Bewertungskriterien & Methodik

Transparente Darstellung der Cloud-Provider Bewertungen — ab v4.0.0 mit auditierbarer Souveränitäts-Bewertung nach BSI C3A v1.0 und EU Cloud Sovereignty Framework.

Übersicht Kontrolle BSI C3A SOV-7 Leistung Verfügbarkeit Kosten Provider-Details

Wie funktioniert die Bewertung?

Der Sovereign Architecture Advisor bewertet Cloud-Anbieter anhand von vier Hauptkriterien, die gewichtet in den Gesamt-Score einfließen. Jeder Provider erhält für jedes Kriterium einen Score zwischen 0 und 100 Punkten.

Berechnungsformel

Gesamt-Score = (Kontrolle × Gewicht₁) +
(Leistung × Gewicht₂) +
(Verfügbarkeit × Gewicht₃) +
(Kosteneffizienz × Gewicht₄)

Gewicht₁₋₄ = Individuelle Gewichtungen für die vier Kriterien (z.B. 40%, 25%, 20%, 15%)

Wichtig: Die Gewichtung kann in den Einstellungen angepasst werden, um verschiedene Anforderungen abzubilden (z.B. "Maximale Souveränität" vs. "Performance First").

1. Kontrolle & Souveränität

Bewertet die Datensouveränität und rechtliche Kontrolle über Ihre Infrastruktur. Dieser Score basiert auf der Analyse von Jurisdiktion, DSGVO-Konformität und Vendor Lock-in Risiko.

Bewertungsfaktoren

Jurisdiktion & Rechtsraum

In welchem Rechtsraum operiert der Anbieter?

  • Deutschland: Höchste Kontrolle (+30 Punkte)
  • EU: Hohe Kontrolle, DSGVO-konform (+20 Punkte)
  • Schweiz: Gute Kontrolle (+15 Punkte)
  • USA/Global: Eingeschränkte Kontrolle (0 Punkte)

DSGVO-Konformität

Einhaltung europäischer Datenschutzstandards

  • Native DSGVO: Provider in EU (+25 Punkte)
  • DSGVO-zertifiziert: US-Provider mit EU-Garantien (+10 Punkte)
  • Standard-Maßnahmen: Basis-Compliance (0 Punkte)

Vendor Lock-in Risiko

Wie einfach ist ein Anbieterwechsel?

  • Open Source: OpenStack, Kubernetes-native (+20 Punkte)
  • Standard-APIs: Kompatible Schnittstellen (+10 Punkte)
  • Proprietary: Proprietäre Services (0 Punkte, -10 für AWS Lambda, etc.)

Eigentümerstruktur

Wem gehört der Cloud-Provider?

  • Deutsche Eigentümer: +15 Punkte
  • EU-Eigentümer: +10 Punkte
  • US-Konzern: 0 Punkte

Transparenz & Zugriffe

Offenheit über Datenverarbeitung

  • Volle Transparenz: Offenlegung aller Zugriffe (+10 Punkte)
  • Standard-Reporting: Basis-Transparenz (+5 Punkte)
  • Intransparent: Keine Offenlegung (0 Punkte)

Provider-Scores im Detail

1.1 BSI C3A v1.0 — Operationalisierung der Souveränität

Mit der Veröffentlichung der Criteria enabling Cloud Computing Autonomy (C3A) am 27.04.2026 liefert das BSI erstmals einen prüfbaren Kriterien-Katalog zur Operationalisierung des EU Cloud Sovereignty Framework. C3A übernimmt explizit die Struktur und Ziele des EU CSF und ergänzt sie um konkrete, auditierbare Anforderungen.

Ab Version 4.0.0 stellt der Sovereign Architecture Advisor je Provider eine zusätzliche C3A-Bewertung auf den ~30 Einzelkriterien bereit — inklusive belastbarer Quellen. Der Kontrolle-Score wird dadurch auditierbar berechnet: keine Experten-Schätzungen mehr.

Kriterien-Struktur

C3A nutzt sechs Kategorien (SOV-1 bis SOV-6). SOV-7 (Sicherheit/Compliance) wird vom BSI bewusst auf BSI C5:2026 / IT-Grundschutz ausgelagert — der SAA schließt diese Lücke mit einem eigenen 10-Punkte-SOV-7-Katalog (siehe nächste Sektion).

  • SOV-1 Strategic Sovereignty — 4 Kriterien (Jurisdiction, Registered Office, Effective Control, Control Change)
  • SOV-2 Legal & Jurisdictional — 3 Kriterien (Extraterritorial Exposure, Audit Rights, State of Defense Takeover)
  • SOV-3 Data Sovereignty — 5 Kriterien (Data Residence, External KMS, External IdP, Logging, Client-Side Encryption)
  • SOV-4 Operational Sovereignty — 10 Kriterien (Personnel, Remote Work, SOC, Disconnect/Reconnect, Data Exchange Monitoring & Gateways …)
  • SOV-5 Supply Chain — 5 Kriterien (Software/Hardware/Service Dependencies, Export Restriction, Capacity Management)
  • SOV-6 Technology Sovereignty — 3 Kriterien (Source Code Availability, Continuous Service Delivery, Software Development)

C1 vs. C2 — Audit-Strenge

Viele C3A-Kriterien existieren in zwei Schärfegraden: C1 verlangt EU-Bezug, C2 verlangt deutschen Bezug (z. B. Personal mit Hauptwohnsitz Deutschland, SOC in Deutschland, deutsche Audit-Rechte). C2 adressiert insbesondere die deutsche Bundesverwaltung und KRITIS-Betreiber. Im SAA wechseln Sie über den Toggle oben in der Hauptanwendung zwischen den beiden Modi — Provider, die nur die EU-Variante erfüllen, fallen im DE-Modus automatisch ab.

Score-Berechnung

Pro Kriterium gibt es vier Bewertungsstufen: erfüllt (100 Punkte), teilweise erfüllt (50), nicht erfüllt (0), unbekannt (0). Der SOV-Score ist der Mittelwert aller zugehörigen Kriterien. Der C3A-Total ergibt sich als ungewichteter Mittelwert über die 6 SOV-Buckets.

Im SAA fließt der C3A-Score als Provider-Level-Kontrolle in die Gesamt-Bewertung ein. Custom-Scores (in den Settings angepasst) überschreiben den C3A-Wert, sodass individuelle Anpassungen weiterhin möglich sind.

Quelle: BSI – Criteria enabling Cloud Computing Autonomy (C3A) v1.0, 27.04.2026

1.2 SOV-7 Sicherheits-Compliance

Da BSI C3A die SOV-7-Kategorie (Sicherheit & Compliance) bewusst nicht abdeckt und stattdessen auf BSI C5:2026 / IT-Grundschutz verweist, ergänzt der SAA ab Version 4.0.0 einen eigenen 10-Punkte-Compliance-Katalog analog zur C3A-Struktur. Pro Provider werden die 10 Kriterien mit erfüllt / teilweise / nicht erfüllt / unbekannt bewertet.

Die 10 SOV-7-Kriterien

  • SOV-7-01 ISO/IEC 27001 — ISMS-Zertifizierung
  • SOV-7-02 ISO 27001 auf IT-Grundschutz — BSI-Standard 200-2/200-3
  • SOV-7-03 BSI C5 — Type 1 oder Type 2
  • SOV-7-04 ISO/IEC 27017 — Cloud-spezifische Kontrollen
  • SOV-7-05 ISO/IEC 27018 — Datenschutz für PII in Public Cloud
  • SOV-7-06 ISO/IEC 27701 — PIMS
  • SOV-7-07 SOC 2 Type 2 — Security/Availability/Confidentiality
  • SOV-7-08 KRITIS-Fähigkeit
  • SOV-7-09 NIS2-Konformität — Risk-Management, Incident-Reporting
  • SOV-7-10 EU-SOC / VS-NfD — Security Operations Center in EU/DE

Aggregation: identisch zur C3A-Logik — erfüllt = 100, teilweise = 50, nicht erfüllt / unbekannt = 0; arithmetisches Mittel über die 10 Kriterien.

2. Leistung & Service-Umfang

Misst die technische Leistungsfähigkeit und den Reifegrad der Services. Dieser Score basiert auf der Analyse von Service-Portfolio, Reife und Innovation.

Bewertungsfaktoren

Service-Portfolio Umfang

Anzahl und Vielfalt der Services

  • Hyperscaler: 200+ Services (+40 Punkte)
  • Umfangreich: 50-100 Services (+30 Punkte)
  • Basis: 20-50 Services (+20 Punkte)
  • Minimal: <20 Services (+10 Punkte)

Service-Reife (Maturity)

GA vs. Preview/Beta Services

  • GA (Generally Available): Produktiv einsetzbar (+20 Punkte)
  • Preview/Beta: Eingeschränkt verfügbar (+10 Punkte)
  • Planned: Nur angekündigt (0 Punkte)

Skalierbarkeit & Performance

Auto-Scaling, globale Verfügbarkeit

  • Global: Mehrere Regionen weltweit (+15 Punkte)
  • Regional: EU/Deutschland (+10 Punkte)
  • Lokal: Einzelner Standort (+5 Punkte)

Innovation & KI/ML

Moderne Cloud-native Tools

  • Führend: Eigene KI/ML-Services (+15 Punkte)
  • Standard: Basis KI-Integration (+8 Punkte)
  • Keine: Keine KI-Services (0 Punkte)

Ökosystem & Integration

Partner, Marketplace, Tools

  • Umfangreich: Großer Marketplace (+10 Punkte)
  • Solide: Partner-Integration (+5 Punkte)
  • Begrenzt: Basis-Integration (0 Punkte)

Provider-Scores im Detail

3. Verfügbarkeit & Service-Abdeckung

Anteil der benötigten Services, die bei einem Anbieter verfügbar sind. Dieser Score wird dynamisch basierend auf Ihrer Architektur-Auswahl berechnet.

Berechnungsformel

Coverage = (Verfügbare Services + Preview-Services × 0.5) / Benötigte Services × 100%

Bewertungsfaktoren

Verfügbare Services (GA)

Produktiv einsetzbare Services

  • Zählen zu 100% zur Coverage
  • Fully managed und produktiv verfügbar
  • SLA-Garantien vorhanden

Preview/Beta Services

Services in Entwicklung

  • Zählen zu 50% zur Coverage
  • Eingeschränkte SLA-Garantien
  • Höheres Risiko für Breaking Changes

Planned Services

Angekündigte Services

  • Zählen zu 0% zur Coverage
  • Nur Roadmap-Information
  • Verfügbarkeit ungewiss

Fehlende Services

Self-Build erforderlich

  • Zählen zu 0% zur Coverage
  • Erhöhter Projektaufwand
  • Höherer Betriebsaufwand

Berechnungsbeispiel

Szenario: Ihre Architektur benötigt 10 Services

  • 8 Services sind verfügbar (GA)
  • 2 Services sind in Preview
  • 0 Services fehlen

Coverage = (8 + 2 × 0.5) / 10 × 100% = 90%

Hinweis: Der Verfügbarkeits-Score ist dynamisch und hängt von Ihrer spezifischen Architektur-Auswahl ab. Ein Provider mit 100% Coverage für Ihre Anwendung kann für eine andere Architektur nur 60% erreichen.

4. Kosten & Preisfaktoren

Die Kostenberechnung basiert auf echten Cloud-Preisdaten der Anbieter für die Region Frankfurt (Deutschland). Die Preise werden aus den öffentlichen Pricing-APIs und Preislisten der Cloud-Provider abgerufen.

Neu in v2.0: Echte Cloud-Preisdaten statt relativer Faktoren! Die Kosten werden jetzt direkt aus den Preislisten der Hyperscaler (AWS, Azure, GCP) und EU-Provider für deutsche Regionen berechnet.

Preisquellen - Hyperscaler

AWS

Region: eu-central-1 (Frankfurt)

AWS Pricing Calculator
Price List API

Azure

Region: germanywestcentral (Frankfurt)

Azure Pricing
Retail Prices API

GCP

Region: europe-west3 (Frankfurt)

GCP Pricing
Cloud Billing API

Preisquellen - EU-Provider

STACKIT

Region: de-fra (Frankfurt)

STACKIT Preise

Öffentliche Preisliste

IONOS

Region: de/fra (Frankfurt)

IONOS Cloud

Öffentliche Preisliste

OVHcloud

Region: de-fra (Frankfurt)

OVH Preise

Öffentliche Preisliste

T Cloud Public

Region: eu-de (Deutschland)

T Cloud Public

Öffentliche Preisliste

Preisquellen - Sovereign Clouds

AWS European Sovereign Cloud

Region: eu-central-1-sovereign

AWS ESC Info

Geschätzt: AWS + 15-18% Aufschlag

DELOS Cloud

Region: de-delos (Deutschland)

DELOS Info

Geschätzt: Azure + 18-20% Aufschlag

Hinweis zu Preisquellen: Die Hyperscaler (AWS, Azure, GCP) bieten öffentliche Pricing-APIs. Für EU-Provider und Sovereign Clouds werden die öffentlichen Preislisten verwendet. Sovereign Cloud Preise sind teilweise geschätzt, da diese noch nicht vollständig öffentlich verfügbar sind.

Preisberechnung nach Service-Typ

Compute (VMs)

Berechnung basierend auf Instanz-Typ

  • AWS: m6i, r6i, c6i, x2idn (SAP)
  • Azure: Dv5, Ev5, Fv2, Mv2 (SAP)
  • GCP: n2-standard, n2-highmem, c2

Preis = Instanz-Typ-Preis × Anzahl VMs
Oder: vCPU × €/vCPU + RAM × €/GB

Datenbanken (SQL)

Managed Database Services

  • PostgreSQL/MySQL: Basis + Storage/GB
  • Oracle: License + Storage
  • SAP HANA: RAM-basierte Preise

Preis = Basis-Instanz + (Speicher × €/GB)
Multi-AZ: Faktor 1.8-2.0

Storage

Object, Block, File Storage

  • Object (S3/Blob): ~€0.02-0.025/GB
  • Block (EBS/Disks): ~€0.05-0.15/GB
  • File (EFS/Files): ~€0.10-0.35/GB

Preis = Kapazität × Tier-Preis/GB

Kubernetes

Managed Kubernetes Cluster

  • Control Plane: €0-73/Monat
  • Worker Nodes: Compute-Preise
  • Azure AKS: Control Plane kostenlos!

Preis = Control Plane + (Nodes × VM-Preis)

Provider-Preisvergleich (Beispiel)

Kostenbeispiel mit echten Preisen (Frankfurt)

Standard-Workload: 2 vCPU / 8 GB VM, PostgreSQL 100 GB, 500 GB Object Storage, 200 GB Block Storage, Observability

AWS (eu-central-1)
  • Compute: m6i.large (2 vCPU, 8 GB) = 70€
  • Database: RDS PostgreSQL 100 GB = 37€
  • Storage: S3 500 GB + EBS 200 GB = 30€
  • Observability: CloudWatch = 10€

Gesamt: ~147€/Monat

Azure (germanywestcentral)
  • Compute: D2s_v5 (2 vCPU, 8 GB) = 72€
  • Database: PostgreSQL Flexible 100 GB = 35€
  • Storage: Blob 500 GB + Disk 200 GB = 24€
  • Observability: Azure Monitor = 32€

Gesamt: ~163€/Monat (+11%)

STACKIT (de-fra)
  • Compute: c1.2 (2 vCPU, 8 GB) = 55€
  • Database: PostgreSQL 100 GB = 26€
  • Storage: Object 500 GB + Block 200 GB = 22€
  • Observability: Stack Add-on = 60€

Gesamt: ~163€/Monat (+11%)

Private Cloud (OpenStack)
  • Compute: 2 vCPU, 8 GB = 40€
  • Database: PostgreSQL 100 GB = 20€
  • Storage: Ceph 500 GB + SSD 200 GB = 13€
  • Observability: Prometheus/Grafana = 70€

Gesamt: ~143€/Monat (-3%)

Erkenntnis: Hyperscaler haben günstige integrierte Observability (CloudWatch ~10€). Bei EU-Providern und Private Cloud ist Monitoring oft ein separates Add-on mit Fixkosten (~50-70€).

TCO-Dimensionen

Die Total Cost of Ownership (TCO) umfasst mehr als nur Infrastrukturkosten:

1. Verbrauchskosten (Consumption)

Monatliche Cloud-Infrastruktur-Kosten

  • Compute (VMs, Container)
  • Storage (Object, Block, File)
  • Datenbanken (SQL, NoSQL)
  • Networking (Load Balancer, CDN)
  • Managed Services

Berechnung: Echte Preise aus Cloud Pricing APIs

2. Betriebsaufwand (Operations)

FTE-Kosten für laufenden Betrieb

  • Monitoring & Alerting
  • Updates & Patches
  • Incident Response
  • Backup & Recovery
  • Self-Build Service Management

Schätzung: ~8.000€/Monat pro FTE
Managed Services = weniger FTE, Self-Build = mehr FTE

3. Projektaufwand (Project Effort)

Initiale Setup-Kosten

  • Infrastruktur-Setup
  • Service-Konfiguration
  • Migration & Deployment
  • Testing & Validierung
  • Self-Build Implementierung

Schätzung: ~800€ pro Personentag
Self-Build Services erhöhen Projektaufwand erheblich

Cloud-Provider im Detail

Detaillierte Übersicht aller bewerteten Cloud-Provider mit ihren Scores und Preisfaktoren.

v4.1.4

Provider bearbeiten

Zurück zum Advisor

Alle Änderungen zurücksetzen?

Alle individuellen Anpassungen an den Provider-Scores werden auf die Standard-Werte zurückgesetzt.