Die Sicherheit von Daten, Systemen und Informationen muss organisatorisch und technisch für Hardware, Software und die zugrunde liegende Infrastruktur sichergestellt werden. Dazu existieren regulatorische Anforderungen und Standards, deren Einhaltung überwacht werden muss. Betrachtet man zunächst die einfache On-Premises-Bereitstellung, so wird schnell klar, dass alle Sicherheits- und Schutzmaßnahmen vom Unternehmen selbst getroffen, koordiniert, umgesetzt, überwacht und fortlaufend gemäß der Bedrohungslage und dem Stand der Technik aktualisiert werden müssen. Besonders für kleinere und mittelständische Unternehmen stellt dies eine große finanzielle und organisatorische Herausforderung dar. Wie würde sich die Nutzung eines der drei gängigen Cloud-Modelle für ein Unternehmen bezahlt machen?

Das IaaS-Modell

Mit dem IaaS-Modell delegiert ein Unternehmen die Aufgabe der Bereitstellung einer sicheren, zertifizierten und sich auf dem Stand der Technik befindlichen Datencenter-, Server-, Netzwerk- und Hostinfrastruktur an einen Cloud-Anbieter. Die Einhaltung von Normen, Regularien und Standards zum Betrieb des Rechenzentrums, der Server und der Netzwerkanbindung wird also vom Cloud-Anbieter übernommen. Notwendige Aktualisierungen werden vom Cloud-Anbieter durchgeführt, ohne dass auf Kundenseite beispielsweise neue Hardware angeschafft oder neues Sicherheitspersonal eingestellt oder geschult werden muss. Auch bei Datenwiederherstellung und Notfallmanagement profitiert der Cloud-Kunde von der Infrastruktur des Anbieters. Viele Cloud-Anbieter bieten hier mehrere Optionen an, etwa die lokale redundante oder die georedundante Speicherung von Daten in Datencentern in verschiedenen Regionen. Da der im Wettbewerb mit Konkurrenten stehende Cloud-Anbieter selbst ein großes Interesse daran hat, sich nach etablierten Sicherheitsstandards zertifizieren zu lassen, profitiert der Cloud-Kunde zudem von der fortlaufend überprüften Einhaltung gängiger und hoher Sicherheitsstandards durch den Cloud-Anbieter.

Das PaaS-Modell

Beim PaaS-Modell werden neben der Infrastruktur auch die Sicherheit der für den Betrieb einer Plattform notwendigen Software – etwa Betriebssysteme und Datenbanksysteme – durch den Cloud-Anbieter bereitgestellt. Hierdurch werden Umsetzung und Überprüfung softwareseitiger Sicherheitsmaßnahmen an den Cloud-Anbieter delegiert. Dies gilt etwa für die Umsetzung eines Identitäts- und Zugriffsmanagements, die Bereitstellung sicherer Verschlüsselungsprotokolle und die Forcierung der Einhaltung guter Entwicklungspraktiken. Das PaaS-Modell ermöglicht einem Kunden also den Aufbau eigener Applikationen auf einer fortlaufend überprüften und vertrauenswürdigen Infrastruktur- und Softwareplattform. Dadurch erhalten Entwickler auf Kundenseite eine standardisierte und fortlaufend überwachte Basis für die Implementierung eigener Applikationen.

Oft können PaaS-Kunden dabei bereits auf Sicherheitszertifizierungen des Anbieters aufbauen. Auf Plattformebene stellen viele Cloud-Anbieter zudem spezielle Tools und Dienste bereit, die dem Kunden die Möglichkeit geben, ein höheres Maß an Sicherheit zu erzielen. Dazu zählen beispielsweise Tools zur Schwachstellenanalyse oder zur Analyse und Klassifizierung von Daten nach ihrem Schutzbedarf.

Das SaaS-Modell

Die Nutzung des SaaS-Modells bedeutet den weitreichendsten Transfer von Zuständigkeiten vom Cloud-Kunden zum Anbieter. Da die gesamte Anwendung vom Anbieter bereitgestellt wird, entfällt auf Kundenseite sogar die Entwicklung der Applikation. Damit gehen weiter-führende Sicherheits- und Compliance-Kontrollen bezüglich der Software in den Aufgaben-bereich des Anbieters über. Unter anderem zählen hierzu etwa die kostspielige Überprüfung der Software auf Sicherheitslücken sowie die Bereitstellung fortlaufender Aktualisierungen und Updates. Nutzer von SaaS-Anwendungen erreichen ein sehr hohes Maß an Flexibilität, da das Portfolio an IT-Diensten, welche über SaaS bezogen wird, sehr einfach skaliert oder ergänzt werden kann, ohne dass dabei weitere Investitionen in Infrastruktur, Entwicklung oder Zertifizierungen anfallen. Audits und Zertifizierungen, die sich direkt auf die Sicherheit der Hardware- und Softwarekomponenten beziehen, werden vom Cloud-Anbieter erbracht.