Lösung im Detail

Der eigene Server — DSGVO-konform, KI-fähig, wartbar

Ein praxistauglicher Bauplan für : Welche Aufgaben übernimmt ein eigener Server, welche Hardware passt, wie wird er abgesichert und gewartet, wer macht was, welche KI-Modelle laufen darauf. Plus: Anforderungs-Checklist für das Erstgespräch.

Warum ein eigener Server für KMU sinnvoll ist

Cloud-SaaS ist schnell. Aber jeder Dienst, den ein als SaaS nutzt — Mail, Datei-Speicher, Passwort-Manager, KI-Chat, Reservierung, Wiki — bedeutet: Daten verlassen das Haus. Bei klassischen Branchen mit Verschwiegenheits-Pflicht (Anwalt, Steuerberater, Arzt, Therapeut, Ingenieur mit IP-Schutz) ist das berufsrechtlich oft nicht haltbar. Plus: SaaS-Kosten skalieren linear mit Mitarbeiterzahl. Ein eigener Server fasst Dienste zusammen, hält Daten lokal und amortisiert sich bei 15+ Mitarbeitenden meist innerhalb von 18 Monaten.

Was kann ein eigener KMU-Server leisten?

Acht typische Aufgaben, die ein einziger Server für ein mit 5–50 Mitarbeitenden erfüllen kann. Jede ist ein eigener Container-Stack, alle laufen parallel auf derselben Hardware.

Datei-Speicher & Cloud

Nextcloud als zentrale Datei-Cloud mit WebDAV, Kalender, Kontakten. Multi-User mit Rollen. Mobile-Apps für iOS/Android sind Standard. Ersetzt Dropbox + Microsoft 365 Files. RAM-Bedarf: ca. 2 GB.

Mailserver

docker-mailserver mit Postfix + Dovecot + Rspamd-Spam-Filter. Unbegrenzte Aliase, eigener Mail-Versand mit DKIM/SPF/DMARC. Optional SOGo als Webmail. Ersetzt Strato, Ionos, Google Workspace.

Passwort-Manager

Vaultwarden (Bitwarden-kompatibel). Persönlicher und Organisations-Vault, geteilte Folders pro Projekt/Mandat, TOTP-Generator integriert. Ein Container, 50 MB RAM.

Wissens-Basis & Wiki

BookStack als Wiki mit Bücher-Kapitel-Seiten-Struktur, WYSIWYG + Markdown, Volltextsuche, Multi-User. Für interne Doku, Beratungs-Wissen, Mandanten-Handbücher.

Termin-Buchung

Cal.com als Calendly-Alternative. Self-Service-Slots für Mandanten/Patienten, wiederkehrende Termine, Erinnerungs-Mails über den eigenen Mailserver. Vier Container, ca. 1 GB RAM.

Workflow-Automatisierung

für einfache Workflows (E-Mail → → DATEV-Export) oder 7 für komplexe Geschäftsprozesse mit User-Tasks. 400+ vorgefertigte Integrationen.

KI-Server (Ollama + Open WebUI)

Lokale (Llama 3.3, Qwen 2.5, Mistral) für DSGVO-pflichtige Bereiche. als ChatGPT-ähnliche Oberfläche. , über eigene Dokumente, .

Monitoring & Backup

für Service-Monitoring, + für Hardware-Metriken, automatisches Daily-Backup auf separates NAS oder Cloud-Storage. Plus Disaster-Recovery-Plan.

Hardware — drei Größen-Stufen

Welche Hardware konkret? Das hängt von Mitarbeiterzahl, KI-Bedarf und Wachstumserwartung ab. Drei pragmatische Stufen mit konkreten Modellen und Preisen.

Stufe 1 — Klein (5–15 MA, ohne KI)

Mini-PC oder NAS-System. Intel NUC oder UGREEN DXP4800 mit 32 GB RAM, 2 TB SSD. Reicht für Mail + Cloud + Wiki + Passwort-Manager + + Monitoring. Hardware ca. 1.500–2.500 €, Strom ca. 100 €/Jahr. Aufstellort: IT-Schrank im Büro mit USV.

Stufe 2 — Mittel (10–30 MA, mit kleiner KI)

Workstation mit Consumer-GPU. AMD Ryzen 9 + 64 GB RAM + RTX 4090 (24 GB VRAM) + 4 TB NVMe SSD. : Modelle bis 32B (Qwen 2.5, Phi 4) lokal nutzbar. Hardware 4.000–6.000 €, Strom ca. 250 €/Jahr (Inferenz). Aufstellort: serverfähiger Raum mit Belüftung.

Stufe 3 — Premium (20–100 MA, mit großer KI)

Apple Mac Studio M4 Ultra mit 192 GB Unified Memory ODER NVIDIA-Workstation mit 2× RTX 5090. : Llama 3.3 70B + Mixtral + DeepSeek R1 32B parallel. Hardware 8.000–15.000 €, Strom ca. 400 €/Jahr. Aufstellort: dedizierter Server-Raum oder Hetzner-Colocation.

Wie wird der Server abgesichert?

Sicherheit ist Schichtenkuchen, nicht Magie. Sechs Bausteine, die zusammen einen pragmatischen KMU-Schutz ergeben — ohne Enterprise-Aufwand.

Firewall + fail2ban

OS-Firewall (ufw oder firewalld), die nur die nötigen Ports öffnet (443 für HTTPS, 25/465/587/993 für Mail, ggf. 22 für SSH). blockt Brute-Force-Angriffe automatisch. Pflicht-Konfiguration, keine Option.

OS- und Container-Updates

OS-Updates wöchentlich automatisch (unattended-upgrades auf Ubuntu). Container-Images quartalsweise prüfen, kritische Sicherheits-Updates sofort einspielen. Renovate-Bot oder watchtower hilft bei der Übersicht.

Backup-Strategie 3-2-1

Drei Kopien der Daten, zwei verschiedene Speicher-Medien, eine Off-Site (z. B. Hetzner Storage Box oder NAS in zweitem Gebäude). Tägliche inkrementelle Backups, wöchentliche Vollsicherung. Restic, BorgBackup oder Duplicati.

Disaster-Recovery (DR)

Quartalsweise Restore-Test: 'können wir aus dem Backup einen kompletten Server wiederherstellen?' Dokumentierter DR-Plan: welche Schritte in welcher Reihenfolge, welche Logins, welche Hardware. Keine Hardware-Pläne, die im Brandfall mitverbrennen.

TLS überall + Caddy

Alle Web-Dienste hinter Caddy mit automatischem Let's-Encrypt-Zertifikat. Mail-Versand und -Empfang via STARTTLS, opportunistische Verschlüsselung. Interne Container-zu-Container-Kommunikation im privaten Docker-Netz.

Audit-Log und Monitoring

überwacht Dienst-Status, zeigt Hardware-Auslastung, sammelt Logs. Bei Anomalien Slack-/E-Mail-Alert. Plus: Login-Audit-Log pro Anwendung (wer hat wann was getan).

Wie wird der Server gewartet?

Wartung ist keine Magie, sondern ein wiederkehrender Rhythmus. Vier Frequenz-Stufen mit konkreten Aufgaben — vom täglichen 5-Minuten-Check bis zum jährlichen Sicherheits-Audit.

Täglich (automatisiert)

checkt alle Dienste alle 60 Sekunden. Grafana-Alarm bei Disk > 85 % oder RAM > 90 %. Tägliche Backup-Routine läuft 02:00 Uhr nachts. Auto-Mail bei Fehler.

Wöchentlich (10 Minuten Inhaber)

Dashboard-Check: alle Container grün? Letzte Backups erfolgreich? Anomalien in den Logs? OS-Updates im Wartungsfenster (Samstag 06:00) einspielen lassen. Container-Image-Updates sichten.

Monatlich (1 Stunde IT-affiner Mitarbeiter)

Container-Image-Updates testen und einspielen. Backup-Restore-Test einer kleinen Datei. Speicher-Belegung prüfen, ggf. alte Daten archivieren. Mitarbeiter-Account-Review (wer ist noch da?).

Quartalsweise / Jährlich (externer Berater)

Quartalsweise: vollständiger Disaster-Recovery-Test, Security-Patch-Review, Performance-Auswertung. Jährlich: Hardware-Lebensdauer-Prüfung, BAFA-Auflagen-Check, Anforderungs-Review (was hat sich geändert?).

Wer macht was?

Verantwortlichkeiten klar aufgeteilt. In einem mit 5–50 Mitarbeitenden gibt es drei typische Rollen — auch wenn manche Aufgaben kombiniert sind.

Inhaberin / Geschäftsführung

Strategische Entscheidungen: welche Dienste sollen , welche bleiben SaaS? Budget-Freigabe für Hardware und Beratung. Eskalations-Punkt bei Wartungsfragen. Wöchentlicher Dashboard-Check (10 Minuten).

IT-affiner Mitarbeitender (interner Power-User)

Tagesoperatives: neue Mitarbeiter-Accounts anlegen, Tickets weiterleiten, Erste-Hilfe bei einfachen Problemen. Monatliche Wartungs-Aufgaben (Updates testen, Backup-Restore-Test). Schnittstelle zum externen Berater.

Externer Beratungs-Partner (das sind wir)

Setup und Migrations-Begleitung. Komplexe Konfigurations-Änderungen. Sicherheits-Audits. Notfall-Eingriffe bei Disaster Recovery. Quartalsweise Wartungs-Termine. Ansprechpartner bei strategischen Architektur-Entscheidungen.

Welche KIs können eingebunden werden?

Die KI-Wahl hängt von zwei Faktoren ab: Hardware (welche Modelle laufen?) und Anwendungsfall (was soll tun?). Beides ist auf demselben Server umsetzbar — wenn die Hardware passt.

Allzweck-KI für Texte und Übersetzungen

Llama 3.3 70B (auf Premium-Hardware) oder Qwen 2.5 32B (auf Mittel-Hardware). Beide sehr gut auf Deutsch. Eingebunden in als Chat-Oberfläche, in als API-Step für Workflows. Modell-Lizenz pro Modell prüfen.

Reasoning + komplexe Logik

DeepSeek R1 Distill 32B als spezialisiertes Reasoning-Modell. Anwendung: rechtliche Analyse, komplexe Berechnungen, Strategie-Skizzen. Kann parallel zum Allzweck-Modell laufen.

RAG (Retrieval-Augmented Generation)

bringt RAG-Funktionalität mit: Dokumente hochladen (PDF, DOCX), erzeugen, antwortet aus dem eigenen Wissensbestand. Für Mandanten-/Patienten-Dokumentation, BAFA-Förderlogik, ISO-9001-Handbücher.

Multi-Modal (Bilder, Whiteboard)

Modelle wie Llama 3.2 Vision oder Qwen 2.5 VL akzeptieren Bilder. : gescannte Rechnungen analysieren, Bauteil-Fotos für Reklamationen, Whiteboard-Skizzen für Workshops.

Wie geht's weiter?

Wenn diese Lösung passend klingt, sind die nächsten Schritte überschaubar. Drei Etappen vom ersten Gespräch bis zum produktiven Server.

1. Anforderungs-Checkliste ausfüllen

Wir haben eine strukturierte Wunschliste vorbereitet — Branchen-spezifische Vorlagen, abgefragte Daten-Sensitivität, KI-Wunsch, Hardware-Präferenzen. Ausfüllen dauert 10–15 Minuten und schickt uns die Grundlage für ein präzises Erstgespräch.

2. Erstgespräch (kostenfrei, 45 Minuten)

Wir besprechen Ihre Wunschliste, klären offene Punkte, schätzen Hardware-Bedarf und Zeitrahmen ein. Sie bekommen eine ehrliche Einschätzung: passt Self-Hosting bei Ihnen, oder ist Cloud-SaaS für Ihren Fall pragmatischer? Beides ist OK.

3. Setup-Roadmap und schrittweise Migration

mit konkreten Etappen — typisch: Hardware kaufen, Server aufsetzen (1 Woche), Mail + Cloud + Passwort-Manager migrieren (2 Wochen), KI-Stack einrichten (1 Woche), Schulung Mitarbeitende (3 Tage), Übergabe + Quartals-Wartungs-Vertrag. Insgesamt 8–12 Wochen.

Erster Schritt

Anforderungs-Checkliste ausfüllen

10–15 Minuten Zeit, branchenspezifische Vorlagen, kein Login. Das Ergebnis schicken Sie uns oder bringen es zum Erstgespräch mit.

→ Zur Wunschliste

Verwandte Lösungen

Auf diesem Bauplan laufen die anderen Lösungen

Die Tools-Sektion zeigt die einzelnen Bausteine. Die KI-Server-Seite vertieft den KI-Aspekt. Die Tool-Stacks zeigen Beispiel-Kombinationen:

→ Tools-Übersicht → Eigener KI-Server (KI-Schwerpunkt)→ KI-Modell-Zoo

Bereit für den nächsten Schritt?

Kostenloses Erstgespräch. Unverbindlich. In 30 Minuten wissen Sie, ob und wie KI Ihrem Unternehmen helfen kann.

Erstgespräch buchen Förderfähigkeit prüfen