AWS European Sovereign Cloud erhält erste Compliance-Zertifizierungen

Die seit Januar 2026 verfügbare AWS European Sovereign Cloud hat einen ersten Compliance-Meilenstein erreicht. Amazon Web Services (AWS) hat für die von regulären AWS-Regionen physisch und logisch getrennte Cloud-Plattform SOC-2- und C5-Type-1-Testat sowie sieben ISO-Zertifizierungen erlangt. Die Nachweise decken insgesamt 69 Services ab.

Wie AWS in einem Beitrag im AWS-Security-Blog erläutert, umfasst der SOC-2-Type-1-Bericht die Kriterien Sicherheit, Verfügbarkeit und Vertraulichkeit. Die Prüfer haben die Kontrollen zudem auf das hauseigene Sovereign Reference Framework (ESC-SRF) abgebildet, das Governance, Betrieb, Datenresidenz und Isolation abdeckt. Der C5-Type-1-Bericht attestiert die Konformität mit dem Cloud Computing Compliance Controls Catalogue des Bundesamts für Sicherheit in der Informationstechnik (BSI) – geprüft wurden Basis- und Zusatzkriterien.

Sieben ISO-Zertifizierungen auf einen Schlag

Neben den Attestierungsberichten hat AWS für die European Sovereign Cloud gleichzeitig sieben ISO-Zertifizierungen erlangt: ISO 27001:2022 (Informationssicherheit), ISO 27017:2015 (Cloud-Sicherheit), ISO 27018:2019 (Datenschutz in der Cloud), ISO 27701:2019 (Privacy-Management), ISO 22301:2019 (Business Continuity), ISO 20000-1:2018 (IT-Service-Management) sowie ISO 9001:2015 (Qualitätsmanagement). Sämtliche Berichte und Zertifikate stehen Kunden über AWS Artifact zur Verfügung.

Die Zertifizierungen sind vor allem für Behörden und regulierte Branchen in Europa relevant, die Cloud-Dienste unter strikten Auflagen zu Datenresidenz und Sicherheit nutzen müssen. Der C5-Katalog des BSI gilt in Deutschland als maßgeblicher Standard für die Bewertung von Cloud-Anbietern.

Separate Infrastruktur mit EU-Personal

Die European Sovereign Cloud ist als eigene Partition (aws-eusc) mit der Region eusc-de-east-1 in Brandenburg aufgesetzt. Sie verfügt über separate IAM-Konten, eigene Abrechnungssysteme in Euro und ein dediziertes Security Operations Center, das ausschließlich mit EU-Residenten besetzt ist. Es gibt keinen regionsübergreifenden Datenverkehr zu anderen AWS-Partitionen; auch Metadaten verbleiben innerhalb der EU-Infrastruktur.

Ob die vollständige Abkopplung der Sovereign Cloud in der Praxis den Anforderungen des BSI standhält, ist allerdings noch nicht unabhängig geprüft. Bei den jetzt vorgelegten Zertifizierungen handelt es sich um Type-1-Berichte, die das Design und die Implementierung der Kontrollen zu einem bestimmten Zeitpunkt bewerten. Die aufwendigeren Type-2-Audits, bei denen die operative Wirksamkeit über einen längeren Zeitraum nachgewiesen wird, stehen noch aus.

AWS bezeichnete die Zertifizierungen als Beleg dafür, dass sich die Firma um das Vertrauen der Kunden bemühe. Das Unternehmen hat angekündigt, das Compliance-Portfolio für die European Sovereign Cloud kontinuierlich auszubauen.

(fo)