Server gehören irgendwohin: in den eigenen Serverraum, in ein fremdes Rechenzentrum oder ganz in die Hand eines Dienstleisters. Dieser Artikel hilft Ihnen, die Frage „On-Premise oder Cloud-Hosting?“ mit sechs nüchternen Kriterien zu beantworten.

Inhaltsverzeichnis

Drei Modelle, drei Realitäten: Was Housing, Hosting und Eigenbetrieb wirklich unterscheiden

Es klingt banal, aber im Markt wird viel durcheinandergeworfen. Bevor Sie Angebote vergleichen können, brauchen Sie eine klare Begriffsgrundlage.

  • On-Premise (Eigenbetrieb): Die Server stehen bei Ihnen im Haus. Hardware, Strom, Klima, Sicherheit, Wartung, Betrieb: alles in Ihrer Hand. Klassischer Serverraum im Bürogebäude oder in einem eigenen Raum am Standort.
  • Housing (auch: Colocation, Server Housing): Ihre Hardware steht in einem fremden Rechenzentrum. Der Anbieter liefert Strom, Klima, Brandschutz, physische Sicherheit, Netzwerkanbindung. Die Server gehören weiterhin Ihnen, Sie verwalten Betriebssystem und Anwendungen selbst.
  • Hosting (häufig: Managed Hosting oder Private Cloud): Sie nutzen Hardware, die einem Dienstleister gehört, in dessen Rechenzentrum. Je nach Vertrag liefert der Anbieter nur die virtuellen Maschinen oder kümmert sich zusätzlich um Betriebssystem, Patches und Backup. Sie konzentrieren sich auf die Anwendung.

Eine Faustregel reicht zum Sortieren:

 

 

Modell Wem gehört die Hardware? Wo steht sie? Wer betreibt sie?
On-Premise Ihnen Bei Ihnen Sie
Housing Ihnen Im fremden RZ Sie
Hosting Dem Anbieter Im fremden RZ Anbieter

Die Begriffe „Colocation“, „Server Housing“ und „Datacenter Housing“ meinen in der Regel dasselbe. „Private Cloud“ ist meistens ein gemanagtes Hosting auf dedizierter Hardware bei einem deutschen Anbieter, also nicht zu verwechseln mit Public-Cloud-Angeboten von Microsoft, Amazon oder Google.

Warum die Standort-Frage gerade jetzt entschieden wird

Viele Mittelständler haben ihren Serverraum seit 10 oder 15 Jahren und stellen die Frage nicht mehr. 2026 holen sie vier Druckwellen gleichzeitig ein.

Erster Treiber: VMware-Broadcom. Nach der Übernahme verdrei- bis verfünffachen sich die Lizenzkosten für VMware. vSphere Essentials Plus, der KMU-Standard, ist abgeschafft. Bestandskunden müssen ohnehin migrieren und nutzen den Moment, um auch die Standort-Frage neu zu stellen.

Zweiter Treiber: NIS-2. Seit dem 6. Dezember 2025 ist das NIS-2-Umsetzungsgesetz in Deutschland geltendes Recht. Rund 29.500 Unternehmen sind betroffen, viele zum ersten Mal. Das Gesetz fordert dokumentierte physische Sicherheit im Serverraum: Zutrittskontrolle, Brandschutz, Sabotagesicherung. Bußgelder bis 10 Millionen Euro, persönliche Geschäftsführerhaftung.

Dritter Treiber: Fachkräftemangel. Über 100.000 fehlende IT-Fachkräfte in Deutschland. Im Mittelstand ist das Server-Know-how oft auf eine einzige Person konzentriert. Wer geht oder krank wird, hinterlässt eine Lücke, die niemand schnell schließt.

Vierter Treiber: Hardware-Markt unter Druck. Aktuell kennen die Hardware-Preise nur eine Richtung: nach oben. Der KI-Investitionsboom hat den globalen Server-Markt leergefegt. Wir beobachten in laufenden Beschaffungsprojekten, dass sich Lieferzeiten nach der Bestellung mehrfach verschieben. In einem Projekt haben sich die Server-Preise innerhalb von sechs Monaten verdreifacht. Diese Marktlage wird sich aufgrund der globalen Nachfrage so schnell nicht ändern.

Wer 2026 sowieso etwas an der Server-Infrastruktur ändert, sollte die Standort-Frage gleich mitbeantworten. Sonst macht man das Projekt zweimal.

Die sechs Entscheidungskriterien: Der Entscheidungsbaum

Wir empfehlen, die Entscheidung nicht entlang einer Pauschalmeinung zu treffen, sondern entlang von sechs nüchternen Kriterien. Jedes Kriterium besteht aus konkreten Fragen, die Sie für Ihr Unternehmen beantworten. Wenn Sie alle sechs durchgehen, ergibt sich die Antwort fast von selbst.

Kriterium 1: Was kostet Ihr Serverraum wirklich?

Fragen, die Sie beantworten sollten:

  • Wie hoch ist der jährliche Stromverbrauch Ihrer Server-Infrastruktur, und was zahlen Sie konkret dafür?

  • Welche Kosten entstehen für Klimatisierung, USV, Brandschutz und Versicherung?

  • Wie viele Personentage pro Jahr fließen in Server-Wartung, Updates und Störungsbehebung?

  • Wann steht der nächste Hardware-Refresh an, und wie hoch ist das geplante Budget?

  • Wurde die anteilige Personalzeit bisher überhaupt in der Kostenrechnung der IT erfasst?

Die meisten Geschäftsführungen sehen Hardware plus Lizenzen. Mehr nicht. IT-Leiter wissen, dass das nur ein Teil der Rechnung ist.

In Vollkosten gehören: Strom, Klima, USV, Brandschutz, Versicherung, Wartungsverträge, Raummiete (oder anteilig die Bürofläche), Hardware-Refresh-Zyklen alle 5 bis 7 Jahre und die anteilige Personalzeit.

Letztere wird in der Praxis fast immer vergessen. In acht von zehn Fällen, die wir analysieren, fehlt die Personalzeit komplett in der Kostenrechnung. Stromkosten machen oft 15 bis 20 Prozent der Vollkosten aus, werden aber selten kalkuliert.

Faustregel: Bevor Sie Angebote von Hosting-Anbietern bewerten, rechnen Sie einmal saubere Vollkosten. Sonst vergleichen Sie Äpfel mit halben Birnen.

Kriterium 2: Wer betreibt den Server eigentlich?

Fragen, die Sie beantworten sollten:

  • Wie viel Personal steht für die Betreuung Ihrer Server-Infrastruktur konkret zur Verfügung?

  • Wer übernimmt den Server-Betrieb, wenn die Schlüsselperson drei Wochen ausfällt?

  • Wo liegt die vollständige Dokumentation, und wer hat darauf Zugriff?

  • Wer macht außerhalb der Bürozeiten Wartung, Patches und Notfall-Reaktion?

  • Wann wurde der Recovery-Fall zuletzt durchgespielt, und wie lange dauerte er?

Wir sind davon überzeugt, dass die Personalfrage im Mittelstand das am häufigsten unterschätzte Kriterium ist.

Stellen Sie sich kurz vor: Ihr Server-Admin fällt drei Wochen krankheitsbedingt aus. Was passiert? Aus unserer Projektpraxis: lange Downtimes, weil erst einmal Zugänge und Informationen beschafft werden müssen. Wer hat das Admin-Passwort? Wo liegt die Dokumentation? Welcher Dienst läuft auf welcher VM? Diese Fragen klärt man nicht in der Akutsituation.

Vor diesem Hintergrund ist der eigene Serverbetrieb im Mittelstand fast immer ein Single-Point-of-Failure: Eine einzelne Person trägt das Wissen, oft ohne dass jemand das offen ausspricht.

Beim Hosting verlagert sich dieser Personalbedarf zum Anbieter. Bei Housing nicht. Das ist einer der wichtigsten praktischen Unterschiede zwischen den beiden Modellen.

Kriterium 3: Welche Compliance-Pflichten haben Sie 2026?

Fragen, die Sie beantworten sollten:

  • Fällt Ihr Unternehmen unter NIS-2 (50+ Mitarbeitende oder 10 Mio. € Umsatz in einem der 18 Sektoren)?

  • Beliefern Sie Kunden, die als NIS-2-pflichtig gelten und Anforderungen an Sie weitergeben?

  • Können Sie dokumentiert nachweisen, wer wann Ihren Serverraum betreten hat?

  • Können Sie dokumentiert nachweisen, wer wann Ihren Serverraum betreten hat?

  • Welche Zertifizierungen müssen Sie selbst oder Ihr Dienstleister vorweisen (ISO 27001, BSI-Standards)?

NIS-2 fordert physische Sicherheit für Serverräume in regulierten Sektoren. Die Anforderungen klingen auf dem Papier handhabbar, scheitern in der Praxis aber regelmäßig an einer Stelle: der lückenlosen Zutrittskontrolle.

In Kunden-Serverräumen sehen wir am häufigsten genau das. Es gibt zwar eine abschließbare Tür, aber kein dokumentiertes Verfahren, wer wann hineinging. Brandschutz-Dokumentation und Sabotagesicherung sind in einem normalen Bürogebäude oft nicht in der Qualität herstellbar, die NIS-2 erwartet.

Externe Rechenzentren liefern viele dieser Anforderungen ab Werk: ISO 27001, dokumentierte Zutrittsprotokolle, redundante Energieversorgung, Brandfrüherkennung, mehrstufige physische Sicherheit.

Das ist nicht der einzige Grund, sich gegen den eigenen Serverraum zu entscheiden, aber es ist einer, der seit Ende 2025 schwerer wiegt als vorher.

Wenn Sie unter NIS-2 fallen oder als Zulieferer eines NIS-2-Pflichtigen Anforderungen weitergereicht bekommen, ist das oft der pragmatischere Weg.

Kriterium 4: Wie viel Kontrolle brauchen Sie wirklich?

Fragen, die Sie beantworten sollten:

  • Welche Aufgaben am Server-Betrieb sind für Ihr Unternehmen strategisch (z. B. Anwendungs-Konfiguration), welche sind Commodity (z. B. Patches)?

  • Wo wollen Sie die Hardware-Verantwortung behalten, wo abgeben?

  • Welche Eingriffe muss Ihr Team kurzfristig selbst durchführen können?

  • Wie tief muss Ihr IT-Team auf das Betriebssystem zugreifen können?

  • Wer trägt die Verantwortung, wenn nachts um drei eine Festplatte ausfällt?

„Wir verlieren die Kontrolle“ ist der häufigste Einwand gegen Hosting. Er ist berechtigt, aber er gilt nicht für jedes Modell gleich.

Hier die Aufgabenteilung pro Modell:

 

Aufgabe On-Premise Housing Hosting Managed Hosting
Gebäude, Strom, Klima Sie Anbieter Anbieter Anbieter
Physische Sicherheit Sie Anbieter Anbieter Anbieter
Hardware Sie Sie Anbieter Anbieter
Betriebssystem Sie Sie Sie Anbieter
Patches und Updates Sie Sie Sie Anbieter
Backup Sie Sie je nach Vertrag Anbieter
Anwendung Sie Sie Sie Sie

Bei Housing behalten Sie also die volle Kontrolle über Hardware und Software. Bei Hosting geben Sie die Hardware-Verantwortung ab, behalten aber die Konfigurationshoheit. Erst bei Managed Hosting wird auch das Betriebssystem zum Dienstleister-Thema.

Wenn Sie also den Eindruck haben, ein Wechsel zu Hosting bedeutet automatischen Kontrollverlust, schauen Sie genau hin, welches Modell tatsächlich gemeint ist.

Kriterium 5: Wie sieht Ihr Workload aus?

Fragen, die Sie beantworten sollten:

  • Welche Anwendungen sind latenzkritisch (Maschinenanbindung, Produktionsplanung, Echtzeit-Datenbanken)?

  • Wie weit ist das nächste geeignete Rechenzentrum von Ihren Anwendern oder Maschinen entfernt?

  • Welche Workloads wachsen ständig, welche bleiben stabil?

  • Welche Daten werden täglich genutzt, welche eher archiviert?

  • Welche Verfügbarkeit braucht Ihre Kern-IT konkret (99,5%, 99,9%, 99,99%)?

Nicht jeder Workload passt zu jedem Standort. Drei Eigenschaften sind entscheidend:

Eine ERP-Datenbank mit direkter Maschinenanbindung in der Produktion will keine 20 Millisekunden Netzwerkweg ins entfernte RZ. Wenn das nächste geeignete Rechenzentrum regional liegt und über eine performante Anbindung erreichbar ist (z. B. das DARZ in Darmstadt für Kunden im Rhein-Main-Gebiet), sind Housing und Hosting latenztechnisch fast immer ausreichend. Erst wenn die Anwendung tatsächlich Sub-Millisekunden-Latenz braucht, bleibt nur On-Premise.

Daten, die täglich wachsen und nur selten zugegriffen werden, sind im externen RZ meist günstiger.

Wer 99,9 Prozent oder mehr braucht, bekommt das in einem professionellen RZ einfacher als im eigenen Serverraum.

Die Konsequenz: Selten ist die Antwort „alles oder nichts“. Für viele Mittelständler ist die richtige Antwort ein Mix, was uns zum vorletzten Abschnitt führt.

Kriterium 6: Wie planen Sie die nächsten fünf Jahre?

Fragen, die Sie beantworten sollten:

  • Wann steht der nächste größere Hardware-Refresh an?

  • Welche Wachstumsszenarien sind realistisch (Standorte, User, Workload)?

  • Wie viel Kapitalbindung können Sie sich leisten, und welcher Cashflow-Effekt ist erwünscht?

  • Wie planbar sind Ihre IT-Kosten aktuell, und wie planbar sollen sie sein?

  • Wer trägt das Preis- und Lieferrisiko bei jeder Hardware-Beschaffung?

Hardware-Investitionen sind CAPEX. Das heißt: hohe Einmalkosten, mehrjährige Abschreibung, mehrjährige Bindung. Das ist nicht per se schlecht, aber es bringt zwei Risiken mit sich.

Risiko Investitionsstau. Hardware wird so lange wie möglich genutzt, weil das Budget für eine Neuanschaffung gerade fehlt. Nach vier Jahren arbeiten Sie auf alter, langsamer und potenziell unsicherer Infrastruktur.

Risiko Beschaffungsmarkt. Wer in den nächsten Jahren auf Hardware-Refresh-Zyklen angewiesen ist, geht das Preis- und Lieferrisiko jedes Mal neu ein. Ein Hosting-Anbieter kauft mit Skaleneffekten und Rahmenverträgen ein, das Risiko bleibt bei ihm. Im aktuellen Marktumfeld ist das ein echter Vorteil.

Beim Hosting zahlen Sie OPEX: monatlich planbare Beträge, im Jahr voll als Betriebskosten verbuchbar, Liquidität bleibt im Unternehmen. Das ist nicht für jedes Unternehmen das Richtige, aber für viele Mittelständler ist es das, was der CFO eigentlich sehen will.

Die Entscheidungsmatrix: Welches Modell passt zu welchem Profil

Wir haben in unserer Projektpraxis fünf typische Profile, die immer wiederkommen. Die Matrix ist kein Gesetz, aber ein guter Startpunkt.

 

Profil On-Premise Housing Hosting
20–80 User, IT-Einzelverantwortlicher, kein Compliance-Druck eher nicht bedingt geeignet
80–200 User, eigenes IT-Team, NIS-2-pflichtig eher nicht geeignet geeignet
100–300 User, Spezial-Hardware oder Latenz-kritisch bedingt geeignet bedingt
200–500 User, dediziertes Server-Personal, kein NIS-2 bedingt geeignet bedingt
Beliebige Größe, klare Stabilitäts- und Wachstumsanforderung eher nicht bedingt geeignet

Die Lesart: „Geeignet“ heißt, das Modell ist eine ernsthafte Option. „Bedingt“ heißt, es kommt auf die Details an. „Eher nicht“ heißt, es gibt strukturelle Argumente dagegen.

Hybride als Standardlösung und ihre Tücken

In der Realität nutzen mehr als die Hälfte der Mittelständler ohnehin eine Mischung. Eine typische Architektur sieht so aus:

  • ERP intern (On-Premise): wegen Maschinenanbindung und Latenz

  • Backup und Archiv im externen RZ: wegen Compliance, Brandschutz und räumlicher Trennung
  • Microsoft 365 in der Public Cloud: weil das das natürliche Zuhause für E-Mail und Teams ist
  • Test- und Entwicklungsumgebungen im Hosting: weil sie flexibel skalieren müssen

Genau hier liegt aber der zweite Teil der Wahrheit. Hybride Architekturen scheitern selten am Konzept, häufig an drei praktischen Themen: Netzwerk-Komplexität zwischen den Standorten, doppelte Identitäts- und Berechtigungspflege, und Backup-Strategien, die mehrere Welten überspannen müssen.

KI-Projekte, Digitalisierungsvorhaben und Automatisierung scheitern selten an der Vision, sondern an instabilen Schnittstellen und fragmentierten Daten. Eine saubere hybride Architektur ist deshalb keine Optimierung, sondern die Basis dafür, dass die nächsten Vorhaben überhaupt funktionieren.

Der nächste Schritt: Wie Sie die Entscheidung sauber vorbereiten

Wenn Sie diesen Punkt erreicht haben, ist die Lage vermutlich klarer als vorher. Bevor Sie Angebote vergleichen, eine konkrete Reihenfolge:

  • 1
    Vollkosten Ihrer aktuellen Server-Infrastruktur rechnen (inkl. Personalzeit und Stromanteil)
  • 2
    NIS-2-Status klären (sind Sie selbst betroffen, oder über die Lieferkette?)
  • 3
    Workloads klassifizieren (latenzkritisch / lokal vs. flexibel / extern verlagerbar)
  • 4
    Personalrealität ehrlich bewerten (Was passiert bei Ausfall des Schlüssel-Admins?)
  • 5
    Wachstumshorizont definieren (Refresh-Zyklen in 5 Jahren? Skalierung?)
  • 6
    Erst danach Angebote vergleichen, idealerweise für mehrere Modelle parallel

Wir bei SAC stehen für einen stabilen und sicheren IT-Betrieb. Das lässt sich am verlässlichsten im Rechenzentrum gewährleisten. Gleichzeitig ist On-Premise kein Auslaufmodell, wenn der Workload es verlangt. Auch in dem Fall können Sie den Betrieb über unseren Server Flat Managed Service an uns auslagern, ohne den Standort zu wechseln.

Wenn Sie wissen wollen, was in Ihrer konkreten Situation sinnvoll ist, helfen wir Ihnen, das in einem strukturierten Migration-Assessment zu beantworten.

Fazit

Die Standort-Frage entscheidet sich an sechs Kriterien, nicht an einer Pauschalmeinung. Wer Vollkosten, Personal, Compliance, Kontrollbedarf, Workload und Wachstum sauber gegenüberstellt, hat ein Argument, das auch in der Geschäftsführung trägt.

Häufige Fragen

Beim Housing stellen Sie eigene Hardware in ein fremdes Rechenzentrum. Beim Hosting nutzen Sie Hardware, die dem Anbieter gehört, in dessen Rechenzentrum. Housing ist eigene Hardware extern, Hosting ist fremde Hardware extern.

Hardware und Lizenzen sind nur ein Teil. In die Vollkosten gehören Strom, Klima, USV, Brandschutz, Versicherung, Wartung und die anteilige Personalzeit. Letztere fehlt in den meisten Kostenrechnungen komplett. Hardware-Refresh-Zyklen alle 5 bis 7 Jahre kommen oben drauf.

Seit Dezember 2025 verlangt NIS-2 dokumentierte physische Sicherheit: Zutrittskontrolle, Brandschutz, Sabotagesicherung. In einem normalen Bürogebäude ist das schwer in der geforderten Qualität herstellbar. Externe Rechenzentren liefern diese Standards ab Werk.

Nach unserer aktuellen Marktbeobachtung nicht. Der globale KI-Investitionsboom treibt Preise und verlängert Lieferzeiten. In einem laufenden Projekt haben sich Server-Preise innerhalb von sechs Monaten verdreifacht. Eine kurzfristige Entspannung ist nicht absehbar.

Ja, das ist möglich. Wir empfehlen aber, beide Fragen gleichzeitig zu klären, solange das Migrationsprojekt ohnehin läuft. Sonst öffnen Sie das Projekt in zwei oder drei Jahren noch einmal.

Ihre Frage ist nicht in der Liste dabei?