CCX 2021 Cloud Computing Conference Geteilte Verantwortung zum Schutz von Anbietern und Kunden

Redakteur: Elke Witmer-Goßner

Auf der CCX Cloud Computing Conference 2021 der Vogel IT-Akademie am 14. September wird Carsten Marmulla von carmasec den Workshop „Das ‚Shared Responsibility Model‘ in der Praxis“ halten. Im Interview erklärt er, was sich dahinter verbirgt und warum es wichtig ist, sich damit zu beschäftigen.

Firmen zum Thema

In Cloud-Projekten ist es besonders wichtig, die Verantwortungsbereiche deutlich voneinander abzugrenzen und ein klares Bild über Pflichten und Rechte der Akteure zu bekommen.
In Cloud-Projekten ist es besonders wichtig, die Verantwortungsbereiche deutlich voneinander abzugrenzen und ein klares Bild über Pflichten und Rechte der Akteure zu bekommen.
(Bild: gemeinfrei© Gerd Altmann / Pixabay )

Herr Marmulla, Ihr Workshop hat das Problem der geteilten Verantwortung zum Thema. Was steckt genau dahinter?

Carsten Marmulla: Das Themengebiet „Shared Responsibility Model“ bildet essentiell die einzelnen Ebenen der Verantwortlichkeiten für alle Aspekte eines Service-Provider-Angebots ab und trägt sehr wesentlich zum Verständnis der Dienstleistung bei, unabhängig davon, ob dieses Angebot in der Cloud oder als klassischer „Managed Service“ in einem Rechenzentrum erbracht wird. Häufig kommt es erst bei Abweichungen zum Regelbetrieb oder bei Compliance-Problemen zur Auseinandersetzung mit dem Thema Verantwortung. Daraus folgt nicht selten die Fragestellung des Verschuldens und der Haftung. Deshalb kann Klarheit und Bestimmtheit über die Verantwortlichkeiten von Beginn an ein zentraler Wettbewerbsvorteil sein.

Warum ist dieses Thema für Sie oder Ihr Publikum so wichtig?

Die technologische Entwicklung hat eine sehr hohe Komplexität erreicht, deshalb neigen einige Anwenderunternehmen zu einer Simplifizierung von Rahmenbedingungen, um Zeit zu sparen. Bereits klassische „Managed Services“ erfordern aber eine klare Regelung und Kenntnis der abgegrenzten Verantwortlichkeiten zwischen Kunde und Dienstleister. In Cloud-Infrastrukturen hängt es dann zusätzlich vom gewählten Service-Modell ab, für welche Ebenen welche Seite verantwortlich und haftbar gemacht werden kann. Ein unklares Verständnis oder eine fehlende Regelung von Verantwortungen können gerade bei Sicherheits- oder Compliance-Vorfällen schwerwiegende Konsequenzen für das Anwenderunternehmen haben, deshalb ist es ratsam gemeinsam mit dem Service-Provider eine klare Abgrenzung der Verantwortlichkeiten zu definieren.

► Mehr Infos zur CCX 2021 Cloud Computing Conference

 

 

Was sind für Sie die derzeit wichtigsten technologischen bzw. marktbezogenen Entwicklungen in Ihrem Bereich?

Ganz klar sind hier die verstärkte Nutzung von cloud-basierten Dienstleistungsangeboten ein zentraler, starker Treiber. Abhängig vom gewählten Service-Modell verschiebt sich die Verantwortung zwischen Anwender-/Kundenunternehmen und Service-Provider. Zudem ist es gerade bei einer Betrachtung der Sicherheitsaspekte wichtig, zwischen „Security of the Cloud“ und „Security in the Cloud“ zu unterscheiden, d.h. bewerte ich beispielsweise über einschlägige Zertfizierungen und Auditberichte die Sicherheit der vom Service-Provider bereitgestellten Cloud-Infrastruktur bzw. Cloud-Dienstes oder die Sicherheit der darin abgebildeten Geschäfts- bzw. IT-Prozesse und der damit verbundenen Datenverarbeitung. Hierzu ist es dann auch erforderlich die regulatorischen Anforderungen mit den technischen Möglichkeiten der cloud-basierten Infrastruktur abzugleichen und Lösungen aufzusetzen, die das Vorteilsversprechen des Dienstleistungsangebots mit den jeweils geltenden Compliance-Regelungen in Einklang bringen.

Carsten Marmulla, Senior Trusted Advisor, carmasec GmbH & Co. KG.
Carsten Marmulla, Senior Trusted Advisor, carmasec GmbH & Co. KG.
(Bild: Fotostudio Balsereit)

Was sind Ihrer Meinung nach derzeit die größten Herausforderungen für Unternehmen?

Das Management der Komplexität ist häufig eine der größten Herausforderungen, da zugleich der für die Umsetzung eingeplante Zeit- und Budgetrahmen meist ambitioniert geplant ist. Die Komplexität erfordert mittlerweile regelmäßig die Orchestrierung eines Projektteams mit Experten aus unterschiedlichen Themengebieten, denen aber das gemeinsame Zielbild klar kommuniziert werden muss, um dieses überhaupt erreichen zu können. Häufig fehlt es auch an „Übersetzern“, die Geschäftsanforderungen und regulatorische Anforderungen – gerade auch im internationalen Cloud-Umfeld – verstehen und in technische Konzepte für und mit der IT des Anwenderunternehmens umsetzen können. Gerade in diesen Projektsituationen mit vielen Beteiligten ist es umso notwendiger die Verantwortungsbereiche deutlich voneinander abzugrenzen und ein klares Bild über Pflichten und Rechte der Akteure zu bekommen und dies im Gesamtkonzept zu berücksichtigen.

Wie unterstützen Sie Ihre Partner in ihrem Tagesgeschäft bei technischen Problemen?

Wir unterstützen Anwendungsunternehmen und IT-Dienstleister von der Anforderungsanalyse über die Konzeption bis hin zur technischen Umsetzung von IT-Lösungen, die insbesondere auch nicht-funktionale Anforderungen von Projektbeginn an mitberücksichtigt und somit Versäumnisse und Defizite im Bereich von Cybersicherheit und IT-Compliance zu vermeiden versucht. Dazu zählt für uns auch eine unmissverständliche Erarbeitung einer geregelten Verantwortung für jeden Teilaspekt der erbrachten Dienstleistung, um Aufgaben und Pflichten zuweisen zu können und Zertifizierungen und Auditberichte im validen Kontext einordnen zu können. Gerade die Unterscheidung zwischen „Security der Cloud“ und „Security in der Cloud“ sind höchst erklärungsbedürftig und erfordern nicht nur entsprechende Methodenkenntnisse sondern auch Praxiswissen, wie sich komplexe Infrastrukturen strukturieren lassen ohne regulatorische Anforderungen zu vernachlässigen.

Was erscheint Ihnen abschließend noch besonders wichtig?

Für uns ist es wichtig, dass Sicherheitsanforderungen nicht zur Bremse oder zum Verhinderer von innovativen Lösungsansätzen werden. Gleichzeitig ist es aber unser Anspruch, auch diese Anforderungen so frühzeitig wie möglich in das Projekt einzubringen und Verständnisfragen schnell und pragmatisch aufzuklären. Produktivität und Security sind im besten Fall keine Widersprüche.

Zum Referenten

Carsten Marmulla, carmisec GmbH & Co. KG

Carsten Marmulla ist erfahrener Managementberater mit langjähriger Berufs- und Projekterfahrung in den Themenschwerpunkten Informationssicherheits-, und IT-Risikomanagement, IT-Compliance (u.a. Datenschutz), IT-Sicherheit und IT-Governance.

Er zeichnet sich durch sein exzellentes, aktuelles und praxiserprobtes Fachwissen sowie seine strukturierte und analytische Denk- sowie seine eigenständige Arbeitsweise aus.

Diese Fähigkeiten hat er in zahlreichen Projekten mit unterschiedlichen Aufgabenstellungen erfolgreich einsetzen können. Er übernimmt sowohl strategische, konzeptionelle sowie implementierende Aufgaben als auch Projektleitungs- und Ergebnisverantwortung.

Er ist als interner Auditor für ISO 27001, als ISIS12-Berater sowie gemäß der Methodenstandards ITIL v3, COBIT 4.1 und PRINCE2 zertifiziert.

► Mehr Infos zur CCX 2021 Cloud Computing Conference

 

 

(ID:47581282)