Zusammenfassung
- CONVOTIS Swiss Cloud AG ist kein neu gegründetes Vehikel, das zu einem marktfähigen Namen geschaffen wurde. Öffentliche Unternehmensregister verbinden sie mit einem im Jahr 2000 eingetragenen Zürcher Unternehmen, während das Unternehmen angibt, dass aspectra AG im März 2025 den heutigen Namen angenommen hat.
- Der stärkste unabhängige Betriebshinweis ist AS9100. RIPE-Aufzeichnungen verbinden die Netzwerkorganisation mit derselben Schweizer Firmennummer und der Zürcher Adresse, und ein RIPEstat-Schnappschuss vom Juli 2026 zeigte 29 angekündigte IPv4- und IPv6-Präfixe.
- Die öffentlichen Aufzeichnungen belegen eine glaubwürdige Hosting- und Managed-Service-Präsenz, begründen aber für sich genommen weder die Betriebszeit eines Kunden, das Wiederherstellungsziel, die Reaktion auf Vorfälle noch die Zusage zum Datenstandort. Diese Zusicherungen gehören weiterhin in einen namentlichen Vertrag mit einer klar identifizierten Betriebseinheit.
Der Name ist der Beginn der Untersuchung, nicht ihr Abschluss
Die Beschaffung von Cloud-Diensten ist ungewöhnlich anfällig für beruhigende Substantive. «Schweizer» kann lokale Kontrolle implizieren, «Cloud» kann Skalierbarkeit implizieren, und eine Gruppenmarke kann Zugang zu einem breiten Kompetenzpool suggerieren. Keine dieser Implikationen ist wertlos. Keine ist ein Ersatz für die Identifizierung des Unternehmens, das unterzeichnet, betreibt, antwortet und haftet, wenn ein Dienst ausfällt.
CONVOTIS Swiss Cloud AG ist ein gutes Fallbeispiel, da die öffentlichen Aufzeichnungen mehr Substanz enthalten als der Name allein, aber auch genügend Nahtstellen zwischen Unternehmens-, Gruppen- und Netzwerkgeschichte, die eine sorgfältige Lektüre belohnen. Der heutige Name ist neu. In einerPressemitteilung zum Markenwechsel vom März 2025gab CONVOTIS bekannt, dass aspectra AG ab dem 24. März 2025 als CONVOTIS Swiss Cloud AG firmieren werde. Der Schritt wurde als letzter Teil der Integration von aspectra in die CONVOTIS Schweiz Gruppe beschrieben, wobei die rechtliche Eigenständigkeit des Unternehmens erhalten bleibe.
Diese Unterscheidung ist wichtig. Eine Umbenennung kann Verträge, Personal, Systeme und Akkreditierungen bewahren, wenn die zugrunde liegende juristische Person dieselbe bleibt. Eine Gruppenintegration kann die Vertriebs- und technische Kapazität erweitern. Aber «Teil von CONVOTIS» und «CONVOTIS Swiss Cloud AG» sind keine austauschbaren Antworten auf eine Haftungsfrage. Käufer sollten in der Lage sein zu identifizieren, welche Einheit den Dienst erbringt, welche Einheit die Betreiber beschäftigt, welche Einheit die Infrastruktur kontrolliert und ob ein Gruppenunternehmen die Verpflichtung garantiert.
Die öffentliche Identitätsspur ist in ihren grundlegenden Koordinaten ungewöhnlich kohärent. DasCONVOTIS-Impressumlistet CONVOTIS Swiss Cloud AG an der Weberstrasse 4, 8004 Zürich, mit der Schweizer Unternehmensidentifikationsnummer CHE-105.612.642. Es führt die Firma getrennt von der CONVOTIS Schweiz AG und anderen Mitgliedern der Gruppe auf. DieMoneyhouse-Unternehmensseite, die auf Schweizer Handelsregistermitteilungen zurückgreift, meldet eine aktive Aktiengesellschaft mit der Registernummer CH-020.3.023.486-0, einem ursprünglichen Eintragungsdatum vom 26. Juli 2000 und einer Tätigkeitsklassifikation, die Datenverarbeitung und Hosting-Dienste umfasst. Sie verzeichnete eine letzte Registermitteilung vom 8. April 2026.
Diese Aufzeichnungen belegen die Kontinuität der rechtlichen Identität. Sie zeigen nicht, dass jeder auf einer Gruppenwebsite beschriebene Dienst von diesem Unternehmen erbracht wird. Diese engere Zuordnung muss Dienst für Dienst nachgewiesen werden.
Der alte Netzwerkname ist ein Beleg für Kontinuität
Der informativste öffentliche technische Nachweis ist AS9100, eine Autonome Systemnummer, die zur Ankündigung von Routen im Internet verwendet wird. Der Eintrag trägt noch den AS-Namen «Aspectra». Auf den ersten Blick mag ein altes Netzwerk-Label unter einem neuen Firmennamen wie vernachlässigte Hausarbeit aussehen. Hier ist es als historische Markierung nützlicher.
DieRIPEstat-WHOIS-Antwort für AS9100gibt an, dass die Nummer am 3. Juli 2002 erstellt wurde, identifiziert den Standort als Zürich und verweist auf den Organisations-Handle ORG-AA918-RIPE. Die Routing-Policy nennt Verbindungen mit AS6772, AS174 und AS6939. Derzugrunde liegende RIPE-Organisationseintragliefert die aktuelle Brücke: Die Organisation heißt CONVOTIS Swiss Cloud AG, ihre Registernummer ist CHE-105.612.642 und ihre Adresse ist Weberstrasse 4 in Zürich. Derselbe Eintrag klassifiziert die Organisation als lokale Internet-Registrierungsstelle (Local Internet Registry) und stellt einen Abuse-Contact-Handle bereit.
Dies ist ein stärkerer Beleg als ein Logo auf einer Produktseite. Die rechtliche Kennung und die Adresse stimmen mit der Unternehmensidentität überein, während der alte AS-Name mit der im Markenwechsel bekannt gegebenen aspectra-Geschichte übereinstimmt. Zusammen deuten sie darauf hin, dass der Markenwechsel auf einem etablierten Netzwerkbetrieb aufsetzt und nicht auf einem erfundenen Cloud-Label ohne sichtbare Ressourcenhistorie.
Der Ressourcen-Fußabdruck ist ebenfalls beobachtbar. EinRIPEstat-Schnappschuss der angekündigten Präfixe für AS9100, abgefragt am 15. Juli 2026, ergab 29 IPv4- und IPv6-Routenankündigungen, die in den vorangegangenen zwei Wochen beobachtet wurden. Dazu gehörten IPv4-Bereiche wie 128.127.50.0/24, 185.27.184.0/24, 193.247.208.0/23 und 194.247.8.0/24, sowie mehrere IPv6-Routen unter 2a02:e0c0.
Dies ist präzise zu lesen. Angekündigte Präfixe belegen, dass AS9100 einen lebendigen, extern sichtbaren Routing-Fußabdruck hat. Sie belegen nicht, wem die Server hinter jeder Adresse gehören, wo jede Arbeitslast sitzt, wie viel Kapazität verfügbar ist, ob der Dienst eines Kunden diese Bereiche nutzt oder wie widerstandsfähig der Pfad ist. Eine Routingtabelle ist ein Beleg für den Betrieb, kein Ersatz für ein Architekturdiagramm, eine Anlagenliste oder einen Verfügbarkeitsbericht.
Die Unterscheidung ist besonders wichtig für Souveränitätsansprüche. IP-Registrierungsland, Routenursprung und Datenstandort können zusammenfallen, sind aber nicht dieselbe Tatsache. Ein in der Schweiz registriertes Netzwerk kann Verkehr für anderswo befindliche Arbeitslasten transportieren; eine Arbeitslast in einer Schweizer Einrichtung kann von ausländischer Software, Support-Zugriff oder Kontrollebenen abhängen. Der Standort muss daher auf den Ebenen der Arbeitslast, der Sicherung, des Managements und des Supports angegeben werden, nicht aus dem Firmennamen oder einer ASN abgeleitet werden.
Service-Seiten beschreiben eine breite Kontrollfläche
Die SchweizerCloud-Lösungen-Seitevon CONVOTIS beschreibt ein Portfolio, das von verwalteter Private und Sovereign Cloud, Hybrid- und Multi-Cloud-Umgebungen, Managed AWS und Azure, OpenShift-Clustern, Entwicklungsumgebungen, Automatisierung und Orchestrierung, Managed Kubernetes, Kostenoptimierung bis hin zu Cloud-Arbeitsplätzen reicht. Diese Breite ist für einen Managed-Service-Anbieter, dessen Vorgänger sich selbst mit den Bereichen Design, Implementierung, Betrieb und Support beschrieb, kommerziell plausibel.
Die detailliertereSeite für Souveräne und Private Cloudkonkretisiert das Kontrollmodell. Sie beschreibt mandantengetrennte Virtualisierung, rollenbasierte und föderierte Identität, Überwachung von Zugriffen und Datenflüssen, Backup und Recovery, Änderungsauditpfade, Verschlüsselung und Schlüsselverwaltung, hybride Verbindungen und Hosting in zertifizierten Schweizer Rechenzentren. Sie nennt auch Terraform, Bicep und Open Policy Agent in ihrem Governance-Ansatz.
Dies sind nützliche Offenlegungen, da sie die Flächen offenlegen, auf denen ein Gespräch über Sicherheit stattfinden kann. Ein Käufer kann fragen, wer die Identitätsebene kontrolliert, ob die Administratoren des Kunden den Audit-Pfad einsehen können, wo Schlüssel generiert und aufbewahrt werden, wie Richtlinienänderungen genehmigt werden und welche Wiederherstellungstests nachgewiesen sind. «Souveräne Cloud» wird aussagekräftiger, wenn sie in spezifische Kontrollen zerlegt wird.
Aber die Seiten sind Portfolio-Beschreibungen, kein öffentlicher Leistungskatalog. Sie veröffentlichen in dem hier geprüften Material keine allgemein gültige Verfügbarkeitsprozentzahl, kein Wiederherstellungszeitziel, kein Wiederherstellungspunktziel, keine Service-Credit-Formel, keine Frist für die Meldung von Vorfällen und keine namentliche Liste von Einrichtungen. Sie erklären auch nicht, welche Behauptungen speziell für CONVOTIS Swiss Cloud AG und nicht für die breitere Schweizer oder internationale Gruppe gelten. Das ist kein Beweis dafür, dass solche Zusagen in Kundenverträgen fehlen.
Es bedeutet, dass die öffentliche Website nicht so verwendet werden sollte, als wäre sie der Vertrag.
Die Ankündigung vom März 2025 fügt eine weitere Ebene hinzu. Sie besagte, dass aspectra etwa 60 Fachkräfte beschäftigte, 25 Jahre tätig war und über Zertifizierungen nach ISO 27001:2022 und ISAE 3000 verfügte, während es die Anforderungen von FINMA und PCI DSS erfüllte. Dies sind relevante Indikatoren, insbesondere für regulierte Kunden. In den für diesen Artikel geprüften öffentlichen Belegen erscheinen diese Aussagen jedoch in der eigenen Pressemitteilung des Unternehmens und nicht in den Zertifikaten, Prüfberichten oder Einträgen der Zertifizierungsstelle selbst.
Ein sorgfältiger Käufer sollte das aktuelle Zertifikat, den Geltungsbereich, die ausstellende Stelle, die abgedeckten Standorte, Ausschlüsse und das Ablaufdatum anfordern. «Zertifizierter Anbieter» ist weniger informativ als «dieser Dienst, betrieben von dieser Einheit an diesen Standorten, fällt in den aktuellen Zertifikatsumfang».
Kundengeschichten liefern Leistungsnachweise, mit Grenzen
Produktkataloge zeigen, was ein Anbieter verkaufen will. Namentlich genannte Kundenkonten zeigen, was er getan haben will. CONVOTIS veröffentlicht mehrere Berichte, die die Beweise über die allgemeine Cloud-Sprache hinausführen.
IhreFallstudie zu Health Info Netbesagt, dass die Plattform von HIN innerhalb von sechs Monaten in georedundante Schweizer Rechenzentren migriert und in eine private und souveräne Cloud überführt wurde. Sie beschreibt den vollständigen Plattformbetrieb, 24-Stunden-Überwachung, einen dedizierten Standortmanager und die Arbeit an einem Dienst, der für die sensible Gesundheitskommunikation genutzt wird. Die Seite enthält einen namentlichen Kommentar von HIN-Chefinformationsmanager Lucas Schult zu Verfügbarkeit, Stabilität und dem Umgang mit Problemen.
DerBericht zur Ascory Bankbeschreibt ein breiteres Outsourcing-Mandat, das Arbeitsplatz-, Netzwerk- und Serverinfrastruktur, Sicherheit, kontinuierliche Überwachung und dreistufigen 24-Stunden-Support umfasst. Es ist relevant, weil es den Betriebsmechanismus identifiziert, nicht nur ein Migrationsziel: ein IT Operations Center, Eskalationsstufen, Überwachungs- und Supportverantwortlichkeiten.
Beide Seiten sind vom Anbieter veröffentlichte Marketingmaterialien, daher sollten sie als zugeschriebene Servicenachweise und nicht als unabhängige Leistungsaudits behandelt werden. Ihr Wert liegt in der Spezifität: namentlich genannte Kunden, beschriebene Arbeitslasten und Betriebsverantwortlichkeiten. Ihre Einschränkung ist die Zuordnung. Die Seiten verwenden die Marke CONVOTIS, identifizieren aber nicht sichtbar CONVOTIS Swiss Cloud AG als Vertragspartner für jeden Fall. Sie veröffentlichen auch keine Vorfallshistorien, gemessene Verfügbarkeit oder kundenverifizierbare Wiederherstellungsergebnisse.
Für einen Käufer ist die nächste Frage einfach: Welche Teile dieser Betriebsmodelle sind Standard, welche sind optional und welche können in den vorgeschlagenen Leistungskatalog aufgenommen werden? Wenn 24-Stunden-Überwachung und ein dedizierter Standortmanager wichtig sind, sollten sie als bepreiste Verpflichtungen mit Eskalationskontakten und Reaktionszielen erscheinen, nicht als geliehene Glaubwürdigkeit aus der Geschichte eines anderen Kunden.
Öffentlicher Support ist erreichbar, aber Vertragssupport muss definiert werden
Verantwortlichkeit beginnt mit der Möglichkeit, jemanden zu erreichen. Dieöffentliche CONVOTIS-Supportseitebietet eine Schweizer Telefonnummer,[email protected]und Downloads für Fernsupport. Sie veröffentlicht die üblichen Service-Desk-Zeiten von 08:00 bis 12:00 und 13:30 bis 17:30, Montag bis Freitag. Sie sagt auch, dass die meisten Probleme remote gelöst werden können und dass Vor-Ort-Support in der gesamten Deutschschweiz verfügbar ist.
Das ist eine nützliche Basislinie: Es gibt einen sichtbaren Kontaktkanal und ein angegebenes Arbeitszeitfenster. Es offenbart auch eine Unterscheidung, die Cloud-Käufer nicht übersehen sollten. Der öffentliche Service-Desk wird nicht als universeller 24-Stunden-Vorfallskanal dargestellt, während Kundengeschichten rund um die Uhr Überwachung oder Support für bestimmte Engagements beschreiben. Die vernünftige Schlussfolgerung ist, dass die Serviceabdeckung vertraglich variiert.
Es wäre unsicher, aus einer Fallstudie eine 24-Stunden-Reaktion für jeden Cloud-Kunden abzuleiten, genauso wie es unsicher wäre, abzuleiten, dass ein vertraglich vereinbarter kritischer Service-Desk zu den auf der allgemeinen Supportseite angegebenen Zeiten schließt.
Die Support-Verantwortlichkeit benötigt vier Namen schriftlich: den rechtlichen Anbieter, den Service-Eigentümer, den Vorfallskontakt und die Eskalationsbehörde. Sie benötigt auch Uhren. Was startet den Reaktionszeitgeber? Zählt eine automatisierte Warnung oder nur ein Kundenticket? Welche Schweregrade gelten? Ist der Bereitschaftsdienst in der Schweiz, anderswo in der Gruppe oder unterbeauftragt? Wer darf während eines Vorfalls auf Produktionsdaten zugreifen? Wann muss der Kunde über einen mutmaßlichen Verstoß informiert werden? Die öffentlichen Aufzeichnungen ermöglichen diese Fragen; sie beantworten sie nicht für einen bestimmten Dienst.
Was die Belege stützen und was nicht
Die öffentlichen Belege stützen ein glaubwürdiges Betriebskonzept. CONVOTIS Swiss Cloud AG hat eine identifizierbare Schweizer Rechtsform, Adresse und Geschäftsnummer. Ihre Geschichte reicht über aspectra zurück und beginnt nicht erst mit dem Namen von 2025. Das Unternehmen ist in RIPE-Aufzeichnungen mit einer langlebigen ASN und aktuellen Routenankündigungen verbunden. Die breitere CONVOTIS-Website präsentiert technisch spezifische Managed-Cloud-Kontrollen, erreichbaren Support und namentliche Beispiele für regulierte oder sensible Betriebe.
Die Belege rechtfertigen nicht, die drei Wörter im Firmennamen als pauschale Garantie zu behandeln. «CONVOTIS» definiert nicht, welches Gruppenunternehmen den Dienst schuldet. «Swiss» spezifiziert nicht jeden Standort, Administrator oder jede rechtliche Abhängigkeit. «Cloud» gibt keine Verfügbarkeits-, Wiederherstellungs- oder Vorfallspflichten an. Das sind Vertrags- und Architekturfakten.
Bevor ein Kunde sich auf den Namen als Betriebssicherheit verlässt, sollte er ein kurzes, zusammenhängendes Beweispaket anfordern:
- Den vollständigen rechtlichen Namen und die Geschäftskennung des vertragsschließenden Anbieters sowie etwaige betriebliche Subunternehmer und Gruppenbürgschaften.
- Eine Service-Architektur, die Produktions-, Backup-, Disaster-Recovery-, Management- und Logging-Standorte zeigt, mit den vom Kunden tatsächlich genutzten Netzwerkressourcen.
- Aktuelle Zertifikate und Prüfberichte mit klar identifiziertem Geltungsbereich, Standorten und Rechtseinheiten.
- Gemessene Verfügbarkeits- und Wiederherstellungstest-Nachweise für die vorgeschlagene Plattform, nicht nur Behauptungen auf Portfolioebene.
- Einen Support-Plan, der Stunden, Schweregrade, Reaktions- und Wiederherstellungsziele, Eskalationsverantwortliche, Vorfallsbenachrichtigung und Service Credits definiert.
- Die Aufteilung der Kontrolle über Identität, Verschlüsselungsschlüssel, administrativen Zugriff, Änderungsgenehmigung, Überwachungsdaten und Exit-Verfahren.
Die öffentlichen Aufzeichnungen von CONVOTIS Swiss Cloud AG räumen eine wichtige erste Hürde aus dem Weg: Hinter dem neuen Namen gibt es sichtbare Kontinuität und Betriebsinfrastruktur. Die nächste Hürde ist bewusst weniger glamourös. Ein Käufer muss das rechtliche Unternehmen, das geroutete Netzwerk, die angegebenen Kontrollen und die Personen, die auf Vorfälle reagieren, mit dem genauen gekauften Dienst verbinden. Diese Verbindung, nicht die Marke allein, ist der Beginn der Sicherheit.

