Quellenverzeichnis

Primärquellen zu den im Kompass referenzierten Zertifizierungen, Cloud-Provider-Profilen sowie den Open-Source- und Governance-Institutionen. Verlinkt sind, wo möglich, offizielle Stellen (Normungsgremien, Regulierer, Anbieter-Dokumentation).

Methodischer Hinweis. Die Quellen dokumentieren die Angebote und Standards — nicht deren Bewertung. Die Achsenwerte und Profil-Scores im Kompass sind eine eigene, illustrative Einordnung des Originalkonzepts (Sebastian Kister) und kein Audit. Insbesondere die kritische Trennung von Betreiber und Open-Source-Projekt (Stichwort „Nutzung ist nicht Hoheit") ist eine bewertende Lesart, keine Aussage der jeweiligen Anbieter. Stand der Recherche: Juni 2026.

01 Zertifizierungen & Standards

Die 15 Schemata der Zertifizierungs-Matrix (Experten-Modus), gegliedert nach Souveränitäts-Qualifizierungen, Cloud-Sicherheit, KI-/Resilienz-Regulierung und Lieferketten-Standards.

Souveränitäts- & Cloud-Qualifizierungen (EU/national)

SecNumCloud (ANSSI, Frankreich)Qualifizierung für vertrauenswürdige Cloud-Dienste; harte Vorgaben zu EU-Eigentum, Immunität gegenüber Drittstaaten-Recht und EU-Betrieb. Grundlage der französischen „Cloud de confiance".cyber.gouv.fr/secnumcloud
Gaia-XEuropäisches Rahmenwerk für föderierte, interoperable und souveräne Dateninfrastruktur; Gaia-X Trust Framework & Labels (L1–L3).gaia-x.eu
EUCS — European Cybersecurity Certification Scheme for Cloud Services (ENISA, Entwurf)Kandidaten-Schema unter dem EU Cybersecurity Act; die ursprünglichen Souveränitätsanforderungen wurden 2024 im Entwurf gestrichen — daher im Kompass als „Entwurf" markiert.enisa.europa.eu/topics/certification Cybersecurity Act (Reg. 2019/881)
BSI C5 — Cloud Computing Compliance Criteria Catalogue (BSI, Deutschland)Prüfstandard für Cloud-Sicherheit; in Deutschland faktischer Marktstandard, u. a. für Open Telekom Cloud.bsi.bund.de — C5

Informationssicherheit & Cloud (ISO/IEC)

ISO/IEC 27001 — Information Security Management System (ISMS)Basisnorm für Informationssicherheits-Managementsysteme.iso.org — ISO/IEC 27001
ISO/IEC 27017 — Cloud-SicherheitskontrollenUmsetzungsleitfaden für Sicherheitskontrollen in Cloud-Diensten; klärt die geteilte Verantwortung zwischen Anbieter und Kunde.iso.org — ISO/IEC 27017
ISO/IEC 27018 — Schutz personenbezogener Daten (PII) in Public CloudsDatenschutzkontrollen für Cloud-Anbieter als PII-Auftragsverarbeiter.iso.org — ISO/IEC 27018

KI-, Automotive- & Resilienz-Regulierung

ISO/IEC 42001:2023 — AI Management System (AIMS)Weltweit erste Norm für KI-Managementsysteme: Aufbau, Betrieb und kontinuierliche Verbesserung verantwortungsvoller KI.iso.org — ISO/IEC 42001
EU AI Act — Verordnung (EU) 2024/1689Risikobasierter Rechtsrahmen für KI in der EU; relevant für Achse „Verlässlichkeit & KI-Governance" (Auditierbarkeit, Transparenz, Hochrisiko-Pflichten).EUR-Lex — Reg. 2024/1689 EU-Kommission — AI Act
Cyber Resilience Act (CRA) — Verordnung (EU) 2024/2847Cybersicherheits-Anforderungen an Produkte mit digitalen Elementen über den gesamten Lebenszyklus (Day 2), inkl. SBOM-/Schwachstellenpflichten.EUR-Lex — Reg. 2024/2847 EU-Kommission — CRA
DORA — Digital Operational Resilience Act, Verordnung (EU) 2022/2554Digitale Betriebsstabilität im Finanzsektor; Aufsichtsrahmen für kritische IKT-Drittanbieter. Anwendbar seit 17.01.2025.EUR-Lex — Reg. 2022/2554
ISO/IEC 21434 — Road vehicles · Cybersecurity engineeringCybersicherheit über den Fahrzeug-Lebenszyklus; relevant für automobile Souveränitätskontexte.iso.org — ISO/IEC 21434

Attestierung, Krypto & Lieferkette

SOC 2 (AICPA)Prüfberichte zu Sicherheit, Verfügbarkeit und Vertraulichkeit (Trust Services Criteria); verbreiteter Anbieter-Nachweis (Type I/II).aicpa-cima.com — SOC 2
FIPS 140-3 (NIST, CMVP)Sicherheitsanforderungen an kryptografische Module; Grundlage für Schlüssel-/HSM-Hoheit.csrc.nist.gov — CMVP / FIPS 140-3
OpenChain (ISO/IEC 5230)Standard für vertrauenswürdige Open-Source-Lieferketten und Lizenz-Compliance; eng mit SBOM-Praxis verbunden.openchainproject.org
TISAX (ENX Association)Branchenstandard der Automobilindustrie für Informationssicherheit (auf ISO/IEC 27001 aufbauend).enx.com — TISAX

02 Cloud-Provider (Tech-Stack-Profile)

Offizielle Anbieter-Dokumentation zu den Basis-Profilen A–J. Reihenfolge wie im Kompass.

Hyperscaler — Standard- & EU-Region (Profil A · B)

AWS — European Digital Sovereignty (Übersicht)Sovereignty-Pledge, EU-Region-Optionen und Compliance-Grundlagen für AWS-Standard- und EU-Regionen.aws.amazon.com/compliance/europe-digital-sovereignty
Microsoft — Digital Sovereignty / EU Data BoundarySouveränitätskontrollen und EU-Datengrenze über die Azure-Standard- und EU-Regionen.learn.microsoft.com — Azure Sovereign Clouds
Google Cloud — Sovereign CloudData Boundary, Dedicated und Air-Gapped als Souveränitäts-Stufen; Sovereign-AI-Optionen.cloud.google.com/sovereign-cloud

T-Systems & Open Telekom Cloud (Profil E · F)

T-Systems Sovereign Cloud powered by Google CloudGemeinsames Angebot von T-Systems und Google; Souveränitätskontrollen (u. a. externes Key-Management) werden von T-Systems beaufsichtigt.t-systems.com — Sovereign Cloud powered by Google Google — Sovereign Controls by Partners
Open Telekom Cloud (T-Systems)OpenStack-basierte Public Cloud, BSI-C5-zertifiziert, deutsche/niederländische Rechenzentren; stark in regulierter DE-Beschaffung.open-telekom-cloud.com

AWS European Sovereign Cloud (Profil H)

AWS European Sovereign Cloud — StartseiteEigenständige EU-Governance (neue Muttergesellschaft, GmbH-Tochtergesellschaften in DE, EU-Leitung); GA seit Januar 2026, erste Region Brandenburg.aws.eu
Overview of the AWS European Sovereign Cloud (Whitepaper)Designansatz, Governance, technische Kontrollen und Isolation der Region.docs.aws.amazon.com — Whitepaper

Microsoft Sovereign Public Cloud (Profil I)

What is Microsoft Sovereign Cloud?Sovereign Public & Private Cloud, EU Data Boundary, Data Guardian (EU-Personal kontrolliert Zugriff), External Key Management, Confidential Computing, Policy-as-Code. Vormals „Cloud for Sovereignty".learn.microsoft.com — Microsoft Sovereign Cloud Overview — Sovereign Public Cloud
Ankündigung der souveränen Lösungen (Microsoft, Juni 2025)Strategische Ankündigung der Microsoft Sovereign Cloud für europäische Kunden.blogs.microsoft.com — Ankündigung

STACKIT & Sovereign Cloud Stack (Profil G)

STACKIT (Schwarz-Gruppe)OpenStack-basierte Cloud, deutsche Rechenzentren, keine US-Mutter.stackit.de
STACKIT als OpenInfra-Member (Upstream-Selbstdarstellung)STACKITs eigene Darstellung punktueller OpenStack-Beiträge (Nova/Neutron/OVN). Grundlage der kritischen Betreiber-vs.-Projekt-Bewertung im Kompass.openinfra.org — Meet STACKIT
Sovereign Cloud Stack (SCS) — Projekt & Upstream-StewardshipVoll quelloffene Referenzimplementierung, getragen von der Open Source Business Alliance (OSBA), BMWK-gefördert seit 2021; 25+ Firmen, 50+ Entwickler, aktive Upstream-Arbeit in OpenStack/CNCF. Hier liegt die eigentliche Open-Source-Hoheit — nicht beim Operator.sovereigncloudstack.org github.com/SovereignCloudStack

OVHcloud (Profil J)

OVHcloud — Sovereign CloudFranzösisches Unternehmen, EU-Rechenzentren, SecNumCloud-Linie (Bare-Metal-Pod), ISO 27001 / C5; Gaia-X-Gründungsmitglied.ovhcloud.com — Sovereign Cloud Was ist Sovereign Cloud?

Ergänzend — National Partner Clouds

Delos Cloud (DE), Bleu (FR), S3NS (FR)Nationale Partner-Clouds auf Hyperscaler-Technik (Microsoft bzw. Google) mit lokaler Betreiber-Governance; im Kompass nicht als eigene Profile geführt, aber Teil derselben „governance-basierten" Souveränitätslinie.Microsoft — National Partner Clouds

03 Open Source Program Office (OSPO)

Grundlage der Maßnahme „Funktionales OSPO" und der Argumentation Upstream-Einfluss vs. Konsum.

TODO GroupHersteller-neutrale Community für OSPO-Praxis; Definitionen, Guides und Governance-Muster für Open Source Program Offices.todogroup.org
Linux Foundation — Open Source Program OfficesSchulungen, Referenzmodelle und der „OSPO"-Wissensbestand der Linux Foundation.linuxfoundation.org — OSPO Research
OpenSSF — Open Source Security FoundationSicherheit der Open-Source-Lieferkette (SBOM, Scorecards, Best Practices); flankiert OSPO und CRA-Pflichten.openssf.org

04 Cloud Native Computing Foundation (CNCF)

Referenzrahmen für die agentische/Cloud-native Schicht (Kubernetes, Knative, Argo) und für Upstream-Governance.

CNCF — Organisation & ProjekteHeimat von Kubernetes und der Cloud-native-Projektlandschaft; Graduated/Incubating-Reifegrade.cncf.io
CNCF Technical Oversight Committee (TOC) & GovernanceTechnische Aufsicht, Projektaufnahme und SIG-Struktur.github.com/cncf/toc
CNCF LandscapeInteraktive Karte der Cloud-native-Projekte und -Anbieter.landscape.cncf.io

05 Linux Foundation & Lieferketten-Werkzeuge

Linux FoundationDachorganisation kritischer Open-Source-Infrastruktur (u. a. CNCF, OpenSSF, SPDX).linuxfoundation.org
SPDX — Software Package Data ExchangeOffener SBOM-Standard (ISO/IEC 5962); Grundlage geprüfter Lieferketten und der Maßnahme „SBOM".spdx.dev

06 Strategischer & regulatorischer Kontext

Draghi-Report — „The future of European competitiveness"EU-Wettbewerbsfähigkeit und digitale/technologische Souveränität; strategischer Bezugsrahmen.commission.europa.eu — Draghi-Report
EU Cloud Sovereignty Framework (SOV-1 … SOV-8)Bewertungsrahmen der EU-Kommission für Cloud-Souveränität; konzeptionell verwandt mit der Achsen-Logik des Kompass.EU-Kommission — Cloud Policy
CISPE — Cloud Infrastructure Services Providers in EuropeVerhaltenskodex (Code of Conduct) und Branchenrahmen europäischer Infrastruktur-Anbieter.cispe.cloud
Catena-X / Gaia-X (Automobil-Datenräume)Föderierte Datenräume auf Gaia-X-Basis (BMW, Mercedes-Benz, Volkswagen, Zulieferer) — „Intelligenz zu den Daten" in der Praxis.catena-x.net

07 Visuelle & strukturelle Anregungen

Herkunft einzelner Darstellungs- und Strukturideen — bewusst transparent gehalten. Das Gesamtkonzept stammt von Sebastian Kister.

BetterEdge-SouveränitätsradarAnregung für die radiale Radar-Darstellung (im Kompass nur noch eine von zwei Ansichten).
WAF++ v1.0 (waf2p.dev)Anregung für die Säulen-/Reifelogik (0–5).
»The Architecture of Sovereign AI Readiness«, Agentcy LabsFrühe Skizze einer KI-Souveränitäts-Schicht.