Bundesamt für Sicherheit in der Informationstechnik

G 2.182 Fehlendes oder unzureichendes Betreiberkonzept für Speicherlösungen

Die Planung, Beschaffung und der Betrieb von Speicherlösungen hinsichtlich deren Dimensionierung sowie der Anforderungen an Verfügbarkeit und Performance gestalten sich für Institutionen zunehmend komplex und sind sehr anspruchsvoll. Dies bedingt, dass auf strategischer Ebene die Betriebsart einer Speicherlösung geplant und festgelegt werden muss.

Dabei sind sowohl unterschiedliche Ausprägungen einer Betriebsart ( z. B. Betrieb durch eigenes Personal oder Betrieb durch Dritte mit bzw. ohne Übergabe der Betriebsverantwortung) als auch die Möglichkeit zur Unterbringung der Speicherlösung in den eigenen Räumen bzw. bei einem Dienstleister zu unterscheiden.

Liegen keine Regelungen zur festgelegten Betriebsart, etwa in Form eines Betreiberkonzeptes vor, kann dies weitreichende Störungen im Betrieb zur Folge haben, die sich mittelbar auf die Vertraulichkeit, Verfügbarkeit und Integrität der gespeicherten Daten auswirken können. Unklare Zuständigkeiten im Falle einer Systemstörung sind nur ein Beispiel für mögliche Probleme.

Der Betrieb einer Speicherlösung basiert in der Regel auf der Erstellung eines Servicekatalogs, mit dessen Hilfe angebotene Services bzw. feste Vereinbarungen zu Serviceleistungen, sogenannte Service Level Agreements (SLAs) bzw. Operational Level Agreements (OLAs) bei internen Kunden, beschrieben werden.

Ein fehlender Servicekatalog bringt sowohl für den Anbieter einer Speicherlösung als auch für den Anwender erhebliche Nachteile mit sich, da getroffene Vereinbarungen nicht nachvollzogen werden können und Unsicherheit bezüglich der Rechte und Pflichten entsteht. Ist nicht festgelegt, welchen Kriterien ein Service üblicherweise genügen muss, kann die Servicequalität nicht gemessen und die Serviceerbringung nicht sichergestellt werden.

Stand: 14. EL Stand 2014