Hat AWS eine Schweizer Region?

Ja. Seit November 2022 betreibt AWS die Region Europe (Zurich) – Code "eu-central-2" – mit drei Availability Zones im Grossraum Zürich. Sie ist eine vollwertige AWS-Region mit über 200 Services (EC2, S3, RDS, Lambda, EKS, SageMaker, etc.), nicht nur eine Edge-Location. Daten in eu-central-2 bleiben physisch in der Schweiz, AWS-Vertragspartner ist AWS EMEA SARL (Luxemburg). Für besonders sensible Daten ergänzt AWS European Sovereign Cloud (geplant 2025/26) eine zusätzliche Souveränitäts-Schicht. Praxis-Tipp: Beim Anlegen von Services explizit eu-central-2 wählen – die Standard-Region ist oft eu-west-1 (Irland) oder us-east-1 (N. Virginia).

Ist AWS revDSG-konform für Schweizer KMU?

AWS bietet alle Bausteine für revDSG-konforme Nutzung: Region Zürich für Datenresidenz, Standard-Auftragsverarbeitungs-Klauseln (AWS DPA), ISO 27001/27017/27018/27701, SOC 1/2/3, FINMA-Cloud-Modul auf Anfrage. Verantwortlich bleibt das KMU als Datenverantwortlicher (Shared-Responsibility): Klassifizierung, Zugriffsrechte, Verschlüsselung (KMS), Logging (CloudTrail), Backup. Für Cloud-Act-Bedenken: AWS-Hosting in eu-central-2 mit Customer-Managed-Keys (AWS KMS External Key Store oder XKS via HSM Schweiz) reduziert das Risiko. EDÖB-Wegleitung zu Cloud-Diensten und USA-Datenflüssen ist zu prüfen, ADV mit AWS EMEA SARL ist Standard.

AWS oder Azure – was passt besser für ein Schweizer KMU?

Faustregel: Azure passt zu M365-zentrischen KMU (Entra ID, Teams, SharePoint, AD-Synchronisation, Hybrid-Workloads), AWS passt zu Web-/SaaS-/Daten-Workloads ohne starke Microsoft-Bindung. AWS hat den breiteren Service-Katalog (Database-Optionen, Container-/Serverless-Reife, ML-Plattform Bedrock/SageMaker), mehr Open-Source-Ökosystem-Nähe. Azure hat tiefere Microsoft-Integration und FinOps-Vorteile bei Windows/SQL-Server-Bestand. Beide haben Schweizer Regionen mit drei AZs. Für viele KMU ist die Antwort: Azure als IT-Plattform (M365, Identity), AWS für spezifische Workloads (Web-App, Data Lake, ML). Pragmatik schlägt Ideologie – Multi-Cloud bewusst, nicht versehentlich.

Was kostet AWS für ein KMU mit 30 Mitarbeitenden realistisch?

Stark workload-abhängig, aber Hausnummern für eu-central-2: Eine Web-App mit 2x t3.medium EC2, RDS PostgreSQL (db.t3.medium Multi-AZ), 100 GB S3, CloudFront und Route 53 kostet rund CHF 350–500/Monat. Eine Data-Lake-Architektur (S3, Glue, Athena) für moderate Volumen ab CHF 200/Monat. Ein produktives EKS-Cluster mit 3 Nodes ab CHF 600/Monat. Bedrock Claude-Anfragen je nach Volumen CHF 100–2'000/Monat. Wichtig: eu-central-2 ist 5–10% teurer als eu-west-1 (Irland). Sparpotenzial mit Savings Plans (–30%), Reserved Instances, Spot, Auto-Scaling und Storage-Tiering (S3 IA/Glacier) realistisch 25–40%. Ein FinOps-Sprint nach 90 Tagen ist Pflicht.

AWS für KMU Schweiz 2026: Region Zürich, Kosten, revDSG, Roadmap

Kurz vorweg: AWS Region Zürich (eu-central-2) ist seit November 2022 produktiv – drei AZs, 200+ Services, Daten physisch in der Schweiz. Vertragspartner: AWS EMEA SARL (Luxemburg). revDSG-konform mit AWS DPA, ISO 27001/27017/27018/27701, SOC 1/2/3 und FINMA-Cloud-Modul. AWS European Sovereign Cloud kommt 2025/26 als zusätzliche Souveränitäts-Schicht. Kosten ca. 5–10% über eu-west-1 (Irland). Für KMU ohne tiefe M365/AD-Verflechtung oft die bessere Wahl als Azure – breiterer Katalog, mehr OSS-Reife, stärkere Daten- und ML-Plattform.

AWS Region Europe (Zurich) – eu-central-2

Drei Availability Zones

Drei physisch getrennte Rechenzentrums-Cluster im Grossraum Zürich. Multi-AZ-Architekturen für Hochverfügbarkeit (RPO≈0, RTO Minuten) sind nativ möglich – RDS Multi-AZ, EFS, ElastiCache, S3 Standard.

200+ Services verfügbar

Vollwertige Region: EC2, S3, RDS, Aurora, Lambda, EKS, ECS, Fargate, DynamoDB, SQS/SNS, Bedrock, SageMaker, Athena, Glue, Step Functions, EventBridge und mehr.

Datenstandort Schweiz

Daten, die in eu-central-2 erstellt werden, bleiben physisch in der Schweiz. AWS bewegt Daten nicht ohne Auftrag in andere Regionen. Vertragspartner: AWS EMEA SARL (Luxemburg).

Compliance-Dokumentation

ISO 27001/27017/27018/27701, SOC 1/2/3, PCI DSS, FINMA-Cloud-Modul, BCBS 239, EBA-Outsourcing-Guidelines. Reports via AWS Artifact abrufbar.

Netzwerk-Anbindung

Direct Connect Points-of-Presence in Zürich – dedizierte 1/10/100-Gbit-Anbindung möglich, ohne über das öffentliche Internet zu gehen. Alternativ Site-to-Site VPN über IPSec.

European Sovereign Cloud

Geplante separate Cloud-Infrastruktur in EU, EU-Personal, EU-juristische Kontrolle. Für besonders sensible Daten zusätzliche Souveränitäts-Schicht – Schweizer Region eu-central-2 bleibt parallel verfügbar.

Typische AWS-Use-Cases für Schweizer KMU

Webshop / Headless-Commerce

Next.js/Nuxt-Frontend via Amplify oder S3+CloudFront, Backend als Lambda+API Gateway, RDS Aurora PostgreSQL für Bestelldaten, S3 für Produktbilder, OpenSearch für Suche. Kosten ab CHF 300/Monat, skaliert bei Lastspitzen automatisch.

SaaS-Produkt (Multi-Tenant)

Container in ECS Fargate oder EKS, RDS pro Tenant oder Pool, Cognito für Identity, EventBridge für Async-Flows. Tenant-Isolation via IAM-Policies und KMS-Keys. Beobachtbarkeit mit CloudWatch + X-Ray.

Data Lake & Analytics

S3 als Data Lake (Bronze/Silver/Gold), Glue als ETL, Athena/Redshift Serverless für Queries, QuickSight für Dashboards. Geeignet für KMU-Konsolidierung von Bexio-, Salesforce-, Shop- und ERP-Daten.

Backup & Disaster Recovery

On-Prem-Backups in S3 via AWS Storage Gateway, Glacier Deep Archive für Langzeit. DR-Region in eu-west-1 (Irland) oder eu-north-1 (Stockholm) für Cross-Region-Replikation. Kosten Glacier ab USD 1/TB/Monat.

KI / Generative AI mit Bedrock

Anthropic Claude, Meta Llama, Mistral, Amazon Nova via Bedrock – ohne eigenes Modell-Hosting. Knowledge Bases mit S3-Quellen, Agents mit Tool-Use, Guardrails für Compliance. EU-/CH-Region wählbar, kein Training auf Kundendaten.

Public Web Site / Marketing-Plattform

S3 + CloudFront + Route 53 für statische Sites, Lambda@Edge für Dynamik, WAF gegen Bots, Cognito für Kunden-Login. Kosten ab CHF 30–80/Monat, weltweit niedrige Latenz.

AWS vs. Azure – Entscheidungshilfe

Identity & Office: Azure gewinnt bei M365/Entra-ID-zentrischen KMU. AWS bietet IAM Identity Center mit SAML/OIDC zu Entra, aber tiefer integriert ist Azure.
Service-Breite: AWS hat den breiteren Katalog, vor allem bei Datenbanken (DynamoDB, Aurora, DocumentDB, Neptune, Timestream, Keyspaces), Streaming (Kinesis, MSK) und Serverless (Lambda, Step Functions).
KI-Plattform: AWS Bedrock mit Claude, Llama, Nova, Mistral; SageMaker als ML-Plattform. Azure mit OpenAI exklusiv und KI-Foundry. Beide eu/ch-fähig, Modell-Auswahl unterschiedlich.
Container & Kubernetes: EKS ist reifer als AKS, ECS Fargate als serverless Container-Option ohne Cluster-Verwaltung – Azure Container Apps holt auf.
Datenresidenz: Beide in der Schweiz mit 3 AZs – patt. AWS European Sovereign Cloud + Azure EU Data Boundary + Confidential Cloud spielen ähnlich.
Kosten: AWS hat detailliertere Pricing, mehr Granularität (Savings Plans, Spot), Azure mit Hybrid Use Benefit attraktiver bei Windows/SQL-Server-Bestand.
Hybrid: Azure Arc ist tiefer in On-Prem AD/Windows integriert, AWS Outposts für Hybrid teurer, aber konsistenter API-mässig.
Ökosystem: AWS mit grösserem Partner-/MSP-Markt global; Azure mit stärkerer DACH-Microsoft-Partner-Präsenz.
Lock-in: Beide hoch – Multi-Cloud bewusst, mit IaC (Terraform), Container und offenen Datenformaten reduzieren.
Empfehlung pragmatisch: Azure als Identity/Office-Plattform, AWS für Daten-/SaaS-/ML-Workloads. Multi-Cloud bewusst, nicht versehentlich.

revDSG / EDÖB / FINMA – Compliance-Setup

Datenresidenz eu-central-2 fixieren

AWS Organizations mit Service Control Policies (SCP), die Regionen ausserhalb Schweiz/EU blockieren – verhindert versehentliche Datenflüsse in us-east-1. Replikation explizit konfigurieren und genehmigen lassen.

AWS DPA und Standard-Vertrags-Klauseln

AWS DPA mit AWS EMEA SARL (Luxemburg) abschliessen – Standard. EU SCCs für Datenflüsse in Nicht-EU-Länder, falls Services genutzt werden, die nicht in eu-central-2 verfügbar sind. ADV-Dokumente via AWS Artifact verfügbar.

KMS und Customer-Managed Keys

AWS KMS mit Customer-Managed Keys, optional KMS External Key Store (XKS) mit HSM bei Schweizer Anbieter (z. B. Securosys, Adnovum). Schlüssel-Hoheit ausserhalb AWS – stärkster Souveränitäts-Hebel.

CloudTrail + Config + Audit Manager

CloudTrail Organization-weit aktiv, Logs in S3 mit Object-Lock (WORM) für revisionssichere Aufbewahrung. AWS Config für Drift-Erkennung, Audit Manager für ISO/SOC/PCI-Reports. CloudWatch Logs Insights für Analyse.

Identity Federation zu Entra ID

AWS IAM Identity Center (SSO) mit SAML/OIDC zu Microsoft Entra. Keine lokalen IAM-User mehr für Menschen – nur Roles und Service-Principals. MFA-Pflicht über Entra, Conditional Access.

GuardDuty + Security Hub + Inspector

GuardDuty als NDR/Threat-Intel-Layer, Security Hub als zentraler Findings-Aggregator (mit CIS-Benchmarks, AWS Foundational Security Best Practices), Inspector für Container-/EC2-Vulnerabilities.

FINMA-Auslagerung und EDÖB-Pflichten

Für FINMA-Aufsichtsbereich Outsourcing-Anzeige, AWS-FINMA-Cloud-Modul nutzen. EDÖB-Pflichten: ADV-Anbieter-Liste pflegen, Lieferanten-Übersicht, DSFA bei hohem Risiko (siehe revDSG-Art. 22).

Backups und Wiederherstellungstests

AWS Backup mit Cross-Region- und Cross-Account-Copies, immutable Backup Vaults gegen Ransomware. Vierteljährliche Restore-Tests dokumentieren – Pflicht für Cyber-Versicherer und ISO 27001.

Kosten realistisch – und wie man 30% spart

Region-Aufschlag eu-central-2: ca. 5–10% über eu-west-1 (Irland). Für Workloads ohne Schweizer Datenresidenz-Pflicht kann eu-west-1 / eu-central-1 (Frankfurt) günstiger sein – revDSG-Bewertung pro Workload.
Compute Savings Plans: bis zu 66% gegenüber On-Demand bei 1- oder 3-Jahres-Commit auf Compute-Volumen (EC2, Fargate, Lambda). Pragmatisch: Baseline (60–70% der Workloads) als Savings Plan, Rest On-Demand/Spot.
Reserved Instances bei RDS und ElastiCache: 30–55% Rabatt bei Commit – sinnvoll für stabile DB-Workloads, nicht für dev/test.
Spot Instances für Batch, ML-Training, CI: 70–90% günstiger als On-Demand, erfordert Workload-Toleranz für Interruptions.
S3 Intelligent-Tiering automatisch: Daten ohne Zugriff in 30 Tagen wandern automatisch in IA, Archive Access, Deep Archive – ohne Lifecycle-Konfiguration.
Egress-Kosten: Datenausgang ins Internet kostet (ab USD 0.09/GB) – CloudFront vor S3 reduziert via Free-Tier und Cache. Direct Connect statt Internet bei hohem Volumen.
NAT Gateway: USD 0.045/h + USD 0.045/GB – schnell teuer bei viel Egress. VPC Endpoints für S3/DynamoDB, NAT Gateway pro AZ minimieren.
Unused EBS-Volumes, Snapshots, Elastic-IPs: regelmässig per AWS Compute Optimizer / Trusted Advisor / Cost Explorer aufräumen – oft 5–15% Sparquote ohne Workload-Eingriff.
CloudWatch Logs Retention: Default unbegrenzt – Retention auf 30/90 Tage setzen, Cold-Logs nach S3 archivieren. Spart oft mehrere hundert Franken/Monat.
FinOps-Disziplin: monatliches Cost-Anomaly-Detection, AWS Budgets mit Alerts, Cost Allocation Tags – ohne Cost-Hygiene kein Cloud-Profit.

12-Wochen-Einstieg für Schweizer KMU

Woche 1–2 – Landing Zone & Governance

AWS Organizations mit Multi-Account-Strategie (mgmt, prod, dev, security, log-archive), SCPs für Regionen-Lock auf eu-central-2 + eu-west-1 als DR. Control Tower oder eigener Terraform-Bauplan.

Konkret: Organizations live, SCPs aktiv, Audit-Konto eingerichtet.

Woche 3–4 – Identity & Networking

IAM Identity Center mit Entra-Federation, MFA-Pflicht, Permission Sets pro Rolle. VPC-Layout mit privaten/öffentlichen Subnets, Transit Gateway, Direct Connect oder VPN zu On-Prem.

Konkret: SSO produktiv, VPCs ausgerollt, On-Prem-Anbindung steht.

Woche 5–6 – Security Baseline

CloudTrail Organization-weit, GuardDuty, Security Hub, Inspector, AWS Config aktivieren. WAF vor öffentliche Endpunkte. KMS-Keys pro Workload, Secrets Manager für Credentials.

Konkret: Logging revisionssicher, GuardDuty produktiv, Findings im Triage.

Woche 7–8 – Pilot-Workload

Erstes Workload als Pilot deployen – Web-App, Data-Pipeline oder Backup-Target. IaC mit Terraform/CDK, CI/CD via GitHub Actions oder CodePipeline.

Konkret: Pilot live, IaC-Repo etabliert, Deployment-Pipeline funktioniert.

Woche 9–10 – Backup, DR, Monitoring

AWS Backup mit Cross-Region-Copies einrichten, immutable Vaults, Restore-Test durchführen. CloudWatch Dashboards, Alarms, X-Ray für Observability. Runbooks dokumentiert.

Konkret: Backups laufen, Restore-Test grün, Alerts produktiv.

Woche 11–12 – FinOps & Rollout-Plan

Cost Explorer mit Allocation Tags, AWS Budgets, Savings-Plan-Erstkauf basierend auf 30 Tagen Baseline. Migrations- bzw. Build-Plan für weitere Workloads. Schulung Team.

Konkret: FinOps-Routine etabliert, Plan für nächste 6 Monate steht.

Typische Stolpersteine

Region versehentlich us-east-1: AWS-Konsole-Default ist oft N. Virginia – ohne SCP-Lock landen Daten ungewollt in den USA. Region-Lock per Service Control Policy ist Pflicht.
Root-Account ungeschützt: Root-Credentials ohne MFA und ohne harten Schlüssel = Katastrophen-Risiko. MFA-Hardkey + Verschluss in Tresor, Root nur für ganz wenige Tasks.
IAM-User für Menschen statt Federation: jedem Mitarbeiter eigenen IAM-User mit Access-Key zu geben ist Anti-Pattern – Federation via Identity Center mit MFA und Just-in-Time.
Egress-Kosten unterschätzt: Data-Out, NAT-Gateway-Traffic, Cross-AZ-Replikation summieren sich – VPC Endpoints, CloudFront, AZ-bewusste Architektur einplanen.
CloudWatch Logs ohne Retention: unbegrenzte Aufbewahrung kostet schnell mehrere hundert Franken – immer Retention setzen, Cold-Logs nach S3.
Keine Cost Allocation Tags: ohne Tagging keine FinOps – Kosten lassen sich nicht auf Workloads, Teams, Kunden zurechnen. Tag-Strategie von Tag 1.
Backup-Plan ohne Restore-Test: Backup ohne erfolgreich getesteten Restore ist Hoffnung, kein Schutz. Quartals-Test pflichtmässig dokumentieren.
Multi-Account-Strategie ignoriert: alles in einem Account schafft Blast-Radius – Trennung in Prod/Dev/Security/Logs ist nicht Overkill, sondern Hygiene.
Lambda Cold-Starts ignoriert: für lateny-sensitive APIs Provisioned Concurrency oder Container Image mit Init-Optimization einplanen.
Bedrock ohne Guardrails: Generative-AI-Aufrufe ohne Filter, ohne Prompt-Injection-Schutz und ohne Logging sind ein Compliance-Risiko – Guardrails Pflicht.

Fazit: AWS Schweiz ist 2026 erwachsen

Mit Region eu-central-2, drei AZs, FINMA-Cloud-Modul, ISO/SOC-Belegen und der kommenden European Sovereign Cloud ist AWS für Schweizer KMU keine Theorie mehr, sondern produktive Realität. Wer ohne enge M365-/Entra-Verflechtung baut, wer Datenplattformen, ML-Workloads, SaaS-Produkte oder Web-Services entwickelt, findet bei AWS den breitesten Service-Katalog, die reifsten Container-/Serverless-Stacks und die offenste KI-Plattform mit Bedrock.

Der häufigste Fehler ist, AWS „mal eben" aufzusetzen – ohne Multi-Account-Strategie, ohne Region-Lock, ohne Federation. Wer in zwölf Wochen eine Landing Zone mit Identity, Networking, Security-Baseline und FinOps-Disziplin aufstellt, profitiert ab Monat 4 von echter Cloud-Hebelwirkung. revDSG-konform, kosten-bewusst und ohne Lock-in-Schmerz. Multi-Cloud mit Azure ist dabei kein Tabu, sondern oft die pragmatischste Antwort: Identity bei Microsoft, Workloads bei AWS, klare Use-Case-Matrix.

AWS Landing Zone in 12 Wochen

Wir bauen Ihre AWS-Umgebung in Region Zürich auf – Multi-Account, Identity, Security-Baseline, Backup, FinOps – revDSG- und FINMA-konform, ohne Vendor-Lock-in-Schmerz.

Beratung anfragen