Vendor Lock-in ist kein abstraktes Konferenzthema. Es ist die konkrete Situation, in der Sie stecken, wenn Sie Ihr ERP, Ihre Cloud oder Ihren IT-Berater wechseln möchten – und feststellen, dass Ihre Daten in einem proprietären Format gespeichert sind, alle Prozesse um dieses eine System herum gebaut wurden und die Ausstiegskosten – in Zeit, Geld und operativem Risiko – unerschwinglich geworden sind. Ab diesem Punkt treffen nicht mehr Sie die Entscheidungen: Sie stimmen nur noch zu.

Das Problem in Italien: Ein einziger Dienstleister ist bequem – aber hat einen versteckten Preis

Laut einer Studie von Var Group und Excellera Intelligence unter 300 europäischen Unternehmen verlassen sich 51 % der italienischen Betriebe auf einen einzigen IT-Dienstleister für ihre gesamte digitale Infrastruktur. In Deutschland und Spanien ist die Tendenz umgekehrt: 70 % bzw. 67 % der Unternehmen setzen für jeden Technologiebereich auf spezialisierte Anbieter.

Ein einziger Dienstleister hat einen echten Vorteil: weniger Ansprechpartner, weniger Koordinationsaufwand, weniger Ausschreibungen. Das ist nachvollziehbar, besonders wenn interne IT-Ressourcen knapp sind. Der strukturelle Nachteil: Je mehr Sie von einem einzigen Anbieter abhängig sind, desto weniger Verhandlungsmacht haben Sie mit der Zeit.

Der Mechanismus ist einfach. Zu Beginn ist der Dienstleister wettbewerbsfähig, reaktionsschnell und motiviert, Sie zu gewinnen. Nach zwei oder drei Jahren, wenn Ihre Prozesse auf seiner Plattform aufgebaut sind, steigen die Preise – und die Servicequalität pendelt sich auf dem Niveau ein, das der Anbieter für sich als tragbar betrachtet. Nicht unbedingt auf dem Niveau, das für Sie akzeptabel ist. Wechseln kostet dann zu viel. Und das weiß er.

Die drei Lock-in-Typen, die man nicht sofort sieht

Nicht alle Lock-ins sind gleich. Es lohnt sich, sie zu unterscheiden – denn sie erfordern unterschiedliche Gegenmaßnahmen.

  • Daten-Lock-in. Ihre Daten sind in einem Format gespeichert, das nur diese Software lesen kann. Der Export erfordert technischen Aufwand, Zeit und manchmal die Mitarbeit des Dienstleisters selbst – der keinen Anreiz hat, Ihnen beim Abgang zu helfen.
  • Implementierungspartner-Lock-in. Das passiert häufig bei ERP-Systemen: Die Software selbst könnte ausgetauscht werden, aber diese Version mit diesen Anpassungen funktioniert nur mit diesem einen Händler. Verschlechtert sich die Beziehung, sitzen Sie in der Klemme – auch wenn der Vertrag mit dem Softwarehersteller in Ordnung ist.
  • Cloud-Lock-in. Workloads von einem Cloud-Anbieter auf einen anderen zu verlagern ist nie kostenlos. Es gibt Ausstiegsgebühren (Egress Fees), inkompatible Formate und Architekturen, die nur in dieser Umgebung gut funktionieren. 87 % der italienischen IT-Manager betrachten Cloud-Portabilität als absolute Priorität – eine Zahl, die zeigt, wie stark das Problem auch in strukturierten Unternehmen gespürt wird.

Was Sie einen Dienstleister vor der Vertragsunterzeichnung fragen sollten

Die Auswahlphase ist der einzige Moment, in dem Sie vollen Verhandlungsspielraum haben. Nach der Unterschrift verschiebt sich die Macht. Nutzen Sie diesen Moment für unbequeme Fragen – und bewerten Sie die Antworten sorgfältig.

  • In welchem Format kann ich meine Daten exportieren, und was kostet das? Ist die Antwort vage oder wirkt der Dienstleister überrascht von der Frage, ist das ein Warnsignal.
  • Kann ich den Implementierungspartner wechseln, ohne die Software zu wechseln? Entscheidend bei ERP-Systemen. Lautet die Antwort Nein, ist der Lock-in doppelt.
  • Was passiert mit meinem Service, wenn Ihr Unternehmen übernommen wird oder schließt? KMU arbeiten oft mit kleinen Anbietern. Das ist keine Schwarzmalerei – das ist Vorsicht.
  • Welche offenen Standards verwendet Ihre Lösung? Ein Anbieter, der auf offene Standards setzt (dokumentierte APIs, interoperable Formate), macht eine spätere Migration deutlich einfacher.
  • Haben Sie nachweisbare Zertifizierungen? ISO 27001, ISO 9001, ACN-Qualifizierung: Das sind objektive Kriterien, die das MIMIT-Förderprogramm „Voucher Cloud und Cybersecurity 2026" bereits zur Auswahl zugelassener Anbieter verwendet. Hat Ihr Dienstleister keine davon, sollten Sie sich fragen, warum.
Ein Dienstleister, der Fragen zum Ausstieg schlecht beantwortet, will nicht, dass Sie gehen. Je früher Sie das wissen, desto besser.

Der ERP-Fall: wo Lock-in den größten Schaden anrichtet

Rund 49 % der italienischen KMU nutzen ein strukturiertes ERP-System. Der Rest stützt sich auf Excel, separate Tabellen und nicht integrierte Software. Beide Situationen bergen Risiken.

Wer ein ERP hat, befindet sich oft in einer schlechteren Position als gedacht: Schätzungen zufolge erreicht die Mehrheit der ERP-Implementierungen in KMU die gesteckten Ziele nicht, und die tatsächlichen Kosten überschreiten das ursprüngliche Budget meist deutlich. Der Hauptgrund ist in den meisten Fällen nicht die Software selbst – sondern die Wahl des Dienstleisters und die Art, wie das Projekt strukturiert wurde.

Stellen Sie sich vor, Sie haben Ihr ERP über die Jahre massiv angepasst. Jede Änderung wurde von diesem einen Anbieter nach seiner eigenen Logik umgesetzt. Ein Wechsel bedeutet dann nicht nur Datenmigration – sondern den Wiederaufbau jahrelanger Anpassungen. Genau hier wird Lock-in wirtschaftlich lähmend.

Vorbeugung ist einfacher als Heilung: Anpassungen auf das notwendige Minimum beschränken, dokumentieren und regelmäßig prüfen, ob nicht nur der Dienstleister weiß, wie sie funktionieren.

Sicherheit und Lock-in: das Risiko, das sich multipliziert

Ein Aspekt des Lock-ins wird oft übersehen: sein Einfluss auf die IT-Sicherheit. Der Clusit-Bericht 2025 dokumentiert einen deutlichen Anstieg schwerwiegender Cyberangriffe in Italien – KMU gehören zu den am stärksten betroffenen Zielgruppen, auch weil sie weniger gut geschützt sind als große Organisationen.

Ein Dienstleister, der Sie an nicht aktualisierbare proprietäre Lösungen bindet oder Sicherheit als intransparenten Zusatzdienst behandelt, erhöht Ihre Risikoexposition konkret. Wenn Sie nicht nachvollziehen können, wie Ihre Daten verwaltet werden, wenn Sie keinen Zugang zu Sicherheitsprotokollen haben, wenn Updates vom guten Willen des Anbieters abhängen – dann übergeben Sie Ihre Sicherheit an jemanden, den Sie nicht kontrollieren können.

Die praktische Regel lautet: Ein guter IT-Dienstleister sollte nie der Einzige sein, der weiß, was auf Ihrer Infrastruktur passiert. Transparenz und Zugang zu Betriebsdaten sind keine Extras – sie sind eine Mindestvoraussetzung.

Praktische Kriterien für eine solide Entscheidung

Den perfekten Dienstleister gibt es nicht. Aber es gibt Kriterien, die das Risiko messbar reduzieren. Hier sind sie nach Priorität geordnet:

  1. Zertifizierungen prüfen. ISO 27001 und ISO 9001 sind ein akzeptables Mindeststandard für jeden, der Unternehmensdaten verwaltet. Keine absoluten Garantien – aber von Dritten überprüfbar.
  2. Spezifische Referenzen aus Ihrer Branche anfragen. Ein Anbieter, der mit ähnlichen Unternehmen gearbeitet hat – gleiche Größe, gleiche Branche, ähnliches Betriebsmodell – überrascht Sie mit geringerer Wahrscheinlichkeit negativ.
  3. Den Vertrag mit Blick auf die Ausstiegsklausel lesen. Wo liegen Ihre Daten? In welchem Zeitraum erhalten Sie sie am Ende der Zusammenarbeit? In welchem Format? Diese drei Punkte sind wichtiger als jede SLA zur Dienstverfügbarkeit.
  4. Berater und Implementierer trennen, wo möglich. Wer Ihnen empfiehlt, welches Tool Sie wählen sollen, sollte nicht dieselbe Person sein, die Ihnen dann die Implementierung verkauft. Der Interessenkonflikt liegt auf der Hand.
  5. Verträge mit jährlicher Überprüfung bevorzugen. Ein mehrjähriger Festvertrag schränkt Ihre Reaktionsfähigkeit ein, wenn der Service schlechter wird. Ein jährlich erneuerbarer Vertrag ist besser – auch wenn er etwas mehr kostet.

Keines dieser Kriterien eliminiert das Risiko vollständig. Aber wer sie zusammen anwendet, verringert die Wahrscheinlichkeit, in drei Jahren zwischen einem unbefriedigenden Anbieter und einem unmöglichen Wechsel wählen zu müssen.

Technologische Abhängigkeit ist unvermeidlich: Sie nutzen externe Tools – das ist normal und oft sinnvoll. Der entscheidende Punkt ist, dass diese Abhängigkeit bewusst gewählt sein muss, mit gangbaren Ausstiegswegen – und nicht stillschweigend von jemandem aufgebaut werden darf, der alles Interesse daran hat, Sie zu behalten.