Bundesamt für Sicherheit in der Informationstechnik

G 2.199 Unzureichende Auswahl des Cloud-Diensteanbieters

Hat eine Institution die strategische Entscheidung zur Nutzung von Cloud Services getroffen, begibt sie sich damit immer in ein Abhängigkeitsverhältnis vom gewählten Cloud-Diensteanbieter. Erfolgt die Auswahl des Diensteanbieters nicht mit besonderer Sorgfalt und unter Beachtung der festgelegten Cloud-Nutzungs-Strategie, kann dies über einen langen Zeitraum hinweg negative Auswirkungen für die Institution nach sich ziehen.

Häufig werden bei der Auswahl des Cloud-Diensteanbieters wichtige Faktoren wie beispielsweise dessen Reputation, Anbieter-Rankings, öffentlich zugängliche Pflichtenhefte der Diensteanbieter, Verpflichtungen zur Einhaltung von Gesetzen und Richtlinien oder erworbene Zertifizierungen nicht oder nur unzureichend berücksichtigt. Der Cloud-Markt ist für Auftraggeber wenig transparent, es fehlen standardisierte Angebote der Cloud-Diensteanbieter.

Daraus können Sicherheitsprobleme beim Cloud-Diensteanbieter (zum Beispiel bei mangelhafter Verfügbarkeit) resultieren. Diese sind häufig mit finanziellen Einbußen für die nutzende Institution verbunden, wenn diese auf die Verfügbarkeit des Services angewiesen ist, um ihrerseits einen Service erbringen zu können.

Stand: 14. EL Stand 2014