Cloud-Sicherheit:
Wer trägt die Verantwortung?
„Shared Responsibility“ ist ein Prinzip, das logisch klingt, in der Praxis aber häufig zu Missverständnissen führt. Denn wer als Unternehmen seine IT-Infrastruktur in die Cloud auslagert oder Cloud-Services nutzt, trägt mehr Verantwortung, als viele denken.
Eigentlich sind bei dem Modell Shared Responsibility die Aufgaben klar verteilt: Ein Cloud-Anbieter, wie beispielsweise Microsoft, stellt die Infrastruktur bereit – also Server, Netzwerke und physische Sicherheit. Für alles, was darüber hinausgeht, also Zugriffsrechte, Verschlüsselung, regelmäßige Backups (ja, regelmäßige Backups!), ist jedoch das Unternehmen selbst zuständig.
Genau hier liegt das Problem, denn die die Aufgabenteilung wird oft nicht ausreichend verstanden oder umgesetzt. Viele verlassen sich darauf, dass mit der Entscheidung für eine große Plattform automatisch ein umfassender Schutz mit allen Details gewährleistet ist.
Doch das Shared Responsibility-Modell sieht vor, dass zentrale Sicherheitsfunktionen vom nutzenden Unternehmen selbst gemanagt werden müssen – darunter die Verwaltung von Nutzerrechten, Schutz sensibler Daten oder die Implementierung von Backup-Strategien.
Shared Responsibility: Unwissenheit führt zu echten Risiken
Die Trennlinie der Verantwortlichkeiten wird in der Praxis häufig nicht sauber gezogen. Gerade in hybriden IT-Umgebungen mit Public Cloud und SaaS-Diensten entstehen leicht Grauzonen: Wer sichert welche Komponente? Wer dokumentiert, was wann wo gespeichert wird? Und wer prüft, ob Sicherheitsstandards tatsächlich eingehalten werden?
Solche Lücken können gravierende Folgen haben – vom Datenverlust bis hin zu Problemen bei Compliance-Prüfungen. Bei einem DSGVO-Verstoß etwa liegt die Verantwortung für personenbezogene Daten stets beim datenverarbeitenden Unternehmen. Dabei spielt es keine Rolle, wer die Plattform betreibt. Näheres regelt die (hoffentlich vorhandene) Aufragsdatenverarbeitungsvereinbarung, kurz: AV-Vertrag, der zwischen Anbieter und Kunde abgeschlossen werden muss.
Daten brauchen Backup
Auch beim Thema Datensicherung gibt es Handlungsbedarf. Viele Unternehmen übersehen, was im Kleingedruckten steht. So delegiert bspw. Microsoft die Sicherung der Daten in Microsoft 365 „elegant“ (und leider oft unbemerkt) zum Kunden. Wer auf Nummer sicher gehen will, muss selbst tätig werden und für Backups sorgen.
Eine Verbesserung kann durch eine standortübergreifende Speicherung der Daten erfolgen. Georedundante Daten sind eine Schutzmaßnahme gegen physische Schäden, Ausfälle oder Cyberangriffe, ersetzen jedoch keine regelmäßigen Backups!
Die Sicherheitsstrategien kennen
Es reicht nicht, Zuständigkeiten nur theoretisch festzulegen. Sicherheitsmaßnahmen müssen aktiv gelebt und technisch umgesetzt werden: Multi-Faktor-Authentifizierung, abgestufte Rechtevergabe, regelmäßige Sicherheitsüberprüfungen, Backups – all das sollte zum Standard gehören. Wo Prozesse, Wissen oder Ressourcen fehlen, entstehen schnell gefährliche Lücken, die im Schadensfall teuer werden.
Volle Kontrolle mit Open Source
Ein möglicher Ausweg sind IT-Lösungen aus der Open Source-Welt. Sie bieten mehr Transparenz und Kontrolle und sichern die digitale Souveränität. Wer die IT-Infrastruktur selbst betreibt oder geeignet verwalten lässt, kann Sicherheit nicht nur besser anpassen, sondern auch strategisch weiterentwickeln.
Georedundanz, Verschlüsselung und Rechtevergabe lassen sich dabei so gestalten, dass sie zu den eigenen Anforderungen passen – anstatt sich blind auf große Anbieter zu verlassen. Backups sind bei Cloud-Lösungen von LWsystems (bspw. Zimbra Groupware und Nextcloud) übrigens integraler Bestandteil der Leistung. Das Unternehmen muss sich also nicht selbst um diese elementare Absicherung kümmern.
Endlich unabhängig werden
WEITERE NACHRICHTEN
NEWSLETTER
Melden Sie sich für unseren informativen Newsletter an.
Jeden 1. Donnerstag im Monat informieren wir Sie über spannende Themen aus der IT-Welt.
