Ist die Cloud sicher? Risikomanagement mit Hilfe des Shared Responsibility Models

Sobald es um die Auslagerung von IT-Diensten geht, tauchen in Unternehmen Fragestellungen hinsichtlich der IT-Sicherheit und des Datenschutzes auf, die beantwortet werden müssen. Jedoch sind gerade bei der Aufgabenverlagerung zu externen IT-Betriebsdienstleistern – unabhängig ob in Form von Cloud-Services oder in klassischen Rechenzentren – oft falsche Prämissen oder unklare Aussagen vorzufinden. Diese lassen bei der Störung der Diensterbringung Haftungs- und Verantwortungsfragen offen und können schwerwiegende Folgen haben.

Um diese Missverständnisse zu reduzieren und einen klaren Überblick über die Regelung von Verantwortlichkeiten in komplexer werdenden IT-Umgebungen zu liefern, wurde parallel zum Siegeszug der Cloud-Lösungen das Modell zur geteilten Verantwortung (“Shared Responsibility Model”, SRM) eingeführt. Dies regelt seitdem speziell im Kontext der Cloud-Dienstleistungen die Verteilung der Verantwortung und letztlich auch der Haftung zwischen dem Cloud-Betreiber (“Cloud Service Provider”) und dem Cloud-Nutzer (“Cloud Tenant”). Mittlerweile gilt das Modell als etablierte Methode für sämtliche ausgelagerten IT-Dienstleister und es wird international angewandt.

Bei der Verwendung des SRM wird zunächst analysiert, welches Service-Modell zwischen den beteiligten Parteien vereinbart und fixiert worden ist. Soll ein Betriebsdienstleister Infrastruktur- (“Infrastructure as a Service”; IaaS) oder Plattformdienstleistungen (“Platform as a Service”; PaaS) oder sogar eine komplette Softwareanwendung (“Software as a Service”; SaaS) verantwortlich bereitstellen? Durch die Wahl des Modells wird bereits deutlich, auf welcher Ebene welche Partei für operative Betriebsthemen wie beispielsweise der (sicheren) Konfiguration, der Aktualisierung der Softwarekomponenten oder der Datensicherung verantwortlich ist und ab welcher Ebene ein Verantwortungsübergang vom IT-Betriebsdienstleister (“Service Provider”) zum Anwender-/Kundenunternehmen stattfindet.

Das Ergebnis der Anwendung des Modells ist ein klares Bild über die geschuldete Leistungsqualität und es bietet somit auch eine elementar wichtige Grundvoraussetzung, um sowohl mit dem IT-Betrieb einhergehende Risiken als auch Compliance steuern zu können. Zwar verbleibt die Gesamtverantwortung immer beim auftraggebenden Anwendungsunternehmen, jedoch kann mit dem SRM deutlich aufgezeigt werden, an welchen Stellen der Auslagerungsdienstleister in der operativen Verantwortung ist. Dies sollte direkt im unternehmensinternen Risikomanagement gespiegelt werden, um wirksam die Haftung des Auftraggebers für Fehl- oder Mängelleistungen des Betriebsdienstleisters auf diesen zu verlagern. Hierfür ist die Dokumentation einer detaillierte Servicebeschreibung beispielsweise in Form von “Service Level Agreements” (SLAs) notwendig.

Das fehlende Verständnis hinsichtlich der Verantwortlichkeiten bei den beiden involvierten Parteien wird oftmals erst im Störfall deutlich: Versäumnisse aufgrund von Missverständnissen können schwerwiegende Folgen wie Datenverlust, unautorisierten Datenabfluss, Betriebsunterbrechungen oder auch Strafen für nicht eingehaltene Compliance-Anforderungen haben.
Obwohl das SRM mittlerweile seit vielen Jahren international bekannt ist, findet es noch immer nicht die notwendige Berücksichtigung bei der Betrachtung von Risiken und deren Behandlung. Einer der Gründe kann sicherlich in der hohen Komplexität von IT-Auslagerungsprozessen und der eingesetzten Technologien liegen. Gerade für Entscheider:innen jenseits der Informationstechnologie ist es schwierig, schnell ein valides Gesamtbild zu bekommen, sofern sie nicht auf “Übersetzer:innen” zwischen technischen Fragestellungen und der Unternehmensleitung sowie dem Management zurückgreifen.

Die eingangs erwähnten Fragestellungen, ob eine Cloud-Lösung denn nun “sicher” oder konform zu gängigen Compliance-Anforderungen beispielsweise zum Datenschutz sei, können bei erfolgreicher Anwendung des “Shared Responsibility Models” schneller und präziser beantwortet werden. Dieses unterstützt auch bei der Klärung von Haftungsfragen.

Zum Autor

Der Managementberater Carsten Marmulla verfügt über langjährige Berufs- und Projekterfahrung mit den Themenschwerpunkten Informationssicherheits- und IT-Risikomanagement, IT-Compliance (u.a. Datenschutz), IT-Sicherheit und IT-Governance. Er zeichnet sich durch sein exzellentes, aktuelles und praxiserprobtes Fachwissen sowie seine strukturierte und analytische Denk- und Arbeitsweise aus.

Diese Fähigkeiten hat er in zahlreichen Projekten mit unterschiedlichen Aufgabenstellungen erfolgreich eingesetzt. Als Projektleiter übernimmt er sowohl strategische, konzeptionelle sowie implementierende Aufgaben und trägt die Ergebnisverantwortung. Er ist als interner Auditor für ISO 27001, als ISIS12-Berater sowie gemäß der Methodenstandards ITIL v3, COBIT 4.1 und PRINCE2 zertifiziert.