Delos Cloud

BSI Cloud Platform Requirements: Alle Daten der deutschen Verwaltung sollen innerhalb Deutschlands verarbeitet werden (stated). Zielgruppe explizit öffentlicher Dienst (DE).

Aus dem BSI‑Requirement „alle Daten … in Deutschland“ lässt sich ableiten, dass auch wesentliche Metadaten in DE/EU verarbeitet werden sollen. Detail-/Scope-Definitionen (Telemetry/Support-Metadaten) verifizieren.

Rechenzentren werden für die souveräne Plattform aufgebaut/mit Hardware bestückt; Delos ist Eigentümerin der Infrastruktur und verantwortet den Plattformbetrieb (stated). Detailgrad zu physischer/ logischer Trennung zur Public Cloud je Service prüfen.

Betrieb durch deutsche Betreibergesellschaft mit sicherheitsüberprüftem deutschem Personal; Betrieb vor Ort an mehreren Standorten in Deutschland (stated).

Technologiebasis Microsoft Azure/M365 (Non‑EU). Delos berichtet über separates Agreement zur Fortführung auch bei Restriktionen – dennoch bleibt eine Abhängigkeit von Non‑EU‑Software/Lizenzierung/Updates (mixed).

Delos Cloud ist eine deutsche Betreibergesellschaft, von SAP gegründet (EU-owned).

Delos Cloud (DE/EU) als Betreiberin/Eigentümerin → geringeres direktes FISA‑702‑Risiko als bei US‑Parent. Rest-/Abhängigkeitsrisiken über Microsoft als Technologielieferant bleiben zu analysieren.

Delos Cloud schließt Verträge und übernimmt als Eigentümerin der Infrastruktur sowohl Plattform‑Betrieb als auch Lizenzierung; Betriebspartnerschaft mit Arvato Systems (stated).

Kein unabhängiges Advisory Board dokumentiert. Governance über BSI-Prüfverfahren und SAP-Konzernstruktur.

Delos berichtet über Integration von D‑Trust Zertifikaten für die Plattform (Trust Services, DE/EU). Details zu Root‑CA/Key‑Management‑Modell je Service verifizieren.

Zielbild: BSI Cloud Platform Requirements vollumfänglich erfüllen (stated). Ein öffentliches BSI‑C5‑Testat (Scope/Datum) konnte nicht eindeutig nachgewiesen werden → in Arbeit/TBD.

ISO 27001:2022 zertifiziert (trust.delos.so). SAP-Tochter mit deutschem ISMS.

BSI-Prüfverfahren aktiv (Cloud Platform Requirements). IT-Grundschutz als Zielstandard für Behördenfreigabe.

Deutsche Betreibergesellschaft; SecNumCloud (ANSSI/FR) nicht adressiert.

Projekt fordert Technologieoffenheit/Anbieterneutralität; Open‑Source‑Software wird unterstützt (stated). Plattform ist Azure-basiert: offene Standards (z.B. Kubernetes/OSS‑Datenbanken) möglich, aber weiterhin Azure-spezifische APIs/Lock‑in-Risiken.

Core-Service-Abdeckung 100% → Score 5.0. (Portfolio listet Azure/M365-Services; Verfügbarkeit/Scope im Delos-Commercial-Setup prüfen.)

Betrieb an mehreren Standorten in Deutschland; georedundantes Operations-Setup (z.B. Gütersloh + weiterer Standort Leipzig genannt). Anzahl Regionen/AZ/Service-Resilienz je Workload prüfen.

Trust Center (trust.delos.so) vorhanden; ISO 27001:2022 Zertifikat. BSI-Prüfverfahren läuft, Evidence-Pack im Aufbau.

Azure-basierte Policy-Frameworks (Azure Policy, Compliance). BSI kontrolliert/steuert Telemetriedaten und externen Datenaustausch. Sovereign Boundary Services.

Sovereign Boundary isoliert Plattform physisch/logisch. BSI-Vorgaben erzwingen restriktive Defaults. Betrieb nur durch sicherheitsüberprüftes Personal.

Updates werden durch Behörden auditiert/kontrolliert. BSI kontrolliert Telemetrie. ISO 27001 als jährliches Audit.

BSI kontrolliert externen Datenaustausch und Telemetrie. Azure-Technologie als Basis – zugrunde liegender Stack teilweise opak. Betrieb durch dt. Personal.

Sovereign Boundary + sicherheitsüberprüftes Personal. Microsoft hat keinen generellen Zugriff. Kein explizites Confidential Computing dokumentiert.

Da die Plattform auf Microsoft Azure-Technologie basiert, sind APIs/SDKs und gängige IaC-Werkzeuge (z.B. Terraform/ARM/Bicep) naheliegend – Delos-spezifische Einschränkungen/Parity zu Public Azure verifizieren.

Portfolio umfasst u.a. Container Registry, Kubernetes, Key Vault, DevOps-nahe Bausteine. CI/CD-Tooling (Azure DevOps/GitHub) und Integrationsumfang in der Delos-Umgebung verifizieren.

Azure-basierte Quotas gelten. Dokumentation über Azure-Docs. Delos-spezifische Quota-Prozesse noch nicht öffentlich.

Azure-basierte Referenzarchitekturen/Landing-Zone-Ansätze sind grundsätzlich verfügbar; Delos-spezifische Referenz-Blueprints/Guides (Public Sector) verifizieren.

Security-Stack-Abdeckung 95% → Score 4.8. (Ableitung aus Service-Katalog; Details je Service verifizieren.)

Keine eigene Nachhaltigkeitsmetrik veröffentlicht; Plattform basiert auf Microsoft Azure (Proxy via Microsoft Datacenter PUE/WUE). (Quellen: Delos/Azure-Context + Microsoft Datacenters)

Keine eigene ESG-/Carbon/Wasser-Transparenz veröffentlicht; Proxy über Microsoft Sustainability Reporting (Azure-basiert). (Quellen: Delos/Azure-Context + Microsoft Reports)