Verantwortung in der Cloud: Das Shared-Responsibility-Modell

Das Shared-Responsibility-Prinzip regelt, wie Aufgaben und Pflichten zwischen Cloud-Provider und Kunden aufgeteilt werden. Warum das Kleingedruckte die größte Sicherheitslücke darstellen kann.

Von unserem Gastautor Michael Heuer, Area VP Central Europe / DACH bei Keepit

[datensicherheit.de, 28.11.2025] Cloud-Dienste und SaaS-Anwendungen sind für viele Unternehmen fester Bestandteil ihrer IT-Strategie. Doch bei der Auslagerung von Daten oder Prozessen in die Cloud liegt die Verantwortung für Sicherheit und Compliance nicht ausschließlich beim Anbieter. Das Prinzip der Shared Responsibility regelt, wie Aufgaben und Pflichten zwischen Cloud-Provider und Kunden aufgeteilt werden – sorgt jedoch nicht selten für Missverständnisse, die zu gravierenden Risiken und Sicherheitslücken führen können. Unternehmen müssen wissen, welche Komponenten sie selbst absichern und welche Prozesse sie aktiv managen müssen, damit vor allem Datenschutz, Zugriffsrechte , Wiederherstellbarkeit und Resilienz gewährleistet sind.

Auslagerung von Daten und Prozessen in die Cloud

Unternehmen lagern immer mehr Daten und Prozesse in die Cloud aus – und gehen dabei oft davon aus, dass der Anbieter automatisch auch für die Datensicherheit, Wiederherstellung und Compliance verantwortlich ist. Üblicherweise endet die Verantwortung des Cloud- oder SaaS-Providers meist beim Betrieb während die Aufgaben des Nutzern vor allem die Zugriffsrechte und Sicherung der Daten betreffen. Das Shared-Responsibility-Prinzip regelt diese Aufgabenteilung und definiert klar. Wer das nicht beachtet, riskiert Datenverluste, Compliance-Verstöße und im Ernstfall den Stillstand des Geschäftsbetriebs.

Das Shared-Responsibility-Modell im Überblick

Das Shared Responsibility-Modell beschreibt die Aufteilung von Sicherheits- und Managementpflichten zwischen Cloud-Anbieter und Kunde. Abhängig davon, ob ein Dienst als Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) oder Software-as-a-Service (SaaS) genutzt wird, variieren die Zuständigkeiten. Während der Cloud Anbieter für die physische Infrastruktur, Netzwerke und die Verfügbarkeit der Plattform sorgt, liegt die Verantwortung für Nutzerkonten, Zugriffsrechte, Dateninhalte und Backups beim Kunden. Diese scheinbar einfache Regel führt in der Praxis häufig zu Missverständnissen – insbesondere, wenn Unternehmen davon ausgehen, dass der Cloud-Anbieter auch für die Wiederherstellbarkeit oder Langzeit-Sicherung ihrer Daten sorgt.

Das stille Risiko: Die Schutzlücke

Gerade in SaaS-Umgebungen besteht häufig eine falsche Wahrnehmung . Viele Organisationen gehen davon aus, dass die in Anwendungen integrierten Sicherheits- mechanismen – etwa Papierkörbe oder temporäre Wiederherstellungsfunktionen – bereits vollwertige Backups darstellen oder ersetzen. In der Praxis bieten diese jedoch nur eingeschränkten Schutz und erfüllen selten die Anforderungen an Integrität, Verfügbarkeit und Nachvollziehbarkeit, wie sie beispielsweise durch die DSGVO gefordert werden.

Eine aktuelle Umfrage von Keepit zeigt, dass rund 37 Prozent der IT-Entscheider ausschließlich auf native SaaS-Schutzmechanismen vertrauen und dadurch das Risiko von Datenverlusten – etwa infolge menschlicher Fehler, Malware oder System-Fehlfunktionen – deutlich unterschätzen. Fehlende Wiederherstellungsoptionen sowie unklare Vertragsbedingungen in den Service Level Agreements verschärfen dieses Risiko zusätzlich.

Regulatorische Vorgaben für sicheres Cloud-Datenmanagement

Die regulatorischen Anforderungen an Cloud- und SaaS-Datenmanagement sind in den letzten Jahren deutlich gestiegen. Unternehmen müssen heute mehrere Ebenen der Compliance parallel erfüllen – vom Datenschutz über IT-Resilienz bis hin zur Datenaufbewahrung.

Die DSGVO verpflichtet Organisationen, personenbezogene Daten jederzeit zu vergessen (§17), aber auch wiederherstellbar zu machen (§32). Zudem müssen Verträge zur Auftragsverarbeitung (DPA/AVV) sicherstellen, dass Dienstleister Daten nur im Rahmen klar definierter Weisungen und Schutzniveau gemäß den EU Richtlinien verarbeiten und ausreichende technische sowie organisatorische Schutzmaßnahmen (TOMs) nachweisen können.

Mit KRITIS, NIS2 und DORA rücken darüber hinaus digitale Resilienz und Betriebsstabilität in den Mittelpunkt. Diese Regelwerke verlangen von Unternehmen, strukturierte Risikoanalysen, Notfallpläne und regelmäßige Tests ihrer IT- und Backup-Systeme durchzuführen. Während NIS2 branchenübergreifend für viele kritische und wichtige Infrastrukturen gilt, adressiert DORA speziell Organisationen im Finanzwesen und deren IT-Dienstleister. Ziel ist in allen Fällen: Systeme müssen Angriffe und Ausfälle überstehen und eine schnelle Wiederherstellung gewährleisten.

Hinzu kommt die Verpflichtung zur Datenresilienz und -lokalisierung. Zahlreiche /(EU-) Regelwerke, wie KRITIS, insbesondere in stark regulierten Branchen wie Energie, Verwaltung oder Gesundheit, verlangen, dass Daten – und damit auch Backups – innerhalb der Europäischen Union auf einer anderen Infrastruktur gespeichert werden als die Betriebsdaten.

Eine zentrale Rolle spielen nach wie vor die Archivierungspflichten: Handels-, Steuer- und branchenspezifische Gesetze fordern die langfristige, revisionssichere Aufbewahrung geschäftsrelevanter Daten. Backup-Systeme müssen deshalb nicht nur Redundanz und Wiederherstellbarkeit, sondern auch unveränderliche Langzeitsicherung der Daten und nachvollziehbare Löschkonzepte gewährleisten.

Technische Anforderungen an sichere SaaS-Backups

Technisch sichere SaaS-Backups beruhen auf Prinzipien, die Verfügbarkeit, Integrität, Nachvollziehbarkeit und Datenschutz gewährleisten. Entscheidend dabei sind physische und logische Trennung des Storage, manipulationssichere Speicherung der Daten, granulare Wiederherstellungsoptionen und kontrollierter und protokollierter Zugriff – diese bilden das Fundament einer belastbaren Backup-Architektur.

Ein Backup darf nie in derselben Umgebung liegen wie die produktiven Daten. Nur klar getrennte Infrastrukturen schützen vor Ausfällen und Attacken in der Primärumgebung. Moderne Lösungen speichern mehrere Datenkopien in verschiedenen Rechenzentren oder Cloud-Regionen und bieten Geo-Redundanz, damit Backups auch bei Totalausfällen oder Ransomware-Angriffen verfügbar bleiben. Diese physische und logische Trennung ist der erste Schritt zu echter Business Continuity.

Michael Heuer, Area VP Central Europe / DACH bei Keepit, © Keepit Germany GmbH / Foto: Michael Heuer

Ebenso wichtig ist die Fähigkeit, Daten präzise wiederherzustellen. Granulare Wiederherstellungen erlauben es, gezielt einzelne E-Mails, Dateien oder Objekte zurück zu erlangen. Das verkürzt Ausfallzeiten, beschleunigt Incident Response Prozese und senkt Betriebskosten.

Compliance-Vorgaben wie DSGVO, NIS-2 oder DORA setzen zudem eine sichere, nachvollziehbare Aufbewahrung voraus. Variable Retention Policies verbinden langfristige Sicherung der Daten mit revisionssicherer Löschung. Audit Trails und Versionierungen stellen sicher, dass gesetzliche Nachweis- und Löschpflichten lückenlos erfüllt werden.

Nicht zuletzt sorgt Verschlüsselung für eine durchgängige Schutzebene. Sie bewahrt Daten „in transit“ und „at rest“ vor unbefugtem Zugriff. Ergänzend verhindern rollenbasierte Zugriffskontrollen, Multi-Faktor-Authentifizierung und Audit-Logging den Missbrauch von Administratorrechten – konform mit ISO 27001, DSGVO und branchenspezifischen Sicherheitsstandards, z.B. TISAX (Automobilindustrie).

Handlungsempfehlungen für Unternehmen

Damit das Shared-Responsibility-Modell in der Praxis greift, müssen Unternehmen sowohl organisatorisch als auch technisch klare Strukturen schaffen. Ausgangspunkt ist die Dokumentation aller Rollen und Zuständigkeiten. Hier muss geklärt werden, wer Verantwortung trägt für Datensicherung, Überwachung und Wiederherstellung. Nur wenn diese Aufgaben intern eindeutig zugeordnet sind, lassen sich Haftungs- und Sicherheitslücken vermeiden. Parallel dazu sollte eine detaillierte Vertragsprüfung erfolgen. SaaS-Verträge müssen klare Regelungen zu Datensicherung, Wiederherstellung und Haftung enthalten, ebenso eine rechtssichere Vereinbarung zur Auftragsdatenverarbeitung.

Auf operativer Ebene ist eine abgestimmte Backup-Strategie zentral. Dabei lautet die Frage: Welche Daten werden in welcher Frequenz gesichert, wie lange aufbewahrt und auf welchen Infrastrukturen gespeichert? Ergänzend sind strenge Zugriffssteuerungen notwendig – etwa die Absicherung durch Multi-Faktor-Authentifizierung, getrennte Administratorrechte und die Nutzung unveränderlicher Speichersysteme (Immutable Storage), um Manipulationen auszuschließen. Ebenso wichtig sind regelmäßige Tests: Nur wer seine Backups und Wiederherstellungszeiten mindestens zweimal jährlich überprüft, kann auf Ausfälle realistisch reagieren. Im Ernstfall sichern klar definierte Notfall- und Wiederherstellungspläne die Handlungsfähigkeit und Nachweispflicht gegenüber Aufsichtsbehörden.

Bewertungskriterien für Backup-Lösungen

• Bei der Auswahl einer Backup-Lösung für SaaS-Daten sollten Unternehmen auf wesentliche Kriterien achten: Zunächst ist eine strikt getrennte Infrastruktur vom SaaS-Anbieter ein entscheidendes Sicherheitsmerkmal, denn nur so lässt sich verhindern, dass im Falle eines Angriffs oder Ausfalls auch die Backups beeinträchtigt werden. Die Lösung sollte außerdem die Möglichkeit bieten, Daten unveränderlich zu speichern. Flexible Aufbewahrungszeiten sind ebenso wichtig, damit Compliance-Anforderungen und gesetzliche Archivierungspflichten individuell abgebildet werden können.
• Ein weiterer entscheidender Faktor ist die Geschwindigkeit der Wiederherstellung: Die Backup-Lösung muss schnelle, im besten Fall granulare Wiederherstellungen erlauben, um Ausfallzeiten zu minimieren und gezielt einzelne Dateien oder Objekte zurückzuholen. Besonders für europäische Unternehmen ist die Möglichkeit der EU-Datenresidenz zentral, denn die Einhaltung von Datenschutzvorgaben wie der DSGVO verlangt häufig, dass Daten in der EU verbleiben.

Schließlich sollten Anbieter transparente Nachweise über ihre Compliance-Standards, wie Zertifikate, Audits und Service-Level-Agreements (SLAs), vorlegen können. Ebenso ist ein klar klares Shared-Responsibility-Modell notwendig, damit Kunden genau verstehen, welche Aufgaben beim Anbieter liegen und wofür sie selbst verantwortlich sind. Das stellt sicher, dass SaaS Data Backup-Lösungen sowohl technische Sicherheit als auch regulatorische Anforderungen erfüllt und Unternehmen optimal vor Datenverlusten schützt.

Idealweise unterstützt der SaaS Data Backup Anbieter viele verschiedene SaaS Workloads, so das sich nicht nur die Beschaffung, sondern auch alle Prozesse leichter aufeinander abgestimmt werden können.

Fazit: Geteilte Verantwortung braucht klare Rahmenbedingungen

Das Shared-Responsibility-Modell ist kein abstraktes Konzept – es bildet vielmehr die Grundlage für wirksames Cloud-Sicherheitsmanagement. Wer die Grenzen der eigenen Verantwortung kennt, kann Risiken gezielt begegnen – durch unabhängige, unveränderbare Backups in physisch getrennten Infrastrukturen, durch regelmäßig getestete Wiederherstellungsprozesse und lückenlose Dokumentation. Diese Maßnahmen schaffen die Basis für Compliance, Resilienz und digitale Souveränität. In Cloud-Umgebungen wird Shared Responsibility damit zur Voraussetzung für nachhaltige Cybersicherheit.

Weitere Informationen zum Thema:

datensicherheit.de, 12.09.2025
Kabinettsbeschluss zum KRITIS-Dachgesetz: eco sieht Eile geboten – aber ohne doppelte Pflichten