Blackbox-Risiko (Betriebs-/Steuerungsebene)
Warum wichtig?
Je mehr operative Blackbox, desto begrenzter ist klassische Auditfähigkeit – Kompensationen (Kontrollen/Verifikation) werden wichtiger.
Wie gemessen?
Skala 0–5 + N/A:
- (höher = weniger Blackbox / mehr Transparenz):
- 0 = stark opaque (Control-Plane/Ops nicht nachvollziehbar)
- 1 = geringe Transparenz, wenige Informationen/Artefakte
- 2 = teilweise Transparenz, wichtige Bereiche bleiben Blackbox
- 3 = Transparenz für Kernbereiche, aber relevante Lücken (Ops/CP) bleiben
- 4 = hohe Transparenz (Dokumentation, Zugriffskonzept, Artefakte) mit wenigen Lücken
- 5 = sehr hohe Transparenz + prüfbare Artefakte (Audit/Evidence) auch für Ops/Control-Plane belegt
- N/A = keine belastbare Evidence
Quellen / Evidence
- https://www.aboutamazon.eu/news/aws/built-operated-controlled-and-secured-in-europe-aws-unveils-new-sovereign-controls-and-governance-structure-for-the-aws-european-sovereign-cloud
- https://docs.aws.amazon.com/whitepapers/latest/overview-aws-european-sovereign-cloud/design-approach.html
- https://aws.amazon.com/audit-manager/
- https://aws.amazon.com/config/
- https://www.plusserver.com/unternehmen/zertifikate-und-testate/
- https://www.plusserver.com/wp-content/uploads/2023/09/20250430_Bericht_BSI-C5_ISAE3402_Typ2_plusserver-GmbH-2024-3.pdf
Validierungsfragen (RFP)
- Welche Teile sind technisch nicht verifizierbar (Support-Tools, Control Plane)? Welche technischen Kontrollen kompensieren das (Customer Keys, PAM, vollständige Audit-Logs)?
Scores im Vergleich
| Anbieter | Score | |
|---|---|---|
| SysEleven OpenStack Cloud | 4.0 | |
| Cloud Temple Trusted Cloud | 3.0 | Console bietet Metriken/Logs/Monitoring. SecNumCloud erfordert Transparenz. GraphQL API für Monitoring. Grafana-Dashboard verfügbar. Control Plane intern, aber dokumentiert. |
| Infomaniak Public Cloud | 2.0 | Infomaniak Manager + OpenStack Horizon Dashboard. API-Zugriff. Monitoring über Console. Control Plane Transparenz durch OpenStack Open Source. Keine dedizierten Audit-Logs / Transparency-Berichte. |
| noris Sovereign Cloud | 4.0 | |
| pluscloud open | 3.0 | |
| Microsoft Sovereign Cloud | 2.0 | |
| Scaleway | 2.0 | |
| AWS European Sovereign Cloud | N/A | |
| Delos Cloud | N/A | |
| Exoscale | N/A | |
| Hetzner Cloud | N/A | |
| IONOS Cloud | N/A | |
| OVHcloud Public Cloud (inkl. SecNumCloud) | N/A | |
| Oracle EU Sovereign Cloud | N/A | |
| STACKIT | N/A | |
| T Cloud Public | N/A | |
| UpCloud | N/A |