· Ratgeber · 5 Min. Lesezeit
Raus aus dem Vendor-Lock-in: der souveräne IT-Stack mit OPNsense, Proxmox und Nextcloud
Abo-Zwang, Preissprünge, fremde Server: Warum viele auf Open Source umstellen und wie der Stack aus OPNsense, Proxmox und Nextcloud aussieht.

Es gibt einen Moment, in dem viele Unternehmer zum ersten Mal über „digitale Souveränität” nachdenken: wenn die Verlängerungsrechnung kommt. Die Virtualisierungslizenz kostet plötzlich ein Vielfaches, die Firewall braucht ein neues Abo, damit sie überhaupt weiter schützt, und das Office-Paket wird pro Kopf und Monat abgerechnet, dauerhaft. Wer dann wechseln will, merkt: So einfach geht das nicht. Genau das ist Vendor-Lock-in, und genau dagegen lässt sich eine IT-Infrastruktur von Anfang an anders bauen.
Warum gerade jetzt so viele umsteigen
Der Umstieg auf Open-Source-Infrastruktur ist kein Nischenthema mehr. Mehrere Entwicklungen kommen zusammen:
- Die VMware-Übernahme durch Broadcom hat vielen kleinen und mittleren Unternehmen vor Augen geführt, wie schnell sich Konditionen ändern können: keine Kauflizenzen mehr, Abo-Zwang, Produkt-Bündelung, deutlich höhere Kosten. Wer keine Alternative hat, zahlt.
- Cloud-Abhängigkeit: Viele Betriebe haben ihre Dateien, Kalender und Kommunikation komplett zu US-Anbietern verlagert. Bequem, aber die Frage „Wo liegen unsere Daten, und wer hat Zugriff?” lässt sich dort selten sauber beantworten. Für Praxen mit Patientendaten (Art. 9 DSGVO, Schweigepflicht) ist das mehr als ein Bauchgefühl-Problem.
- Digitale Souveränität ist inzwischen auch in öffentlichen Verwaltungen in Deutschland und Europa ein erklärtes Ziel. Die Werkzeuge, um kritische Infrastruktur unabhängig von einzelnen Herstellern zu betreiben, sind ausgereift und werden breit produktiv eingesetzt.
Dazu kommt die DSGVO: Mit einem Auftragsverarbeitungsvertrag allein ist es nicht getan, wenn faktisch unklar bleibt, welchem Rechtsraum die Daten unterliegen. Wer Speicherort und Zugriff selbst kontrolliert, hat auf diese Fragen schlicht bessere Antworten.
Souverän heißt dabei nicht „alles selbst machen”. Es heißt: Sie können jederzeit wechseln, den Dienstleister, den Betriebsort, die Hardware. Offene Software, offene Formate, dokumentierte Systeme. Das ist der Maßstab, an dem ich meine Arbeit messen lasse.
Baustein 1: OPNsense als Firewall und Netzfundament
Am Netzübergang beginnt jede vernünftige Infrastruktur. OPNsense ist eine professionelle, quelloffene Firewall mit allem, was auch die kommerziellen Appliances können: VLAN-Segmentierung, VPN mit WireGuard, optional Angriffserkennung (IDS/IPS), sauberes Reporting. Der Unterschied: kein jährlich steigendes Lizenz-Abo, das die Firewall lahmlegt, wenn Sie nicht verlängern.
Für Praxen kommt dazu, dass die Netztrennung (Behandlung, Verwaltung, Gäste-WLAN, TI) ohnehin zu den Pflichten aus der IT-Sicherheitsrichtlinie gehört, und OPNsense setzt genau das sauber um. Wie ich Firewalls plane und betreue, beschreibe ich auf der Seite Firewall & Netzwerksicherheit mit OPNsense.
Baustein 2: Proxmox als Virtualisierungs-Plattform
Auf dem Server läuft heute selten nur ein System, Virtualisierung ist der Normalfall. Proxmox VE ist die Open-Source-Antwort auf VMware: eine ausgereifte Plattform auf Basis von KVM mit zentraler Verwaltung, Clustering, Hochverfügbarkeit und integrierter Datensicherung über den Proxmox Backup Server. Bestehende VMware-Maschinen lassen sich in aller Regel übernehmen, das prüfe ich vorab pro VM.
Der wirtschaftliche Effekt ist meist der greifbarste im ganzen Stack: Statt eines Abos pro Prozessorkern zahlen Sie für Proxmox selbst keine Lizenz, nur optional für Support und für die Betreuung. Details und den Ablauf einer Migration finden Sie unter Virtualisierung & VMware-Alternative mit Proxmox.
Baustein 3: Nextcloud als Arbeitsumgebung fürs Team
Die dritte Ebene ist die, die Ihr Team täglich sieht: Dateien, Kalender, Kontakte, gemeinsames Bearbeiten von Dokumenten (mit Collabora oder OnlyOffice) und Videokonferenzen mit Nextcloud Talk. Nextcloud deckt damit für die meisten KMU und Praxen das ab, wofür sonst Microsoft 365 gebucht wird, nur dass die Daten dort liegen, wo Sie es entscheiden.
Ehrlicherweise: Wer tief in Excel-Spezialfunktionen oder Teams-Integrationen steckt, wird Unterschiede merken. Für den Alltag aus Dateiablage, Terminplanung und Zusammenarbeit ist Nextcloud aber eine vollwertige, souveräne Basis. Mehr dazu auf der Seite Private Cloud & Microsoft-365-Alternative.
On-Premise bei Ihnen oder gemanagt von mir, Sie haben die Wahl
Ein Punkt ist mir wichtig, weil er oft missverstanden wird: Souveränität heißt nicht, dass ein Server im Keller stehen muss.
- On-Premise: Der Stack läuft auf Ihrer Hardware in Ihrem Haus. Maximale Datenhoheit, sinnvoll überall dort, wo sensible Daten das Gebäude nicht verlassen sollen, etwa in Praxen.
- Gemanagtes Hosting (EU): Ich betreibe denselben Stack für Sie auf Infrastruktur in der EU, DSGVO-konform, mit Auftragsverarbeitungsvertrag, Backup und Monitoring. Sie bekommen den Komfort einer Cloud, ohne die Kontrolle abzugeben.
Beides ist derselbe offene Stack, deshalb bleibt auch der Wechsel zwischen den Betriebsmodellen möglich. Erst gehostet starten und später ins eigene Haus umziehen, oder umgekehrt: Das ist mit offener Software ein Umzug, kein Neuanfang. Wie ich Infrastruktur plane, dokumentiere und betreibe, steht auf der Seite IT-Infrastruktur & Hosting.
Ehrlich: Der Umstieg ist ein Projekt, kein Knopfdruck
Ich verspreche Ihnen keinen Wechsel übers Wochenende, und Sie sollten niemandem glauben, der das tut. Ein sauberer Umstieg braucht:
- Bestandsaufnahme: Was läuft heute, was hängt woran, welche Verträge laufen wann aus?
- Reihenfolge: Meist zuerst die Virtualisierung oder die Firewall, dann die Dienste. Der Lizenz-Kalender gibt oft den Takt vor.
- Koexistenz: Übergangsphasen sind normal. Nextcloud kann neben Microsoft 365 laufen, Proxmox neben dem alten Host, bis alles geprüft umgezogen ist. Niemand muss an einem Stichtag alles gleichzeitig wechseln.
- Gewöhnung: Ihr Team braucht eine kurze Einweisung und ein paar Wochen Alltag. Das plane ich ein, statt es zu verschweigen.
Auch das gehört zur Ehrlichkeit: Open Source ist nicht kostenlos im Betrieb. Sie sparen Lizenzkosten, aber Einrichtung, Pflege und Updates brauchen Fachwissen, meines oder das eines anderen Dienstleisters. Der Unterschied zum Lock-in: Sie können den Dienstleister wechseln, weil alles auf offenen Standards läuft und dokumentiert übergeben werden kann.
Für wen sich der Blick lohnt
Aus meiner Sicht lohnt sich das Nachrechnen fast immer dann, wenn eine dieser Situationen zutrifft: Ihre VMware-Verlängerung steht an. Ihre Firewall-Appliance verlangt ein neues Abo. Ihre monatlichen Cloud-Kosten pro Nutzer sind über die Jahre stetig gestiegen. Oder Sie arbeiten mit Daten, bei denen Sie die Frage „Wo liegt das eigentlich?” sauber beantworten können müssen.
Und um es klar zu sagen: Kein Unternehmen muss alle drei Bausteine auf einmal einführen. Wer nur die Firewall tauscht oder nur die Virtualisierung, gewinnt schon dort Unabhängigkeit, jeder Baustein steht für sich und die anderen können folgen, wenn es passt.
Der souveräne Stack aus OPNsense, Proxmox und Nextcloud ist dafür kein Experiment, sondern gelebter Standard, den ich täglich einrichte und betreue, wahlweise bei Ihnen im Haus oder als gemanagtes Hosting in der EU.
Lassen Sie uns Ihre Ausgangslage anschauen. Im kostenlosen Erstgespräch klären wir, welche Bausteine sich bei Ihnen zuerst lohnen und wie ein realistischer Fahrplan aussieht: Kontakt aufnehmen.

Alex Jabi
Ich betreue IT, Informationssicherheit und Datenschutz für KMU und Praxen an der Bergstraße und im Odenwald, persönlich, dokumentiert und ohne Cloud-Zwang.
Mehr über mich