Bundesamt für Sicherheit in der Informationstechnik

M 2.517 Vertragsgestaltung mit Dritt-Dienstleistern

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: Leiter Beschaffung

Der Cloud-Diensteanbieter arbeitet bei der Bereitstellung von Cloud Services oft mit Softwareherstellern oder weiteren Cloud-Diensteanbietern zusammen. Hierbei müssen Sicherheitsmaßnahmen des Cloud-Diensteanbieters an diese Dienstleister weitergegeben werden (vgl. Baustein B 1.11 Outsourcing ).

Es sollte darauf geachtet werden, folgende Aspekte vertraglich zu regeln.

Sicher programmieren

Die Softwarehersteller müssen verpflichtet werden, Standards für das sichere Programmieren umzusetzen. Um sichere Programmierung zu gewährleisten, sollte ein Software Development Lifecycle definiert und umgesetzt werden (siehe auch M 2.487 Entwicklung und Erweiterung von Anwendungen ). Der Baustein B 5.21 Webanwendungen enthält zudem viele Maßnahmen zum sicheren Entwickeln von webbasierten Anwendungen. Diese sollten vom Softwarehersteller bei der Softwareentwicklung eingehalten werden.

Sicherheitsfunktionen einbauen

Der Cloud-Diensteanbieter ist für die Sicherheitsfunktionen in den Cloud-Anwendungen verantwortlich. Er muss dementsprechend die sicherheitsspezifischen Anforderungen an die Softwarehersteller weitergeben. Dieses umfasst z. B. kryptografische Maßnahmen (verschlüsselte Übertragung oder Ablage von Daten), sichere Authentisierungsverfahren oder Datensicherungsmethoden. Außerdem müssen Performance-Anforderungen als erforderliche Leistungen hinsichtlich Durchsatz und Laufzeitverhalten festgelegt an den Drittdienstleister weitergegeben werden.

Für die standardisierten SaaS -Lösungen ist ein entsprechender Anforderungskatalog gemäß Maßnahme M 2.80 Erstellung eines Anforderungskatalogs für Standardsoftware zu erstellen und der Softwarehersteller zu dessen Einhaltung zu verpflichten.

Die Anforderungen umfassen auch

  • eindeutig definierte Schnittstellen,
  • Zusagen zur Virtualisierbarkeit der Anwendung ( z. B. muss eine Standardanwendung in der Cloud einfach und automatisiert reproduzierbar sein können),
  • Verträglichkeit mit vorgegebenen Versionsständen von Schnittstellen, Software oder Diensten.

Diese Zusicherungen sollten eindeutig und belastbar (wenn möglich schriftlich) von den Drittherstellern oder Cloud-Diensteanbietern abgefragt werden.

Mandanten trennen

Eine Mandantentrennung kann z. B. über die Virtualisierung der Anwendungsinfrastruktur erfolgen ( d. h. x-fache virtuelle Kopie der Anwendungslandschaft des Drittherstellers für die Cloud-Anwender). Hierbei kann es sein, dass Cloud-Diensteprofile vollständig von Drittherstellern oder anderen Cloud-Diensteanbietern bereitgestellt werden. Es muss vom auftraggebenden Cloud-Diensteanbieter geprüft werden, ob die Konfiguration automatisierbar und für zusätzliche Mandanten (Cloud-Anwender) erweiterbar ist und dabei eine Umsetzung einer Mandantentrennung auf allen Schichten der Cloud-IT-Infrastruktur (Anwendung, Plattform, Betriebssystem, virtueller Server, Storage, Netze) korrekt erfolgt.

Patch- und Änderungsmanagement bei verteilter Cloud

Nutzt ein Cloud-Diensteanbieter ( z. B. für ein SaaS -Angebot) das PaaS - oder IaaS -Angebot eines externen Cloud-Diensteanbieters, dann muss mit dem zuliefernden Cloud-Diensteanbieter abgestimmt werden, welche virtuellen Ressourcen mit welchem Patch-Stand und welcher Konfiguration benötigt werden. Hier ist es essenziell für den Cloud-Diensteanbieter, einen geregelten Prozess für das Patch- und Änderungsmanagement mit klaren Verantwortlichkeiten zu vereinbaren. Es wird empfohlen, mit standardisierten Schnittstellen ( API ) zu arbeiten, sodass lediglich Änderungen an den Schnittstellen im Änderungsmanagement-Prozess betrachtet werden müssen. Für detaillierte Maßnahmen ist der Baustein B 1.14 Patch- und Änderungsmanagement heranzuziehen.

Orte der Datenverarbeitung bei verteilter Cloud

In vielen Fällen ist es sinnvoll oder sogar unerlässlich festzulegen, wo Daten durch einen Cloud-Dienst verarbeitet werden. In solchen Fällen müssen die Orte der Datenverarbeitung in den vertraglichen Vereinbarungen angegeben werden. Ebenso muss dann vertraglich geregelt werden, wie vorzugehen ist, wenn Orte der Datenverarbeitung im Zeitverlauf geändert werden sollen.

Schwachstellenmanagement bei Drittdienstleistern

Im Vertrag mit dem Drittdienstleister müssen für beide Seiten Ansprechpartner für Informationssicherheit benannt werden. Ferner müssen die Verantwortungsbereiche und die Schnittstellen für das Informationssicherheitsvorfallmanagement definiert werden. Damit wird erreicht, dass eine geregelte Kommunikation stattfinden kann und geregelte Prozesse greifen können, wenn bei Cloud-Diensten, die auf den Leistungen des Drittdienstleisters aufsetzen, oder bei der eingesetzten Software neue Schwachstellen auftreten oder bekannt werden.

Haftung

Ebenfalls muss die Haftung für Schäden, die durch Softwarefehler des Herstellers entstehen, im Vertrag geregelt werden.

Urheberrecht und Nutzungsrechte

Neben den Sicherheitsanforderungen muss der Vertrag mit dem Drittdienstleister Regelungen zu Nutzungsrechten von Software und zum Urheberrecht definieren, insbesondere Nutzungsdauer, Weiterverwendung und Eigentümerschaft.

Regelungen zur Beendigung von Diensten

Genauso muss schriftlich vereinbart werden, wie mit den in der Anwendung verarbeiteten Daten umgegangen wird, wenn der Cloud-Dienst für einen Cloud-Anwender eingestellt wird.

Auftragsdatenverarbeitung

Für den Fall, dass personenbezogene Daten durch die Drittdienstleister verarbeitet werden, muss geprüft werden, ob es sich um Auftragsdatenverarbeitung im Sinne des Bundesdatenschutzgesetzes handelt. Dann sind die entsprechenden rechtlichen Vorschriften zu beachten (siehe Maßnahme M 2.511 Regelung der Auftragsdatenverarbeitung bei der Verarbeitung personenbezogener Daten ).

Prüffragen:

  • Ist mit allen Dritt-Dienstleistern ein schriftlicher Vertrag abgeschlossen worden?

  • Sind alle notwendigen sicherheitsrelevanten Regelungen im Vertrag enthalten?

Stand: 14. EL Stand 2014