Schweizerform vs selbst gehostete Formulare

Ein Open-Source-Formular-Tool selbst zu hosten — LimeSurvey, Formbricks, OhMyForm, SurveyJS Service oder ähnliches — ist eine vertretbare Wahl für Teams, die volle Kontrolle darüber wollen, wo ihre Befragten-Daten liegen. Die Motivation ist meist klar: niemand sonst hat die Datenbank, niemand sonst terminiert TLS, niemand sonst ist der Adressat einer Vorladung. Sie betreiben es, Sie besitzen es. Für eine bestimmte Art von Käufer — typischerweise mit hauseigenem Ops-Team, starken Linux-Kenntnissen und etablierter Patch-Routine — ist dieser Tausch der richtige.

Schweizerform setzt auf eine andere Wette: dass für die meisten Teams die Betriebskosten, eine Formular-Plattform gut zu führen, die wahrgenommene Kontrolle des Selbstbetriebs überwiegen — und dass die Eigenschaft, die sie eigentlich wollten (ein Anbieter, der Einreichungen physisch nicht lesen kann), als Service über Zero-Knowledge-Verschlüsselung geliefert werden kann. Hosting in der Schweiz, vier UI-Sprachen (EN / DE / FR / IT) nativ, Verschlüsselung in jedem Plan inbegriffen. Diese Seite vergleicht beide Wege ehrlich, einschliesslich der Failure Modes, die Broschüren üblicherweise auslassen.

Wo Selbstbetrieb wirklich punktet

Wir beginnen dort, wo der Selbstbetrieb stark ist, denn ehrliche Vergleiche sollten das tun. Echte Gründe, warum Teams LimeSurvey, Formbricks oder eine andere selbst gehostete Option wählen:

• Volle Kontrolle der Datenebene — Ihre Server, Ihre Datenbank, Ihre Jurisdiktion per Definition
• Keine Anbieterbindung — Open Source bedeutet, Sie können forken, auditieren, modifizieren und nach Belieben migrieren
• Keine Pro-Sitz- oder Pro-Antwort-Preise — die Grenzkosten eines weiteren Formulars sind faktisch null
• Tiefe Anpassung auf Quellcode-Ebene möglich — eigene Felder, Integrationen, Branding
• Air-Gapped oder On-Premises-Deployment für Umgebungen, die ausgehendes SaaS schlicht nicht erlauben
• Volle Audit-Transparenz — jede Codezeile ist einsehbar, einschliesslich der sicherheitskritischen Teile

Wenn Ihre Organisation bereits Produktionsinfrastruktur reif betreibt — Patching, Monitoring, Backups, Incident Response, Secrets-Management, Schlüsselrotation — ist das Hinzufügen eines Formular-Servers zu dieser Pipeline inkrementelle Arbeit. Die Frage, die dieser Vergleich beantwortet, lautet: Wie sieht diese inkrementelle Arbeit tatsächlich aus, sobald Sie aufhören, das README zu lesen, und anfangen, es zu betreiben?

Die versteckten Kosten, die niemand im README auflistet

Open-Source-Formular-Tools installieren sich leicht. Sie in Produktion für sensible Daten zu betreiben, ist eine andere Übung. Die Arbeit ist nicht exotisch — es ist der gleiche operative Aufwand, den jedes selbst gehostete System trägt — aber sie wird selten genau eingepreist, wenn Teams „kostenloses" Selbstbetreiben mit einer SaaS-Rechnung vergleichen.

• Infrastruktur: gehärteter Host, verwaltete Datenbank, Backup-Ziel, TLS-Zertifikat-Pipeline, CDN bei globalem Befragten-Publikum
• Patching: rechtzeitige Anwendungsupdates, OS-Patches, Dependency-Upgrades, Triage von Security Advisories
• Monitoring: Verfügbarkeit, Fehlerraten, Speicherplatz, Zertifikatsablauf, abnormale Zugriffsmuster
• Backups und Disaster Recovery: getestete Restores, Cross-Region-Kopien, Aufbewahrungsrichtlinien, Verschlüsselung der Backup-Medien
• Authentifizierung und Autorisierung: Admin-SSO, rollenbasierte Zugriffe, Audit-Logging, Lifecycle für ehemalige Mitarbeitende
• Secrets- und Schlüsselverwaltung: wo das DB-Passwort lebt, wer es lesen kann, wie es rotiert
• Compliance-Dokumentation: Verzeichnis-Einträge, die Sie selbst schreiben, DSFA bei Bedarf, Breach-Response-Runbook, Lieferantenfragebögen, die plötzlich nach innen zeigen
• Konfiguration der Verschlüsselung im Ruhezustand: die Anwendung speichert typischerweise Klartext — Sie müssen Disk- oder Datenbankverschlüsselung selbst aufschichten
• Pen-Testing und Sicherheitsreview: externe Tests auf Ihrem Stack, nicht auf dem eines Anbieters, in einer Kadenz, die Sie festlegen
• On-Call: jemand hat einen Pager, wenn das Formular nachts um 02:00 vor einer Frist ausfällt

Die Verschlüsselungs-Nuance, die die meisten Selbstbetreiber übersehen

Es gibt die verbreitete Annahme, „wenn ich es selbst hoste, sind meine Daten standardmässig verschlüsselt". Das ist meist falsch. LimeSurvey, Formbricks und die meisten Open-Source-Formular-Tools speichern Einreichungen als Klartext in der Anwendungsdatenbank. Verschlüsselung auf Disk- oder DB-Ebene (LUKS, TDE, Postgres pgcrypto) schützt vor einer gestohlenen Festplatte — sie schützt nicht vor einem DB-Administrator, einem SQL-Injection-Bug, einem überprivilegierten Backup oder einer Server-Kompromittierung. Die Anwendung kann die Daten lesen, was bedeutet, alles, was mit der Anwendung sprechen kann, kann die Daten lesen.

Schweizerforms Designansatz ist anders: Jede Einreichung wird im Browser des Befragten verschlüsselt, bevor sie das Gerät verlässt. Der Chiffretext ist, was reist und was wir speichern. Wir können Einreichungen physisch nicht lesen; ein Angreifer, der unsere Infrastruktur kompromittiert, kann sie ebenfalls nicht lesen. Selbst zu hosten verleiht Ihnen diese Eigenschaft an sich nicht — sie korrekt zu bauen, ist ein mehrmonatiges Projekt, das nur sehr wenige Open-Source-Formular-Tools versuchen, und jene, die es tun, tragen eigene Integrationskosten.

Side-by-Side-Vergleich

Total Cost of Ownership — eine realistische Skizze

Selbstbetrieb wird oft als „kostenlos" beschrieben. Die Software ist es. Sie zu betreiben nicht. Ein realistisches TCO für ein kleines Team mit selbst gehostetem LimeSurvey- oder Formbricks-Deployment, dimensioniert für eine regulierte Last, sieht ungefähr so aus — die Zahlen variieren, die Kategorien selten.

Wann Selbstbetrieb die richtige Wahl ist

• Sie betreiben bereits einen gehärteten Produktions-Stack und ein zusätzlicher Service ist wirklich inkrementell
• Sie haben eine regulatorische oder vertragliche Anforderung, die jegliches Drittanbieter-SaaS für die Last explizit verbietet
• Sie brauchen Air-Gapped- oder On-Premises-Deployment, nicht nur eine Nicht-US-Jurisdiktion
• Sie wollen die Formular-Engine selbst forken oder modifizieren — eigene Feldtypen, tiefe Integrationen, eigenes Rendering
• Sie haben ein Security-Team, das interne Pen-Tests durchführt, und eine SRE-Funktion, die die Plattform besitzt
• Die Arbeitskosten Ihres Teams sind strukturell niedriger als ein SaaS-Plan, und die operative Steuer ist real, aber tragbar

Selbstbetrieb ist eine glaubwürdige Engineering-Wahl. Wir tun nicht so, als wäre es anders. Sie ist nur selten die richtige Wahl für das Median-Team, das sie trifft — meist weil die operativen Kosten zum Entscheidungszeitpunkt unterschätzt werden und erst sechs Monate später sichtbar werden.

Wann Schweizerform die richtige Wahl ist

• Sie wollen die Datensouveränitäts-Story (Schweizer Hosting, keine US-Subprozessoren, Anbieter kann nicht lesen) ohne den Stack zu betreiben
• Ihr Team ist klein genug, dass eine zusätzliche On-Call-Fläche reale Kosten und kein Rauschen ist
• Sie wollen Zero-Knowledge-Verschlüsselung von Anfang an — eine Eigenschaft, die die meisten selbst gehosteten Formular-Tools tatsächlich nicht liefern
• Sie verarbeiten Gesundheits-, Rechts-, HR-, Finanz-, Forschungs- oder Whistleblower-Daten und brauchen heute eine saubere Compliance-Story, nicht in sechs Monaten
• Sie wollen natives EN / DE / FR / IT in der Befragten-UI, ohne es selbst zu übersetzen
• Sie wollen vorhersehbare Kosten und einen einzigen Verantwortlichen, wenn etwas ausfällt oder ein Audit fragt

Das sind die Fälle, in denen die „Kaufen"-Entscheidung fast immer billiger, schneller und besser verteidigbar ist als die „Bauen-und-Betreiben"-Entscheidung — schon bevor die Verschlüsselungs-Story dazukommt.

Ein Entscheidungsrahmen für technische Käufer

Drei Fragen entscheiden das meist sauber:

Häufige Einwände — und realistische Antworten

„Selbst gehostet ist immer sicherer"

Nur wenn auf hohem Niveau betrieben. Eine schlecht gepatchte LimeSurvey-Instanz mit Default-Credentials und ohne Monitoring ist messbar weniger sicher als ein verwaltetes SaaS mit zeitnahem Patching und einem kompetenten Security-Team. Selbstbetrieb verschiebt Verantwortung, nicht Sicherheit.

„Wir müssen sicher sein, dass kein Dritter unsere Daten lesen kann"

Das ist die Eigenschaft, die Zero-Knowledge-Verschlüsselung Ihnen gibt, unabhängig davon, wer die Bytes hostet. Bei Schweizerform hosten wir den Chiffretext, können ihn aber nicht lesen; beim Selbstbetrieb müssen Sie diese Eigenschaft in Ihre Anwendung einbauen, was die meisten Open-Source-Formular-Tools nicht für Sie tun.

„Open Source ist transparenter als Ihr geschlossener Code"

Berechtigter Punkt. Wir adressieren Transparenz durch dokumentierte Architektur, externe Sicherheitsreviews und die Tatsache, dass die kryptografischen Garantien clientseitig verifizierbar sind — was den Browser verlässt, ist Chiffretext, den wir nicht entschlüsseln können. Das ist ein anderes Transparenzmodell als „den ganzen Code lesen", aber es ist verifizierbar und verlangt nicht von Ihnen, den ganzen Code selbst zu lesen.

„Was, wenn Schweizerform schliesst?"

Standard-CSV- / JSON-Export ist jederzeit verfügbar, und Einreichungen können clientseitig mit Ihrem Access Code entschlüsselt werden. Die Daten sind portabel. Wir nehmen Business-Continuity-Fragen ernst und dokumentieren Export- und Entschlüsselungspfade, damit sie nicht theoretisch bleiben.

„Wir hosten schon andere Tools selbst — was ist eines mehr?"

Oft korrekt. Wenn Ihr Plattform-Team bereits die Muskeln hat, sind die Grenzkosten klein. Seien Sie nur ehrlich, ob die Formular-Last die Zeit rechtfertigt und ob die Anwendung tatsächlich Zero-Knowledge-Verschlüsselung liefert (die meisten nicht). Für viele Teams ist die richtige Aufteilung „die Dinge selbst hosten, die wir müssen, die Dinge kaufen, die wir gut kaufen können".

Das Fazit

LimeSurvey, Formbricks oder ein anderes Open-Source-Formular-Tool selbst zu hosten, ist eine reale und vertretbare Wahl. Es gibt Ihnen Kontrolle der Datenebene, keine Anbieterbindung und null Pro-Formular-Kosten — zum Preis, einen Produktionsservice selbst zu betreiben. Für reife Plattform-Teams kann dieser Tausch der richtige sein. Für die meisten anderen Teams überwiegt die operative Steuer leise das gesparte Abo.

Schweizerform bietet einen anderen Deal: Schweizer Hosting, Zero-Knowledge-Verschlüsselung, die die meisten selbst gehosteten Formular-Tools nicht von Haus aus liefern, native Vier-Sprachen-UI und einen einzigen Verantwortlichen — ohne Pager. Wenn Ihr Team nicht im Geschäft des Betreibens von Formular-Infrastruktur ist, zeigt die Mathematik üblicherweise in eine Richtung.