Shared Responsibility im Sovereign-Kontext

Souveränität ist im Cloud-Umfeld immer eine geteilte Verantwortung. Die Grenze ist jedoch anders als bei klassischer Sicherheit – Souveränität erfordert aktivere Betreiber-Entscheidungen, weil Provider-Defaults oft nicht sovereign sind.

Was Anbieter typischerweise kontrollieren

Bereich	Anbieter-Verantwortung
Physische Sicherheit	Rechenzentrum, Netzwerk-Backbone, Hardwaresicherheit.
Basis-Compliance	ISO 27001, SOC 2, BSI C5-Testate des Providers. Hinweis: Diese Testate decken den Anbieter ab, nicht den Betreiber-Anteil.
Region-Infrastruktur	Verfügbarkeit von Regionen, Dokumentation zu Subprozessoren, Compliance-Zertifikate.
Default-Verschlüsselung	Viele Dienste bieten Standard-Verschlüsselung mit Provider-verwalteten Schlüsseln.
Audit-Artefakte	SOC 2 Reports, ISO-Zertifikate, BSI C5-Testate als Nachweis für Provider-Anteil.

Bereich

Anbieter-Verantwortung

Physische Sicherheit

Rechenzentrum, Netzwerk-Backbone, Hardwaresicherheit.

Basis-Compliance

ISO 27001, SOC 2, BSI C5-Testate des Providers. Hinweis: Diese Testate decken den Anbieter ab, nicht den Betreiber-Anteil.

Region-Infrastruktur

Verfügbarkeit von Regionen, Dokumentation zu Subprozessoren, Compliance-Zertifikate.

Default-Verschlüsselung

Viele Dienste bieten Standard-Verschlüsselung mit Provider-verwalteten Schlüsseln.

Audit-Artefakte

SOC 2 Reports, ISO-Zertifikate, BSI C5-Testate als Nachweis für Provider-Anteil.

Anbieter-Zertifikate (BSI C5, ISO 27001) decken den Anbieter ab. Sie sind kein Nachweis für die Sovereign-Compliance des Betreibers. Beide Seiten müssen ihre eigene Evidenz vorhalten.

Was Betreiber kontrollieren (WAF++ Fokus)

Bereich	Betreiber-Verantwortung	WAF++ Control
Datenklassifikation	Welche Daten wie klassifiziert werden und welche Residency-Anforderungen gelten.	WAF-SOV-010
Region Pinning	Technische Durchsetzung der erlaubten Regionen via IaC und Policy-as-Code.	WAF-SOV-020
Backup-Konfiguration	Wo Backups gespeichert werden, wie lange, und ob Restore-Tests durchgeführt werden.	WAF-SOV-030
Log-Destinationen	Wohin Logs, Traces und Metriken exportiert werden.	WAF-SOV-040
Schlüsselverwaltung	Ob CMK/BYOK/HYOK genutzt wird; Rotation und Deletion Policies.	WAF-SOV-050
IAM & Zugriff	Rollenmodell, privilegierter Zugriff, Separation of Duties, MFA-Enforcement.	WAF-SOV-060
Break-Glass Prozess	Wer aktiviert, was wird geloggt, wie wird nachgewertet.	WAF-SOV-070
Subprozessoren & Abhängigkeiten	Inventar aller Drittanbieter und deren Jurisdiktion, Vertragsgrundlage.	WAF-SOV-080
Egress-Kontrolle	Welche ausgehenden Verbindungen erlaubt sind und wie Exfiltration erkannt wird.	WAF-SOV-090
Exit-Fähigkeit	Dokumentierter, getesteter Exit-Plan; Datenportabilität; IaC-Portabilität.	WAF-SOV-100

Bereich

Betreiber-Verantwortung

WAF++ Control

Datenklassifikation

Welche Daten wie klassifiziert werden und welche Residency-Anforderungen gelten.

WAF-SOV-010

Region Pinning

Technische Durchsetzung der erlaubten Regionen via IaC und Policy-as-Code.

WAF-SOV-020

Backup-Konfiguration

Wo Backups gespeichert werden, wie lange, und ob Restore-Tests durchgeführt werden.

WAF-SOV-030

Log-Destinationen

Wohin Logs, Traces und Metriken exportiert werden.

WAF-SOV-040

Schlüsselverwaltung

Ob CMK/BYOK/HYOK genutzt wird; Rotation und Deletion Policies.

WAF-SOV-050

IAM & Zugriff

Rollenmodell, privilegierter Zugriff, Separation of Duties, MFA-Enforcement.

WAF-SOV-060

Break-Glass Prozess

Wer aktiviert, was wird geloggt, wie wird nachgewertet.

WAF-SOV-070

Subprozessoren & Abhängigkeiten

Inventar aller Drittanbieter und deren Jurisdiktion, Vertragsgrundlage.

WAF-SOV-080

Egress-Kontrolle

Welche ausgehenden Verbindungen erlaubt sind und wie Exfiltration erkannt wird.

WAF-SOV-090

Exit-Fähigkeit

Dokumentierter, getesteter Exit-Plan; Datenportabilität; IaC-Portabilität.

WAF-SOV-100

Das Sovereign-Compliance-Dreieck

Für vollständige Sovereign-Compliance braucht eine Organisation drei Nachweise:

         ┌─────────────────────────────┐
         │  Provider-Compliance-Artefakt│  ← BSI C5-Testat, ISO 27001 des Anbieters
         └─────────────────────────────┘
                        +
         ┌─────────────────────────────┐
         │  Betreiber-Technische Evidenz│  ← IaC-Konfiguration, Audit-Logs, WAF-SOV-Checks
         └─────────────────────────────┘
                        +
         ┌─────────────────────────────┐
         │  Vertrags-/Prozess-Evidenz  │  ← DPA, Subprocessor-Listen, Runbooks, Reviews
         └─────────────────────────────┘

Fehlt eine der drei Ebenen, ist der Sovereign-Nachweis unvollständig.

Vertragliche vs. konfigurierbare Souveränität

Ein häufiges Missverständnis: Viele Anbieter offerieren „Sovereign Cloud"-Produkte. Für WAF++ gilt die Unterscheidung:

Aspekt	Vertraglich	Konfigurierbar/Technisch
Jurisdiktion	Vertrag regelt Datenort; oft schwer durchsetzbar.	Region Pinning via IaC und Policy – messbar und prüfbar.
Datenzugriff durch Anbieter	Vertragsklauseln; Cloud Act-Risiken nicht eliminierbar durch Vertrag.	HYOK eliminiert technisch die Zugriffsmöglichkeit.
Subprozessor-Änderungen	Anbieter informiert; keine technische Kontrolle.	Inventar + Review-Prozess + Vertrags-Exit-Recht.
Datenlöschung bei Vertragsende	Vertragsklausel; kein technischer Nachweis.	S3 Lifecycle, GDPR Art. 17 – technisch implementierbar und nachweisbar.

Aspekt

Vertraglich

Konfigurierbar/Technisch

Jurisdiktion

Vertrag regelt Datenort; oft schwer durchsetzbar.

Region Pinning via IaC und Policy – messbar und prüfbar.

Datenzugriff durch Anbieter

Vertragsklauseln; Cloud Act-Risiken nicht eliminierbar durch Vertrag.

HYOK eliminiert technisch die Zugriffsmöglichkeit.

Subprozessor-Änderungen

Anbieter informiert; keine technische Kontrolle.

Inventar + Review-Prozess + Vertrags-Exit-Recht.

Datenlöschung bei Vertragsende

Vertragsklausel; kein technischer Nachweis.

S3 Lifecycle, GDPR Art. 17 – technisch implementierbar und nachweisbar.

Für sovereign-kritische Workloads sollte die Faustregel gelten: „Wenn es nur vertraglich geregelt ist und nicht technisch überprüfbar, ist es kein Sovereign-Control."