• Startseite
  • Blog
  • Hyperscaler-Qualifizierung – Regulatorische Anforderungen und Best Practices aus aktuellen Projekten

Hyperscaler-Qualifizierung – Regulatorische Anforderungen und Best Practices aus aktuellen Projekten

8. Juli 2025

Cloud Computing ist in die GxP-regulierte Industrie gekommen, um zu bleiben“ – das merken wir nicht erst seit gestern, sondern erleben es in zahlreichen Projekten unserer Kunden. Doch mit dem Schritt in die Cloud steigen auch die regulatorischen Anforderungen – insbesondere was die Qualifizierung sogenannter Hyperscaler wie Microsoft (MS) Azure, Amazon Web Services (AWS) oder Google Cloud Platform betrifft. Doch wie geht man das Thema richtig an? Welche regulatorischen Anforderungen gibt es? Und wie lässt sich ein standardisierter und zugleich praxistauglicher Qualifizierungsprozess aufbauen?

In unserer DHC-Websession am 6. Juni 2025 gaben wir praxisnahe Antworten. Nachfolgend fassen wir die wichtigsten Punkte zusammen.

Vom Hype zur Verantwortung: Warum Hyperscaler qualifizieren?

Viele Unternehmen setzen heute auf Cloud – sei es Software-as-a-Service (SaaS),  Infrastructure-as-a-Service (IaaS) oder Platform-as-a-Service (PaaS). Bei IaaS und PaaS stellt der Cloud-Anbieter die technische Infrastruktur zur Verfügung – also Rechenzentren, Speicher, Netzwerke und Virtualisierungsdienste. Unternehmen hingegen sind verantwortlich für die überlagerten Anwendungen und Datenverarbeitung. Je nach Service-Modell verschieben sich die Verantwortlichkeiten zwischen Dienstleister und reguliertem Unternehmen.

In Fokus unseres Webinars stand die Qualifizierung des Dienstleisters, also die Supplier Qualification (Lieferantenqualifizierung) großer Cloud-Plattform-Anbieter wie MS Azure, AWS oder SAP BTP.

 

Live-Umfrage: Cloud-Nutzung im GxP-Kontext

Ein spannender Moment gleich zu Beginn der Session war die Umfrage zur aktuellen Nutzung von Hyperscalern im GxP-Umfeld:

  • 33 % nutzen Microsoft Azure
  • 17 % Amazon Web Services
  • 33 % noch keine Nutzung
  • 17 % andere Anbieter

Diese Zahlen zeigen: Viele Organisationen stehen noch ganz am Anfang und benötigen Orientierung – sowohl technisch als auch regulatorisch.

Regulatorische Anforderungen: Was sagt die Compliance?

Verschiedene Leitlinien (u. a. EU-GMP, Annex 11, MHRA GxP Guide, OECD und ZLG) fordern vor dem Outsourcing:

  • Bewertung von Kompetenz, Eignung und Rechtmäßigkeit des Dienstleisters
  • Formelle Verträge mit klar definierten Verantwortlichkeiten
  • Dokumentation und Nachvollziehbarkeit aller Prüfaktivitäten
  • SOPs, die die Methodik zur Qualifizierung von Cloud-Anbietern detailliert beschreiben.

Risikobewertung: Wie viel Prüfung ist notwendig?

Die Risikobewertung der ausgelagerten Aktivität und des Lieferanten sind entscheidend für die Tiefe der Lieferantenqualifizierung. Typische Bewertungskriterien sind:

  • Art des ausgelagerten Services (z. B. GxP-Aktivitäten)
  • Nähe zum finalen Produkt
  • Risiko der ausgelagerten Aktivität, denn Infrastruktur vs. Software-as-a-Service – beeinflusst die Bewertungstiefe maßgeblich.

Beispiel: Bei SAP Digital Manufacturing (Public Cloud MES) werden kritische Produktionsprozesse ausgelagert. Das birgt ein höheres Risiko als die Nutzung ausgelagerter IT-Infrastruktur.

  • Vertrauen & Erfahrungen mit dem Anbieter
  • Größe des Unternehmens, denn größere Unternehmen verfügen oft über etablierte Prozesse und entsprechende Ressourcen, um Risiken effektiv zu managen.
  • Marktstellung & Verbreitungsgrad

Zweite Live-Umfrage: Wie weit ist Ihre Organisation mit der Qualifizierung von Hyperscalern?

Interessant war auch die Ergebnisse unserer zweiten Umfrage, bei der wir die Teilnehmenden der Websession fragten, wie weit sie bereits auf eine Qualifizierung von Hyperscalern vorbereitet sind:

  • 50 % haben erste Überlegungen
  • 25 % planen
  • 13 % sind in der Umsetzung
  • 13 % abgeschlossen

Vorgehensweise: So qualifizieren Sie einen Hyperscaler in der Praxis

In unseren Projekten sehen wir oft: Die Lieferantenbewertungen wurden bisher nicht auf Cloud-Anbieter erweitert“, so Pauly. Vor allem wird die zur Verfügung stehende Dokumentation des Lieferanten nicht bewertet und zur Mitigation des Lieferantenrisikos in der frühen Phase der Lieferantenqualifizierung verwendet. Das sollte bei zukünftigen Lieferantenbewertungen berücksichtigt werden. Diese angepasste Vorgehensweise sollte in der SOP zur Lieferantenqualifizierung berücksichtigt sein. Hier ist i.d.R. entsprechende Nacharbeit nötig.

Die zukünftige Lieferantenbewertung (v.a. von großen Cloud-Service-Providern) sollte die folgende Vorgehensweise berücksichtigen:

  • Risikobewertung der ausgelagerten Aktivität und des Lieferanten
  • Bewertung vorhandener Dokumentationen zur Mitigation des Lieferantenrisikos
    • Bewertung der Dokumentation anhand risikobasierter Prüfpunkte / Checkliste (z.B. Cloud Control Matrix)
    • Feststellung der Lücken
  • Bewertung der Lücken
    • Verbleibendes Lieferantenrisiko
  • Maßnahmen abhängig vom verbleibenden Lieferantenrisiko
    • Keine Lücken / Akzeptanz Restrisiko:   Abschlussbericht
    • Mittleres Risiko:                                             Lieferantenfragebogen
    • Hohes Risiko:                                                   Lieferantenaudit
  • Abschlussbericht

Gerade bei Hyperscalern liegt umfangreiche Dokumentation (Compliance Offerings) vor: SOC 2, ISO 27001, C5, Whitepaper etc. Besonders relevant: SOC 2 Type II – prüft auch tatsächliche Durchführung von Aktivitäten des Cloud-Anbieters. Einzelne Prüfpunkte, die nicht in SOC 2 abgedeckt sind, können auch durch zusätzliche Zertifikate oder anbieter-spezifische Whitepaper abgedeckt werden.

 

Die Cloud Control Matrix – Herzstück der Prüfung

Ein besonders wichtiges Werkzeug ist die GxP Cloud Control Matrix. Sie basiert u. a. auf:

  • Cloud Controls Matrix der Cloud Security Alliance (CSA)
  • ISO 27001 und BSI C5-Katalog
  • Erweitert um GxP-spezifische Anforderungen (z. B. QMS, Dokumentation)

„Wir prüfen dabei nicht nur das Vorhandensein von Zertifikaten, sondern ob die tatsächliche Durchführung und Nachvollziehbarkeit gegeben ist – beispielsweise bei SOC 2 Type II“, erklärt Thomas Pauly, Referent der Websession und Practice Manager «IT Compliance» der DHC.

Die Matrix ist unterteilt in Prüfbereiche (Domains) und die Relevanz von Prüfpunkten ist je nach Service-Modell (IaaS, PaaS, SaaS) festgelegt.

Nach der Qualifikation ist vor dem Monitoring

Mit dem Qualifizierungsbericht endet nicht die Verantwortung. Vielmehr beginnt der Betrieb mit folgenden Anforderungen:

  • SOPs für qualifizierten Betrieb
  • Kontinuierliches Monitoring und SLA-Auswertung
  • Regelmäßige Überprüfung der Auditberichte (z. B. jährlich SOC 2)

Nur so lässt sich eine dauerhafte GxP-Compliance gewährleisten.

Fazit: Hyperscaler-Qualifikation braucht Methode, Tools und Erfahrung

Die Qualifizierung von Hyperscalern ist kein einmaliges Audit – sondern ein strukturierter, risikobasierter Prozess, der konsequent dokumentiert und regelmäßig überprüft werden muss.

DHC bietet dafür strukturierte Verfahren, erprobte Checklisten und tiefes Compliance-Know-how. Ob Microsoft Azure, AWS oder SAP BTP – wir begleiten unsere Kunden von der Bewertung bis zur laufenden Compliance.

Wo steht Ihr Unternehmen beim Thema Hyperscaler-Qualifizierung?

Fordern Sie gerne den Podcast zur Websession an oder nutzen Sie unser kostenloses 1:1-Expertengespräch, um Ihre individuelle Situation zu analysieren.
Schreiben Sie uns bitte eine kurze Mail mit Ihren Fragen oder Anliegen. Herzlichen Dank für Ihr Interesse!

    Name*:

    Unternehmen*:

    E-Mail-Adresse*:

    Tel.-Nr.:

    Wie sind Sie auf uns aufmerksam geworden?*

    Ich bitte um:

    Bitte auswählen:

    RückrufOnline SystemdemoPräsentationstermin / Workshop

    Thema:

    Wie sind Sie auf uns aufmerksam geworden?*

    Bitte senden Sie mir folgende Informationen zu:

    Bitte auswählen:

    DHC Workshop: Umsetzung der UDI AnforderungenProjektbericht: UDI Umsetzung bei Zimmer BiometProjektbericht: UDI Umsetzung bei Cendres+MétauxDHC Fachartikel zu UDI in der Medizin und Technik

    Bitte senden Sie mir die Zugangsdaten zu folgendem Webinar-Podcasts zu:

    Bitte auswählen:

    UDI mit SAP gemäss FDA und EUDAMED

    Sonstige Leistungen/Fragen/Anmerkungen:

    Datenschutzrechtliche Einwilligungserklärung*

    Hiermit willige ich ein, dass mir die DHC Einladungen zu ihren Websessionsn / Veranstaltungen sowie für mich relevante Informationen zu den DHC Beratungsthemen per E-Mail senden darf.

    * Pflichtangaben

    Kostenfreie Websession

    Unsere Websessions sind ein kostenloser Service für Kunden und Interessenten der DHC.

    Mehr erfahren
    Newsletter

    Erhalten Sie über unseren Newsletter regelmässig
    Informationen zu unseren Lösungen und Produkten.
    Jetzt den Newsletter abonnieren

    Vom Newsletter abmelden

    Kompetenzen
    Branchen
    DHC AG
    DHC Consulting Schweiz
    Trafostrasse 1
    CH - 8180 Bülach
    Telefon: +41 44 500 888 7
    DHC DR. HERTERICH & CONSULTANTS GMBH
    DHC Consulting Deutschland
    Landwehrplatz 6-7
    D - 66111 Saarbrücken
    Telefon: +49 681 93 666 0
    Fax: +49 681 93 666 33