
Microsoft definiert die Zuständigkeiten klar: Firmenbezogene Daten und Identitäten gehören bei jeder Art von Cloudbereitstellung dem Unternehmen.
Daten bequem auslagern, Applikationen nutzen, wenn man sie braucht, Storage und Performance auf Knopfdruck – das wollen immer mehr Unternehmen. Cloud-Computing ist dazu eine wichtige Basis. Aber wer trägt eigentlich die Verantwortung in solchen Konzepten? Die Antwort mag überraschen – und auch Augen öffnen.
Outsourcing ist nicht gleich Cloud-Computing
Outsourcing ist cool. Das fängt beim geleasten Firmenwagen an und hört bei der Serverinfrastruktur noch lange nicht auf. Gleichzeitig öffnen sich damit viele Türen zu falschen Vorstellungen. „Das Thema Verantwortung in der Public Cloud ist eine Geschichte voller Missverständnisse“, sagt beispielsweise Gartner-Analyst René Büst. Seine Erfahrung: „Das klassische Outsourcing ist in den Köpfen vieler IT-Entscheider immer noch weit verbreitet.“ Daher werden Public-Cloud-Anbieter gerne als Full Service Provider verstanden – was nicht unbedingt der Intention in einem konkreten Projekt entsprechen muss.
Public-Cloud-Anbieter müssen keine Full Service Provider sein
Beim klassischen Outsourcing übernimmt ein externer Dienstleister den vollständigen IT-Betrieb. Daraus entstand die Erwartung oder der Wunsch, auch Public-Cloud-Anbieter als Full Service Provider zu betrachten. Allerdings kann eine erfolgreiche Cloud-Strategie nur gemeinsam entwickelt werden. Denn in der Regel handelt es sich bei solchen Projekten kaum um Lösungen von der Stange – zu individuell sind die Anforderungen der Unternehmen. Daher ist die aktive Mitwirkung des Kunden von Anfang an ganz entscheidend – und auch die gemeinsame Weiterentwicklung des Cloud-Konzepts.
Verantwortung für die Applikationen übernehmen
Daraus ergibt sich das Prinzip der „Shared Responsibility“: Die Verantwortung auf Plattform- bzw. Infrastrukturebene übernimmt der Cloud-Partner. Doch was dahinter liegt oder dahinter verwendet und genutzt wird, liegt in der Verantwortung des Kunden. „Public-Cloud-Anbieter wie Amazon Web Services, Microsoft Azure oder VMware als Full Service Provider zu betrachten und ihnen die Verantwortung für den gesamten Stack – von der Infrastruktur bis hoch auf die Applikationsebene – übertragen zu wollen, ist falsch“, sagt Büst. Und appelliert an die Eigen- bzw. Selbstverantwortung.
Geteilte Zuständigkeit verstehen und anwenden
Als einer der führenden Anbieter von Cloud-Lösungen widmet sich Microsoft diesem Thema in einem eigenen White Paper.
Und Microsoft definiert die Zuständigkeiten klar: Firmenbezogene Daten und Identitäten gehören bei jeder Art von Cloudbereitstellung dem Unternehmen. Dieses ist daher auch für den Schutz der Sicherheit seiner Daten und Identitäten, lokalen Ressourcen und der von der Firma gesteuerten Cloudkomponenten zuständig (abhängig von der Art des Dienstes). Für Daten, Endpunkte, Konten und Zugriffsverwaltung ist also das Unternehmen bzw. der Cloud-Kunde zuständig.