Bundesamt für Sicherheit in der Informationstechnik

G 2.197 Unzureichende Einbindung von Cloud Services in die eigene IT

Die Entscheidung einer Institution zum Einsatz von Cloud Services bedingt in der Folge, dass diese Services auch angemessen in die eigene IT eingebunden werden. Erfolgt diese notwendige Einbindung nur unzureichend, kann in der Folge nicht sichergestellt werden, dass die beauftragten Cloud-Service-Leistungen durch den Anwender auch in vollem Umfang abgerufen werden können. Beauftragte Cloud Services liefern demnach unter Umständen nicht die erforderliche und vereinbarte Performance oder der Zugriff auf Services ist gar nicht beziehungsweise lediglich verzögert möglich. Beeinträchtigungen der Service-Verfügbarkeit sind die Folge.

Wird ein Cloud Service nur unzureichend in die eigene IT eingebunden, und sind die Mitarbeiter aber grundsätzlich zur Nutzung dieses Services berechtigt, ist häufig zu beobachten, dass diese den Service auch ohne offizielle IT-Unterstützung nutzen. So kann in der Institution eine Schatten-IT und damit ein potenzieller Kontrollverlust über Unternehmensinformationen entstehen.

Eine optimale Einbindung von Cloud Services in die IT einer Institution wird häufig vor allem durch folgende Aspekte beeinträchtigt:

  • Die Performance der Netzanbindung ist unterdimensioniert. Der Datentransport kann daher nur eingeschränkt erfolgen, was zum verzögerten Kopieren von Daten, verlängerten Zugriffszeiten und erkennbaren Leistungseinbußen führt. Mögliche Gründe hierfür liegen beispielsweise in einer unzureichend gewählten Bandbreite, einer nicht den Anforderungen entsprechenden Priorisierung der Dienste (Quality of Service), konzeptionellen Schwächen des Netzes (siehe hierzu G 2.45 Konzeptionelle Schwächen des Netzes ) oder in Schwachstellen bei der Anbindung an einen Outsourcing- oder Cloud-Diensteanbieter (siehe hierzu G 4.97 Schwachstellen bei der Anbindung an einen Outsourcing- oder Cloud-Dienstleister ).
  • Die Verfügbarkeit der Schnittstellensysteme ist unzureichend, da notwendige Änderungen in den Verfügbarkeitsanforderungen nicht ausreichend berücksichtigt wurden. Eine mögliche Ausprägung in diesem Zusammenhang zeigt sich in einer unzureichenden Verfügbarkeit in Bezug auf die Anbindung an den Cloud-Diensteanbieter. Der bestehende Internetzugang einer Institution wurde bislang beispielsweise als unkritisch angesehen. Durch die Verlagerung geschäftskritischer Services in die Cloud steigen auch die Anforderungen an den Internetzugang, der in der Folge als sehr kritisch eingestuft wird. Die unzureichende Verfügbarkeit der Schnittstellensysteme ist eine zweite mögliche Ausprägung. Der eingesetzte Proxy innerhalb einer Institution wurde hinsichtlich seiner Verfügbarkeit beispielsweise als unkritisch angesehen. Durch die Verlagerung von Services in die Cloud wird er jedoch zu einem (hoch-)kritischen System.
  • Die Performance der Schnittstellensysteme ist nicht ausreichend gewählt. Institutionen sollten in diesem Zusammenhang insbesondere jene Systeme beachten, die sich an der Schnittstelle zum Cloud-Diensteanbieter finden. Beispiele hierfür sind Loadbalancer, Proxys, Router, Sicherheitsgateways oder Federation-Systeme.
  • Die Performance interner Systeme reicht für eine vorgesehene API-Kopplung zum Datenaustausch zwischen Cloud Service und internen Systemen nicht aus. Ein typisches Beispiel hierfür ist der Stammdatenaustausch zwischen dem lokalen ERP-System (Enterprise Resource Planning) und einem CRM-System (Customer Relationship Management) als Cloud Service.

Beispiel:

  • Eine Institution entschließt sich zur Nutzung einer Online-Kommunikationsplattform zur Förderung der Zusammenarbeit innerhalb verteilter Teams. Der beauftragte Service wird jedoch nicht vollständig in die IT eingebunden. Einzelne Funktionen, wie beispielsweise die Dateifreigabe für definierte Teammitglieder, funktionieren in der Folge nicht, wie von den Mitarbeitern erwartet. Der Zugriff auf eine freigegebene Datei kann lediglich stark verzögert oder gar nicht erfolgen.

Stand: 14. EL Stand 2014