SAllgemein

Shared Responsibility Model

Sicherheit ist geteilt: Anbieter schützt Cloud, Kunde Konfiguration/Daten.

Das Shared Responsibility Model (Modell der geteilten Verantwortung) beschreibt, wie Sicherheits- und Compliance-Aufgaben in der Cloud zwischen Cloud-Anbieter und Kunde aufgeteilt sind: Der Anbieter schützt die Cloud-Infrastruktur („Security of the Cloud“), der Kunde schützt seine Konfiguration, Zugriffe und Daten („Security in the Cloud“). Für KMU ist das wichtig, weil Cloud nicht automatisch „vollständig sicher“ bedeutet.

Was bedeutet das konkret?

Viele Geschäftsführer gehen davon aus, dass mit dem Wechsel in die Cloud die komplette IT-Sicherheit „mitgekauft“ wird. In der Praxis ist es eher wie bei einem Mietbüro: Der Vermieter sorgt für Gebäude, Schloss und Brandschutz – aber wer Schlüssel bekommt, wie Akten gelagert werden und wer die Tür offen stehen lässt, liegt beim Mieter.

Wie funktioniert das Shared Responsibility Model?

  • Cloud-Anbieter (z. B. Microsoft, Google, AWS): schützt Rechenzentren, Hardware, Netzwerk, Virtualisierungsschicht, physische Zutrittskontrolle, Basisverfügbarkeit und oft auch Standard-Sicherheitsfunktionen (z. B. DDoS-Schutz, Verschlüsselung auf Storage-Ebene).
  • Kunde (Ihr Unternehmen): verantwortet Nutzerkonten und Rollen, Passwörter/MFA, Gerätesicherheit, Datenklassifizierung, Backup-Strategie, sichere Einstellungen, Freigaben, Schnittstellen (APIs) und die Einhaltung interner/gesetzlicher Vorgaben (z. B. DSGVO).

Wichtig: Die genaue Grenze verschiebt sich je nach Servicemodell. Je „fertiger“ der Dienst, desto mehr übernimmt der Anbieter.

Beispiel nach Cloud-Modell: IaaS vs. PaaS vs. SaaS

  • IaaS (Infrastructure as a Service): Der Anbieter liefert Infrastruktur, Sie betreiben Betriebssystem, Patches, Firewall-Regeln, Anwendungen und Daten. Risiko durch Fehlkonfiguration ist hier besonders hoch.
  • PaaS (Platform as a Service): Der Anbieter betreibt zusätzlich Laufzeitumgebung/Plattform. Sie verantworten weiterhin App-Logik, Identitäten, Daten und sichere Konfiguration.
  • SaaS (Software as a Service): Der Anbieter betreibt die Anwendung (z. B. Microsoft 365, Salesforce). Sie bleiben trotzdem verantwortlich für Nutzerrechte, Freigaben, Dateninhalte, Aufbewahrung, Integrationen und Endgeräte.

Warum ist das für KMU-Geschäftsführer relevant?

  • Häufigste Ursache für Sicherheitsvorfälle: nicht „Hacker im Rechenzentrum“, sondern falsche Einstellungen (z. B. öffentlich zugängliche Daten, zu breite Admin-Rechte, fehlende MFA).
  • Compliance & Haftung: Auch wenn der Anbieter zertifiziert ist, können Sie bei Datenpannen in der Verantwortung stehen (z. B. wegen falscher Zugriffsrechte oder fehlender Prozesse).
  • Planung & Einkauf: Sie können besser entscheiden, welche Sicherheitsleistungen Sie zusätzlich brauchen (z. B. Managed Security, Backup, Identity-Management, Schulungen).

Typische Stolperfallen (mit Praxisbeispielen)

  • „SaaS macht automatisch Backup“: Viele SaaS-Anbieter bieten Verfügbarkeit, aber kein vollständiges, kundenindividuelles Restore-Konzept. Wenn jemand Daten löscht oder verschlüsselt, ist ein separates Backup oft entscheidend.
  • Zu großzügige Freigaben: Ein falsch konfigurierter Ordner-Link oder ein „Jeder mit Link“-Sharing kann vertrauliche Dokumente nach außen öffnen.
  • Schwache Identitäten: Ohne MFA und saubere Rollen (Least Privilege) reicht ein gestohlenes Passwort für großen Schaden.

Merksatz: Der Cloud-Anbieter schützt die Plattform – Sie schützen Ihr Geschäft darin. Wer das Shared Responsibility Model versteht, reduziert Risiken, verbessert die Verhandlungsposition gegenüber Providern und baut eine realistische Sicherheitsstrategie auf.