SAllgemein
Shared Responsibility Model
Sicherheit ist geteilt: Anbieter schützt Cloud, Kunde Konfiguration/Daten.
4 AufrufeDas Shared Responsibility Model (Modell der geteilten Verantwortung) beschreibt, wie Sicherheits- und Compliance-Aufgaben in der Cloud zwischen Cloud-Anbieter und Kunde aufgeteilt sind: Der Anbieter schützt die Cloud-Infrastruktur („Security of the Cloud“), der Kunde schützt seine Konfiguration, Zugriffe und Daten („Security in the Cloud“). Für KMU ist das wichtig, weil Cloud nicht automatisch „vollständig sicher“ bedeutet.
Was bedeutet das konkret?
Viele Geschäftsführer gehen davon aus, dass mit dem Wechsel in die Cloud die komplette IT-Sicherheit „mitgekauft“ wird. In der Praxis ist es eher wie bei einem Mietbüro: Der Vermieter sorgt für Gebäude, Schloss und Brandschutz – aber wer Schlüssel bekommt, wie Akten gelagert werden und wer die Tür offen stehen lässt, liegt beim Mieter.
Wie funktioniert das Shared Responsibility Model?
- Cloud-Anbieter (z. B. Microsoft, Google, AWS): schützt Rechenzentren, Hardware, Netzwerk, Virtualisierungsschicht, physische Zutrittskontrolle, Basisverfügbarkeit und oft auch Standard-Sicherheitsfunktionen (z. B. DDoS-Schutz, Verschlüsselung auf Storage-Ebene).
- Kunde (Ihr Unternehmen): verantwortet Nutzerkonten und Rollen, Passwörter/MFA, Gerätesicherheit, Datenklassifizierung, Backup-Strategie, sichere Einstellungen, Freigaben, Schnittstellen (APIs) und die Einhaltung interner/gesetzlicher Vorgaben (z. B. DSGVO).
Wichtig: Die genaue Grenze verschiebt sich je nach Servicemodell. Je „fertiger“ der Dienst, desto mehr übernimmt der Anbieter.
Beispiel nach Cloud-Modell: IaaS vs. PaaS vs. SaaS
- IaaS (Infrastructure as a Service): Der Anbieter liefert Infrastruktur, Sie betreiben Betriebssystem, Patches, Firewall-Regeln, Anwendungen und Daten. Risiko durch Fehlkonfiguration ist hier besonders hoch.
- PaaS (Platform as a Service): Der Anbieter betreibt zusätzlich Laufzeitumgebung/Plattform. Sie verantworten weiterhin App-Logik, Identitäten, Daten und sichere Konfiguration.
- SaaS (Software as a Service): Der Anbieter betreibt die Anwendung (z. B. Microsoft 365, Salesforce). Sie bleiben trotzdem verantwortlich für Nutzerrechte, Freigaben, Dateninhalte, Aufbewahrung, Integrationen und Endgeräte.
Warum ist das für KMU-Geschäftsführer relevant?
- Häufigste Ursache für Sicherheitsvorfälle: nicht „Hacker im Rechenzentrum“, sondern falsche Einstellungen (z. B. öffentlich zugängliche Daten, zu breite Admin-Rechte, fehlende MFA).
- Compliance & Haftung: Auch wenn der Anbieter zertifiziert ist, können Sie bei Datenpannen in der Verantwortung stehen (z. B. wegen falscher Zugriffsrechte oder fehlender Prozesse).
- Planung & Einkauf: Sie können besser entscheiden, welche Sicherheitsleistungen Sie zusätzlich brauchen (z. B. Managed Security, Backup, Identity-Management, Schulungen).
Typische Stolperfallen (mit Praxisbeispielen)
- „SaaS macht automatisch Backup“: Viele SaaS-Anbieter bieten Verfügbarkeit, aber kein vollständiges, kundenindividuelles Restore-Konzept. Wenn jemand Daten löscht oder verschlüsselt, ist ein separates Backup oft entscheidend.
- Zu großzügige Freigaben: Ein falsch konfigurierter Ordner-Link oder ein „Jeder mit Link“-Sharing kann vertrauliche Dokumente nach außen öffnen.
- Schwache Identitäten: Ohne MFA und saubere Rollen (Least Privilege) reicht ein gestohlenes Passwort für großen Schaden.
Merksatz: Der Cloud-Anbieter schützt die Plattform – Sie schützen Ihr Geschäft darin. Wer das Shared Responsibility Model versteht, reduziert Risiken, verbessert die Verhandlungsposition gegenüber Providern und baut eine realistische Sicherheitsstrategie auf.
Zahlen & Fakten
Fehlkonfigurationen entscheidendBei Cloud-Sicherheitsvorfällen in Unternehmen liegt die Ursache sehr häufig auf Kundenseite, etwa durch falsche Konfigurationen, unzureichende Zugriffsrechte oder fehlende Überwachung im Rahmen des Shared Responsibility Model.
KMU ohne Cloud-ExpertiseViele kleine und mittlere Unternehmen verfügen nicht über dedizierte Cloud-Sicherheitsteams und tragen dadurch ein erhöhtes Risiko, ihre Verantwortlichkeiten für Identitäten, Daten und Konfigurationen unvollständig umzusetzen.
geringere VorfallkostenUnternehmen, die Verantwortlichkeiten zwischen Cloud-Anbieter und internem Team klar dokumentieren, senken typischerweise die Kosten von Sicherheitsvorfällen durch schnellere Reaktion und weniger Zuständigkeitslücken.
Anwendungsfälle in der Praxis
Weißt du, wie gut du das Shared Responsibility Model in deiner Cloud umgesetzt hast?
Beantworte 5 kurze Fragen und finde heraus, wo du stehst.
Ist dir klar, welche Sicherheitsaufgaben dein Cloud-Anbieter übernimmt und welche bei dir liegen?
Hast du für eure genutzten Cloud-Services dokumentiert, wer intern für Konfiguration, Zugriffe und Daten verantwortlich ist?
Prüfst du regelmäßig sicherheitsrelevante Cloud-Einstellungen wie Identitäten, Berechtigungen und Netzwerkkonfigurationen?
Gibt es bei euch verbindliche Prozesse, um Fehlkonfigurationen, Datenrisiken und Compliance-Anforderungen in der Cloud zu kontrollieren?
Werden Verantwortlichkeiten im Shared Responsibility Model bei neuen Cloud-Projekten, Änderungen und Audits aktiv überprüft und angepasst?
Ist bei deiner Cloud-Nutzung klar geregelt, wer welche Sicherheitsaufgaben übernimmt?
Beim Shared Responsibility Model schützt der Anbieter die Cloud-Infrastruktur – für Zugriffe, Konfigurationen und deine Daten bleibst jedoch du verantwortlich. Genau hier entstehen in vielen Unternehmen Sicherheitslücken, weil Tools zwar genutzt, aber Verantwortlichkeiten nicht sauber geprüft werden. Mit dem Tech-Gutachten analysiere ich deine bestehende Tool- und Systemlandschaft, decke Risiken auf und zeige dir konkret, wo du nachschärfen solltest.