Montagmorgen, 9 Uhr. In einem mittelständischen Unternehmen atmet die IT-Leitung auf: Alle Daten liegen inzwischen „sicher“ in der Cloud. Kein Server mehr im Keller, keine Bänder mehr, die regelmäßig gewechselt werden müssen. Am Wochenende wurden die letzten Daten in die Cloud übertragen und alles läuft. Die Geschäftsführung ist ebenfalls zufrieden: „Jetzt sind wir die Sorgen los – das macht der Anbieter für uns.“ Das die Personalkosten durch diese Maßnahme reduziert werden konnten – bzw. gut ausgebildetes Personal ohnehin nicht verfügbar ist, war ein weiteres Argument für den Umstieg.
Doch die Erleichterung währt nur kurz. Einige Wochen später stellt sich heraus, dass ein Speicherbereich falsch konfiguriert wurde – sensible Kundendaten waren wochenlang frei zugänglich. Der Cloud-Anbieter? Der verweist auf das Shared-Responsibility-Modell. Für die Sicherheit der Infrastruktur sorgt er, für die korrekte Nutzung ist das Unternehmen selbst verantwortlich. Ein Dienst ist falsch konfiguriert gewesen. Ob vergessen wurde die Einstellung zu ändern oder ob die Default-Einstellung unsicher war, darüber könnten jetzt die Juristen streiten. Diese Situation ist kein Einzelfall. Sie zeigt: Auch in der Cloud gilt das alte Prinzip „Aus Fehlern lernen“ und Fehler werden gemacht!
Der Mythos: „Cloud = automatisch sicher“
Viele Entscheider verbinden mit der Cloud eine Art Rundum-sorglos-Paket. Schließlich investieren die Anbieter Milliarden in Sicherheit, beschäftigen Heerscharen von Experten und erfüllen internationale Standards – oft verbunden mit entsprechenden ISO-Zertifizierungen und unabhängigen Instituten. Was dabei oft vergessen wird: Diese Sicherheit bezieht sich in erster Linie auf die Verfügbarkeit und Integrität der Plattform – nicht zwingend auf die Daten des einzelnen Kunden!
Das Shared-Responsibility-Modell besagt: