Sicher in die Wolke
Sauber geregelte Verantwortlichkeiten
Ein weiteres Problem in Sachen Cloud Security ist schliesslich, dass nicht immer ganz klar ist, wer für welchen Teil der Sicherheit zuständig ist. Es heisst nämlich, genau festzulegen, wie viel Verantwortung der Provider übernimmt und wie viel das Anwenderunternehmen sowie wo sich Überschneidungen ergeben oder Grauzonen auftun.
Etabliert hat sich hier inzwischen das Shared-Responsibility-Modell. Generell gilt dabei, dass der Provider für die Sicherheit der Cloud als solcher zuständig ist. Dagegen zeichnet der Anwender für die Sicherheit in der Cloud verantwortlich. Somit ist der Kunde für seine Daten, die in der Cloud gelagert und verarbeitet werden, selbst verantwortlich.
Dass die Verantwortlichkeiten zwischen Cloud-Anbieter und Cloud-Kunde geteilt werden, ist dabei auch der Mehrheit der im Rahmen der aktuellen Swiss-IT-Studie von Computerworld und IDC befragten gut 300 IT-Verantwortlichen aus Schweizer Unternehmen bewusst (vgl. Grafik). So sind 56,2 Prozent der Befragten der Ansicht, dass beide für die Datensicherheit in der Cloud zuständig sind. Immerhin je ein Fünftel der konsultierten CIOs sind der Ansicht, dass nur der Cloud-Provider oder nur der Kunde für die Sicherheit im Cloud-Umfeld zu sorgen hat.
Heikel sind dabei die Gebiete, bei denen die Verantwortung zwischen dem Cloud-Anbieter und dem Firmenanwender geteilt wird. Dies ist je nach Service-Kategorie unterschiedlich und hängt davon ab, wie viel der Infrastruktur der Provider jeweils zur Verfügung stellt. So liegt bei einem SaaS-Modell (Software as a Service) fast die komplette Verantwortung beim Provider, während beim IaaS-Modell (Infrastructure as a Service) der Anwender zum Beispiel für die auf der gemieteten Infrastruktur laufenden Applikationen und virtuellen Umgebungen sowie die dort abgelegten Daten zuständig ist.