IaaS (Infrastructure as a Service), PaaS (Platform as a Service) und SaaS (Software as a Service) beschreiben drei Abstraktionsebenen von Cloud-Diensten. Bei IaaS mietest du virtuelle Maschinen und Netzwerke — Betriebssystem und Anwendung verantwortest du selbst. PaaS stellt zusätzlich die Laufzeitumgebung bereit, sodass du dich auf den Anwendungscode konzentrieren kannst. Bei SaaS nutzt du eine fertige Anwendung über den Browser. Für dein ISMS ist entscheidend, welche Sicherheitsverantwortung bei dir und welche beim Anbieter liegt (Shared Responsibility Model). Je höher die Abstraktion, desto weniger technische Kontrollen musst du selbst umsetzen — desto wichtiger wird aber die Lieferantensteuerung. Dokumentiere das Servicemodell jedes Cloud-Dienstes in deinem Asset-Inventar.