Anwendungen & Cloud
Säule 6NIS2DSGVODORABSI-GRUNDSCHUTZ

Shared Responsibility & Cloud-Audit

Praxis-Szenario

Ein Online-Shop migriert in die Cloud. Der Geschäftsführer geht davon aus: 'Amazon kümmert sich um die Sicherheit.' Sechs Monate später: Kundendaten geleakt, weil die S3-Buckets öffentlich zugänglich waren. AWS haftet nicht — die Verantwortung für Datenzugriff liegt beim Kunden. 'Der Provider sichert die Hardware, Sie sichern Ihre Daten.' Diesen Satz verstehen 70% der KMU nicht — bis es zu spät ist.

Rechtsfundament

NIS2NIS2 Art. 21 Abs. 2 lit. d

Sicherheit der Lieferkette und Bewertung von Drittanbietern

DSGVODSGVO Art. 28

Auftragsverarbeitung in der Cloud mit dokumentierter Verantwortungsabgrenzung

DORADORA Art. 28-30

Überwachung von IKT-Drittdienstleistern und deren Sicherheitsmaßnahmen

BSI IT-GrundschutzBSI OPS.2.2

Nutzung von Cloud-Diensten mit definierter Verantwortungsabgrenzung gemäß BSI OPS.2.2

Shared Responsibility Model

Wer ist wofür verantwortlich? Wählen Sie Ihr Cloud-Modell.

AnwendungenIhr Unternehmen
DatenIhr Unternehmen
LaufzeitumgebungGeteilte Verantwortung
MiddlewareCloud-Provider
BetriebssystemCloud-Provider
VirtualisierungCloud-Provider
ServerCloud-Provider
SpeicherCloud-Provider
NetzwerkCloud-Provider
Physische SicherheitCloud-Provider
Ihr Unternehmen
Cloud-Provider
Geteilte Verantwortung

Lösung & Umsetzung

1. Shared-Responsibility-Modell verstehen (siehe interaktives Diagramm oben) 2. Pro Cloud-Dienst dokumentieren: Was sichert der Provider, was wir? 3. IAM-Rechte prüfen: Wer hat Zugriff auf Cloud-Ressourcen? Least Privilege! 4. Logging aktivieren: CloudTrail (AWS), Activity Log (Azure), Cloud Audit (GCP) 5. Vierteljährlicher Cloud-Audit: Offene Ports, öffentliche Ressourcen, ungenutzte Accounts

Ihr Mehrwert

Ein klares Verantwortungsmodell verhindert die häufigsten Cloud-Fehlkonfigurationen (Ursache für 80% der Cloud-Datenlecks). Der vierteljährliche Audit findet Schwachstellen, bevor Angreifer sie finden.

Nächster Schritt

Nutzen Sie das interaktive Diagramm oben, um Ihr Verantwortungsmodell zu verstehen. Dann: Cloud-Audit-Checkliste abarbeiten.

Verwandte Maßnahmen

Software Bill of Materials (SBOM)

API-Sicherheit