IT-Security: Rechtsfragen bei Managed Services
Shared-Responsibility-Modelle gehören zum Verlagern der IT in die Cloud. Dabei müssen sich Provider und Kunden an gesetzliche Rahmenbedingungen halten.
- Tobias Haar
Eine wesentliche Motivation beim Auslagern von Unternehmensprozessen und -funktionen ist der Wunsch, sich auf die eigentlichen Geschäftsfelder konzentrieren zu können, um die Effizienz der operativen Geschäftsprozesse zu fördern und idealerweise auch die IT-Kosten zu senken. Dabei stellen sich Rechtsfragen zu Verantwortlichkeiten und Haftung, die angemessen geregelt werden müssen.
Dies gilt nicht nur vor dem Hintergrund der Datenschutz-Grundverordnung oder Lösungsansätzen wie dem Shared Responsibility Model. Ein gutes Beispiel für die Anwendung des Modells ist Amazon Web Services, kurz AWS. Dort heißt es: "Sicherheit und Compliance ist eine geteilte Verantwortung, für die sowohl AWS als auch der Kunde verantwortlich ist." Der Anbieter weist auch darauf hin, dass das Maß der Kundenverantwortlichkeit davon abhängt, welchen Service dieser konkret bei Amazon einkauft.
Bei Amazon Elastic Compute Cloud (Amazon EC2) beispielsweise ĂĽbernimmt der Kunde "alle erforderlichen Sicherheitskonfigurations- und -verwaltungsaufgaben". Das Prinzip der geteilten Verantwortlichkeit wird auch auf IT-Kontrollen ausgedehnt: "Genau wie die Verantwortung zum Betrieb der IT-Umgebung von AWS und seinen Kunden geteilt getragen wird, so wird auch die Verwaltung, der Betrieb und die Verifizierung von IT-Kontrollen geteilt getragen."
Das war die Leseprobe unseres heise-Plus-Artikels "IT-Security: Rechtsfragen bei Managed Services ". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.