„22 Euro pro User – da ist doch alles drin!“ Diesen Satz hören wir bei Never Code Alone in fast jedem Beratungsgespräch, wenn es um Microsoft 365 geht. Und ja, auf den ersten Blick klingt das verlockend. Ein Preis, alle Tools, volle Integration. Was dabei oft untergeht: Der Einstieg ist günstig, der Ausstieg wird teuer. Sehr teuer. Denn Microsoft hat ein Ökosystem gebaut, das euch mit offenen Standards lockt – und mit proprietären Abhängigkeiten festhält.
Mit über 15 Jahren Erfahrung in Softwarequalität, Open Source und Remote Consulting begleiten wir Unternehmen durch genau diese Entscheidungen. In diesem Artikel zeigen wir euch, wie das Lock-in-System funktioniert, warum Apple-Hardware plus Open Source eine echte Alternative darstellt und wie ihr eure Exit-Strategie heute schon planen könnt.
Was ist der Microsoft Vendor Lock-in und warum betrifft er euch?
Vendor Lock-in beschreibt die Situation, wenn ein Unternehmen so tief in das Ökosystem eines Anbieters integriert ist, dass ein Wechsel unverhältnismäßig teuer oder technisch aufwändig wird. Bei Microsoft zeigt sich das besonders deutlich: OAuth, SAML, SMTP – alles offene Standards, die Microsoft unterstützt. Aber die Funktionen, die im Alltag wirklich den Unterschied machen, sind proprietär.
Conditional Access? Funktioniert nur mit Entra ID. Device Trust? Nur mit Intune. Nahtlose Zusammenarbeit ohne Reibungsverluste? Nur innerhalb des Microsoft-Ökosystems. Ihr könnt zwar theoretisch andere Tools anbinden, aber die Integration fühlt sich immer ein bisschen holprig an. Das ist kein Zufall – das ist das Geschäftsmodell.
Der Einstieg ist bewusst niedrigschwellig gestaltet. Die Preise für Microsoft 365 Business Basic starten bei etwa 22 Euro pro User. Aber sobald ihr Conditional Access, erweiterte Compliance-Features oder Enterprise-Funktionen braucht, steigen die Kosten schnell auf 40, 60 oder mehr Euro pro User. Und ab Juli 2026 erhöht Microsoft die Preise nochmals deutlich – bei manchen Lizenzen um bis zu 33 Prozent.
Wie funktioniert Conditional Access und warum bindet es euch an Microsoft?
Conditional Access ist eines der mächtigsten Features in Microsoft Entra ID – und gleichzeitig einer der größten Lock-in-Treiber. Das System entscheidet anhand verschiedener Signale, ob ein Zugriff gewährt oder blockiert wird: Standort, Gerätestatus, Benutzergruppe, Anwendung, Risikolevel.
Das Problem: Conditional Access funktioniert nur richtig, wenn eure Geräte in Intune verwaltet werden und eure Identitäten in Entra ID liegen. Wollt ihr ein Gerät als „compliant“ markieren, braucht ihr Intune-Compliance-Policies. Wollt ihr standortbasierte Regeln durchsetzen, müsst ihr eure Netzwerke in Entra ID definieren.
Diese tiefe Integration ist aus Sicherheitsperspektive durchaus sinnvoll. Aber sie bedeutet auch: Sobald ihr Conditional Access produktiv nutzt, wird ein Wechsel zu einem anderen Identity Provider extrem aufwändig. Alle Policies müssen neu definiert, alle Geräte neu eingerichtet, alle Prozesse angepasst werden.
Welche versteckten Kosten entstehen beim Ausstieg aus Microsoft?
Die direkten Exit-Kosten sind nur die Spitze des Eisbergs. Ja, Microsoft hat seit 2024 die Egress-Fees für Azure-Daten abgeschafft – aber das löst nicht das eigentliche Problem. Die echten Kosten entstehen an anderer Stelle.
Zunächst ist da die Datenmigration: Eure Daten liegen in SharePoint, OneDrive, Exchange – alles proprietäre Formate, die beim Export Metadaten verlieren. Dann die Anwendungsabhängigkeiten: Power Platform, Power Apps, Power Automate – wenn ihr diese Low-Code-Tools produktiv nutzt, sind die Workflows nicht portierbar. Hinzu kommt die Schulung: Eure Mitarbeitenden kennen Microsoft 365. Sie kennen die Tastenkürzel, die Menüs, die Workflows. Ein Wechsel bedeutet Produktivitätsverlust während der Umstellung.
Und schließlich: Die versteckten Lizenzkosten innerhalb von Microsoft selbst. Mischt ihr verschiedene Lizenzstufen wie F1, F3, E3 und E5, können unerwartete Compliance-Probleme entstehen. Power BI Pro hat Limits bei Datenvolumen und Aktualisierungsfrequenz – wer darüber hinausgeht, zahlt für Power BI Premium erheblich mehr.
Warum ist Apple-Hardware eine Alternative zu Windows im Enterprise?
Apple verfolgt einen fundamental anderen Ansatz als Microsoft. Bei Apple ist Sicherheit in die Hardware eingebaut – nicht als Cloud-Service mit monatlicher Lizenzgebühr. Der Secure Enclave Chip, Touch ID, Face ID – das sind keine Zusatzfeatures, sondern integraler Bestandteil jedes Geräts.
MDM (Mobile Device Management) ist bei Apple ein natives Plattform-Feature, kein kostenpflichtiges Upselling. Jedes iPhone, jedes iPad, jeder Mac unterstützt von Haus aus die MDM-Protokolle. Ihr braucht nur einen MDM-Server – und der kann Open Source sein. MicroMDM oder NanoMDM sind zwei Open-Source-Projekte, die Apple-Geräte zuverlässig verwalten können.
Die Identität ist bei Apple nicht zwangsläufig an eine Cloud gebunden. Managed Apple IDs funktionieren mit Apple Business Manager, können aber auch mit externen Identity Providern wie Keycloak föderiert werden. Ihr behaltet die Kontrolle darüber, wo eure Identitätsdaten liegen.
Welche Open-Source-Alternativen gibt es zu Microsoft 365?
Die Open-Source-Landschaft hat sich in den letzten Jahren massiv weiterentwickelt. Für praktisch jede Microsoft-365-Komponente gibt es mittlerweile ausgereifte Alternativen.
Für das Identity Management ist Keycloak der Platzhirsch. Die Red-Hat-Lösung unterstützt OAuth 2.0, OpenID Connect und SAML – also genau die Standards, die Microsoft auch nutzt. Im Gegensatz zu Entra ID könnt ihr Keycloak selbst hosten und behaltet die volle Kontrolle über eure Identitätsdaten.
Für Dateispeicherung und Collaboration bietet Nextcloud alles, was OneDrive und SharePoint können – plus Ende-zu-Ende-Verschlüsselung, wenn ihr sie braucht. Die Gaia-X-Initiative der EU hat sich explizit für Nextcloud entschieden.
Für Office-Anwendungen gibt es Collabora Online, das auf LibreOffice basiert. Die Kompatibilität mit Microsoft-Formaten ist ausgereift, die Echtzeit-Zusammenarbeit funktioniert im Browser.
Für Kommunikation ersetzt Element (basierend auf dem Matrix-Protokoll) sowohl Teams als auch Slack. Die Bundeswehr und mehrere europäische Regierungen setzen bereits auf Matrix/Element.
Wie plant ihr eine realistische Exit-Strategie?
Eine Exit-Strategie bedeutet nicht, dass ihr morgen alles umstellt. Es bedeutet, dass ihr heute Entscheidungen trefft, die euch morgen Optionen lassen.
Der erste Schritt ist Transparenz: Dokumentiert eure aktuelle Microsoft-Nutzung. Welche Lizenzen habt ihr? Welche Features nutzt ihr wirklich? Wo liegen eure Daten? Welche Integrationen habt ihr gebaut?
Der zweite Schritt ist Risikobewertung: Identifiziert eure kritischsten Abhängigkeiten. Wo würde ein Wechsel am meisten schmerzen? Das sind die Bereiche, in denen ihr zuerst Alternativen evaluieren solltet.
Der dritte Schritt ist schrittweise Migration: Beginnt mit unkritischen Bereichen. Vielleicht könnt ihr euer internes Wiki auf Nextcloud migrieren, während das Kerngeschäft noch auf SharePoint läuft. Vielleicht testet ihr Keycloak erst für ein internes Tool, bevor ihr eure gesamte Identity-Infrastruktur umstellt.
Was bedeutet Datensouveränität für deutsche Unternehmen?
Der CLOUD Act verpflichtet US-Unternehmen, auf Anforderung von US-Behörden Daten herauszugeben – unabhängig davon, wo diese physisch gespeichert sind. Das bedeutet: Selbst wenn eure Daten in einem Microsoft-Rechenzentrum in Frankfurt liegen, können US-Behörden theoretisch darauf zugreifen.
Ein europäischer Serverstandort schützt also nicht automatisch vor US-Datenzugriff. Entscheidend ist nicht, wo die Server stehen, sondern wer die Kontrolle über die Daten hat und welcher Unternehmensstruktur der Anbieter unterliegt.
Für Unternehmen mit sensiblen Daten – und das betrifft nicht nur Branchen mit offensichtlichen Compliance-Anforderungen – ist das ein echtes Risiko. Die Lösung: Anbieter wählen, die vollständig deutschem und europäischem Recht unterliegen. IONOS, Hetzner, Open-Xchange, mailbox.org – der deutsche Markt bietet mittlerweile eine beachtliche Auswahl.
Welche Vorteile bietet die Kombination aus Apple und Open Source?
Die Kombination aus Apple-Hardware und Open-Source-Backend bietet eine interessante Alternative zum Microsoft-Stack. Ihr profitiert von der Hardware-Sicherheit und dem ausgereiften MDM-Protokoll von Apple, ohne euch an eine proprietäre Cloud zu binden.
Mit Keycloak habt ihr einen Identity Provider, der OAuth, OIDC und SAML unterstützt – und den ihr selbst betreiben könnt. Mit MicroMDM oder einer kommerziellen Lösung wie Mosyle verwaltet ihr eure Apple-Geräte zentral. Mit Nextcloud und Collabora habt ihr ein vollständiges Office- und Collaboration-Stack.
Der Vorteil: Jede Komponente ist austauschbar. Gefällt euch Keycloak nicht? Wechselt zu Authentik oder WSO2. Braucht ihr mehr MDM-Features? Schaut euch Jamf oder Kandji an. Diese Modularität ist das Gegenteil von Lock-in.
Natürlich ist dieser Ansatz komplexer als „Microsoft 365 aktivieren und fertig“. Ihr braucht Know-how für die Einrichtung und den Betrieb. Aber die Kosten sind transparent – ihr bezahlt für Architektur, Hosting und Support, nicht für versteckte Lizenzgebühren, die jedes Jahr steigen.
Wie überzeugt ihr Entscheider von einer Diversifizierungsstrategie?
Die Argumentation für eine Diversifizierung muss auf verschiedenen Ebenen funktionieren. Für das C-Level zählen strategische Risiken: Was passiert, wenn Microsoft die Preise erneut erhöht? Was passiert bei einer Sanktion, die den Zugang zu US-Cloud-Services einschränkt? Was passiert bei einem Security-Incident, der Microsoft 365 betrifft?
Für die IT-Leitung zählen operationale Aspekte: Wie abhängig seid ihr von einem einzelnen Anbieter? Welche Optionen habt ihr, wenn Features abgekündigt werden? Wie schnell könnt ihr reagieren, wenn sich Anforderungen ändern?
Für die Finanzabteilung zählen die Zahlen: Rechnet die Total Cost of Ownership durch – nicht nur die Lizenzkosten, sondern auch Schulung, Integration, potenzielle Exit-Kosten. Vergleicht das mit einem diversifizierten Ansatz über mehrere Jahre.
Die Botschaft sollte nicht sein „Wir müssen sofort weg von Microsoft“, sondern „Wir brauchen Optionen“. Eine schrittweise Diversifizierung reduziert Risiken, ohne den laufenden Betrieb zu gefährden.
Was kostet der Aufbau einer Microsoft-unabhängigen Infrastruktur?
Die Frage nach den Kosten muss ehrlich beantwortet werden: Ja, eine unabhängige Infrastruktur erfordert initiale Investitionen. Ihr braucht Expertise für die Einrichtung, möglicherweise externe Beratung, Zeit für Migration und Schulung.
Aber dem stehen konkrete Einsparungen gegenüber. Open-Source-Lösungen haben keine laufenden Lizenzkosten. Ihr zahlt für Hosting, Support und Customizing – aber nicht für die Software selbst.
Das Beispiel Schleswig-Holstein zeigt die Dimensionen: Das Bundesland rechnet mit Einsparungen von 15 Millionen Euro jährlich nach der Migration zu LibreOffice. Die einmaligen Investitionen amortisieren sich in weniger als einem Jahr.
Für ein typisches mittelständisches Unternehmen mit 100 Mitarbeitenden kann eine diversifizierte Lösung aus Nextcloud, Keycloak und Collabora günstiger sein als Microsoft 365 E3 – bei voller Datensouveränität.
Unterstützung für eure Cloud-Strategie
Habt ihr Fragen zur Migration oder plant ihr eine Neuausrichtung eurer IT-Infrastruktur? Mit über 15 Jahren Erfahrung in Softwarequalität, Open Source und Remote Consulting unterstützen wir euch bei der strategischen Planung und praktischen Umsetzung.
Wir bieten:
- Analyse eurer aktuellen Microsoft-Nutzung und Identifikation von Abhängigkeiten
- Evaluierung von Apple- und Open-Source-Alternativen für eure spezifischen Anforderungen
- Begleitung bei der schrittweisen Migration
- Workshops zu Keycloak, Nextcloud und europäischen Cloud-Strategien
Schreibt uns eine E-Mail an roland@nevercodealone.de – wir melden uns zeitnah zurück.
Never Code Alone – Gemeinsam für bessere Software-Qualität!
