Sicher in die Wolke dank Cloud Security
Schwierige Trennung der Verantwortlichkeiten
Das sieht Ispins Achermann ähnlich: «Je nach Cloud-Service-Modell findet sich die ‹Shared Responsibility› an unterschiedlichen Schichten im Infrastruktur-Stack.» Einschlägige Referenzmodelle zeigten, dass die «Shared
Responsibility» nicht vertraglich delegier- oder ausbedingbar sei, meint er weiter. «Kundenseitig ist der erste Schritt zur Risikoreduktion die genaue Kenntnis der Schnittstelle beziehungsweise der Arbeitsteilung zwischen Kunde und Cloud Service Provider», folgert Achermann.
Responsibility» nicht vertraglich delegier- oder ausbedingbar sei, meint er weiter. «Kundenseitig ist der erste Schritt zur Risikoreduktion die genaue Kenntnis der Schnittstelle beziehungsweise der Arbeitsteilung zwischen Kunde und Cloud Service Provider», folgert Achermann.
“Visibilität ist ein Grundpfeiler in der Cloud Security„
Boris Acherman, Ispin
In der Praxis hiesse das, dass Cloud-Anbieter Schnittstellen zur Verfügung stellen müssten, die es dem Anwender erlaubten, Kontrolle über seine Daten zu behalten, meint Kälin von Fortinet Schweiz. «Was der Anwender nicht beeinflussen kann, muss der Anbieter schützen», betont er. «Beispielsweise ist der Cloud-Anbieter dafür verantwortlich, dass die Mandanten sauber voneinander getrennt werden», doppelt Kälin nach.
Wer also was beim Cloud Computing zu schützen hat, ist nicht immer glasklar. Umso wichtiger ist es, die Zuständigkeiten im Voraus festzuzurren. «Hier helfen gegebenenfalls eindeutig vertraglich festgehaltene Regelungen», sagt Uhlemann von ESET. «Ebenso sollte man als Unternehmen bei Hostingangeboten auf die Festlegung bestehen, wer für die Aktualisierung von zur Verfügung gestellten Betriebssystemen und Software sowie für die Wartung der Hardware zuständig ist», lautet daher seine Empfehlung.
