Shared Responsibility Model
Das Shared Responsibility Model ist eine vertragliche und operative Abgrenzung zwischen einem Cloud-Service-Provider (CSP) wie AWS, Azure oder Google Cloud und dem Kunden. Die goldene Regel lautet: Der Anbieter ist verantwortlich für die Sicherheit der Cloud, der Kunde ist verantwortlich für die Sicherheit in der Cloud.
1. Verantwortung des Cloud-Anbieters
Der Anbieter schützt die Infrastruktur, die alle in der Cloud angebotenen Dienste ausführt. Dazu gehören:
- Physische Sicherheit: Schutz der Rechenzentren (Zugangskontrollen, Kameras, Stromversorgung).
- Hardware-Infrastruktur: Wartung der Server, Speichergeräte und Netzwerkkomponenten.
- Software-Infrastruktur: Sicherheit der Virtualisierungsschicht (Hypervisor) und der verwalteten Dienste.
2. Verantwortung des Kunden
Die Verantwortung des Kunden hängt stark vom gewählten Servicemodell ab, umfasst aber im Kern:
- Daten: Verschlüsselung (At-Rest und In-Transit) sowie Backup der eigenen Daten.
- Identitäts- und Zugriffsmanagement (IAM): Wer darf auf welche Ressourcen zugreifen? (Passwortrichtlinien, MFA).
- Konfiguration: Sicherheitsgruppen, Firewalls und Betriebssystem-Updates (bei IaaS).
3. Verschiebung je nach Servicemodell
Die Grenze der Verantwortung verschiebt sich, je mehr Management-Aufgaben der Anbieter übernimmt:
| Modell | Beispiel | Wer macht was? |
|---|---|---|
| IaaS (Infrastructure as a Service) | EC2, Azure VMs | Der Kunde verwaltet fast alles: Betriebssystem, Middleware und Apps. |
| PaaS (Platform as a Service) | App Service, Lambda | Der Anbieter verwaltet das OS; der Kunde nur den Code und die Daten. |
| SaaS (Software as a Service) | Microsoft 365, Salesforce | Der Anbieter verwaltet fast alles; der Kunde nur die Nutzer und Daten. |
4. Häufige Missverständnisse
Ein weit verbreiteter Irrtum ist, dass Daten in der Cloud automatisch "sicher" und "gesichert" (Backup) sind.
- Wenn ein Nutzer versehentlich Daten löscht (menschliches Versagen), ist das in der Regel kein Fehler des Cloud-Anbieters.
- Die Konfiguration einer Firewall (z. B. "Port 80 für die ganze Welt öffnen") liegt allein in der Hand des Kunden.
5. Zusammenfassung
Das Modell hilft Unternehmen zu verstehen, wo ihre Sicherheitsbemühungen enden und wo sie beginnen müssen. Es verhindert "Sicherheitslücken durch Annahme", indem es klare Grenzen zieht.
Zusammenfassend: Der Cloud-Anbieter liefert die sicheren Bausteine, aber der Kunde ist dafür verantwortlich, diese Bausteine zu einem sicheren Haus zusammenzusetzen.
