Microsoft Sovereign Cloud

Provider-spezifische Quellen (Sources) aus der aktuellen Datenbasis. Nutze den Compass für Scoring, Gewichtung und A/B-Vergleich.

Im Compass vergleichen

Provider Snapshot

Kriterium	Score
Kundeninhalte in der EU	4.0
Kundenerstellte Metadaten in der EU	2.0
Physisch & logisch getrennt	2.0
EU-basierter Betrieb & Support	3.0
Keine kritischen Non-EU Abhängigkeiten	1.0
Eigentümerstruktur / Muttergesellschaft (EU-Inhaberschaft)	0.0
Beherrschender Einfluss & FISA-702-Risiko (Jurisdiktion ≠ Datenresidenz)	1.0
Lokale Vertragseinheit & EU-Governance (Betriebsmodell)	2.0
Unabhängiges Beratungsgremium	0.0
EU-Stammzertifizierungsstelle / Vertrauensdienste	2.0
BSI C5	4.0
ISO 27001 / ISMS	5.0
IT-Grundschutz (BSI)	1.0
SecNumCloud (ANSSI)	1.0
Offene Standards / API-Portabilität	2.0
Dienstportfolio-Tiefe	5.0
Geografische Abdeckung & Redundanz (Regionen/AZ/RZ in EU/DE)	5.0
Prüfberichte / Nachweispaket	5.0
Richtliniendurchsetzung (Leitplanken)	4.0
Standardmäßig verweigert / Sicher ab Werk	3.0
Unabhängige Überprüfung (kontinuierlich)	4.0
Blackbox-Risiko (Betriebs-/Steuerungsebene)	2.0
Ausschluss von Betreiberzugriff (Workload-Umfang)	3.0
IaC & Automatisierung (Terraform/OpenTofu, SDKs, APIs)	5.0
SDLC/DevOps im Alltag (CI/CD, Registry, Secrets, K8s)	5.0
Beobachtbarkeit (Logs/Metriken/Traces, Alerting)	5.0
Limits/Quotas (Transparenz & Erhöhung)	4.0
Referenzarchitekturen / Landing Zones	5.0
Integrierter Sicherheits-Stack	5.0
Energieeffizienz / PUE & Zielwerte	5.0
CO₂-/Wasser-Reporting + erneuerbare Energiequellen	5.0

Scope: Full Stack Suite (Azure/M365)

Kundeninhalte in der EU: 4.0; Kundenerstellte Metadaten in der EU: 2.0; Physisch & logisch getrennt: 2.0; EU-basierter Betrieb & Support: 3.0; Keine kritischen Non-EU Abhängigkeiten: 1.0; Eigentümerstruktur / Muttergesellschaft (EU-Inhaberschaft): 0.0; Beherrschender Einfluss & FISA-702-Risiko (Jurisdiktion ≠ Datenresidenz): 1.0; Lokale Vertragseinheit & EU-Governance (Betriebsmodell): 2.0; Unabhängiges Beratungsgremium: 0.0; EU-Stammzertifizierungsstelle / Vertrauensdienste: 2.0; BSI C5: 4.0; ISO 27001 / ISMS: 5.0; IT-Grundschutz (BSI): 1.0; SecNumCloud (ANSSI): 1.0; Offene Standards / API-Portabilität: 2.0; Dienstportfolio-Tiefe: 5.0; Geografische Abdeckung & Redundanz (Regionen/AZ/RZ in EU/DE): 5.0; Prüfberichte / Nachweispaket: 5.0; Richtliniendurchsetzung (Leitplanken): 4.0; Standardmäßig verweigert / Sicher ab Werk: 3.0; Unabhängige Überprüfung (kontinuierlich): 4.0; Blackbox-Risiko (Betriebs-/Steuerungsebene): 2.0; Ausschluss von Betreiberzugriff (Workload-Umfang): 3.0; IaC & Automatisierung (Terraform/OpenTofu, SDKs, APIs): 5.0; SDLC/DevOps im Alltag (CI/CD, Registry, Secrets, K8s): 5.0; Beobachtbarkeit (Logs/Metriken/Traces, Alerting): 5.0; Limits/Quotas (Transparenz & Erhöhung): 4.0; Referenzarchitekturen / Landing Zones: 5.0; Integrierter Sicherheits-Stack: 5.0; Energieeffizienz / PUE & Zielwerte: 5.0; CO₂-/Wasser-Reporting + erneuerbare Energiequellen: 5.0

Sources / Evidence

Kundeninhalte in der EU

EU Data Boundary: Speicherung/Verarbeitung von Customer Data & personenbez. Daten für Enterprise Online Services in EU/EFTA (mit Ausnahmen). (stated)

Kundenerstellte Metadaten in der EU

EU Data Boundary definiert „Customer Data“ (Konfigurationsinfos wie Ressourcennamen sind nicht umfasst); Metadaten-Scope je Service → unklar. (partial)

Physisch & logisch getrennt

Sovereign Public Cloud in bestehenden Azure-Regionen; primär logische/operative Controls (Lockbox/Policy), keine dedizierte EU-Only Physik (außer Partner-Clouds). (stated)

EU-basierter Betrieb & Support

Operational Controls: Customer Lockbox + Data Guardian (Audit/Protokoll). EU-Ops-Ansatz, aber Microsoft-betrieben. (stated)

Keine kritischen Non-EU Abhängigkeiten

US-Hyperscaler (nicht EU-unabhängig); kritische Non‑EU Abhängigkeiten/Jurisdiktion bleiben. (high risk)

Eigentümerstruktur / Muttergesellschaft (EU-Inhaberschaft)

Ultimate Parent: Microsoft Corp (USA). (fact)

Beherrschender Einfluss & FISA-702-Risiko (Jurisdiktion ≠ Datenresidenz)

US-Jurisdiktion: Residencies/Controls ≠ vollständige Exklusion ausländischer Rechtszugriffe (Risiko bleibt). (high risk)

Lokale Vertragseinheit & EU-Governance (Betriebsmodell)

Lokale Vertragsparteien möglich; Governance/Operations jedoch Microsoft. Partner-Clouds für gov use-cases (z.B. national). (partial)

Unabhängiges Beratungsgremium

Kein unabhängiger „Trustee/Board“ explizit; stattdessen Kontroll-/Transparenzprogramme. (unclear)

EU-Stammzertifizierungsstelle / Vertrauensdienste

CMK via Azure Key Vault/Managed HSM; EU-Root-CA/Trust-Service nicht als eigenes Konzept beschrieben. (unclear)

BSI C5

Azure: Germany C5 (C5 im kombinierten SOC2 Type2 Report). (stated/verified)

ISO 27001 / ISMS

Breites ISO/SOC-Portfolio (Service Trust Portal). (stated)

IT-Grundschutz (BSI)

IT‑Grundschutz: Artefakte/Workbooks vorhanden, aber kein generelles IT‑Grundschutz‑Zertifikat der Public Cloud. (partial)

SecNumCloud (ANSSI)

SecNumCloud i.d.R. über nationale Partner-Clouds (z.B. Frankreich); Microsoft selbst nicht als SecNumCloud-Anbieter ausgewiesen. (partial)

Offene Standards / API-Portabilität

Viele Open-Source/Standards (Kubernetes), aber Azure-APIs/Services teils proprietär → Portabilität begrenzt. (mixed)

Dienstportfolio-Tiefe

Sehr tiefes Portfolio (IaaS/PaaS/SaaS inkl. Security & Productivity). (stated)

Geografische Abdeckung & Redundanz (Regionen/AZ/RZ in EU/DE)

Audit-Pakete über Service Trust Portal (SOC/C5 etc.). (stated)

Prüfberichte / Nachweispaket

Azure Policy + Sovereign Landing Zones (Guardrails/Baselines). (stated)

Richtliniendurchsetzung (Leitplanken)

Operator Access via Customer Lockbox; Encryption at rest/in transit; CMK möglich. (stated)

Standardmäßig verweigert / Sicher ab Werk

Regelmäßige Third‑Party Audits (SOC2/C5 etc.). (stated)

Unabhängige Überprüfung (kontinuierlich)

Hoher Blackbox-Anteil (proprietäre Plattform); Transparenzprogramme/Docs helfen, aber begrenzt. (mixed)

Blackbox-Risiko (Betriebs-/Steuerungsebene)

Lockbox verlangt explizite Freigabe für Supportzugriff auf Customer Content; Data Guardian protokolliert. (stated)

Ausschluss von Betreiberzugriff (Workload-Umfang)

IaC: Terraform/ARM/Bicep/Policy; Automatisierung stark. (stated)

IaC & Automatisierung (Terraform/OpenTofu, SDKs, APIs)

DevOps & SDLC: umfangreiche Toolchain (DevOps, AKS, Registry, etc.). (stated)

SDLC/DevOps im Alltag (CI/CD, Registry, Secrets, K8s)

Observability: Azure Monitor/Log Analytics/App Insights etc. (stated)

Beobachtbarkeit (Logs/Metriken/Traces, Alerting)

Service Limits/Quotas dokumentiert (Azure Service Limits). (stated)

Limits/Quotas (Transparenz & Erhöhung)

Cloud Adoption Framework / Landing Zones verfügbar. (stated)

Referenzarchitekturen / Landing Zones

Teilweise Portabilität (Container/OSS), aber starker Vendor Lock‑in über proprietäre Services möglich. (mixed)

Integrierter Sicherheits-Stack

Viele EU-Regionen; EU Data Boundary (EU/EFTA) als Datenresidenz-Commitment. (stated)

Energieeffizienz / PUE & Zielwerte

Publiziert PUE/WUE nach Region; FY24 global PUE 1.16, EMEA PUE 1.16 (WUE 0.03). (Quelle: Microsoft Datacenters)

CO₂-/Wasser-Reporting + erneuerbare Energiequellen

Sustainability Report + Ziele: 100% Stromverbrauch 24/7 mit Zero-Carbon Energy purchases bis 2030; Water-positive Ziel 2030 + Reporting. (Quellen: Microsoft Reports + Datacenter page)

Service catalog (core/security)

Expand to load the service catalog …