Bundesamt für Sicherheit in der Informationstechnik

G 4.97 Schwachstellen bei der Anbindung an einen Outsourcing- oder Cloud-Dienstleister

Die Durchführung eines Outsourcing- oder Cloud-Nutzungs-Vorhabens verlangt in aller Regel den Zugriff des Dienstleisters auf interne Ressourcen des Auftraggebers. Dies wird häufig durch eine gegenseitige Anbindung von Teilen der jeweiligen IT -Infrastruktur realisiert. Zum beschleunigten Informationsaustausch zwischen Auftraggeber und Auftragnehmer werden möglicherweise spezielle Informationskanäle (zum Beispiel dedizierte Standleitungen, VPN -Verbindungen, Zugänge für die Remote-Wartung) eingerichtet.

Ist diese Anbindung nicht gesichert oder treten bei der Absicherung Schwachstellen auf, so ergeben sich zwangsläufig eine Reihe von Gefährdungen:

  • Die Vertraulichkeit der Kommunikation kann gefährdet sein.
  • Die Integrität von übermittelten Datensätzen ist nicht mehr garantiert.
  • Der Empfang von übermittelten Informationen und Nachrichten könnte abgestritten werden.
  • Es wird Externen ein für die tatsächlichen Bedürfnisse des Dienstleisters zu umfassender Einblick in Interna des Auftraggebers gegeben.
  • Es entstehen zusätzliche Zugangsmöglichkeiten für Außenstehende zum Intranet der Institution und damit Gefahrenquellen.
  • Bei offenen oder schlecht gesicherten IT -Zugängen ergeben sich Manipulationsmöglichkeiten.
  • Es könnten vertrauliche Informationen und geistiges Eigentum an Außenstehende weitergegeben werden.
  • Externe Systemzugriffe werden unter Umständen nicht ausreichend kontrolliert.

Der Schutzbedarf von Schnittstellensystemen (zum Beispiel Application Level Gateways, Paketfilter) und Leitungen kann durch die Nutzung von Outsourcing oder Cloud Services steigen. Wird keine neue Analyse des Schutzbedarfs vorgenommen, ergibt sich eine Gefährdung für die Verfügbarkeit der Anbindung.

Die IT -Anbindung zwischen auslagernder Institution und Dienstleister kann auch komplett ausfallen. Dabei können Daten, deren Übertragung vor dem Ausfall noch nicht vollständig abgeschlossen war, zerstört oder inkonsistent werden. In Abhängigkeit von der Dauer und Art des Ausfalls können die Konsequenzen auch existenzbedrohend sein. Diese Gefahr wird verstärkt, wenn kein Notfallvorsorgekonzept (siehe G 2.93 Unzureichendes Notfallvorsorgekonzept bei Outsourcing oder Cloud-Nutzung ) existiert.

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK