Shared Responsibility Model
[Bearbeiten]
Das Shared Responsibility Model ist eine vertragliche und operative Abgrenzung zwischen einem Cloud-Service-Provider (CSP) wie AWS, Azure oder Google Cloud und dem Kunden. Die goldene Regel lautet: Der Anbieter ist verantwortlich für die Sicherheit der Cloud, der Kunde ist verantwortlich für die Sicherheit in der Cloud.
1. Verantwortung des Cloud-Anbieters[Bearbeiten]
Der Anbieter schützt die Infrastruktur, die alle in der Cloud angebotenen Dienste ausführt. Dazu gehören:
- Physische Sicherheit: Schutz der Rechenzentren (Zugangskontrollen, Kameras, Stromversorgung).
- Hardware-Infrastruktur: Wartung der Server, Speichergeräte und Netzwerkkomponenten.
- Software-Infrastruktur: Sicherheit der Virtualisierungsschicht (Hypervisor) und der verwalteten Dienste.
2. Verantwortung des Kunden[Bearbeiten]
Die Verantwortung des Kunden hängt stark vom gewählten Servicemodell ab, umfasst aber im Kern:
- Daten: Verschlüsselung (At-Rest und In-Transit) sowie Backup der eigenen Daten.
- Identitäts- und Zugriffsmanagement (IAM): Wer darf auf welche Ressourcen zugreifen? (Passwortrichtlinien, MFA).
- Konfiguration: Sicherheitsgruppen, Firewalls und Betriebssystem-Updates (bei IaaS).
3. Verschiebung je nach Servicemodell[Bearbeiten]
Die Grenze der Verantwortung verschiebt sich, je mehr Management-Aufgaben der Anbieter übernimmt:
| Modell | Beispiel | Wer macht was? |
|---|---|---|
| IaaS (Infrastructure as a Service) | EC2, Azure VMs | Der Kunde verwaltet fast alles: Betriebssystem, Middleware und Apps. |
| PaaS (Platform as a Service) | App Service, Lambda | Der Anbieter verwaltet das OS; der Kunde nur den Code und die Daten. |
| SaaS (Software as a Service) | Microsoft 365, Salesforce | Der Anbieter verwaltet fast alles; der Kunde nur die Nutzer und Daten. |
4. Häufige Missverständnisse[Bearbeiten]
Ein weit verbreiteter Irrtum ist, dass Daten in der Cloud automatisch "sicher" und "gesichert" (Backup) sind.
- Wenn ein Nutzer versehentlich Daten löscht (menschliches Versagen), ist das in der Regel kein Fehler des Cloud-Anbieters.
- Die Konfiguration einer Firewall (z. B. "Port 80 für die ganze Welt öffnen") liegt allein in der Hand des Kunden.
5. Zusammenfassung[Bearbeiten]
Das Modell hilft Unternehmen zu verstehen, wo ihre Sicherheitsbemühungen enden und wo sie beginnen müssen. Es verhindert "Sicherheitslücken durch Annahme", indem es klare Grenzen zieht.
Zusammenfassend: Der Cloud-Anbieter liefert die sicheren Bausteine, aber der Kunde ist dafür verantwortlich, diese Bausteine zu einem sicheren Haus zusammenzusetzen.
