EU-Migration & Härtung

Wer auf AWS, Azure oder GCP hostet, unterliegt dem CLOUD Act, unabhängig davon, ob die Server in Frankfurt oder Dublin stehen. Gleichzeitig enthält KI-generierter Code systematische Sicherheitslücken. Beides sind lösbare Probleme: Die Migration auf EU-souveräne Infrastruktur beseitigt das rechtliche Risiko, und ein Security-Review schließt die technischen Lücken.

1–4

Wochen bis zum verifizierbaren Ergebnis

4,9×

günstiger: Hetzner dedicated vs. AWS On-Demand (gleiche Konfiguration)

CLOUD-Act-Exposition nach der Migration

ab €5.000

für Migration mit Security-Härtung und CI/CD-Setup

Das Problem: US-Cloud + KI-Code = doppeltes Risiko

Rechtliches Risiko: CLOUD Act und DSGVO

Der CLOUD Act verpflichtet US-Anbieter, Daten auf Anfrage von US-Behörden herauszugeben, auch wenn die Daten physisch in der EU liegen. Ein internes Gutachten des Bundesministeriums des Innern bestätigt: Der US-Behördenzugriff auf Daten bei US-Cloud-Anbietern „kann nicht zuverlässig ausgeschlossen werden." Igor's Lab: BMI-Gutachten zu US-Datenzugriff (2025)

Das betrifft nicht nur Großkonzerne. Jedes Unternehmen, das personenbezogene Daten auf US-Infrastruktur verarbeitet, hat ein DSGVO-Problem — ob es davon weiß oder nicht.

Technisches Risiko: KI-generierter Code

Laut Veracodes GenAI Code Security Report (2025) enthält 45% des KI-generierten Codes Sicherheitslücken mit 2,74× mehr Schwachstellen als manuell geschriebener Code. Veracode: GenAI Code Security Report 2025 Die häufigsten Probleme:

Exponierte Secrets: Hardcodierte API-Keys, Datenbankpasswörter im Frontend-Code, Secrets in der Git-History
Fehlende Authentifizierung: Offene Admin-Routen, ungeschützte API-Endpunkte
Input-Validierung: SQL-Injection, Cross-Site Scripting, fehlende serverseitige Validierung
Dependency-Risiken: Veraltete Pakete mit bekannten CVEs

Wer einen Prototyp mit Cursor, Copilot oder v0 gebaut hat, hat mit hoher Wahrscheinlichkeit mehrere dieser Lücken im Code.

Die Lösung: Migration auf EU-Infrastruktur mit Security-Härtung

Die Migration besteht aus zwei parallelen Arbeitssträngen: der Verlagerung auf EU-souveräne Infrastruktur und der Absicherung des Codes.

Infrastruktur-Migration

Compute: Von Vercel/AWS/Netlify auf Hetzner Cloud (Rechenzentrum Deutschland) bei containerisierten Anwendungen mit K3s-Cluster-Setup
Datenbank: Self-Hosted PostgreSQL auf Hetzner
DNS und TLS: Korrekte Konfiguration mit HSTS und aktuellen Zertifikaten
Storage: S3-kompatibles Object Storage auf Hetzner, falls benötigt

Security-Härtung

Kritische Schwachstellen schließen und Secrets rotieren
Authentifizierung und Autorisierung prüfen und absichern. Bei Bedarf Migration auf Keycloak als Self-Hosted Identity Provider (Magic Links, Passwordless Auth, SSO)
Input-Validierung serverseitig implementieren
Dependencies aktualisieren und gegen bekannte CVEs prüfen

DSGVO-konforme Konfiguration

Datenverarbeitung ausschließlich in der EU: kein Drittlandtransfer
Verschlüsselung at rest und in transit
Logging ohne PII: personenbezogene Daten raus aus den Logfiles
Cookie-Consent und Datenschutzhinweise technisch korrekt implementiert

CI/CD und Monitoring

Automatisierte Deployments über GitHub Actions und ArgoCD (GitOps) mit Quality Gates
Staging-Umgebung für sicheres Testen vor dem Go-Live
Monitoring mit OpenTelemetry, Grafana und Prometheus: Health Checks, Alerting und Tracing bei Ausfällen oder Performance-Problemen

Was sich konkret ändert

Das Ergebnis ist kein PDF mit Empfehlungen, sondern eine funktionierende Anwendung auf europäischer Infrastruktur. Die kritischen Sicherheitslücken sind geschlossen, die CI/CD-Pipeline deployt automatisch, und das Monitoring zeigt den Status in Echtzeit.

Kostenvorteil: Hetzner vs. AWS

Die Migration ist nicht nur eine Compliance-Maßnahme. EU-Infrastruktur ist deutlich günstiger als vergleichbare US-Cloud-Ressourcen:

Kriterium	Hetzner (DE)	AWS Frankfurt
8 vCPU / 16 GB RAM	~€12/Monat (CX43, Shared)	~€155/Monat (m6i.xlarge On-Demand)
8 vCPU / 32 GB RAM (dediziert)	~€62/Monat (CCX33)	~€309/Monat (m6i.2xlarge)
1 TB Block Storage	~€57/Monat	~€88/Monat (gp3)
Traffic (20 TB/Monat)	Inklusive	~€1.660 (Egress-Kosten)
Self-hosted PostgreSQL (16 GB)	~€31/Monat (CCX23)	Ab ~€265/Monat (RDS Managed)
CLOUD Act Exposition	Keine	Vollständig

Hetzner: Cloud-Preise (Stand 2026) AWS: EC2 On-Demand Pricing (Stand 2026)

Typischer Ablauf

Phase	Was passiert	Dauer
Assessment	Code-Review und Erstgespräch	Vor Projektstart
Security-Fixes	Kritische Schwachstellen schließen, Secrets rotieren	Woche 1
Infrastruktur-Setup	Hetzner-Server, Datenbank, Netzwerk, Firewall	Woche 1-2
Migration	Anwendung deployen, Daten migrieren, DNS umstellen	Woche 2-3
CI/CD & Monitoring	Pipeline einrichten, Health Checks, Alerting	Woche 3-4
Stabilisierung	Monitoring, Performance-Check, Übergabe	Woche 4

Der genaue Zeitrahmen hängt von der Komplexität der Codebasis ab. Einfache Next.js-Apps auf Vercel sind in 1–2 Wochen migriert. Komplexere Setups mit mehreren Services und Datenbanken brauchen 3–4 Wochen.

Wann ist eine Migration sinnvoll?

Prototyp auf US-Cloud: Die App funktioniert, aber DSGVO-Konformität fehlt und der Code ist nicht produktionsreif.
DSGVO-Anforderungen von Kunden oder Investoren: Datensouveränität wird explizit gefordert.
Kein internes DevOps-Team: Frontend und Geschäftslogik sind abgedeckt, aber Infrastruktur und Security nicht.
NIS2-Vorbereitung: Die NIS2-Richtlinie verlangt dokumentierte Sicherheitsmaßnahmen. Gehärteter Code auf EU-Infrastruktur ist ein konkreter erster Schritt. BSI: NIS2-Umsetzung

Abgrenzung: Migration vs. Neuentwicklung

Eine Migration setzt voraus, dass der Prototyp im Kern funktioniert und die Geschäftslogik stimmt. Wenn die Codebasis grundlegend re-architektoniert werden muss, Performance-Probleme tief in der Architektur sitzen oder Authentifizierung und Datenmodell von Grund auf neu gebaut werden müssen, ist eine Migration nicht ausreichend. In diesem Fall ist ein MVP-Engineering-Projekt der richtige Ansatz. Für komplexe Anforderungen mit dediziertem Team und laufendem Betrieb bieten wir die Komplettplattform.

Der erste Schritt ist in beiden Fällen ein kostenloses Plattform-Assessment, in dem wir Ihre Codebasis bewerten und den passenden Weg definieren.

Wir schauen uns Ihre Codebasis an und sagen Ihnen, was nötig ist. Schreiben Sie uns eine kurze Projektbeschreibung, und wir melden uns innerhalb von 24 Stunden.

Häufig gestellte Fragen

Wie lange dauert eine Cloud-Migration von AWS zu Hetzner?

Einfache Next.js-Apps auf Vercel sind in 1–2 Wochen migriert. Komplexere Setups mit mehreren Services und Datenbanken brauchen 3–4 Wochen. Der genaue Zeitrahmen wird im kostenlosen Plattform-Assessment definiert.

Was kostet eine Migration auf EU-Infrastruktur?

EU-Migration & Härtung beginnt ab €5.000 und umfasst Security-Fixes, Infrastruktur-Setup auf Hetzner, Datenmigration, CI/CD-Pipeline und Monitoring. Der genaue Umfang hängt von der Komplexität Ihrer Codebasis ab.

Brauche ich eine Migration für DSGVO-Konformität?

Wenn Sie personenbezogene Daten auf US-Cloud-Infrastruktur (AWS, Azure, GCP) verarbeiten, haben Sie unabhängig vom Serverstandort ein DSGVO-Risiko. Der CLOUD Act verpflichtet US-Anbieter zur Datenherausgabe an US-Behörden. Eine Migration auf EU-souveräne Infrastruktur beseitigt dieses rechtliche Risiko.

Wie viel spare ich bei Hetzner im Vergleich zu AWS?

Hetzner ist bei vergleichbarer Konfiguration bis zu 4,9× günstiger als AWS On-Demand. Ein dedizierter Server mit 8 vCPU / 32 GB RAM kostet auf Hetzner ~€62/Monat vs. ~€309/Monat auf AWS. Dazu kommen erhebliche Einsparungen beim Traffic: 20 TB/Monat sind bei Hetzner inklusive, bei AWS kosten sie ~€1.660.

Funktioniert meine Anwendung nach der Migration genauso?

Ja. Wir migrieren Ihre Anwendung so, dass sie auf der neuen Infrastruktur identisch funktioniert — inklusive Staging-Umgebung zum Testen vor dem DNS-Umzug. Monitoring und Health Checks stellen sicher, dass nach dem Go-Live alles stabil läuft.

Was ist der Unterschied zwischen Migration und Neuentwicklung?

Eine Migration setzt voraus, dass Ihr Prototyp im Kern funktioniert. Wir beheben Sicherheitslücken und verlagern die Infrastruktur. Wenn die Codebasis grundlegend re-architektoniert werden muss, ist ein MVP-Engineering-Projekt der richtige Ansatz. Das klären wir im kostenlosen Assessment.