Prinzip der geteilten Verantwortung (shared responsibility)

Das Prinzip der geteilten Verantwortung (shared responsibility model) ist eine Festlegung der Sicherheitsverpflichtungen einen Cloud-Computing-Anbieters und des nutzenden Anwenders oder Unternehmens, um die jeweilige Verantwortung zu gewährleisten.

Wenn ein Unternehmen ein eigenes Rechenzentrum betreibt, und dort Anwendungen wie Server laufen lässt, ist es für die Sicherheit dieser Infrastruktur sowie der darauf laufenden Anwendungen und Daten verantwortlich. Wenn ein Unternehmen Cloud-Angebote in Anspruch nimmt, überträgt es einige, wenngleich nicht alle, dieser Security-Verantwortlichkeiten an den Betreiber, sprich den Cloud-Anbieter. Jede Partei – also der Cloud-Provider und der Cloud-Nutzer – ist für verschiedene Aspekte der Sicherheit verantwortlich. Zudem müssen alle zusammenarbeiten, um eine vollständige Abdeckung zu gewährleisten.

Der Art des genutzten Cloud-Modells, also IaaS (Infrastructure as a Service), PaaS (Platform as a Service) oder SaaS (Software as a Service) – gibt vor, wer für welche Sicherheitsaufgaben verantwortlich ist. Nach Angaben einer US-amerikanischen Cloud-Nutzer-Vereinigung (CSCC, Cloud Standards Customer Council) gilt im Allgemeinen, dass die Verantwortlichkeiten der Nutzer zunehmen, wenn sie von SaaS über PaaS zu IaaS wechseln.

Bei IaaS beispielsweise liefert der Cloud-Provider laut CSCC die grundlegende Komponente der Cloud-Infrastruktur, wie virtuelle Maschinen, Festplatten und Netzwerke und ist für deren Sicherung verantwortlich. Der Anbieter ist auch für die physischer Sicherheit der Rechenzentren verantwortlich, in denen seine Infrastruktur untergebracht ist. IaaS-Nutzer sind hingegen üblicherweise für die Sicherheit des Betriebssystems und des Software-Stacks verantwortlich, die für die Ausführung ihrer Anwendungen und die Verarbeitung der Daten erforderlich sind.

Bei einem SaaS-Modell ist der Anbieter hingegen in erster Linie für die Infrastruktur und den Software-Stack verantwortlich, da der Anwender laut CSCC weniger Kontrolle über diese Komponenten hat.

Da sich die Verantwortlichkeiten der Nutzer je nach Cloud-Service-Modell und Anbieter unterschieden, gibt es kein Standardmodell der geteilten Verantwortung. Damit Unternehmen und IT-Teams ihre eigene Verantwortung richtig wahrnehmen, sollten Anwenderunternehmen die SLAs (Service Level Agreements), die sie mit den Anbietern vereinbart haben, ganz genau verinnerlichen.