Cloud Security: Was bedeutet Shared Responsibility für SaaS-Kunden?

Über diesen Artikel

Im Laufe der letzten anderthalb Jahre haben wir uns von Revyz mit vielen Atlassian-Kunden und -Partnern ausgetauscht. Dabei ist uns aufgefallen, dass es viel Verwirrung darüber gibt, wer für geschäftskritische Daten in einer SaaS-Umgebung verantwortlich ist.  

Dieser Beitrag räumt einige weit verbreitete Mythen aus dem Weg und soll Atlassian-Administratoren dabei helfen, Klarheit über die Terminologie sowie die Rolle des Kunden bzw. Administrators (der den Kunden, der die SaaS-Anwendung nutzt, vertritt) und die des SaaS-Anbieters zu schaffen, wenn es um die Verantwortung der Datensicherheit geht.  

Wir hoffen, dass dieser Beitrag SaaS-Kunden dabei unterstützt, strategische Entscheidungen in Bezug auf ihre Datenverwaltung zu treffen.

Software as a Service (SaaS)

SaaS steht für Software as a Service – ein Softwarebereitstellungsmodell, bei dem Softwareanwendungen in einer Cloud-Infrastruktur gehostet und dem Kunden über das Internet als Dienstleistung zur Verfügung gestellt werden. Bedeutet, dass Kunden die Software weder kaufen noch auf den eigenen Servern oder Computern installieren müssen. SaaS ist eine beliebte Wahl für Unternehmen aller Größen, da es eine Reihe von Vorteilen bietet, darunter:

  • Geringere Vorlaufkosten: Bei SaaS müssen Unternehmen die Software nicht im Voraus kaufen. Sie schließen einfach ein Abonnement für die Nutzung der Software ab und zahlen dafür eine Gebühr.
  • Skalierbarkeit: SaaS ist skalierbar, so dass Unternehmen bei Bedarf problemlos Benutzer hinzufügen oder entfernen können.
  • Benutzerfreundlichkeit: SaaS-Anwendungen sind in der Regel einfach zu bedienen und erfordern keine spezielle Installation oder Konfiguration.
  • Zeitgemäße Software: SaaS-Anbieter sind für die Wartung und Aktualisierung der Software verantwortlich, so dass Unternehmen sicher sein können, dass sie immer die neueste Version verwenden.

Beispiele für bekannte SaaS-Anwendungen sind:

  • Atlassian – Jira Cloud, Confluence Cloud
  • Google – G Suite (E-Mail, Kalender, Docs, usw.)
  • Microsoft – Office 365
  • Salesforce

Neben vielen Vorteilen geht das SaaS-Modell aber auch mit Nachteile einher, deren man sich bewusst sein sollte:

  • Bindung an den Anbieter: SaaS-Kunden sind an den Anbieter gebunden, der die Anwendung bereitstellt. Wenn sie mit dem Anbieter oder seinem Service nicht zufrieden sind, kann es schwierig sein, zu einem anderen Anbieter zu wechseln.
  • Datensicherheit: Daten von SaaS-Kunden werden auf den Servern des Anbieters gespeichert. Das bedeutet, dass sie ihre Daten dem Anbieter und seinen Sicherheitsverfahren anvertrauen.
  • Ausfallzeiten: Da SaaS-Anwendungen in der Cloud gehostet werden, kann es zu Ausfallzeiten kommen. Wenn die Server des Anbieters ausfallen, können Kunden möglicherweise nicht auf ihre Anwendungen zugreifen.
  • Einhaltung der Vorschriften: SaaS-Anbieter müssen eine Reihe von Vorschriften einhalten, z. B. HIPAA und GDPR. SaaS-Kunden müssen dabei sicherstellen, dass der Anbieter die für sie geltenden Vorschriften einhält.

SaaS bietet viele Vorteile, aber es gibt auch einige Kompromisse zu berücksichtigen. Es ist wichtig, dass du die Vorteile und Nachteile abwägst, bevor du entscheidest, ob SaaS die richtige Wahl für dein Unternehmen ist.

Das Missverständnis von SaaS

Bevor man sich für die Nutzung von SaaS-Anwendungen entscheidet, sollte man sich nicht nur über die Nachteile, sondern auch über verbreitete Missverständnisse im Klaren sein:

  • Der Cloud-Anbieter ist für alles verantwortlich. Das ist nicht richtig. Der Cloud-Anbieter ist für die Sicherheit der zugrunde liegenden Infrastruktur verantwortlich, während der Kunde die Verantwortung für die Sicherheit seiner Daten und Anwendungen trägt.
  • Der Cloud-Anbieter ist immer erreichbar und einsatzbereit. Das ist nicht richtig. Wie bei jedem anderen IT-System kann es auch beim Cloud-Anbieter zu Ausfällen kommen. Für solche Fälle sollte der Kunde einen Plan haben, z. B. einen Backup-Plan für seine Daten und Anwendungen.
  • Der Cloud-Anbieter ist immer regelkonform. Das ist nicht wahr. Der Cloud-Anbieter ist für die Einhaltung der Vorschriften verantwortlich, aber auch der Kunde ist dafür verantwortlich, dass er die Vorschriften einhält. Der Kunde sollte die Compliance-Dokumentation des Cloud-Anbieters überprüfen, um sicherzustellen, dass er seine Anforderungen erfüllt.

An dieser Stelle ist es für SaaS-Kunde wichtig, das Shared Responsibility Modell zu verstehen, um fundierte Entscheidungen über ihre Sicherheitslage treffen können. Sich der Rollen und Verantwortlichkeiten von sowohl dem Cloud-Anbieter als auch dem Kunden bewusst zu werden, kann zur Sicherheit der Daten und Anwendungen beitragen.

Das Shared Responsibility Modell

Jeder SaaS-Anbieter veröffentlicht ein Dokument, in dem die Zuständigkeiten für den bereitgestellten Dienst festgelegt und die Rolle und Verantwortung von sowohl Anbieter als auch Kunde beschrieben sind. Die Verantwortung wird zwischen den beiden Parteien geteilt, daher der Name Shared Responsibility.
So sind der SaaS-Anbieter und der Kunde jeweils für verschiedene Komponenten verantwortlich, aus denen der Dienst besteht. Der SaaS-Anbieter ist für die Dinge verantwortlich, die seiner Kontrolle unterliegen, wie z. B. für die physische Infrastruktur und die Umgebungs- und Recheninfrastruktur. Der Kunde hingegen ist dafür verantwortlich, dass Benutzerzugriffe den Richtlinien des Unternehmens unterliegen und dem Least Privilege-Prinzip folgen sowie für die Datensicherung.

Eine häufig gestellte Frage in diesem Zusammenhang ist, warum SaaS-Anbieter keine Sicherung der Daten anbieten. Vereinfacht gesagt, werden alle von einem Kunden erstellten Daten oder Inhalte auf den von ihm genutzten SaaS-Servern gehostet, zusammen mit den Daten aller anderen Kunden des Anbieters. Nehmen wir nun an, ein Anbieter hat eine Million Nutzer. Alles, was jeder dieser Millionen Nutzer in die Cloud lädt, wird in einen Topf geworfen – so entsteht auf Seiten des Anbieters ein riesiger Pool von durcheinander geworfenem Computercode. Wenn es zu einem Datenverlust kommt, ist es folglich extrem schwierig, verlorene Dateien und Informationen wiederherzustellen, da es der Suche nach einer Nadel im Heuhaufen gleicht. Aus diesem Grund enthalten viele SaaS-Anwendungen in ihren allgemeinen Geschäftsbedingungen Bestimmungen darüber, was in einem solchen Fall wiederhergestellt werden kann und was nicht. Unterm Strich liegt die Sicherheit und der Schutz von Daten beim Kunden.

Jodocus SaaS Shared Responsibility Model

Das Atlassian Shared Responsibility Modell

Mit dem Cloud Security Shared Responsibility Model stellt Atlassian seinen Cloud-Kunden, die beispielsweise Jira Software, Confluence und Jira Service Management nutzen, eine transparente Übersicht über die Zuständigkeiten, Rollen und Verantwortlichkeiten zur Verfügung. Zusammengefasst ist Atlassian für die Sicherheit der Anwendungen, die Systeme, auf denen sie laufen, und die Umgebungen, in denen diese Systeme gehostet werden, verantwortlich. Sie stellen sicher, dass die verwendeten Systeme und Umgebungen den relevanten Standards, einschließlich PCI DSS und SOC2, entsprechen.

Für dich als Kunden lassen sich daraus folgende wichtige Erkenntnisse ziehen:

  • Bevor du dich für die Nutzung der Cloud-basierten Plattformen von Atlassian entscheidest, solltest du auf Grundlage der von Atlassian bereitgestellten Informationen überprüfen, ob ihre SaaS-Anwendungen die passende Lösung für dein Unternehmen sind.
  • Schütze deine Endpoints durch gute Sicherheitspraktiken.
  • Es liegt in deiner Verantwortung, wer auf die Atlassian-Plattform und die darauf abgelegten Daten zugreifen kann.
  • Erstelle regelmäßig Backups deiner Daten.
  • Prüfe die Eignung von Marketplace-Apps, die du verwenden möchtest.
  • Benachrichtige Atlassian über jegliche Auffälligkeiten, die du beim Verwenden einer Marketplace-App bemerkst.
Jodocus Atlassian Shared Responsibility Model
Type image caption here (optional)

Was das bedeutet und wie du deine SaaS-Daten schützen kannst

Als SaaS-Kunde bist du dafür verantwortlich, wer auf deine SaaS-Anwendung und die darin enthaltenen Daten zugreifen kann und solltest diese entsprechend schützen. SaaS-Anbieter sind nicht dafür verantwortlich, wer Zugriff auf deine Instanz der SaaS-Anwendung hat, und auch nicht für Datenverluste im Zusammenhang mit vom Kunden veranlassten destruktiven Änderungen an den Daten.

‍Revyz hilft dir, deine Verantwortung für den Schutz deiner Daten zu vereinfachen, indem wir deine Jira Cloud-Daten sichern und sie dir im Falle eines Datenverlusts jederzeit zur Wiederherstellung zur Verfügung stellen

Du möchtest mehr über das Shared Responsibility Modell erfahren? Hier sind einige Referenzen, die wir empfehlen:

Du hast Fragen oder möchtest mehr zum Shared Responsibility Model erfahren? Dann kontaktiere uns einfach – wir helfen dir gerne weiter.

Am beliebtesten