vor jeder Plattformauswahl: Sind die Datenklassen mit DSGVO-, NIS-2- und EU-AI-Act-Zuordnung dokumentiert? Existiert eine Workload-Zonen-Zuordnung mit Latenzanforderung? Steht eine Exit-Strategie pro Zone? Sind zwei der drei Antworten „noch nicht", beginnt die Arbeit dort — nicht im Lizenzgespräch. Mehr zu unserer Methodik finden Sie auf der Seite unabhängige ERP-Beratung sowie im Überblick zu unseren Digitalisierungs-Dienstleistungen.
30 Minuten mit Dr. Dreher
Strukturierte Standortbestimmung Ihrer Datenklassen, Workload-Zonen und Exit-Optionen — herstellerunabhängig, auf Basis von 30+ Jahren Projektpraxis im DACH-Mittelstand.
