Sobald deine Daten in der Cloud sind, liegt ihre Sicherung vollständig in der Verantwortung des Anbieters?
Kurzantwort
Nein. Die Cloud läuft nach einem Modell geteilter Verantwortung: Der Anbieter sichert die zugrunde liegende Infrastruktur („Sicherheit der Cloud“), aber du bleibst verantwortlich für deine Daten, das Identitäts- und Zugriffsmanagement, die Konfiguration und — bei IaaS — das Betriebssystem und Patches („Sicherheit in der Cloud“). Die große Mehrheit der Cloud-Verstöße sind kundenseitige Fehlkonfigurationen wie öffentliche Buckets und zu freizügiges IAM, keine Anbieterausfälle. Anzunehmen, der Anbieter sichere deine Daten, ist genau, wie diese Verstöße entstehen.
„Es ist in der Cloud, also kümmert sich der Anbieter um die Sicherheit“ ist eine der teuersten Fehlannahmen der modernen IT. Sie lagert stillschweigend die Verantwortung für genau die Dinge aus — deine Daten und deine Zugriffskontrollen —, die der Anbieter nie zu besitzen zugesagt hat.
Das Modell geteilter Verantwortung
Jeder große Cloud-Anbieter veröffentlicht ein Modell geteilter Verantwortung, das eine Linie zieht:
- Sicherheit der Cloud (der Anbieter): physische Rechenzentren, Hardware, der Hypervisor, das Kernnetzwerk und die Interna verwalteter Dienste.
- Sicherheit in der Cloud (du, der Kunde): deine Daten, das Identitäts- und Zugriffsmanagement (IAM), die Netzwerk- und Ressourcenkonfiguration und — je nach Dienststufe — das Gast-Betriebssystem, die Laufzeit und Patches.
Der Anbieter garantiert, dass die Plattform solide ist. Was du darauflegst und wie du den Zugriff konfigurierst, gehört dir.
Die Linie verschiebt sich mit dem Servicemodell
Die Teilung ist nicht fest — sie gleitet mit der Abstraktionsebene:
- IaaS (z. B. rohe VMs): du trägst am meisten — OS-Härtung, Patches, Laufzeit, dazu Daten und IAM.
- PaaS: der Anbieter verwaltet OS und Laufzeit; du behältst deine Daten, die App-Konfiguration und IAM.
- SaaS: der Anbieter betreibt fast alles, aber du behältst trotzdem die Klassifizierung deiner Daten, den Benutzerzugriff und die Konfiguration der Freigabeeinstellungen der App.
Beachte, was auf keiner Stufe je deine Seite verlässt: deine Daten und deine Identitäts-/Zugriffsentscheidungen.
Warum hier die Verstöße entstehen
Branchen-Post-mortems sind konsistent: Die dominante Ursache von Cloud-Vorfällen ist die Fehlkonfiguration des Kunden, nicht die Kompromittierung des Anbieters. Öffentlich exponierte Speicher-Buckets, zu freizügige IAM-Rollen, deaktivierte Protokollierung und unverschlüsselte Daten sind kundenseitige Fehler. Die Plattform tat ihre Arbeit; die Konfiguration nicht.
Die Erkenntnis für das Interview
Eine starke Antwort nennt das Modell beim Namen („Sicherheit der Cloud vs. in der Cloud“), zeigt, wie sich die Linie über IaaS/PaaS/SaaS verschiebt, und betont, dass Daten und IAM unabhängig davon beim Kunden bleiben. Zu sagen, der Anbieter sichere alles, signalisiert, dass du derjenige wärst, der einen Bucket öffentlich lässt.
Wahrscheinliche Anschlussfragen
- Wie verschiebt sich die Verantwortungsteilung zwischen IaaS, PaaS und SaaS?
- Warum sind öffentliche Speicher-Buckets und zu freizügige IAM-Rollen die dominante Verstoßursache?
- Wer ist für die Verschlüsselung ruhender Daten und die Schlüsselverwaltung verantwortlich?