Benchmark der souveränen Clouds 2025 – die Methodik

02.01.2025

4 min read

Am 02.01.2024 haben wir den cloud ahead Sovereign Cloud Benchmarks 2025 veröffentlicht. In diesem Artikel schildern wir die zugrundeliegende Methodik des Anbietervergleichs.

Was ist eine souveräne Cloud?

cloud ahead definiert Souveräne Clouds als IT-Infrastrukturen und –Services, die ihren Kunden eine selbstbestimmte Digitalisierung ermöglichen.

Die Schlüsselworte der Definition sind:

IT-Infrastrukturen und -Services: Die Souveränität bezieht sich somit nicht auf Komponenten, wie Chips oder Rohstoffe wie Silizium, sondern lediglich auf Kommunikationsinfrastruktur, IaaS, PaaS und SaaS.
Selbstbestimmung: Im Zeitalter fortgeschrittener Digitalisierung beinhaltet Souveränität nicht nur das Thema Kontrolle, also den Schutz der bestehenden IT-Infrastruktur vor Ausfällen oder Datendiebstahl. Souveränität beinhaltet gleichermaßen die eigene Fähigkeit attraktive digitale Leistungen für sich selbst und seine KundInnen oder BürgerInnen zu erbringen.

Was bedeuten Leistungsfähigkeit und Kontrolle für Cloud-Kunden konkret?

Nutzer von IT-Infrastrukturen und -Services sind digital maximal leistungsfähig, wenn sie mit Hilfe der IT folgende Idealziele erreichen:

Fachliche Probleme werden technisch und endnutzerfreundlich gelöst.
Der Automatisierungsgrad der Organisation wird durchgängig erhöht.
Innovationen werden schnell in Software umgesetzt.
Alle Applikationen sollen zuverlässig betrieben werden können.
Services und Daten sollen sicher und aktuell sowie einfach zugänglich sein.
Applikationen skalieren den Nachfrage-Schwankungen entsprechend.

Nutzer von IT-Infrastrukturen und -Services hätten wiederum maximale Kontrolle, wenn ihre IT folgendem Idealbild entspräche:

Die Funktionsfähigkeit bei physischen Gefahren (wie Feuer oder Erdbeben) soll erhalten bleiben.
Abhängigkeiten zu einzelnen Unternehmen (wie Microsoft oder VMware) sollen beherrschbar sein.
Der Zugriff durch Kriminelle soll verhindert werden.
Der Zugriff durch fremde Legislation soll verhindert werden.
Der Zugriff durch fremde Geheimdienste soll verhindert werden.
Die Funktionsfähigkeit bei geopolitischen Krisen soll erhalten bleiben.

Souveränität ist eine gemeinsame Aufgabe

Selbstbestimmte Digitalisierung gelingt nur, wenn sowohl Cloud-Provider als auch Cloud-Nutzer ihren Teil beitragen. Die Anbieter souveräner Clouds müssen beispielsweise für physikalische Sicherheit sowie für allgemeine IT-Sicherheit sorgen und den Zugriff von Drittstaaten minimieren.

Cloud-Nutzer hingegen müssen ausreichend IT-Know-how mitbringen, um etwa einzelne Abhängigkeiten durch entsprechende Software-Architekturen und Betriebs-Prozesse zu reduzieren. Zudem gilt es eine an sich sichere Infrastruktur nicht durch mangelnde Vorkehrungen auf Ebene der Software-Anwendung anfällig für Angriffe zu machen.

cloudahead Souveraenitaet Ist Aufgabe Von Cloud Und Kunde

Methodik des Sovereign Cloud Benchmarks

Im Benchmark der souveräne Clouds haben wir uns auf die Aufgaben der Cloud-Provider beschränkt. Wir bewerten deren Fähigkeit zur Erfüllung der folgenden Kriterien der Leistungsfähigkeit:

Service-Portfolio: Wie umfangreich ist das Service-Portfolio? Wie leistungsfähig ist es?
Kundenfreundlichkeit: Gibt es administrative Hürden bei der Nutzung? Wie gut ist die Developer Experience? Wie nutzerfreundlich sind die Preismodelle?
Skalierungsfähigkeit: Wie gut lassen sich die Services im kleinen Umfang nutzen? Wie gut lassen sie sich im Bedarfsfall europaweit skalieren?
Betriebsfähigkeit: Wie ist die Verfügbarkeit der Services? Wie gut ist der Support?
Dienstleister: Wie umfangreich ist die Partner-Landschaft für die Technologie? Wie gut verbreitet ist das notwendige Technologie-Know-how im Markt?

Bezogen auf die Kontrollziele wurden folgende Kriterien bewertet:

Basis-Sicherheit: Wie viele relevante Zertifizierungen gibt es? Wie viele Rechenzentren und Verfügbarkeitszonen gibt es?
Hard- und Softwaresicherheit: Wie gut sind Hardware- und Software-Supply-Chains gegen nicht-staatliche Zugriffe abgesichert? Wie viele Sicherheitsservices und relevante Zertifizierungen gibt es?
Zugriffe des Cloud-Providers: Wie gut ist das Angebot gegen Zugriffe durch den Provider geschützt? Wie benutzerfreundlich und integriert sind die Schlüsselmaßnahmen?
Drittstaaten-Zugriffe: Wie geht der Provider mit konkurrierenden Gesetzgebungen um? Welche Methoden gibt es zur Absicherung gegenüber anderen Zugriffsarten staatlicher Akteure?
Geopolitische Resistenz: Wie viele und welche Abhängigkeiten gibt es in Betrieb, Software und Hardware bezüglich nicht-europäischer Akteure? Wie europäisch ist das Betriebs-Team? Wie europäisch ist die Wertschöpfung der Muttergesellschaft? Wie überlebensfähig ist die Cloud im Krisenfall?
Dokumentation: Wie gut sind die Services dokumentiert? Wie bekannt sind provider-spezifische Best-Practices?

Zu jeder der genannten Kategorien gibt es mehrere Fragen. Jede Kategorie erhält eine unterschiedliche Gewichtung, besondere Bedeutung erhalten die Fragen nach Basis-Sicherheit, Drittstaaten-Zugriffen und geopolitischer Resistenz.

Die Bewertung selbst erfolgte basierend auf Anbieter- und ExpertInnen-Interviews, Internetrecherche sowie Teilnahme an Konferenzen der Anbieter.

Alle Texte, Daten und Grafiken...

...der Blogeinträge und Hintergründe dürfen passend zur Nutzungslizenz verwendet werden, auch für kommerzielle Zwecke. Als offene Dateien sind sie zu finden unter Downloads.

Unsere neusten Artikel in Ihrer Inbox.

Verpassen Sie keine Neuigkeiten mehr zum Thema souveräne Cloud.

Hinweise zu dem Einsatz des Versanddienstleister Brevo, der Anmeldungsprotokollierung und zu Ihrem Widerrufsrecht erhalten Sie in unserer Datenschutzerklärung.

cloud ahead