Standardmäßig verweigert / Sicher ab Werk
Warum wichtig?
Sichere Defaults reduzieren Risiko und Audit-Aufwand (weniger „Konfigurations-Schulden“).
Wie gemessen?
Skala 0–5 + N/A:
- 0 = insecure defaults / Default Allow (hoher Exposure)
- 1 = einzelne secure defaults, aber inkonsistent
- 2 = secure defaults nur in Teilen/optional, kein durchgängiger Standard
- 3 = secure-by-default für Kern-Scope, klare Baselines
- 4 = secure-by-default breit + Standard-Blueprints/Landing Zones
- 5 = secure-by-default + nachweisbare Baselines (Audit/Controls) + kontinuierliche Absicherung
- N/A = keine belastbare Evidence
Validierungsfragen (RFP)
- Welche „secure defaults“ gelten (Private-by-default, Encryption-by-default, Logging-by-default)? Was muss aktiv eingeschaltet werden? Gibt es technische Verhinderung von „public exposure“?
Scores im Vergleich
| Anbieter | Score | |
|---|---|---|
| STACKIT | 5.0 | |
| Exoscale | 4.0 | |
| Hetzner Cloud | 4.0 | |
| IONOS Cloud | 4.0 | |
| Microsoft Sovereign Cloud | 3.0 | |
| SysEleven OpenStack Cloud | 3.0 | |
| Cloud Temple Trusted Cloud | 3.0 | SecNumCloud-Qualifikation erfordert hohe Security Baseline. Secure-by-Default durch ANSSI-Vorgaben impliziert. Network Firewall (Stormshield) verfügbar. |
| Infomaniak Public Cloud | 2.0 | OpenStack Security Groups konfigurierbar. Default-Verhalten nicht als 'deny' dokumentiert. ISO 27001 Security Baseline. |
| UpCloud | 3.0 | |
| noris Sovereign Cloud | 2.0 | |
| pluscloud open | 2.0 | |
| OVHcloud Public Cloud (inkl. SecNumCloud) | 1.0 | |
| Oracle EU Sovereign Cloud | 1.0 | |
| Scaleway | 1.0 | |
| AWS European Sovereign Cloud | N/A | |
| Delos Cloud | N/A | |
| T Cloud Public | N/A |