Bundesamt für Sicherheit in der Informationstechnik

G 2.178 Unzureichendes Notfallmanagement beim Cloud-Diensteanbieter

Im Rahmen eines IT-Betriebs können Störungen und Unglücke, auch größere, erfahrungsgemäß nicht vollständig verhindert werden. Aufgrund der Konzentration der Ressourcen in zentralen Rechenzentren können Versäumnisse im Notfallmanagement beim Cloud Computing schnell gravierende Folgen nach sich ziehen. Ein unzureichendes Notfallmanagement kann Probleme, die bei Störungen und Unglücken in einer Cloud-Infrastruktur auftreten, wesentlich verschlimmern, Ausfallzeiten verlängern und so die Produktivitätseinbußen, die der Cloud-Diensteanbieter bei einem Notfall erleidet, noch verstärken.

Über den eigentlichen Notfall hinaus kann unzureichendes Notfallmanagement das Vertrauensverhältnis zwischen Cloud-Anwender und Cloud-Diensteanbieter aushöhlen, bis hin zur Kündigung der Dienstleistungsvereinbarung.

Unzureichendes Notfallmanagement äußert sich in unzureichender Koordination und unstrukturiertem Vorgehen bei der Behebung aufgetretener Probleme.

Unzureichendes Notfallmanagement kann sich in der Notfallwiederherstellung (engl. Disaster Recovery) oder im Betriebskontinuitätsmanagement (betriebliches Kontinuitätsmanagement, engl. Business Continuity Management) oder in beidem zeigen.

Beispiele:

  • Fehlende Festlegungen von Grundgrößen für das Notfallmanagement, insbesondere von maximal tolerierbarer Ausfallzeit ( MTA , engl. MTO : Maximum Tolerable Outage), maximaler Wiederanlaufzeit (engl. RTO : Recovery Time Objective), maximal tolerierbarem Datenverlust (engl. RPO : Recovery Point Objective) für Cloud-Infrastruktur oder Cloud-Dienste. Somit ist keine verlässliche Planung für ein effektives und sachgerechtes Vorgehen bei Notfällen möglich.
  • Fehlende, unzureichende oder veraltete Notfallpläne für die Cloud-Infrastruktur oder für Cloud-Dienste.
  • Nicht getestete Notfallpläne ( z. B. fehlende oder unzureichende Sofortmaßnahmen und Disatser-Recovery-Skripte) für Cloud-Infrastruktur oder Cloud-Dienste.
  • Nicht oder unzureichend geregelte Zuständigkeiten für Notfallbehandlung für die Cloud-Infrastruktur oder die Cloud-Dienste.
  • Nicht definierte Kommunikations-, Eskalations- und Entscheidungswege für Notfallbehandlung für die Cloud-Infrastruktur oder die Cloud-Dienste bzw. deren Nicht-Einhaltung.
  • Ein Notbetrieb für die Cloud-Infrastruktur oder die Cloud-Dienste ist nicht oder nur unzureichend vorgesehen.
  • Fehlende, unvollständige oder falsch festgelegte Planung für die Nutzung von Ausweichkapazitäten für die Cloud-Infrastruktur, insbesondere die Umschaltung auf ein Ausweich-Rechenzentrum. Dies kann insbesondere eintreten, wenn keine oder eine falsche Priorisierung von Cloud-Diensten für eine Umschaltung vorgenommen wurde, oder wenn Abhängigkeiten, die eine bestimmte Reihenfolge erfordern, nicht festgelegt wurden oder nicht beachtet werden.
  • Der Ausfall von Cloud-Administratoren kann nicht kompensiert werden, weil Handlungsanweisungen nicht dokumentiert wurden. Dies kann insbesondere eintreten, wenn die Administratoren "alles im Kopf" haben und an eine mögliche Nicht-Verfügbarkeit nicht gedacht wurde.
  • Nicht aktuelle oder unvollständige Datensicherungen der Cloud-Dienste oder der unterliegenden Infrastruktur. Dies kann insbesondere eintreten, wenn Sicherungszyklen oder Aufbewahrungsfristen nicht oder falsch festgelegt wurden bzw. nicht geprüft wurde, ob Datensicherungen erfolgreich waren.
  • Nicht funktionierende Wiederherstellung von Cloud-Diensten aus Datensicherungen.
  • Fehlende, unvollständige oder fehlerhafte Wiederanlaufpläne für Cloud-Infrastruktur oder für Cloud-Dienste.
  • Fehlende, unvollständige oder falsch festgelegte Priorisierung von Cloud-Diensten für einen Wiederanlauf.
  • Nicht, unvollständig oder falsch festgelegte Reihenfolge für einen Wiederanlauf der Cloud-Infrastruktur oder der Cloud-Dienste.

Stand: 14. EL Stand 2014