cloud ahead
hamburger-customhamburger-custom-close

Sovereign Cloud Benchmark 2025

By Gregor Schumacher, Marcel Gocke, Max Hille und Jockel Merholz
 | 
02.01.2025
 | 
6 min read
Featured Image

Der cloud ahead Sovereign Cloud Benchmark 2025 dient zur Bestimmung der Souveränität von Cloud-Angeboten in Deutschland. Die Methodik haben wir detailliert in einem eigenen Artikel erklärt. Die wichtigsten Faktoren bei der Bewertung sind:

  • Leistungsfähigkeit: Attraktivität des Service-Portfolios, Kundenfreundlichkeit bei Nutzung und Preismodellen, Skalierungs- und Betriebsfähigkeit und Attraktivität der Dienstleisterlandschaft.
  • Kontrolle: Physikalische Sicherheit, IT-Sicherheit bei Hardware und Software, Zugriffsmöglichkeiten von Drittstaaten sowie der Provider selbst, geopolitische Resistenz und Dokumentation.

In Summe wurden je Anbieter ca. 75 Einzelfragen in 12 Kategorien beantwortet, bewertet und differenziert gewichtet. Als Basis der Bewertung dienten Experten-Interviews, Internetrecherche und Informationen aus Vorträgen bei Branchen-Konferenzen.

Einbezogen in den Benchmark wurden in der aktuellen Version lediglich Clouds, die auf Standard-Technologien der Public Cloud basieren. In zukünftigen Versionen des Benchmarks möchten wir auch deutsche/europäische Clouds aufnehmen.

Die Quadranten

Die Visualisierung dieser zwei Dimensionen führt zu folgenden vier Quadranten:

  • Souverän: Die Cloud ist sehr leistungsfähig und gibt dem Cloud-Nutzer ein ausreichendes Maß an Kontrolle.
  • Leistungsfokussiert: Die Cloud ist sehr leistungsfähig, allerdings fehlt es an Kontrolle.
  • Autarkiefokussiert: Die Cloud bringt ein hohes Maß an Kontrolle mit, es fehlt ihr allerdings an Leistungsfähigkeit.
  • Starter: Die Cloud ist weder besonders leistungsfähig, noch bringt sie ein hohes Maß an Kontrolle mit.
Klassische Hyperscaler gewinnen die Kategorie Leistungsfähigkeit

Microsoft Azure wurde als leistungsfähigstes der großen Cloud-Ökosysteme eingestuft. Neben dem großen Basis-Portfolio an Infrastruktur- und Platform-Services liegt dies vor allem am umfangreichen SaaS-Angebot, an vielfältigen und leistungsfähigen KI-Services sowie an der größten Partner- und ExpertInnen-Landschaft. Bezüglich Kontrolle schneidet Azure aufgrund der weiterhin nicht öffentlich geklären Sicherheitsvorfälle schlechter ab als die direkte Konkurrenz.

AWS bietet das umfangreichste und leistungsfähigste Basis-Portfolio an Infrastruktur- und Plattform-Services sowie eine besonders gute Developer Experience. Im Vergleich zu Microsoft sind die Angebote in den Bereichen KI und Workplace weniger überzeugend. Im Bereich Kontrolle ist vor allem die überzeugende Sicherheitskultur des Unternehmens hervorzuheben sowie die sehr gute non-funktionale Performance (z.B. Availability, Governance Features).

Google bietet insgesamt ein etwas geringeres Basis-Portfolio, überzeugt aber insbesondere im Container-Management und bei KI-Services. Zudem ist das Angebot an Workplace-Lösungen inzwischen wettbewerbsfähig mit jenem von Microsoft. Die Partner-Landschaft ist kleiner, als jene von Microsoft und AWS, ebenso wie die Anzahl verfügbarer ExpertInnen.

Oracle bietet inzwischen ebenfalls ein großes Basis-Portfolio an Infrastruktur- und Plattform-Services mit besonderen Stärken im Datenbank-Bereich. Aufgrund der historischen Verankerung des Unternehmens in stark regulierten Branchen bietet die Cloud umfangreiche Möglichkeiten bezüglich Sicherheit und Corporate Compliance.

Die souveränen Clouds sind ein heterogenes Cluster

Eine der wenigen, schon verfügbaren souveränen Clouds ist die T-Systems Sovereign Cloud by GCP. Ihre Stärke liegt in den erweiterten Datenschutzfunktionen. Als Basis dient die Standard-Cloud von Google, die Schlüssel zur Datenhaltung aber werden von dem deutschen Betriebspartner T-Systems gehalten. Auf diese Weise wird technisch und rechtlich sichergestellt, dass Google Datenherausgabe-Anfragen von US-Behörden nicht sinnvoll nachkommen kann. Der Leistungsumfang der Cloud ist u.a. aufgrund der externen Schlüsselhaltung begrenzt, zudem ist der beliebte Google Workplace nicht verfügbar. 

Ebenfalls verfügbar ist die Oracle Sovereign Cloud. Diese skaliert aufgrund der geringen Anzahl von Regionen weniger als das Original von Oracle, ist aber ansonsten funktionsgleich. Die Stärke dieser souveränen Cloud liegt in der Europäisierung des Betriebsmodells. Hierzu wurde eine europäische Betreibergesellschaft mit europäischer Geschäftsleitung und in Europa lokalisierten Betriebsmitarbeitenden gegründet. Ebenso wurden Abhängigkeiten zu zentralen Oracle-Diensten wie Billing, Identity- und Access-Management aufgelöst. In einer geopolitischen Krisensituation mit den USA sollte diese Cloud also, nach dem Vorbild der Gazprom-Speicher, unter europäische Treuhand gestellt werden können und weiterhin funktionieren („Survivability“).

Die AWS European Sovereign Cloud ist gleichermaßen auf hohe Überlebensfähigkeit in einer geopolitischen Krise mit den USA ausgerichtet. Das Service-Portfolio dieser souveränen Cloud wird, im Vergleich zum AWS-Original, kleiner ausfallen.

Die souveränen Clouds von Oracle und AWS haben keinen europäischen Betriebspartner. Aufgrund dessen könnten US-Behörden versuchen wollen, die US-Muttergesellschaften der beiden Unternehmen zur Herausgabe von Daten ihrer EU-Tochtergesellschaften zu bewegen. Die Umsetzbarkeit eines solchen Unterfangens hat der Wissenschaftliche Dienst des Bundestages detailliert abgewogen, cloud ahead hat das Papier in diesem Artikel zusammengefasst.

Es gibt auch Clouds, die eigentlich privat sind

Die Delos-Cloud gewinnt den Wettbewerb hinsichtlich der besten Kombination aus Leistungsfähigkeit und Kontrolle. Service-Portfolio sowie Skalierbarkeit liegen zwar unter der Messlatte, welche die Hyperscaler-Azure-Version setzt, immerhin aber werden sowohl die gewohnten Workplace-Services als auch einige KI-Features verfügbar sein. In Punkto Kontrolle steigert Delos die hohe Überlebensfähigkeit der souveränen Clouds von AWS und Oracle mittels eines deutschen Betreiberkonstrukts aus SAP und arvato. Letzteres stellt sicher, dass Delos keine Daten gemäß CloudAct oder FISA an US-Behörden ausliefern muss und in einem Konflikt mit den USA rechtlich nicht auf den Cloud-Betreiber Einfluss genommen werden kann. Der Nutzerkreis von Delos ist auf die deutsche Verwaltung beschränkt, somit kann von einer Private Cloud gesprochen werden.

Eine weitere Option für eine Private Sovereign Cloud bietet Google mit der GCP Hosted Cloud. Anders als bei Delos gibt es hier keinen festen, europäischen Betriebspartner, die Kunden müssen eigene Hardware bereitstellen, eine im Leistungsumfang reduzierte Variante der Google-Software selbst installieren und betreiben. Das Konzept ist prinzipiell vergleichbar mit klassischen Private-Cloud-Softwares wie VMware.

Die Google Sovereign Cloud ist unter dem Namen "Google Supervised Cloud" mit einem noch nicht benannten deutschen Betriebspartner geplant (offizieller Stand 12/2024). Sofern die Cloud gemäß dieses Modells implementiert würde, böte sie sowohl die Vorteile des technisch-rechtlich sichergestellten Datenschutzes als auch eine mit Delos vergleichbare Survivability. Unter dem Namen S3NS betreibt das französische Unternehmen Thales eine vergleichbare Cloud basierend auf Google-Software.

cloud ahead hat die Bewertung von Clouds in der Dimension Leistungsfähigkeit reduziert, wenn sich diese noch im Konzeptstadium befinden.

Souveränität hat viele Facetten

In unserem Quadranten gibt es drei verschiedene Gruppen souveräner Clouds. Diese unterscheiden sich im Umgang mit zwei unterschiedlichen Kontrollzielen:

  • Die T-Systems-Cloud soll gegen den Zugriff auf Daten über US-Gesetzgebung absichern.
  • Die souveränen Clouds von AWS und Oracle sollen die Handlungsfähigkeit Deutschlands in geopolitischen Krisen mit den USA sicherstellen.
  • Delos, Google Sovereign Cloud und Google Hosted Cloud sollen gegen beide Gefahren absichern.

Welches dieser Kontrollziele für den jeweiligen Cloud-Kunden wichtiger ist, kann dieser nur selbst entscheiden. In unserer Bewertung erhält die geopolitische Absicherung ein höheres Gewicht. Grund hierfür ist, dass der Datenzugriff durch US-Behörden inzwischen durch den Angemessenheitsbeschluss offiziell geregelt wurde, es sich beim geopolitische Krisenszenario mit den USA hingegen um eine Risikosituation mit hohem Schadenpotential handelt.

Aufgrund der Seltenheit dieser Situation ist es allerdings fraglich, ob die deutsche Politik und ihre Behörden in einer echten Krise überhaupt fähig sein würden, schnell genug die Kontrolle über die Clouds von AWS und Oracle zu übernehmen. Daher werden Clouds, die gegen beide Schadensszenarien absichern, besonders gut bewertet.

Ausblick

In einem nächsten Schritt planen wir, europäische Anbieter in den Quadranten aufzunehmen.

Alle Texte, Daten und Grafiken...

...der Blogeinträge und Hintergründe dürfen passend zur Nutzungslizenz verwendet werden, auch für kommerzielle Zwecke. Als offene Dateien sind sie zu finden unter Downloads.

Unsere neusten Artikel in Ihrer Inbox.

Verpassen Sie keine Neuigkeiten mehr zum Thema souveräne Cloud.

Hinweise zu dem Einsatz des Versanddienstleister Brevo, der Anmeldungsprotokollierung und zu Ihrem Widerrufsrecht erhalten Sie in unserer Datenschutzerklärung.

cloud ahead
Inhalte

Blog

Verwaltung der Zukunft

Benchmark

Basiswissen

Publikationen

Downloads
Kontakt

Kontakt

Über uns

Nutzungslizenz

Impressum

Datenschutz

No Cookies
Social

LinkedIn

RSS-Feed

OSBA Logo