Shared-Responsibility-Modelle gehören zum Verlagern der IT in die Cloud. Dabei müssen sich Provider und Kunden an gesetzliche Rahmenbedingungen halten.
Eine wesentliche Motivation beim Auslagern von Unternehmensprozessen und -funktionen ist der Wunsch, sich auf die eigentlichen Geschäftsfelder konzentrieren zu können, um die Effizienz der operativen Geschäftsprozesse zu fördern und idealerweise auch die IT-Kosten zu senken. Dabei stellen sich Rechtsfragen zu Verantwortlichkeiten und Haftung, die angemessen geregelt werden müssen.
Dies gilt nicht nur vor dem Hintergrund der Datenschutz-Grundverordnung oder Lösungsansätzen wie dem Shared Responsibility Model. Ein gutes Beispiel für die Anwendung des Modells ist Amazon Web Services, kurz AWS. Dort heißt es: "Sicherheit und Compliance ist eine geteilte Verantwortung, für die sowohl AWS als auch der Kunde verantwortlich ist." Der Anbieter weist auch darauf hin, dass das Maß der Kundenverantwortlichkeit davon abhängt, welchen Service dieser konkret bei Amazon einkauft.
Bei Amazon Elastic Compute Cloud (Amazon EC2) beispielsweise übernimmt der Kunde "alle erforderlichen Sicherheitskonfigurations- und -verwaltungsaufgaben". Das Prinzip der geteilten Verantwortlichkeit wird auch auf IT-Kontrollen ausgedehnt: "Genau wie die Verantwortung zum Betrieb der IT-Umgebung von AWS und seinen Kunden geteilt getragen wird, so wird auch die Verwaltung, der Betrieb und die Verifizierung von IT-Kontrollen geteilt getragen."
Immer mehr Wissen. Das digitale Abo für IT und Technik.
Nur bis zum 31. Mai: heise+ 1 Jahr für nur 1,90 pro Woche lesen. Unbegrenzter Zugriff auf alle heise+ Artikel inklusive allen Digital-Magazinen.Länger lesen, mehr sparen: heise+ 1 Jahr lang für nur 1,90 € pro Woche lesen und brandaktuelles IT- und Tech-Wissen sichern. Zugriff auf alle heise+ Artikel inklusive der Digital-Magazine. Nur bis zum 31. Mai!