Glossar.

Aggregationsprinzip

Das Gesamt-Level eines Dienstes ist das Minimum aller vier Domänen-Level.

API-Transparenz

Vollständige, versionierte, öffentlich dokumentierte API ohne ungenehmigte Breaking Changes.

BSI C5

Cloud Computing Compliance Criteria Catalogue des Bundesamts für Sicherheit in der Informationstechnik.

BYOK

Bring Your Own Key — der Kunde erzeugt und verwaltet die kryptografischen Schlüssel selbst.

CLOUD Act

US-Gesetz, das US-Anbieter zur Herausgabe von Daten verpflichtet — unabhängig vom Speicherort.

Confidential Computing

Verarbeitung in hardwarebasiert isolierten Enklaven (TEE) — der Hoster sieht den Klartext nicht.

CycloneDX

Offenes SBOM-Format der OWASP-Foundation.

DORA

Digital Operational Resilience Act — EU-Verordnung 2022/2554 für den Finanzsektor.

EDSO-Level (L0–L3)

Vierstufiges Level-System pro Bewertungs­domäne.

EDSO-Lite

Vereinfachtes Selbst­auskunfts-Verfahren für KMU und Pilotprojekte.

EMA-Analogie

Strukturelle Anlehnung an die European Medicines Agency.

EUCS

European Cybersecurity Certification Scheme for Cloud Services.

Exit-Kosten

Gesamtkosten einer vollständigen Migration vom aktuellen Anbieter zu einem Alternativ­anbieter.

FISA 702

US-Auslands­geheimdienst­gesetz, das Zwangs­zugriff auf bei US-Anbietern verarbeitete Nicht-US-Daten erlaubt.

HYOK

Hold Your Own Key — der Kunde behält die Schlüssel ausschließlich in eigener Hoheit.

Hyperscaler

Global agierender Cloud-Konzern mit sehr großer Infrastruktur — typischerweise US- oder chinesisch geprägt.

ISO/IEC 17065

Internationaler Standard für Konformitäts­bewertungs­stellen, die Produkte, Prozesse und Dienstleistungen zertifizieren.

ISO/IEC 27001

Internationaler Standard für Informations­sicherheits-Managementsysteme.

Jurisdiktion

Rechtsraum, dem ein Anbieter, ein Konzern und seine Daten konkret unterworfen sind.

MEAT

Most Economically Advantageous Tender — wirtschaftlich günstigstes Angebot.

NIS2

EU-Richtlinie 2022/2555 zur Netz- und Informations­sicherheit.

Open Source Governance

Belastbare Regeln für die Pflege offener Software­komponenten in einem Dienst.

Permalink

Stabile, zitierfähige URL für jede normative Aussage und jedes Dokument.

Provider-Managed Keys

Schlüssel werden vom Anbieter erzeugt und verwaltet.

Quadranten-Prinzip

Beirat zu je 25 % aus Wirtschaft, Staat, Wissenschaft und Zivilgesellschaft.

RISC-V

Offene Befehlssatz­architektur (ISA) für Prozessoren.

SBOM

Software Bill of Materials — maschinenlesbare Stückliste aller Software­komponenten eines Dienstes.

Schrems II

Urteil des EuGH (C-311/18) zur Unzulässigkeit pauschaler Daten­transfers in die USA.

Schutzziel

Normative Vorgabe, welches Mindestlevel pro Domäne ein Sektor erreichen muss.

SOC 2

US-amerikanischer Auditierungs­standard für Dienstleister.

Sovereign Workplace

Souveräner Arbeitsplatz — Office-, Kollaborations- und Identitäts­dienste in souveräner Konstellation.

Sovereignty Washing

Anbieter­aussagen, die Souveränität suggerieren, ohne die strukturellen Voraussetzungen zu erfüllen.

Stack-Analyse

Vollständige Aufstellung aller Software-, Infrastruktur- und Identitäts­schichten eines Dienstes.

Subunternehmerkette

Vollständige Kette aller Subdienstleister eines Anbieters bis in die unterste Ebene.

TISAX

Trusted Information Security Assessment Exchange — Sicherheits­assessment der Automobil­industrie.

UBO (Ultimate Beneficial Owner)

Letztlich wirtschaftlich Berechtigte einer Gesellschaft.

Vendor Lock-in

Strukturelle Bindung an einen Anbieter, die einen Wechsel unwirtschaftlich oder unmöglich macht.