Hardware-Herkunft & Chip-Abhängigkeit (Lieferkette)
Warum wichtig?
Lieferketten-Souveränität (SOV-5, höchste CSF-Gewichtung) bestimmt die Resilienz gegenüber Drittstaaten-Einfluss auf Hardware-Ebene.
Wie gemessen?
- 0 = Keine Angaben zur Hardware-/Chip-Herkunft; vollständige, intransparente Abhängigkeit von non-EU-Lieferanten.
- 1 = Hardware non-EU, aber dokumentiert; keine Diversifizierung oder Resilienzmaßnahmen.
- 2 = Teilweise Transparenz über die Lieferkette; einzelne EU-Komponenten oder Zweitquellen.
- 3 = Dokumentierte, diversifizierte Lieferkette; EU-Montage/Integration; Resilienz gegenüber einzelnen non-EU-Ausfällen.
- 4 = Hohe EU-Lieferkettentiefe inkl. EU-Fertigung wo verfügbar; nachgewiesene Resilienz.
- 5 = Weitgehend EU-souveräne Lieferkette „chips to software“ (Richtung SEAL-4) + prüfbare Evidence.
- N/A = keine belastbare Evidence
Quellen / Evidence
Validierungsfragen (RFP)
- Welche belastbare, öffentliche Evidence liegt vor? Scope, Stand und Geltungsbereich?
Scores im Vergleich
| Anbieter | Score | |
|---|---|---|
| OVHcloud Public Cloud (inkl. SecNumCloud) | 3.0 | Vertikale Integration: OVHcloud entwickelt und fertigt eigene Server in eigenen Werken (FR: Croix/Roubaix; zusätzlich Kanada) und kontrolliert die Lieferkette vom Blech bis zum Server. Chips (Intel/AMD) bleiben non-EU. (stated) |
| AWS European Sovereign Cloud | 2.0 | Custom Silicon (Nitro/Graviton, Annapurna Labs) außerhalb der EU entwickelt, Fertigung global (TSMC); keine EU-Chip-/Fab-Tiefe; Lieferkette dokumentiert, aber non-EU. (stated) |
| STACKIT | 2.0 | Eigene RZ in DE/AT; Standard-x86 (Intel/AMD), keine EU-Fab; Lieferkettentiefe nicht ausgewiesen. (verify) |
| Oracle EU Sovereign Cloud | 2.0 | EU Sovereign Realm EU-betrieben, jedoch globale Oracle-Lieferkette (x86/Ampere ARM); keine EU-Chip-Tiefe. (stated) |
| Hetzner Cloud | 2.0 | Eigenmontage der Server in DE (Hetzner baut eigene Server); Standard-x86 (Intel/AMD), keine EU-Chipfertigung. |
| Scaleway | 2.0 | EU-Betrieb, eigene RZ (FR); vertikale Hardware-Fertigung aktuell nicht prominent dokumentiert. (verify) |
| Infomaniak Public Cloud | 2.0 | Anbieter bevorzugt nach eigener Angabe europäische Komponenten; Chips bleiben non-EU; keine EU-Fab. (stated) |
| IONOS Cloud | 1.0 | Keine öffentliche Dokumentation zu Hardware-/Chip-Herkunft oder EU-Lieferkettentiefe. (verify) |
| T Cloud Public | 1.0 | Bekannte Huawei-Hardware-Abhängigkeit in der Lieferkette (non-EU/China); Mitigation durch EU-only-Betrieb, Hardware-Herkunft bleibt non-EU. (stated) |
| pluscloud open | 1.0 | Keine Dokumentation zur Hardware-/Chip-Herkunft. (verify) |
| UpCloud | 1.0 | Keine Dokumentation zur Hardware-/Chip-Herkunft. (verify) |
| Exoscale | 1.0 | Keine Dokumentation zur Hardware-/Chip-Herkunft. (verify) |
| Delos Cloud | 1.0 | Azure-Hardware (Microsoft-Lieferkette, global/non-EU). (stated) |
| Microsoft Sovereign Cloud | 1.0 | Globale Microsoft-Lieferkette/Hardware (non-EU); keine EU-Chip-Tiefe. (stated) |
| noris Sovereign Cloud | 1.0 | Keine oeffentliche Dokumentation zur Hardware-/Chip-Herkunft (eigene Hochsicherheits-RZ in DE). (nicht belegt) |
| SysEleven OpenStack Cloud | 1.0 | Keine oeffentliche Dokumentation zur Hardware-/Chip-Herkunft (secunet-Gruppe). (nicht belegt) |
| Cloud Temple Trusted Cloud | 1.0 | Keine oeffentliche Dokumentation zur Hardware-/Chip-Herkunft (VMware/Stormshield-Stack). (nicht belegt) |