Das Shared-Responsibility-Modell beschreibt, wie Sicherheitsverantwortung zwischen Cloud-Anbieter und Kunde aufgeteilt wird. Der Anbieter verantwortet die Sicherheit der Cloud-Infrastruktur (physische Rechenzentren, Hypervisor, Netzwerk). Du als Kunde verantwortest die Sicherheit in der Cloud: Konfiguration, Zugriffsrechte, Datenverschlüsselung und Anwendungssicherheit. Die genaue Grenze verschiebt sich je nach Servicemodell (IaaS, PaaS, SaaS). Im ISMS musst Du das Modell pro Cloud-Dienst dokumentieren und sicherstellen, dass Dein Verantwortungsbereich lückenlos abgedeckt ist.