14. März 2026
Knapp nach dem offiziellen Start im Januar 2026 hat die AWS European Sovereign Cloud erste wesentliche Compliance-Nachweise vorgelegt. Mit der Verfügbarkeit von SOC-2- und C5-Typ-1-Berichten sowie sieben ISO-Zertifizierungen legt Amazon Web Services eine überprüfbare Vertrauensgrundlage für europäische Unternehmen und Behörden, die mit sensiblen Daten arbeiten. Die Zertifizierungen decken 69 Services ab und wurden von unabhängigen Prüfern validiert – ein Signal, dass Sicherheit und Transparenz von Beginn an strukturell im Design der Plattform verankert sein sollen.
Eine Cloud ausschließlich für Europa
Die AWS European Sovereign Cloud ist als eigenständige Cloud-Infrastruktur konzipiert, die vollständig innerhalb der Europäischen Union betrieben wird. Sie ist physisch und logisch von allen anderen AWS-Regionen getrennt und richtet sich an Organisationen, die besonderen regulatorischen Anforderungen unterliegen – etwa Behörden, Unternehmen der kritischen Infrastruktur oder Branchen mit strengen Datenschutzvorgaben.
Grundlage der Souveränitätsversprechen ist das AWS European Sovereign Cloud Sovereign Reference Framework (ESC-SRF), das Anforderungen in zentralen Bereichen definiert:
- Unabhängigkeit der Governance-Strukturen
- Operative Kontrolle durch EU-ansässiges Personal
- Strikte Vorgaben zum Datenstandort für Kundeninhalte und Metadaten
- Technische und logische Trennung von anderen AWS-Regionen
Die nun vorliegenden Zertifizierungen und Berichte dienen als unabhängige Bestätigung, dass diese Anforderungen nicht nur formuliert, sondern auch technisch und organisatorisch umgesetzt sind.
SOC 2 Typ 1: Externe Prüfung der Kontrollmechanismen
Der SOC 2 Typ 1-Bericht ist eine unabhängige Prüfung durch Dritte und eines der etabliertesten Instrumente zur Bewertung von Cloud-Sicherheitskontrollen. Er bestätigt, dass die relevanten Kontrollmaßnahmen zum Prüfungszeitpunkt angemessen konzipiert und umgesetzt waren.
Im Fall der AWS European Sovereign Cloud adressiert der Bericht drei zentrale Kriterien nach dem AICPA Trust Services Standard:
- Sicherheit – Schutz vor unbefugtem Zugriff
- Verfügbarkeit – Zuverlässigkeit der Systeme und Services
- Vertraulichkeit – Schutz sensibler Informationen
Besonders relevant für europäische Kunden: Die im Bericht beschriebenen Kontrollen sind dem ESC-SRF zugeordnet und dokumentieren konkret, wie AWS seine Souveränitätsverpflichtungen operativ umsetzt. Externe Prüfer haben dabei unter anderem folgende Maßnahmen bewertet:
- Unabhängige Unternehmensstrukturen innerhalb der EU
- Ausschließlicher Betrieb durch in der EU ansässiges AWS-Personal
- Strikte Residenzanforderungen für Kundeninhalte und kundenseitig erstellte Metadaten
- Vollständige Trennung von anderen AWS-Regionen weltweit
C5: Der BSI-Standard als europäischer Benchmark
Der C5 (Cloud Computing Compliance Criteria Catalogue) wurde vom deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt und gilt heute als einer der umfassendsten und anspruchsvollsten Cloud-Sicherheitsstandards in Europa. Er genießt besondere Relevanz bei Behörden und regulierten Unternehmen im deutschsprachigen Raum, wird aber zunehmend auch europaweit als Referenzrahmen genutzt.
Der vorliegende C5-Typ-1-Bericht der AWS European Sovereign Cloud bestätigt durch unabhängige Prüfung, dass sowohl die Grundkriterien als auch die Zusatzkriterien des Standards im Design und in der Umsetzung der Kontrollmaßnahmen erfüllt werden.
Grundkriterien legen fundamentale Sicherheitsanforderungen für Cloud-Anbieter fest und umfassen unter anderem:
- Organisation der Informationssicherheit
- Personalsicherheit und Schulungsanforderungen
- Anlagenverwaltung und Zugriffskontrolle
- Kryptografische Maßnahmen
- Physische Sicherheit der Rechenzentren
- Betriebssicherheit und Kommunikationssicherheit
- Systembeschaffung und -entwicklung
- Lieferantenbeziehungen und Vorfallmanagement
- Geschäftskontinuität und regulatorische Compliance
Zusatzkriterien gehen über die Basisanforderungen hinaus und befassen sich mit dem Umgang mit besonders schutzwürdigen Daten sowie unternehmenskritischen Anwendungen. Für Kunden der AWS European Sovereign Cloud, die hohe Anforderungen an Datensicherheit und Souveränität stellen, ist dieser Teil der Bescheinigung von besonderer Bedeutung.
Sieben ISO-Zertifizierungen im Überblick
Parallel zu den Bescheinigungsberichten hat die AWS European Sovereign Cloud sieben internationale ISO-Normen zertifiziert. Sie decken gemeinsam ein breites Spektrum betrieblicher Anforderungen ab:
| Norm | Schwerpunkt |
|---|---|
| ISO 27001:2022 | Informationssicherheitsmanagement |
| ISO 27017:2015 | Cloudspezifische Sicherheitskontrollen |
| ISO 27018:2019 | Schutz personenbezogener Daten in der Cloud |
| ISO 27701:2019 | Datenschutzmanagement (Erweiterung zu 27001) |
| ISO 22301:2019 | Geschäftskontinuität und organisatorische Resilienz |
| ISO 20000-1:2018 | IT-Service-Management |
| ISO 9001:2015 | Qualitätsmanagement |
Die Kombination dieser Normen ist bewusst gewählt: Während ISO 27001 das Fundament des Informationssicherheitsmanagements bildet, ergänzen ISO 27017 und 27018 dieses um cloudspezifische Anforderungen und den Schutz personenbezogener Daten. ISO 27701 erweitert das Datenschutzmanagement systematisch, ISO 22301 sichert die organisatorische Resilienz im Störungsfall ab. ISO 20000-1 und 9001 belegen schließlich strukturierte Prozesse im IT-Service-Management und im Qualitätsmanagement.
Zusammen dokumentieren diese Zertifizierungen, dass Sicherheit, Datenschutz, Serviceverfügbarkeit, Risikomanagement und Qualitätssicherung in einem integrierten, kontinuierlich überwachten Rahmenwerk verankert sind.
Geteilte Verantwortung und Kundenzugang
AWS weist ausdrücklich darauf hin, dass Sicherheit und Compliance einer geteilten Verantwortung unterliegen: Während AWS die Infrastruktur absichert, tragen Kunden Verantwortung für die Sicherheit ihrer eigenen Anwendungen und Daten innerhalb der Cloud. Details dazu sind im AWS Shared Security Responsibility Model dokumentiert.
Alle Berichte und Zertifikate stehen registrierten Kunden über das Self-Service-Portal AWS Artifact zur Verfügung. Der Zugang erfolgt direkt über die AWS Management Console nach Anmeldung mit einem AWS-European-Sovereign-Cloud-Konto.
Ausblick: Wachsendes Zertifizierungsportfolio
AWS positioniert die aktuellen Zertifizierungen ausdrücklich als Ausgangspunkt, nicht als Abschluss. In den kommenden Monaten soll die Compliance-Abdeckung schrittweise ausgebaut werden, um den sich verändernden regulatorischen Anforderungen europäischer Kunden gerecht zu werden. Dabei sollen alle Zertifizierungen und Bescheinigungen regelmäßig durch unabhängige Prüfer erneuert werden, um die fortlaufende Wirksamkeit der Kontrollmaßnahmen zu bestätigen.
Auch interessant:
Bild/Quelle: https://depositphotos.com/de/home.html
Fachartikel
ClickFix-Variante nutzt WebDAV und trojanisierte Electron-App zur Malware-Verteilung
KI im SAP-Custom-Code: Sicherheitsrisiken erkennen und gezielt absichern
Zero-Day-Exploits 2025: 90 Schwachstellen, mehr Unternehmensziele, KI als neuer Faktor
Brainworm: Wenn KI-Agenten durch natürliche Sprache zur Waffe werden
Mozilla und Anthropic: Gemeinsame KI-Analyse macht Firefox sicherer
Studien
Drucksicherheit bleibt in vielen KMU ein vernachlässigter Bereich
Sieben Regierungen einigen sich auf 6G-Sicherheitsrahmen
Lieferkettenkollaps und Internetausfall: Unternehmen rechnen mit dem Unwahrscheinlichen
KI als Werkzeug für schnelle, kostengünstige Cyberangriffe
KI beschleunigt Cyberangriffe: IBM X-Force warnt vor wachsenden Schwachstellen in Unternehmen
Whitepaper
Cloudflare Threat Report 2026: Ransomware beginnt mit dem Login – KI und Botnetze treiben die Industrialisierung von Cyberangriffen
EBA-Folgebericht: Fortschritte bei IKT-Risikoaufsicht unter DORA – weitere Harmonisierung nötig
Böswillige KI-Nutzung erkennen und verhindern: Anthropics neuer Bedrohungsbericht mit Fallstudien
Third Party Risk Management – auch das Procurement benötigt technische Unterstützung
EU-Toolbox für IKT-Lieferkettensicherheit: Gemeinsamer Rahmen zur Risikominderung
Hamsterrad-Rebell
Sicherer Remote-Zugriff (SRA) für Operational Technology (OT) und industrielle Steuerungs- und Produktionssysteme (ICS) – Teil 2
Incident Response Retainer – worauf sollte man achten?
KI‑basierte E‑Mail‑Angriffe: Einfach gestartet, kaum zu stoppen
NIS2: „Zum Glück gezwungen“ – mit OKR-basiertem Vorgehen zum nachhaltigen Erfolg
