Oft wird sich die Frage gestellt, wer für was in der Cloud verantwortlich ist. Ein Großbrand bei einem großen Serveranbieter in Frankreich hat gezeigt, wie schnell Daten von Kunden verloren gehen können. Doch wer war hier für den Brandschutz verantwortlich. Dies kommt auf das „as a Service“ – Modell an, welches der Kunde gebucht hat.
Laden Sie jetzt unsere kostenfreien ISO 27001:2022 Vorlagen herunter
Über 40 Vorlagen die Sie für den Aufbau Ihres Informationssicherheitsmanagementsystems nutzen können.
Kostenfrei. Jetzt anfordern
Verantwortlichkeit in der Cloud – Bei Software as a Service
Das as a Service Modell ist inzwischen weitläufig bekannt. Ein Kunde kauft sich ein Modell ein und bekommt den entsprechenden Service. Je nach Anforderung des Kunden steigen hier die Anforderungen an den Betreiber. Denn je nach Servicemodell hat der Kunde gar keine Möglichkeit, sich selbst um bestimmte Aspekte, zum Beispiel die IT-Sicherheit, zu kümmern.
Betrachtet man das wohl für den Kunden angenehmste Servicemodell, Software as a Service so kauft der Kunde eine bestimmte Software bei einem Vertriebsdienstleister in der Cloud ein. Dies kann zum Beispiel eine über den Webbrowser online laufende Textverarbeitung wie Beispielsweise Google Docs sein. Der Kunde zahlt für den fortlaufenden Betrieb und die Verfügbarkeit der Software. Er geht davon aus, dass der Dienstleister alle anderen Wartungsaspekte für ihn übernimmt. Dies beinhaltet die IT-Sicherheit, die technische Wartung der Hardware, aber auch die Aktualisierungen und Modernisierungen der Software selbst.
Ein Betriebssystem zur Ausführung der Software muss auch installiert und gewartet werden. Der entsprechende Zugang zur Software muss kontrolliert und nur dem entsprechenden Kunden ermöglicht werden. Die entsprechende Konfiguration des Netzwerks hierzu nimmt der Dienstleister selbst vor.
Weiter muss für die räumliche Sicherheit gesorgt werden. Hierzu zählt die entsprechende Zugangsbeschränkung der Serverräume. Niemand Fremdes darf unangekündigt in den Serverraum gelangen. Am Server vor Ort könnte ein Krimineller zum Beispiel die gesamte Software kompromittieren und so Daten des gesamten Unternehmens abfangen. Zur räumlichen Sicherheit zählt auch ein Brandmeldesystem. Entsteht ein Brand, so müssen die gesamten Daten schnellstmöglich gesichert werden und der Service ggf. bei einer anderen Stelle wieder hochgefahren werden, ohne dass der Kunde einen Datenverlust hinnehmen muss.
Eine Klimaanlage sorgt dafür, dass die Server immer bei entsprechender Betriebstemperatur arbeiten und nicht überhitzen. Sollte es zu einem Stromausfall kommen, darf es durch eine entsprechende unterbrechungsfreie Stromversorgung der Server zu keinem Datenverlust kommen. Inwieweit der Service zum Beispiel durch Dieselstromgeneratoren durch den Dienstleister weiter zu Verfügung stehen muss, ist Vertragssache.
Platform as a Service
Mietet der Kunde zum Beispiel nur einen Server in einer Cloud, welche er als Plattform für eigene Zwecke Nutzen will, fallen verschiedene Verantwortlichkeiten innerhalb der Cloud an den Kunden selbst zurück. Da der Kunde nun selbst eine entsprechende Software auf der Plattform installiert, muss er auch selbst Aktualisierungen und Modernisierungen der Software vornehmen. Weiter ist er selbst dafür verantwortlich, welche Firewall-Beschränkungen er an der Serverfirewall vornimmt.
Eine Basisfirewall mit einigen Einstellungen, die zum Beispiel die Kommunikation der verschiedenen Kundenplattformen untereinander verhindert, ist häufig bereits vom Anbieter installiert. Wird die Plattform wie das Betriebssystem von einem Kriminellen gehackt, so fällt dies nicht in der Verantwortlichkeit des Dienstleisters.
Der Anbieter ist allerdings weiterhin für die räumliche Sicherheit sowie für die technische Wartung der gemieteten Plattform zuständig. Fällt zum Beispiel eine Festplatte aus, so muss der Dienstleister diese ersetzen. Datenverlust ist hier Vertragssache. Gibt der Anbieter eine hohe Verfügbarkeitsgarantie, so kann ein Festplattendefekt in puncto Datenverlust eine Verantwortlichkeit in der Cloud des Anbieters sein, denn der Kunde selbst hat nur die Plattform gebucht und kann meist Dinge wie einen RAID-Verbund der Festplatten selbst gar nicht einstellen. Das Plattformtool des Dienstleisters bietet meist noch die Möglichkeit, dass ein bestimmtes Betriebssystem auf der Plattform installiert werden kann.
Erkennen Sie zuverlässig Phishing E-Mails?
Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!
Am wenigsten Verantwortlichkeit in der Cloud – Infrastructure as a Service
Die aus Anbietersicht wenigste Verantwortlichkeit in der Cloud hat der Dienstleister bei der Vermarktung einer einfachen Infrastruktur. Hier muss lediglich für die räumliche Sicherheit sowie für die entsprechende Verfügbarkeit der Infrastruktur gesorgt werden. Der Kunde selbst stellt die entsprechende Serverhardware in den Räumen des Dienstleisters auf. Der Dienstleister stellt den Internetzugang (das Netzwerk), die Klimaanlage, ein Brandmeldesystem sowie die entsprechende Stromversorgung. Auch hier gilt, je nach Vertrag, wie lange eine unterbrechungsfreie Stromversorgung gewährleistet werden muss.
Generell gilt also, je tiefer in die Softwareseite eingestiegen wird, desto mehr muss sich der Anbieter um die verschiedenen Aspekte der Cloud kümmern. Es beginnt bei der Stromversorgung und endet beim Aktualisieren einer entsprechenden Software.
Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.
