Blog
Cloud-Begriffe im Klartext
Public, Private und Sovereign Cloud richtig einordnen
Public, Private und Sovereign Cloud werden oft vermischt – dabei beschreiben sie unterschiedliche Dimensionen moderner IT-Architekturen. Wer sie sauber trennt, schafft die Grundlage für fundierte Entscheidungen und den Weg zu einer sogenannten „Smart Cloud“.
„Private Cloud ist sicherer als Public Cloud.“
„Für regulierte Daten brauchen wir eine Sovereign Cloud.“
Solche Aussagen hören wir in Projekten regelmässig – und sie sind oft nur teilweise korrekt. Der Grund dafür ist selten mangelndes Fachwissen, sondern vielmehr ein uneinheitliches Verständnis der zugrunde liegenden Begriffe.
Gerade im Kontext von Cloud-Sourcing und regulierten Branchen führt das schnell zu Missverständnissen – und im schlimmsten Fall zu falschen Architekturentscheidungen. Denn wer mit unterschiedlichen Definitionen arbeitet, kommt zwangsläufig zu unterschiedlichen Schlussfolgerungen.
In diesem Blog schaffen wir deshalb eine gemeinsame Grundlage und grenzen die wichtigsten Cloud-Modelle systematisch voneinander ab.
Warum klare Begriffe entscheidend sind
Cloud ist heute längst kein Trend mehr, sondern ein zentraler Bestandteil moderner IT-Strategien. Die entscheidende Frage ist nicht mehr, ob Unternehmen Cloud nutzen, sondern wie und wofür.
Umso wichtiger ist ein klares Begriffsverständnis. In der Praxis zeigt sich jedoch häufig, dass technische Konzepte, Marketingbegriffe und regulatorische Anforderungen miteinander vermischt werden. Das führt dazu, dass scheinbar vergleichbare Lösungen in Wirklichkeit ganz unterschiedliche Eigenschaften haben. Oder anders gesagt: Wer die Begriffe nicht sauber trennt, vergleicht Äpfel mit Birnen.
Was ist überhaupt „Cloud“?
Bevor wir zwischen Public, Private und Sovereign Cloud unterscheiden, lohnt sich ein Schritt zurück.
Eine der am häufigsten verwendeten Referenzen ist die Definition des National Institute of Standards and Technology (NIST). Diese beschreibt Cloud Computing als die Bereitstellung von IT-Ressourcen über ein Netzwerk, die flexibel, skalierbar und nutzungsbasiert bezogen werden können.
Entscheidend sind dabei fünf zentrale Eigenschaften:
- On-Demand Self-Service
Ressourcen können ohne manuelle Interaktion bereitgestellt werden - Broad Network Access
Zugriff erfolgt über standardisierte Netzwerke - Resource Pooling
Ressourcen werden gebündelt und effizient genutzt - Rapid Elasticity
Kapazitäten können schnell skaliert werden - Measured Service
Nutzung wird gemessen und verursachergerecht abgerechnet
Diese Eigenschaften sind deshalb so wichtig, weil sie eine klare Abgrenzung ermöglichen. Fehlen sie ganz oder teilweise, handelt es sich in vielen Fällen nicht um Cloud im eigentlichen Sinne, sondern um klassisches Hosting oder ein modernisiertes Rechenzentrum.
Diese Unterscheidung ist zentral, um insbesondere den Begriff der Private Cloud korrekt einordnen zu können.
Public Cloud
Die Public Cloud ist heute das am weitesten verbreitete Cloud-Modell. Dabei werden IT-Ressourcen von einem Drittanbieter standardisiert und in einer hochskalierbaren Umgebung bereitgestellt, die von mehreren Kunden gleichzeitig genutzt wird.
Für Unternehmen bedeutet das in erster Linie eines: maximale Flexibilität. Kapazitäten lassen sich dynamisch anpassen, neue Services können schnell eingeführt werden und die Abrechnung erfolgt in der Regel nutzungsbasiert.
Gleichzeitig verschiebt sich ein Teil der Verantwortung auf den Anbieter. Dieses Zusammenspiel wird häufig als „Shared Responsibility Model“ beschrieben. Während der Provider die zugrunde liegende Infrastruktur betreibt, bleibt der Kunde weiterhin für Aspekte wie Konfiguration, Zugriffskontrolle oder Datenklassifikation verantwortlich.
Private Cloud
Die Private Cloud wird in der Praxis häufig missverstanden – nicht zuletzt, weil der Begriff sehr unterschiedlich verwendet wird.
Grundsätzlich beschreibt er eine Umgebung, die exklusiv für eine Organisation betrieben wird und Cloud-ähnliche Eigenschaften aufweist. Im Gegensatz zur Public Cloud handelt es sich also um eine Single-Tenant-Architektur auf dedizierter Hardware mit höherem Grad an Kontrolle.
In diesem Kontext ist es wichtig, den Begriff „Provider“ richtig einzuordnen. Gemeint ist damit die Organisation, welche die Private Cloud betreibt und die entsprechenden Services bereitstellt. Dies kann entweder ein externer Dienstleister sein oder – im Falle einer selbst betriebenen Umgebung – die interne IT-Organisation. Technologie- oder Hardware-Anbieter stellen dabei lediglich die Grundlage dar, übernehmen jedoch nicht zwingend die Rolle des Providers.
Der entscheidende Punkt ist jedoch folgender:
Eine Private Cloud ist nur dann eine „Cloud“, wenn sie die zentralen Cloud-Eigenschaften tatsächlich erfüllt.
In vielen Fällen ist das nicht gegeben. Stattdessen handelt es sich um virtualisierte Rechenzentren, die zwar modern wirken, aber weder echte Elastizität noch nutzungsbasierte Abrechnung bieten. Die Bezeichnung „Private Cloud“ ist hier oft eher ein Label als eine treffende technische Beschreibung.
Sovereign Cloud
Während Public und Private Cloud vergleichsweise klar definiert sind, sorgt der Begriff „Sovereign Cloud“ aktuell für besonders viel Interpretationsspielraum.
Im Kern geht es dabei nicht um ein eigenständiges Cloud-Modell, sondern um zusätzliche Anforderungen. Eine Sovereign Cloud beschreibt also keine neue Art von Infrastruktur, sondern eine Cloud-Umgebung, die um spezifische Kontrollmechanismen ergänzt wird. Sovereign Cloud ist damit keine Alternative zu Public oder Private Cloud, sondern eine zusätzliche Ebene, die auf beiden Modellen aufbauen kann.
Ziel dieser Erweiterung ist es, Anforderungen an Datenhoheit, Compliance und rechtliche Rahmenbedingungen gezielt zu adressieren.
Um den Begriff besser greifbar zu machen, lohnt sich ein Blick auf die zentralen Dimensionen, aus denen sich Cloud-Souveränität zusammensetzt.
Ein erster wichtiger Aspekt ist die Datenresidenz. Sie beschreibt, wo Daten physisch gespeichert und verarbeitet werden. In vielen Szenarien ist es erforderlich, dass Daten innerhalb bestimmter geografischer Grenzen bleiben, etwa in der Schweiz oder innerhalb der EU. Auch Themen wie Replikation oder Backup-Standorte spielen hier eine Rolle. Gleichzeitig zeigt die Praxis, dass Datenresidenz allein noch keine vollständige Souveränität garantiert – sie ist lediglich eine notwendige Grundlage.
Eng damit verbunden ist die Zugriffskontrolle. Sie beantwortet die Frage, wer tatsächlich Zugriff auf Daten und Systeme hat – sowohl technisch als auch organisatorisch. Hier geht es unter anderem um den Einsatz von Verschlüsselung, die Verwaltung von Schlüsseln, den Ausschluss von Provider-Zugriffen sowie um die lückenlose Nachvollziehbarkeit aller Aktivitäten. Entscheidend ist dabei, dass nicht nur unbefugter Zugriff verhindert wird, sondern auch berechtigter Zugriff klar kontrolliert und dokumentiert ist.
Ein oft unterschätzter Faktor ist das Betriebsmodell. Es beschreibt, wer die Cloud-Umgebung betreibt und unter welchen Rahmenbedingungen dies geschieht. In souveränen Setups wird häufig darauf geachtet, dass Betrieb und Support durch klar definierte, geografisch eingeschränkte Organisationseinheiten erfolgen. Auch die Trennung von Rollen und Verantwortlichkeiten spielt eine wichtige Rolle. Der Betrieb ist damit nicht nur eine technische, sondern auch eine organisatorische Fragestellung.
Schliesslich bildet die Rechtshoheit die vierte Dimension. Sie bezieht sich darauf, welchem rechtlichen Rahmen die Daten und Systeme unterliegen. Dabei geht es insbesondere um Fragen der Jurisdiktion, um mögliche Zugriffsrechte von Behörden sowie um die rechtliche Einbettung des Anbieters. Diese Dimension ist oft die komplexeste, da sie sich nicht allein durch technische Massnahmen steuern lässt.
Entscheidend ist dabei nicht eine einzelne Dimension, sondern ihr Zusammenspiel. Echte Datensouveränität entsteht erst dann, wenn alle vier Dimensionen gemeinsam berücksichtigt werden.
Ein Beispiel verdeutlicht dies: Auch wenn Daten ausschliesslich in der Schweiz gespeichert werden, kann die Souveränität eingeschränkt sein, wenn gleichzeitig unkontrollierte Zugriffe möglich sind oder der Anbieter ausländischem Recht unterliegt. In solchen Fällen entsteht nur eine scheinbare, aber keine vollständige Souveränität.
Die wichtigste Unterscheidung: Modell vs. Anforderungen
Ein zentraler Punkt wird in vielen Diskussionen übersehen. Public und Private Cloud beschreiben, wie Infrastruktur bereitgestellt wird. Sovereign Cloud hingegen beschreibt, unter welchen Bedingungen dies geschieht.
Während es sich bei Public und Private Cloud um Deployment-Modelle handelt, ist Sovereign Cloud eine zusätzliche Anforderungsebene. Diese Unterscheidung ist entscheidend, um fundierte Entscheidungen treffen zu können.
Der Weg zur Smart Cloud
Public, Private und Sovereign Cloud sind keine konkurrierenden Konzepte, sondern beschreiben unterschiedliche Dimensionen moderner IT-Architekturen. Die Frage ist nicht „welche Cloud“, sondern welche Kombination von Modellen und Kontrollen die Anforderungen einer Organisation am besten erfüllt.
In diesem Kontext hat sich in den letzten Jahren auch der Begriff „Cloud Smart“ etabliert, unter anderem geprägt durch Gartner. Er beschreibt den Übergang von pauschalen Cloud-Strategien hin zu differenzierten, anwendungs- und kontextabhängigen Entscheidungen.
Daran anknüpfend verwenden wir den Begriff Smart Cloud, um genau diesen Ansatz zu beschreiben: die bewusste Kombination verschiedener Deployment-Modelle und Kontrollmechanismen, abgestimmt auf die spezifischen Anforderungen einer Organisation.
Eine Smart Cloud kann beispielsweise Public-Cloud-Services mit gezielten Sovereignty-Kontrollen kombinieren oder Private-Cloud-Komponenten dort einsetzen, wo sie sinnvoll sind. Somit entsteht eine Smart Cloud nicht durch die Wahl eines einzelnen Modells, sondern durch das gezielte Zusammenspiel von Technologien, Betriebsmodellen und Kontrollmechanismen – abgestimmt auf die spezifischen Anforderungen einer Organisation.
