Bundesamt für Sicherheit in der Informationstechnik

G 2.195 Mangelnde Überwachung der Service-Erbringung

Zwischen einer Institution als Cloud-Anwender und einem Cloud-Diensteanbieter existieren vertragliche Regelungen hinsichtlich der Ausgestaltung der angebotenen Services. Die Beschreibung der Dienste und ihrer Dienstgüten findet sich in Dienstgütevereinbarungen (SLAs - Service Level Agreements bei externen Dienstleistern oder OLAs - Operational Level Agreements bei interner Service-Erbringung). Bei Public Cloud Services sind diese häufig in Form von AGBs oder Nutzungsbedingungen gestaltet.

Weicht die tatsächlich erbrachte Service-Leistung von den vereinbarten Parametern ab, kann dies negative Auswirkungen auf die nutzende Institution haben. Die Überwachung der Service-Erbringung des Cloud-Diensteanbieters durch die nutzende Institution ist daher essenziell, um mögliche Servicemängel erkennen zu können und diesen entgegenzuwirken.

Häufig wird die Überwachung der Service-Erbringung jedoch vernachlässigt. Vertragsverletzungen oder Abweichungen vom vereinbarten Sicherheitsniveau werden dadurch nicht oder erst spät identifiziert. Dies gilt auch bei Nutzung einer Private Cloud, die durch die eigene IT betrieben wird. Hier ist einerseits auf die Überwachung der Service-Erbringung zu achten. Andererseits sollten auch hier die Service-Vereinbarungen die Services ausreichend detailliert und verständlich beschreiben. Bei der Überwachung ist hier insbesondere darauf zu achten, dass die Verantwortlichkeiten festgeschrieben sind und es nicht zu einer "Selbstprüfung" kommt, die keine sinnvollen Ergebnisse liefert.

In der Praxis sind folgende Ausprägungen mangelnder Überwachung der Service-Erbringung zu beobachten:

  • Der Cloud-Diensteanbieter stellt der nutzenden Institution in regelmäßigen Abständen Reports zur Verfügung. Aufseiten der Institution werden diese jedoch nicht oder lediglich zeitlich verzögert ausgewertet. Sind solche Reports vertraglich vereinbart, werden vom Anwender aber nicht eingefordert, fällt dies ebenfalls unter mangelnde Überwachung der Service-Erbringung.
  • Die Einhaltung der Sicherheitsmaßnahmen aufseiten des Cloud-Diensteanbieters wird durch den Anwender nicht in ausreichendem Maß überwacht. Beispielsweise werden keine unabhängigen Sicherheitsrevisionen oder Penetrationstests durchgeführt oder externe Dienstleister damit beauftragt. Dies kann zu einem erhöhten Aufkommen von Sicherheitsvorfällen und einem sinkenden oder zu niedrigen Sicherheitsniveau aufseiten des Cloud-Diensteanbieters führen. Für den Anwender ist damit die Einhaltung des erforderlichen Sicherheitsniveaus nicht mehr gewährleistet.
  • Im SLA mit dem Cloud-Diensteanbieter ist vereinbart, dass er nachweisen muss, dass die Services in der erforderlichen Güte geliefert wurden, aber die nutzende Institution fordert sie nicht ein. Der Cloud-Anwender erlangt damit keine Kenntnis über die Nichterbringung der SLA s und läuft daraufhin seinerseits Gefahr, eigene Services nicht oder lediglich ungenügend erbringen zu können.
  • Die Inanspruchnahme von Subunternehmern durch den Cloud-Diensteanbieter stellt möglicherweise ebenfalls eine Gefährdung dar, wenn nicht geregelt ist, in welcher Form dessen Service-Erbringung überwacht wird.

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK