Bundesamt für Sicherheit in der Informationstechnik

G 2.176 Mangelnde Kommunikation zwischen Cloud-Diensteanbieter und Cloud-Anwender

Die Nutzung von Cloud-Diensten erfordert eine umfassende Kommunikation zwischen Cloud-Diensteanbieter und Cloud-Anwender. Dadurch, dass der Cloud-Anwender eine externe Dienstleistung bezieht und darüber hinaus gegebenenfalls diesbezügliche Sicherheitsmanagement-Tätigkeiten ausgelagert werden, ist eine enge Koordination zwischen den beiden Parteien notwendig.

Eine mangelnde Kommunikation zum Cloud-Anwender kann in verschiedensten Phasen und Prozessen auftreten und unterschiedliche negative Auswirkungen haben, wie die nachfolgenden Beispiele zeigen.

Beispiele:

  • Mangelnde Kommunikation während Planung und Beauftragung
    Insbesondere bei der Planung und Beauftragung der Cloud-Dienste können mangelnde Kommunikation und Abstimmung zwischen den Beteiligten sehr starke negative Auswirkungen auf die Leistungserbringung haben. Sofern in dieser Phase die verschiedenen Anforderungen nicht kommuniziert und berücksichtigt werden, wird dies im weiteren Verlauf der Leistungserbringung zu unterschiedlichsten Problemen führen. Hieraus können sich erhebliche Mehrkosten auf beiden Seiten ergeben, beispielsweise durch Vertragsänderungen, zusätzliche Sicherheitsmaßnahmen, zusätzliche Audits oder möglicherweise sogar juristische Folgen.
  • Mangelnde Kommunikation über die Einhaltung der Dienstgüte
    Sofern der Nachweis der Dienstgüte gegenüber dem Cloud-Anwender aufgrund von mangelnder Kommunikation oder undefinierten Kommunikationsschnittstellen nicht erbracht werden kann, ist die korrekte Leistungserbringung bei Unstimmigkeiten nicht zweifelsfrei belegbar, und die Rechnungsstellung wird gefährdet. Mangelhafte oder nicht kommunizierte Kennzahlen hinsichtlich der Dienstgüte können dazu führen, dass der Cloud-Diensteanbieter die vereinbarten Anforderungen unbemerkt über- oder untererfüllt. Somit kann eine ineffiziente Ressourceneinteilung sowohl vom Cloud-Anwender als auch vom Cloud-Diensteanbieter unbemerkt bleiben.
  • Mangelnde Kommunikation im Sicherheitsvorfallmanagement
    Durch eine ungenügende Kommunikation im Rahmen des Störungsmanagements oder Sicherheitsvorfallmanagements können Schnittstellen nicht bekannt oder Ansprechpartner außerhalb von Betriebszeiten nicht erreichbar sein. Daraus ergeben sich gegebenenfalls erhebliche Verzögerungen bei der Bearbeitung von Störungen und Vorfällen.

Stand: 14. EL Stand 2014