Willkommen zurück am Architektur-Reißbrett! Jahrelang gab es in europäischen Architektur-Boards eine rote Linie, die nicht überschritten wurde: "Unsere Kern-ERP-Daten und HR-Systeme gehen nicht in die Public Cloud." Besonders für den KRITIS-Sektor (Kritische Infrastrukturen), Banken und den öffentlichen Dienst waren der US CLOUD Act und die strengen BSI C5-Kriterien ein massiver Blocker für die S/4HANA-Transformation.
Im Herbst 2025 hat sich das Blatt endgültig gewendet. AWS hat die AWS European Sovereign Cloud hochgefahren, und SAP hat sich als primärer Launch-Partner verpflichtet, seine Enterprise-Workloads (RISE with SAP und BTP) dort zu hosten. Heute sezieren wir, was "Sovereign Cloud" architektonisch wirklich bedeutet – und warum es weit mehr ist als nur ein neues Rechenzentrum in Frankfurt.
Das Problem mit den Standard-Regionen
Bisher liefen deutsche SAP-Systeme bei AWS meist in der Region eu-central-1 (Frankfurt). Die physischen Daten verließen Deutschland zwar nicht, aber das architektonische Problem lag in der Control Plane.
Metadaten (wer loggt sich wann ein, IAM-Rollen, Abrechnungsdaten) wurden global synchronisiert. Zudem konnten Administratoren aus den USA (Follow-the-Sun-Support) im theoretischen Extremfall – etwa durch einen Gerichtsbeschluss (CLOUD Act) – administrativen Zugriff auf die Infrastruktur erlangen.
Für einen Rüstungskonzern oder ein Gesundheitsministerium war dieses Restrisiko bei einem "Lift & Shift" der SAP-Landschaft inakzeptabel.
Deep-Dive: Die Architektur der European Sovereign Cloud
Die AWS European Sovereign Cloud ist kein bloßes logisches Konstrukt, sondern eine physisch und logisch vollständig isolierte Cloud-Infrastruktur.
-
Hardware- und Netzwerk-Isolation: Die Sovereign Cloud teilt sich keine Glasfaserringe, keine Router und keine Rechenzentren mit den regulären AWS-Regionen. Sie ist ein völlig autarkes Netzwerk.
-
Isolierte Control Plane & Metadaten: Dies ist der wichtigste architektonische Baustein. Das AWS Identity and Access Management (IAM), die Abrechnungssysteme (Billing) und das Ressource Management laufen ausschließlich innerhalb Europas. Kein Metadatum verlässt den EU-Raum.
-
Betrieb ausschließlich durch EU-Bürger: Auf OS- und Hypervisor-Ebene (AWS Nitro System) wird garantiert, dass der 24/7-Betrieb und Support ausschließlich von Mitarbeitern durchgeführt wird, die ihren Wohnsitz in der EU haben und EU-Bürger sind.
Was bedeutet das für RISE with SAP?
SAP nutzt diese isolierte Infrastruktur, um GROW with SAP und RISE with SAP (die S/4HANA Private Cloud Edition) für hochregulierte Kunden anzubieten.
Für den Basis-Administrator ändert sich an den Werkzeugen (wie SAP Landscape Management oder SWPM) nichts. Aber die Compliance-Abteilung kann nun auf Code- und Infrastrukturebene nachweisen, dass das Shared-Responsibility-Modell zwischen SAP und AWS die europäische Datensouveränität (Schrems II, DSGVO) zu 100 % wahrt.
SAPs eigene Cloud-native Dienste – wie die SAP BTP, der SAP Generative AI Hub und SAP Datasphere – werden nativ in diesen Sovereign-Rechenzentren aufgebaut, sodass selbst KI-Prompts (die RAG-Architekturen nutzen) den streng regulierten EU-Raum nicht verlassen.
📢 SAP & AWS ARCHITEKTUR-NEWS-TICKER (Stand: September 2025) ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 🔹 Graviton4 in Sovereign Cloud: AWS bestätigt, dass die neuesten ARM-basierten Graviton4-Prozessoren direkt zum Start in der Sovereign Cloud für SAP-Workloads verfügbar sind. Maximale Datensicherheit trifft somit auf den niedrigsten Energieverbrauch (ESG). 🔹 VPC Peering Restriktionen: Architekten aufgepasst! Ein direktes VPC-Peering zwischen einer regulären AWS-Region (z.B.
eu-central-1) und der neuen Sovereign Cloud ist architektonisch (by design) nicht möglich, um den "Air-Gap" zu garantieren. Schnittstellen müssen sauber über freigegebene, zertifizierte Transit-Gateways oder hochsichere APIs modelliert werden.
Fazit für Enterprise Architekten
Der Start der AWS European Sovereign Cloud im Jahr 2025 reißt die letzte Bastion der On-Premise-Verfechter ein. Das Argument "Wir können wegen der Datensicherheit nicht in die Public Cloud" ist ab sofort technisch und juristisch entkräftet.
Für uns Enterprise Architects bedeutet dies: Die Migration von Behörden, Banken und dem Verteidigungssektor auf S/4HANA nimmt jetzt exponentiell an Fahrt auf. Die Herausforderung der nächsten Jahre liegt darin, hybride Architekturen so zu designen, dass unkritische Workloads in der günstigeren, globalen Cloud laufen, während die S/4HANA-Kronjuwelen und der AI-Core strikt in der Sovereign Cloud orchestriert werden. Wer diese Architektur-Grenzen (Air-Gapping, IAM-Isolation) versteht, gehört zur absoluten Elite der SAP-Cloud-Architekten.