Shared Responsibility: Definition und Best Practices für SaaS-Anbieter und Kunden

In der Cloud haben viele Unternehmen die Vorteile einer flexiblen und skalierbaren Infrastruktur erkannt. Doch während die Cloud zweifellos zahlreiche Effizienzsteigerungen und Kosteneinsparungen bietet, besteht oft ein weit verbreiteter Irrglaube: Die Annahme, dass die Verantwortung für Sicherheit, Backup und Recovery automatisch auf den Cloud-Anbieter übergeht. Das Shared Responsibility Model steht im Zentrum dieses Missverständnisses und ist entscheidend für das Verständnis der Sicherheitslandschaft in der Cloud. Es definiert die gemeinsame Verantwortung von SaaS-Anbietern und ihren Kunden für die Sicherheit und den Schutz von Daten in der Cloud.

In diesem Artikel befassen wir uns näher mit dem Shared Responsibility Model. Das Konzept wird von allen SaaS-Anbietern angewendet, darunter auch von der Telekom, Microsoft oder AWS. Wir werden speziell auf die Rolle von Atlassian und seinen Kunden eingehen und Best Practices aufzeigen, die dabei helfen können, den jeweiligen Verantwortlichkeiten gerecht zu werden.

Was ist das Shared Responsibility Model?

Atlassian hat in seinen Cloud-Produkten die Sicherheit, Konformität und Zuverlässigkeit seiner Anwendungen sowie der zugrunde liegenden Systeme und ihrer Hosting-Umgebung zur obersten Priorität gemacht. Diese Schwerpunktsetzung unterstützt die Mission, führend im Bereich Cloud-Sicherheit zu sein, alle Kundenanforderungen an die Cloud-Sicherheit zu erfüllen und die Anforderungen aller Sicherheitsstandards und -zertifizierungen der Branche zu übertreffen.

Dennoch bedarf es zusätzlicher Sicherheits- und Datenschutzmaßnahmen – und zwar seitens der Kunden. In diesem Kontext spielt der Begriff Shared Responsibility Model eine wichtige Rolle.

Das Shared Responsibility Model bezieht sich auf das Konzept, dass sowohl der SaaS-Anbieter als auch der Kunde gemeinsam für die Sicherheit der Daten und Systeme in der Cloud-Umgebung verantwortlich sind. Es definiert die jeweiligen Verantwortlichkeiten und Pflichten in Bezug auf Sicherheit, Datenschutz und Compliance. Damit bildet es das Rückgrat für eine vertrauensvolle Zusammenarbeit.

Entgegengesetzt der weit verbreiteten Annahme, dass SaaS-Anbieter die alleinige Verantwortung hierfür tragen, sind also beide Seiten – Kunde und Anbieter – in der Verantwortung, gemeinsam daran zu arbeiten, Vertraulichkeit, Integrität und Verfügbarkeit von Daten in ihren SaaS-Umgebungen zu gewährleisten.

Jodocus Atlassian Shared Responsibility Model
Atlassians Shared Responsibility Model


Zusammengefasst trägt der Anbieter – in unserem Fall Atlassian – die Verantwortung für die Sicherheit der Infrastruktur, die physische Sicherheit der Rechenzentren und die Verfügbarkeit der Dienste. Auf der anderen Seite ist der Kunde verantwortlich für die Sicherheit seiner eigenen Daten, die Einhaltung von Compliance-Standards und die Kontrolle über den Zugriff auf die Systeme.

Indem sowohl Atlassian als auch seine Cloud-Kunden ihre Rollen verstehen und erfüllen, wird das Risiko von Sicherheitsvorfällen und Datenverlusten minimiert. Durch die gemeinsame Verantwortung können sich beide Parteien darauf konzentrieren, eine sichere und zuverlässige Nutzung von SaaS-Diensten zu gewährleisten.

Verantwortung von Atlassian im Rahmen des Shared Responsibility Models

Laut Shared Responsibility Model ist Atlassian als SaaS-Anbieter verpflichtet, eine sichere und vertrauenswürdige Plattform bereitzustellen, auf der Kunden ihre Daten speichern und verwalten können. Atlassian übernimmt die Verantwortung für die Sicherheit der Infrastruktur, die Verfügbarkeit der Dienste und die Implementierung von Sicherheitsmaßnahmen, um die Daten seiner Kunden zu schützen.

Zu den Verantwortlichkeiten von Atlassian im Rahmen des Shared Responsibility Models gehören:

1. Bereitstellung einer sicheren Infrastruktur

Atlassian ist dafür verantwortlich, eine robuste und hochverfügbare Infrastruktur bereitzustellen, die den Datenschutz- und Sicherheitsstandards entspricht. Dies umfasst die Implementierung von Firewalls, Verschlüsselungstechnologien und anderen Sicherheitsvorkehrungen zum Schutz vor unbefugtem Zugriff und Datenverlust.

2. Regelmäßige Sicherheitsupdates und Wartung

Atlassian führt regelmäßige Sicherheitsupdates und Wartungsarbeiten durch, um sicherzustellen, dass seine Plattformen vor bekannten Sicherheitslücken und Schwachstellen geschützt sind. Dies umfasst auch die Überwachung und Analyse von Sicherheitsvorfällen sowie die rasche Reaktion auf potenzielle Bedrohungen.

3. Einhaltung von Datenschutz- und Compliance-Standards

Atlassian verpflichtet sich, geltende Datenschutzgesetze und Compliance-Richtlinien – einschließlich ISO 27001/27018, SOC2, GDPR, PCI DSS, DSGVO und BaFin – einzuhalten, um die Vertraulichkeit der Daten seiner Kunden zu gewährleisten. Dazu gehört auch die Unterstützung bei der Einhaltung von branchenspezifischen Vorschriften und Standards.

4. Transparenz und Kundenkommunikation

Atlassian informiert seine Kunden transparent über Sicherheitsvorfälle, Datenschutzrichtlinien und Änderungen an der Plattform. Die Kunden erhalten regelmäßige Updates und Berichte über Sicherheitsmaßnahmen sowie Empfehlungen zur Verbesserung der Sicherheit ihrer Daten.

Alle Zuständigkeiten, Rollen und Verantwortlichkeiten seitens Atlassian lassen sich im Cloud Security Shared Responsibility Model nachlesen.

Verantwortung des Kunden im Rahmen des Shared Responsibility Models

Auch Atlassian Cloud-Kunden tragen im Rahmen des Shared Responsibility Models eine Reihe von Verantwortlichkeiten, um sicherzustellen, dass ihre Daten und die Nutzung der Produkte sicher und geschützt sind.

Hierzu gehören:

1. Sicherheitskonfiguration und Zugriffskontrolle

Kunden sind dafür verantwortlich, ihre Atlassian-Instanzen sicher zu konfigurieren und den Zugriff auf sensible Daten und Funktionen zu kontrollieren. Dies umfasst die Implementierung von starken Passwortrichtlinien, die Verwaltung von Benutzerberechtigungen und die Überwachung von Zugriffen auf die Systeme.

2. Datenschutz und Compliance

Kunden müssen sicherstellen, dass die Nutzung der Atlassian-Produkte den geltenden Datenschutzgesetzen und Compliance-Standards entspricht. Dazu gehört die Einhaltung von Richtlinien wie der Datenschutz-Grundverordnung (DSGVO) und branchenspezifischen Vorschriften, wenn personenbezogene Daten verarbeitet werden.

3. Regelmäßige Sicherheitsprüfungen und Audits

Es empfiehlt sich, regelmäßig Sicherheitsprüfungen und Audits durchführen, um potenzielle Sicherheitslücken zu identifizieren und zu beheben. Dies umfasst die Überprüfung der Systemkonfiguration, die Analyse von Protokollen und die Durchführung von Penetrationstests, um die Widerstandsfähigkeit gegenüber Angriffen zu gewährleisten.

4. Schulung und Sensibilisierung der Benutzer

Kunden sollten ihre User über bewährte Sicherheitspraktiken und Richtlinien informieren und Schulungen zur sicheren Nutzung der Atlassian-Produkte durchführen. Dies trägt dazu bei, das Risiko von Sicherheitsvorfällen aufgrund von menschlichem Fehlverhalten zu minimieren.

Best Practices für eine effektive Shared Responsibility

Um eine effektive Zusammenarbeit entsprechend des Shared Responsibility Models zu gewährleisten und die Sicherheit sowie Integrität der Daten in Atlassian-Produkten sicherzustellen, sollten Kunden und Anbieter Best Practices implementieren. Hier sind einige bewährte Methoden:

1. Eignung der SaaS-Lösung überprüfen

Bevor sich Kunden für die Nutzung einer Cloud-basierten Plattformen entscheiden, sollten sie auf Grundlage der vom Anbieter bereitgestellten Informationen überprüfen, ob ihre SaaS-Anwendungen die passende Lösung für ihr Unternehmen ist.

2. Regelmäßige Daten-Backups erstellen

Durch regelmäßige Backups können Unternehmen ihre Daten vor unvorhergesehenen Ereignissen wie Hardwareausfällen, menschlichen Fehlern oder Ransomware-Angriffe und andere Cyberbedrohunge schützen und so ihre täglichen Betriebsabläufe aufrechterhalten. Wenn Daten verloren gehen oder beschädigt werden, können sie aus den Backups schnell wiederhergestellt werden.
Viele Branchen und Rechtsvorschriften erfordern sogar, dass Unternehmen Daten für einen bestimmten Zeitraum aufbewahren und schützen.
Für eine umfassende und automatisierte Datensicherung empfehlen wir die folgenden Apps unserer Partner:

3. Klare Kommunikation und Vereinbarungen

Kunden und Anbieter sollten klare Kommunikationskanäle etablieren und Vereinbarungen treffen, die die jeweiligen Verantwortlichkeiten und Erwartungen klar definieren. Dies umfasst die Festlegung von Service Level Agreements (SLAs), Eskalationsprozessen und Ansprechpartnern für Sicherheitsfragen.
In seinen Tarifen für Jira und Confluence Premium bietet Atlassian beispielsweise ein finanziell abgesichertes SLA für 99,9 % Verfügbarkeit an, die Tarife für Jira und Confluence Enterprise enthalten ein finanziell abgesichertes SLA für 99,95 % Verfügbarkeit.

4. Regelmäßige Überprüfung und Aktualisierung von Richtlinien

Kunden sollten ihre Sicherheitsrichtlinien und -verfahren regelmäßig überprüfen und aktualisieren, um sicherzustellen, dass sie mit den sich ändernden Compliance-Anforderungen Schritt halten. Dies beinhaltet auch die Überprüfung und Anpassung von Zugriffskontrollen und Berechtigungen.

5. Schulung und Bewusstsein

Kunden sollten ihre Mitarbeiter regelmäßig schulen und sensibilisieren, um sicherzustellen, dass sie sich der Bedeutung von Sicherheit bewusst sind und bewährte Sicherheitspraktiken befolgen. Dies umfasst Schulungen zur Erkennung von Phishing-Angriffen, sicheren Passwortverfahren und dem Umgang mit sensiblen Daten.

6. Implementierung von Sicherheitsmaßnahmen

Kunden sollten proaktive Sicherheitsmaßnahmen implementieren, um ihre Atlassian-Instanzen zu schützen. Dazu gehören die Implementierung von Multifaktor-Authentifizierung, die Verschlüsselung von Daten im Ruhezustand und in der Übertragung sowie die Überwachung von Anomalien im Systemverhalten.

7. Zusammenarbeit und Partnerschaft

Kunden und Anbieter sollten eng zusammenarbeiten und als Partner agieren, um Sicherheitsvorfälle zu identifizieren, zu untersuchen und zu beheben. Dies umfasst die gemeinsame Analyse von Sicherheitsereignissen, die Zusammenarbeit bei der Erstellung von Sicherheitspatches und die kontinuierliche Verbesserung der Sicherheitspraktiken.

Zusammenfassung

Im Shared Responsibility Model tragen sowohl SaaS-Anbieter wie Atlassian als auch SaaS-Kunden eine gemeinsame Verantwortung für die Sicherheit und den Schutz der in den Produkten gespeicherten Daten. Atlassian stellt die Plattform und die Infrastruktur bereit, auf der die Daten gehostet werden. Dabei investiert der Softwarehersteller kontinuierlich in die Sicherheit seiner Plattformen und implementiert Sicherheitsmaßnahmen, um die Daten seiner Kunden zu schützen. Gleichzeitig sind die Kunden aufgefordert, bewährte Praktiken zur Sicherung ihrer Daten zu implementieren und zu pflegen. Sie sind für die sichere Konfiguration, den Zugriffsschutz und die Verwaltung ihrer Daten verantwortlich.

Oder um es mit den Worten von Atlassian zu sagen: „Wenn es um die Zuverlässigkeit, die Sicherheit, den Datenschutz und die Compliance der Atlassian Cloud geht, sind wir im selben Team und haben beide eine wichtige Rolle zu spielen. Wir bringen unser starkes Team von Sicherheitsexperten ein, die Tag und Nacht arbeiten, um sicherzustellen, dass die Sicherheit in unsere Produkte integriert ist, um potenzielle Risiken und Angriffe zu überwachen und um schnell zu reagieren, wenn sie erkannt werden. Sie müssen uns dabei helfen, indem Sie die Effektivität Ihrer Benutzerzugriffsverwaltung überprüfen, auf die von Ihnen eingegebenen Informationen achten, sicherstellen, dass Ihre Endpunkte gut verwaltet werden, und überprüfen, ob alle Marketplace-Anwendungen angemessen und vertrauenswürdig sind.”

Nützliche Links zur Datensicherheit

Für zusätzliches Infomaterial zum Thema Sicherheit und Shared Responsibility empfehlen wir folgende Seiten:

Weitere wissensartikel