Reifegrad-Modell (Sovereign Cloud)

Das Sovereign-Reifegrad-Modell ermöglicht eine strukturierte Selbstbewertung und definiert einen klaren Entwicklungspfad.

Das Fünf-Stufen-Modell

Level	Bezeichnung	Merkmale
Level 1	Ad-hoc / Undocumented	Souveränität nicht systematisch adressiert. Residency-Policy fehlt oder ist informal. Region-Pinning nicht technisch durchgesetzt. Keine systematische Evidenzsammlung.
Level 2	Documented & Defined	Policy-Dokumente existieren und sind versioniert. IaC enthält Region-Defaults. Backups konfiguriert. Subprozessoren grob bekannt. Aber: kaum technische Enforcement, keine kontinuierliche Überprüfung.
Level 3	Enforced & Monitored	Region Pinning technisch erzwungen (Variable Validation, SCP/Policy). CMK für sensitive Daten. CloudTrail vollständig. Break-Glass Prozess existiert. Dependency-Register up-to-date. Quarterly Reviews dokumentiert.
Level 4	Measured & Automated	Automated Drift Detection für alle Sovereign-Controls. Echtzeit-Alarme bei Verstössen. Exit-Drills durchgeführt und dokumentiert. IAM Access Analyzer aktiv. VPC Flow Log Anomaly Detection. KMS Access Monitoring.
Level 5	Optimized & Continuously Improved	Auto-Remediation bei Verstössen. Cryptographic Erasure getestet. SLSA-konformer Supply Chain. HYOK für höchstkritische Daten. Zero Standing Privilege vollständig implementiert. Continuous compliance evidence pipeline. Exit RTO < 90 Tage bewiesen.

Level

Bezeichnung

Merkmale

Level 1

Ad-hoc / Undocumented

Souveränität nicht systematisch adressiert. Residency-Policy fehlt oder ist informal. Region-Pinning nicht technisch durchgesetzt. Keine systematische Evidenzsammlung.

Level 2

Documented & Defined

Policy-Dokumente existieren und sind versioniert. IaC enthält Region-Defaults. Backups konfiguriert. Subprozessoren grob bekannt. Aber: kaum technische Enforcement, keine kontinuierliche Überprüfung.

Level 3

Enforced & Monitored

Region Pinning technisch erzwungen (Variable Validation, SCP/Policy). CMK für sensitive Daten. CloudTrail vollständig. Break-Glass Prozess existiert. Dependency-Register up-to-date. Quarterly Reviews dokumentiert.

Level 4

Measured & Automated

Automated Drift Detection für alle Sovereign-Controls. Echtzeit-Alarme bei Verstössen. Exit-Drills durchgeführt und dokumentiert. IAM Access Analyzer aktiv. VPC Flow Log Anomaly Detection. KMS Access Monitoring.

Level 5

Optimized & Continuously Improved

Auto-Remediation bei Verstössen. Cryptographic Erasure getestet. SLSA-konformer Supply Chain. HYOK für höchstkritische Daten. Zero Standing Privilege vollständig implementiert. Continuous compliance evidence pipeline. Exit RTO < 90 Tage bewiesen.

Reifegrad je Control

Control	L1	L2	L3	L4	L5
WAF-SOV-010 Data Residency Policy	Kein Dokument	Dokument existiert	IaC-Validation, CI-Gate	Drift Detection	Policy-as-Code, Auto-Remediation
WAF-SOV-020 Region Pinning	Keine Enforcement	IaC-Defaults gesetzt	Variable Validation + SCP/Policy	Drift Scan + Alarmierung	Auto-Block + Auto-Remediation
WAF-SOV-030 Backup Location	Backup unkontrolliert	Location gesetzt, Retention definiert	Alle Backups sovereign, PITR aktiviert	Restore Tests dokumentiert	Automatisierte Restore-Tests + RTO-Messung
WAF-SOV-040 Logging Residency	Keine Log-Kontrolle	CloudTrail in EU, Retention gesetzt	VPC Flow Logs, kein extern ohne Genehmigung	Anomalie-Erkennung in Log-Strömen	Forensik-Kapazität getestet, Sovereign SIEM
WAF-SOV-050 Key Ownership	PMK für alles	CMK für sensitive Daten	Kein PMK für PII/Finanzen, Key-Rotation aktiv	BYOK für kritische Daten, Key Access Monitoring	HYOK mit HSM, Cryptographic Erasure getestet
WAF-SOV-060 Privileged Access	Keine Kontrolle	Keine Wildcards, MFA für Admins	JIT, SoD, Quarterly Reviews	IAM Access Analyzer, SCP gegen Eskalation	Zero Standing Privilege, Continuous Verification
WAF-SOV-070 Break-Glass	Unkontrolliertes Root	Runbook existiert, CloudTrail aktiv	Root-Alarm, Post-Incident Review mandatory	Auto-Rotation nach Nutzung, Drill jährlich	Dual Control JIT, vollständige Forensik-Pipeline
WAF-SOV-080 Dependency Inventory	Kein Inventar	Informales Inventar, Provider gepinnt	Git-versioniertes Register, DPA-Referenzen	Automatische Alerts bei neuen Dependencies	SBOM, SLSA, Continuous Attestation
WAF-SOV-090 Egress Control	Open Egress	Restricted Ports, VPC Endpoints deployed	Default-Deny, Domain Allow-List	Flow Log Anomaly Detection, GuardDuty aktiv	Zero-Trust Network, Auto-Block Anomalies
WAF-SOV-100 Exit Plan	Kein Exit Plan	Exit Plan dokumentiert, nie getestet	Jährlicher Exit Drill, IaC portabel	Automated Export Tracking, Dependency Alternatives	Continuous Exit Readiness, RTO < 90 Tage bewiesen

Control

WAF-SOV-010 Data Residency Policy

Kein Dokument

Dokument existiert

IaC-Validation, CI-Gate

Drift Detection

Policy-as-Code, Auto-Remediation

WAF-SOV-020 Region Pinning

Keine Enforcement

IaC-Defaults gesetzt

Variable Validation + SCP/Policy

Drift Scan + Alarmierung

Auto-Block + Auto-Remediation

WAF-SOV-030 Backup Location

Backup unkontrolliert

Location gesetzt, Retention definiert

Alle Backups sovereign, PITR aktiviert

Restore Tests dokumentiert

Automatisierte Restore-Tests + RTO-Messung

WAF-SOV-040 Logging Residency

Keine Log-Kontrolle

CloudTrail in EU, Retention gesetzt

VPC Flow Logs, kein extern ohne Genehmigung

Anomalie-Erkennung in Log-Strömen

Forensik-Kapazität getestet, Sovereign SIEM

WAF-SOV-050 Key Ownership

PMK für alles

CMK für sensitive Daten

Kein PMK für PII/Finanzen, Key-Rotation aktiv

BYOK für kritische Daten, Key Access Monitoring

HYOK mit HSM, Cryptographic Erasure getestet

WAF-SOV-060 Privileged Access

Keine Kontrolle

Keine Wildcards, MFA für Admins

JIT, SoD, Quarterly Reviews

IAM Access Analyzer, SCP gegen Eskalation

Zero Standing Privilege, Continuous Verification

WAF-SOV-070 Break-Glass

Unkontrolliertes Root

Runbook existiert, CloudTrail aktiv

Root-Alarm, Post-Incident Review mandatory

Auto-Rotation nach Nutzung, Drill jährlich

Dual Control JIT, vollständige Forensik-Pipeline

WAF-SOV-080 Dependency Inventory

Kein Inventar

Informales Inventar, Provider gepinnt

Git-versioniertes Register, DPA-Referenzen

Automatische Alerts bei neuen Dependencies

SBOM, SLSA, Continuous Attestation

WAF-SOV-090 Egress Control

Open Egress

Restricted Ports, VPC Endpoints deployed

Default-Deny, Domain Allow-List

Flow Log Anomaly Detection, GuardDuty aktiv

Zero-Trust Network, Auto-Block Anomalies

WAF-SOV-100 Exit Plan

Kein Exit Plan

Exit Plan dokumentiert, nie getestet

Jährlicher Exit Drill, IaC portabel

Automated Export Tracking, Dependency Alternatives

Continuous Exit Readiness, RTO < 90 Tage bewiesen

Bewertung der aktuellen Reife

Zur Selbstbewertung empfehlen sich folgende Fragen:

Level 2 Check-Liste

Ist eine Data Residency Policy vorhanden und versioniert?
Sind erlaubte Regionen für jede Umgebung explizit definiert?
Sind Backup-Retention-Perioden konfiguriert?
Ist ein Subprozessoren-Register (auch informell) vorhanden?
Sind Terraform-Provider-Versionen gepinnt?

Level 3 Check-Liste

Haben alle Region/Location-Variablen Validation-Blöcke?
Gibt es ein SCP, Azure Policy oder GCP Org Policy für Region-Restriction?
Nutzen PII und Finanzdaten CMK (nicht AES256/PMK)?
Ist CloudTrail multi-region mit Log-File-Validation aktiv?
Gibt es CloudWatch-Alarme für Root-Account-Aktivität?
Ist ein Break-Glass-Prozess dokumentiert und reviewed?
Sind VPC-Endpoints für S3, KMS und andere genutzten Services deployed?
Ist der Exit-Plan dokumentiert?

Level 4 Check-Liste

Gibt es automatisierte Terraform-Checks (z.B. WAF++ Checker)?
Sind IAM Access Analyzer Findings regelmäßig reviewed?
Werden Exit-Drills durchgeführt und dokumentiert?
Gibt es Flow-Log-Anomalie-Erkennung (GuardDuty / äquivalent)?
Werden KMS-Schlüsselzugriffe auf Anomalien überwacht?

Empfohlener Einstiegspfad

Für Organisationen, die noch nicht bei Level 3 sind, empfehlen wir folgende Priorisierung:

Priorität	Maßnahme	Controls
🔴 Sofort (Level 2→3)	Region Pinning: Variable Validation + SCP/Policy + CI-Gate	WAF-SOV-020
🔴 Sofort (Level 2→3)	CMK für alle PII/Finanzdaten: KMS mit Rotation aktivieren	WAF-SOV-050
🟠 Kurzfristig (Level 2→3)	CloudTrail: multi-region, log validation, Root-Account-Alarm	WAF-SOV-070
🟠 Kurzfristig (Level 2→3)	Security Groups: 0.0.0.0/0 Egress auflösen; VPC Endpoints deployen	WAF-SOV-090
🟡 Mittelfristig (Level 3→4)	IAM Wildcard-Policies bereinigen; JIT Access einführen	WAF-SOV-060
🟡 Mittelfristig (Level 3→4)	Dependency-Register erstellen; Provider-Versionen pinnen	WAF-SOV-080
🟢 Langfristig (Level 4→5)	Exit-Drill durchführen und dokumentieren	WAF-SOV-100

Priorität

Maßnahme

Controls

🔴 Sofort (Level 2→3)

Region Pinning: Variable Validation + SCP/Policy + CI-Gate

WAF-SOV-020

🔴 Sofort (Level 2→3)

CMK für alle PII/Finanzdaten: KMS mit Rotation aktivieren

WAF-SOV-050

🟠 Kurzfristig (Level 2→3)

CloudTrail: multi-region, log validation, Root-Account-Alarm

WAF-SOV-070

🟠 Kurzfristig (Level 2→3)

Security Groups: 0.0.0.0/0 Egress auflösen; VPC Endpoints deployen

WAF-SOV-090

🟡 Mittelfristig (Level 3→4)

IAM Wildcard-Policies bereinigen; JIT Access einführen

WAF-SOV-060

🟡 Mittelfristig (Level 3→4)

Dependency-Register erstellen; Provider-Versionen pinnen

WAF-SOV-080

🟢 Langfristig (Level 4→5)

Exit-Drill durchführen und dokumentieren

WAF-SOV-100