{"id":16845,"date":"2025-07-08T12:48:54","date_gmt":"2025-07-08T10:48:54","guid":{"rendered":"https:\/\/www.dhc-consulting.com\/ch\/?p=16845"},"modified":"2025-07-25T13:01:28","modified_gmt":"2025-07-25T11:01:28","slug":"hyperscaler-qualifizierung-regulatorische-anforderungen-und-best-practices-aus-aktuellen-projekten","status":"publish","type":"post","link":"https:\/\/www.dhc-consulting.com\/ch\/blog\/hyperscaler-qualifizierung-regulatorische-anforderungen-und-best-practices-aus-aktuellen-projekten\/","title":{"rendered":"Hyperscaler-Qualifizierung \u2013 Regulatorische Anforderungen und Best Practices aus aktuellen Projekten"},"content":{"rendered":"

Cloud Computing ist in die GxP-regulierte Industrie gekommen, um zu bleiben\u201c \u2013 das merken wir nicht erst seit gestern, sondern erleben es in zahlreichen Projekten unserer Kunden. <\/strong>Doch mit dem Schritt in die Cloud steigen auch die regulatorischen Anforderungen \u2013 insbesondere was die Qualifizierung sogenannter Hyperscaler wie Microsoft (MS) Azure, Amazon Web Services (AWS) oder Google Cloud Platform betrifft.<\/strong> Doch wie geht man das Thema richtig an? Welche regulatorischen Anforderungen gibt es? Und wie l\u00e4sst sich ein standardisierter und zugleich praxistauglicher Qualifizierungsprozess aufbauen?<\/p>\n

In unserer DHC-Websession am 6. Juni 2025 gaben wir praxisnahe Antworten. Nachfolgend fassen wir die wichtigsten Punkte zusammen.<\/p>\n

Vom Hype zur Verantwortung: Warum Hyperscaler qualifizieren?<\/strong><\/h3>\n

Viele Unternehmen setzen heute auf Cloud \u2013 sei es Software-as-a-Service (SaaS), \u00a0Infrastructure-as-a-Service (IaaS) <\/strong>oder Platform-as-a-Service (PaaS)<\/strong>. Bei IaaS und PaaS stellt der Cloud-Anbieter die technische Infrastruktur zur Verf\u00fcgung \u2013 also Rechenzentren, Speicher, Netzwerke und Virtualisierungsdienste. Unternehmen hingegen sind verantwortlich f\u00fcr die \u00fcberlagerten Anwendungen und Datenverarbeitung. Je nach Service-Modell verschieben sich die Verantwortlichkeiten zwischen Dienstleister und reguliertem Unternehmen.<\/p>\n

In Fokus unseres Webinars stand die Qualifizierung des Dienstleisters, also die Supplier Qualification <\/strong>(Lieferantenqualifizierung) gro\u00dfer Cloud-Plattform-Anbieter wie MS Azure, AWS oder SAP BTP.<\/p>\n

\"\"<\/p>\n

 <\/p>\n

Live-Umfrage: Cloud-Nutzung im GxP-Kontext<\/strong><\/h3>\n

Ein spannender Moment gleich zu Beginn der Session war die Umfrage zur aktuellen Nutzung von Hyperscalern im GxP-Umfeld:<\/p>\n

    \n
  • 33\u202f% nutzen Microsoft Azure<\/strong><\/li>\n
  • 17\u202f% Amazon Web Services<\/strong><\/li>\n
  • 33\u202f% noch keine Nutzung<\/strong><\/li>\n
  • 17\u202f% andere Anbieter<\/strong><\/li>\n<\/ul>\n

    Diese Zahlen zeigen: Viele Organisationen stehen noch ganz am Anfang und ben\u00f6tigen Orientierung \u2013 sowohl technisch als auch regulatorisch.<\/p>\n

    Regulatorische Anforderungen: Was sagt die Compliance?<\/strong><\/h3>\n

    Verschiedene Leitlinien (u.\u202fa. EU-GMP, Annex 11, MHRA GxP Guide, OECD und ZLG) fordern vor dem Outsourcing:<\/p>\n

      \n
    • Bewertung von Kompetenz, Eignung und Rechtm\u00e4\u00dfigkeit des Dienstleisters<\/li>\n
    • Formelle Vertr\u00e4ge mit klar definierten Verantwortlichkeiten<\/li>\n
    • Dokumentation und Nachvollziehbarkeit aller Pr\u00fcfaktivit\u00e4ten<\/li>\n
    • SOPs, die die Methodik zur Qualifizierung von Cloud-Anbietern detailliert beschreiben.<\/li>\n<\/ul>\n

      Risikobewertung: Wie viel Pr\u00fcfung ist notwendig?<\/strong><\/h3>\n

      Die Risikobewertung der ausgelagerten Aktivit\u00e4t und des Lieferanten sind entscheidend f\u00fcr die Tiefe der Lieferantenqualifizierung. Typische Bewertungskriterien sind:<\/p>\n

        \n
      • Art des ausgelagerten Services<\/strong> (z.\u202fB. GxP-Aktivit\u00e4ten)<\/li>\n
      • N\u00e4he zum finalen Produkt<\/strong><\/li>\n
      • Risiko der ausgelagerten Aktivit\u00e4t, <\/strong>denn Infrastruktur vs. Software-as-a-Service \u2013 beeinflusst die Bewertungstiefe ma\u00dfgeblich.<\/li>\n<\/ul>\n

        Beispiel: Bei SAP Digital Manufacturing (Public Cloud MES) werden kritische Produktionsprozesse ausgelagert. Das birgt ein h\u00f6heres Risiko als die Nutzung ausgelagerter IT-Infrastruktur.<\/p>\n

          \n
        • Vertrauen & Erfahrungen mit dem Anbieter<\/strong><\/li>\n
        • Gr\u00f6\u00dfe des Unternehmens, <\/strong>denn gr\u00f6\u00dfere Unternehmen verf\u00fcgen oft \u00fcber etablierte Prozesse und entsprechende Ressourcen, um Risiken effektiv zu managen.<\/li>\n
        • Marktstellung & Verbreitungsgrad<\/strong><\/li>\n<\/ul>\n

          Zweite Live-Umfrage: Wie weit ist Ihre Organisation mit der Qualifizierung von Hyperscalern?<\/strong><\/h3>\n

          Interessant war auch die Ergebnisse unserer zweiten Umfrage, bei der wir die Teilnehmenden der Websession fragten, wie weit sie bereits auf eine Qualifizierung von Hyperscalern vorbereitet sind:<\/p>\n

            \n
          • 50\u202f% haben erste \u00dcberlegungen<\/strong><\/li>\n
          • 25\u202f% planen<\/strong><\/li>\n
          • 13\u202f% sind in der Umsetzung<\/strong><\/li>\n
          • 13\u202f% abgeschlossen<\/strong><\/li>\n<\/ul>\n

            Vorgehensweise: So qualifizieren Sie einen Hyperscaler in der Praxis<\/strong><\/h3>\n

            In unseren Projekten sehen wir oft: Die Lieferantenbewertungen wurden bisher nicht auf Cloud-Anbieter erweitert\u201c, so Pauly. Vor allem wird die zur Verf\u00fcgung stehende Dokumentation des Lieferanten nicht bewertet und zur Mitigation des Lieferantenrisikos in der fr\u00fchen Phase der Lieferantenqualifizierung verwendet. Das sollte bei zuk\u00fcnftigen Lieferantenbewertungen ber\u00fccksichtigt werden. Diese angepasste Vorgehensweise sollte in der SOP zur Lieferantenqualifizierung ber\u00fccksichtigt sein. Hier ist i.d.R. entsprechende Nacharbeit n\u00f6tig.<\/p>\n

            Die zuk\u00fcnftige Lieferantenbewertung (v.a. von gro\u00dfen Cloud-Service-Providern) sollte die folgende Vorgehensweise ber\u00fccksichtigen:<\/p>\n

              \n
            • Risikobewertung der ausgelagerten Aktivit\u00e4t und des Lieferanten<\/strong><\/li>\n
            • Bewertung vorhandener Dokumentationen<\/strong> zur Mitigation des Lieferantenrisikos\n
                \n
              • Bewertung der Dokumentation anhand risikobasierter Pr\u00fcfpunkte \/ Checkliste (z.B. Cloud Control Matrix)<\/li>\n
              • Feststellung der L\u00fccken<\/li>\n<\/ul>\n<\/li>\n
              • Bewertung der L\u00fccken<\/strong>\n
                  \n
                • Verbleibendes Lieferantenrisiko<\/li>\n<\/ul>\n<\/li>\n
                • Ma\u00dfnahmen abh\u00e4ngig vom verbleibenden Lieferantenrisiko<\/strong>\n
                    \n
                  • Keine L\u00fccken \/ Akzeptanz Restrisiko<\/strong>:\u00a0\u00a0 Abschlussbericht<\/li>\n
                  • Mittleres Risiko<\/strong>: \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Lieferantenfragebogen<\/li>\n
                  • Hohes Risiko<\/strong>: \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Lieferantenaudit<\/li>\n<\/ul>\n<\/li>\n
                  • Abschlussbericht<\/strong><\/li>\n<\/ul>\n

                    Gerade bei Hyperscalern liegt umfangreiche Dokumentation (Compliance Offerings) vor: SOC 2, ISO 27001, C5, Whitepaper etc. Besonders relevant: SOC 2 Type II \u2013 pr\u00fcft auch tats\u00e4chliche Durchf\u00fchrung von Aktivit\u00e4ten des Cloud-Anbieters. Einzelne Pr\u00fcfpunkte, die nicht in SOC 2 abgedeckt sind, k\u00f6nnen auch durch zus\u00e4tzliche Zertifikate oder anbieter-spezifische Whitepaper abgedeckt werden.<\/p>\n

                    \"\"<\/p>\n

                     <\/p>\n

                    Die Cloud Control Matrix \u2013 Herzst\u00fcck der Pr\u00fcfung<\/strong><\/h3>\n

                    Ein besonders wichtiges Werkzeug ist die GxP Cloud Control Matrix<\/strong>. Sie basiert u.\u202fa. auf:<\/p>\n

                      \n
                    • Cloud Controls Matrix der Cloud Security Alliance (CSA)<\/li>\n
                    • ISO 27001 und BSI C5-Katalog<\/li>\n
                    • Erweitert um GxP-spezifische Anforderungen (z.\u202fB. QMS, Dokumentation)<\/li>\n<\/ul>\n

                      \u201eWir pr\u00fcfen dabei nicht nur das Vorhandensein von Zertifikaten, sondern ob die tats\u00e4chliche Durchf\u00fchrung<\/em> und Nachvollziehbarkeit gegeben ist \u2013 beispielsweise bei SOC 2 Type II\u201c, erkl\u00e4rt Thomas Pauly, Referent der Websession und Practice Manager «IT Compliance» der DHC.<\/p>\n

                      Die Matrix ist unterteilt in Pr\u00fcfbereiche (Domains) und die Relevanz von Pr\u00fcfpunkten ist je nach Service-Modell (IaaS, PaaS, SaaS) festgelegt.<\/p>\n

                      Nach der Qualifikation ist vor dem Monitoring<\/strong><\/h3>\n

                      Mit dem Qualifizierungsbericht endet nicht die Verantwortung. Vielmehr beginnt der Betrieb mit folgenden Anforderungen:<\/p>\n

                        \n
                      • SOPs f\u00fcr qualifizierten Betrieb<\/strong><\/li>\n
                      • Kontinuierliches Monitoring<\/strong> und SLA-Auswertung<\/li>\n
                      • Regelm\u00e4\u00dfige \u00dcberpr\u00fcfung der Auditberichte (z.\u202fB. j\u00e4hrlich SOC 2)<\/strong><\/li>\n<\/ul>\n

                        Nur so l\u00e4sst sich eine dauerhafte GxP-Compliance<\/strong> gew\u00e4hrleisten.<\/p>\n

                        Fazit: Hyperscaler-Qualifikation braucht Methode, Tools und Erfahrung<\/strong><\/h3>\n

                        Die Qualifizierung von Hyperscalern ist kein einmaliges Audit \u2013 sondern ein strukturierter, risikobasierter Prozess, der konsequent dokumentiert und regelm\u00e4\u00dfig \u00fcberpr\u00fcft werden muss.<\/p>\n

                        DHC bietet daf\u00fcr strukturierte Verfahren, erprobte Checklisten und tiefes Compliance-Know-how<\/strong>. Ob Microsoft Azure, AWS oder SAP BTP \u2013 wir begleiten unsere Kunden von der Bewertung bis zur laufenden Compliance.<\/p>\n

                        Wo steht Ihr Unternehmen beim Thema Hyperscaler-Qualifizierung?<\/strong><\/p>\n

                        Fordern Sie gerne den Podcast zur Websession an oder nutzen Sie unser kostenloses 1:1-Expertengespr\u00e4ch<\/strong>, um Ihre individuelle Situation zu analysieren.
                        \nSchreiben Sie uns bitte eine kurze Mail mit Ihren Fragen oder Anliegen. Herzlichen Dank f\u00fcr Ihr Interesse!<\/p>\n\n

                        \n

                        <\/p>

                          <\/ul><\/div>\n
                          \n
                          \n<\/fieldset>\n

                          Name*:<\/strong><\/span>\n<\/p>\n

                          Unternehmen*: <\/strong><\/span>\n<\/p>\n

                          E-Mail-Adresse*:<\/strong><\/span>\n<\/p>\n

                          Tel.-Nr.:<\/strong><\/span>\n<\/p>\n

                          Wie sind Sie auf uns aufmerksam geworden?*<\/strong>\n<\/p>\n