DASC: Kostenlos die digitale Souveränität Ihres Stacks prüfen

Warum ein souveräner Cloud Check?

Deutsche Unternehmen nutzen im Durchschnitt über 30 verschiedene Cloud- und SaaS-Dienste. Viele davon stammen von US-Anbietern und unterliegen damit dem CLOUD Act und FISA Section 702. Die DSGVO, die NIS2-Richtlinie und der EU Data Act erhöhen gleichzeitig die Anforderungen an Datenschutz und digitale Souveränität.

Das Problem: Die wenigsten Unternehmen haben einen vollständigen Überblick über ihre Cloud-Abhängigkeiten. Bestehende Ansätze wie das SUSE Cloud Sovereignty Framework oder das Red Hat Sovereignty Readiness Assessment bieten wertvolle Selbstbewertungstools - sind aber auf eine einmalige, manülle Momentaufnahme begrenzt. Consulting-Angebote wie von Eviden oder Nordcloud liefern tiefergehende Analysen, kosten aber fünfstellige Beträge und daürn Wochen.

DASC schliesst diese Lücke: Ein automatisierter, kostenloser Cloud Check, der technische Indikatoren auswertet und eine faktenbasierte Souveränitätsbewertung liefert.

Was DASC prüft

Der DASC Souveränitäts-Check analysiert den Technology-Stack eines Unternehmens entlang von fünf Souveränitäts-Dimensionen:

1. Data Sovereignty (Datensouveränität)

Wo werden Daten gespeichert? Wer hat Zugriff? Unter welcher Jurisdiktion steht der Anbieter?

Technische Prüfpunkte:

• DNS-Analyse: CNAME-Records auf US-Infrastruktur (amazonaws.com, azurewebsites.net)
• TLS-Zertifikat-Analyse: Certificate Authority und Aussteller-Jurisdiktion
• HTTP-Header: Server-Standort und CDN-Zuordnung
• Privacy-Indikatoren: /.well-known/gpc.json (Global Privacy Control)

2. Technical Sovereignty (Technische Souveränität)

Wie unabhängig ist der Stack? Können Dienste migriert werden? Werden offene Standards genutzt?

Technische Prüfpunkte:

• OpenID Connect Configuration: Welcher Identity Provider wird genutzt?
• API-Katalog: /.well-known/api-catalog für Datenexport-Fähigkeit
• OAuth-Metadaten: Standardkonforme Authentifizierung
• Interoperabilität: S3-kompatibles Storage, Kubernetes-Nutzung

3. Operational Sovereignty (Betriebliche Souveränität)

Wer betreibt die Infrastruktur? Wie hoch ist die Verfügbarkeit? Gibt es eine Exit-Strategie?

Prüfpunkte:

• Anbieter-Diversifizierung: Single-Vendor vs. Multi-Cloud
• Konzentrationsrisiko: Wie viele kritische Dienste laufen bei einem Anbieter?
• Verfügbarkeitshistorie des Anbieters

4. Assurance Sovereignty (Vertraünswürdigkeit)

Welche Zertifizierungen hat der Anbieter? Wie transparent ist er?

Technische Prüfpunkte:

• /.well-known/security.txt: Sicherheitskontakt und Vulnerability Disclosure Policy (RFC 9116)
• /.well-known/sbom: Software Bill of Materials (RFC 9472)
• CSAF-Provider-Metadaten: Sicherheitshinweise nach OASIS-Standard
• Transparenzberichte: Veröffentlicht der Anbieter Behördenanfragen?

5. Open Source Awareness

Setzt der Anbieter auf offene Standards und Open Source?

Prüfpunkte:

• Open-Source-Anteil der verwendeten Software
• Föderations-Fähigkeit: WebFinger, NodeInfo, ActivityPub
• Offene API-Standards: OpenAPI, GraphQL

Wie sich DASC von anderen Tools unterscheidet

Der Markt für Souveränitäts-Checks wächst. Eine Einordnung:

Point-in-Time-Assessments

SUSE bietet ein kostenloses Selbstbewertungstool mit 32 Fragen und dem SEAL-Rating-System (Stufe 0-4). Red Hat hat ein ähnliches Tool mit 21 Fragen und sieben Bewertungsdomänen. Beide sind wertvoll für eine erste Orientierung, aber:

• Basieren auf Selbsteinschätzung, nicht auf technischer Verifikation
• Einmalige Momentaufnahme ohne Monitoring
• Fokus auf Cloud-Infrastruktur, nicht auf SaaS-Dienste

Consulting-Angebote

Eviden und Nordcloud bieten umfassende Souveränitäts-Beratung mit Implementierung. Diese Angebote sind für Enterprise-Kunden konzipiert:

• Hohe Kosten (fünfstellig aufwärts)
• Wochen bis Monate bis zum Ergebnis
• Fokus auf grosse Multi-Cloud-Implementierungen

Verzeichnisse

European Alternatives und ähnliche Plattformen listen über 300 europäische SaaS-Alternativen. Gaia-X bietet einen zertifizierten Service-Katalog mit über 600 Diensten. Diese sind nützlich zur Recherche, bieten aber:

• Keine automatisierte Prüfung des eigenen Stacks
• Keine technische Verifikation der Anbieter-Angaben
• Keine individualisierte Risikobewertung

DASC-Ansatz

DASC kombiniert die Stärken dieser Ansätze:

• Automatisiert: Technische Prüfung statt Selbsteinschätzung
• Kostenlos: Kein Consulting-Budget erforderlich
• SaaS-fokussiert: Prüft die tatsächlich genutzten Dienste
• Faktenbasiert: Wertet öffentlich zugängliche technische Indikatoren aus
• Kontinuierlich: Monitoring statt Momentaufnahme

Was der Souveränitäts-Check liefert

Nach Durchführung des DASC Souveränitäts-Checks erhalten Unternehmen:

1. Souveränitäts-Score: Gesamtbewertung entlang der fünf Dimensionen
2. Abhängigkeits-Map: Visualisierung aller Cloud-Abhängigkeiten und deren Jurisdiktion
3. Risiko-Identifikation: Dienste mit hohem Souveränitätsrisiko, priorisiert nach Kritikalität
4. Handlungsempfehlungen: Konkrete Schritte zur Verbesserung, einschliesslich europäischer Alternativen
5. Compliance-Relevanz: Einordnung der Ergebnisse in den Kontext von DSGVO, NIS2 und EU Data Act

Technische Grundlagen

Der DASC Souveränitäts-Check nutzt ausschliesslich öffentlich zugängliche Informationen. Es werden keine Zugangsdaten benötigt und keine internen Systeme gescannt. Die Prüfung basiert auf:

• DNS-Abfragen: Analyse von A-, CNAME-, MX- und TXT-Records
• HTTP-Analyse: Auswertung von Response-Headern und Redirects
• TLS-Inspektion: Zertifikatskette, Aussteller, Gültigkeit
• Well-Known-URIs: Standardisierte Endpunkte nach IANA-Registry (RFC 8615)
• WHOIS/RDAP: Registrierungsinformationen und Organisationszuordnung

Alle Prüfungen erfolgen nicht-invasiv und entsprechen gängigen Security-Scanning-Praktiken.

Für wen ist der Souveränitäts-Check gedacht?

Der DASC Souveränitäts-Check richtet sich an:

• KMU: Die ihren Cloud-Stack erstmals auf Souveränität prüfen möchten
• IT-Verantwortliche: Die eine faktenbasierte Entscheidungsgrundlage für Cloud-Strategie benötigen
• Datenschutzbeauftragte: Die technische Nachweise für ihr Transfer Impact Assessment suchen
• NIS2-Betroffene: Die ihre Lieferketten-Abhängigkeiten dokumentieren müssen

Fazit

Digitale Souveränität muss kein teures Consulting-Projekt sein. Mit automatisierten Prüftools lässt sich der eigene Cloud-Stack schnell und faktenbasiert bewerten. Der erste Schritt ist immer der gleiche: Wissen, wo man steht.

Prüfen Sie jetzt Ihren Stack: Starten Sie den kostenlosen DASC Souveränitäts-Check und erfahren Sie in wenigen Minuten, wie souverän Ihr Technology-Stack wirklich ist.