Bundesamt für Sicherheit in der Informationstechnik

G 2.194 Mangelhaftes Anforderungsmanagement bei Cloud-Nutzung

An die Entscheidung einer Institution zur Nutzung von Cloud Services sind in der Regel eine Vielzahl von Erwartungen geknüpft. Anwender erwarten beispielsweise eine höhere Leistungsfähigkeit, einen größeren Funktionsumfang und/oder geringere Kosten.

Mangelndes Anforderungsmanagement bei der Nutzung von Cloud-Diensten kann die Erreichung der gesteckten Ziele gefährden und der Service kann nicht den gewünschten und benötigten Mehrwert liefern.

In der Regel ist das Anforderungsmanagement nicht durch die IT getrieben, sondern durch das Management. Die IT muss in der Folge die gestellten Anforderungen aufnehmen und in jene Service-Leistungen übersetzen, die erforderlich sind, um die Anforderungen zu erfüllen.

Mangelhaftes Anforderungsmanagement kann beispielsweise die folgenden Ausprägungen annehmen:

  • Die Anforderungen an den Cloud Service sind unklar definiert. Die Gründe hierfür können darin liegen, dass keine Anforderungsanalyse durchgeführt, aber auch darin dass darauf verzichtet wurde ein Lastenheft zu erstellen. Damit fehlt die Service-Beschreibung für Cloud Services, die in der Institution als IT -Service bereitgestellt werden.
  • Die Anforderungen an Cloud Services werden schwächer formuliert beziehungsweise definiert, als dies in vergleichbaren Situationen bei klassischer IT der Fall ist. Dies kann zur Folge haben, dass wichtige Funktionen eines Services nach einem Wechsel hin zur Cloud-Nutzung nicht mehr zur Verfügung stehen, die Zugriffszeiten auf Anwendungen steigen oder die Ausführung von Aufträgen im Vergleich zur Nutzung klassischer IT -Lösungen verzögert erfolgt.
  • Die Anforderungen an die IT -Infrastruktur, die durch die Nutzung von Cloud Services entstehen, werden nicht ausreichend betrachtet.
  • Es existieren keine Vorgaben hinsichtlich der benötigten Leistungsfähigkeit der Netz- und Internetanbindung.
  • Der möglicherweise notwendige Ausbau von Datennetzen oder weiteren Infrastrukturbereichen (zum Beispiel Firewalls, Intrusion-Prevention-Systeme oder Loadbalancer) ist nicht vorgesehen.

Stand: 14. EL Stand 2014