Bundesamt für Sicherheit in der Informationstechnik

M 2.522 Berichtswesen und Kommunikation zu den Cloud-Anwendern

Verantwortlich für Initiierung: Fachverantwortliche, Leiter IT

Verantwortlich für Umsetzung: Fachverantwortliche

Es gibt zwei wesentliche Formen der Kommunikation zwischen Cloud-Diensteanbieter und Cloud-Anwendern:

  • Berichtswesen des Cloud-Diensteanbieters an die Cloud-Anwender
  • Meldungen der Cloud-Anwender an den Cloud-Diensteanbieter

Nachstehend werden zunächst das Berichts- und dann das Meldewesen angesprochen.

Berichtswesen

In der Vereinbarung über die Dienstgüte (Dienstgüte-Vereinbarung, Service Level Agreement, SLA) oder im Cloud-Dienstekatalog ist der Cloud-Dienst beschrieben. Hier sind die konkreten Vereinbarungen zu den Eigenschaften des Cloud-Dienstes hinterlegt. Auch Mindestanforderungen an Kommunikations- bzw. Reaktionszeiten müssen vereinbart werden, um dem Cloud-Diensteanbieter und dem Cloud-Anwender ein Management der Dienstgüte zu ermöglichen.

Ein regelmäßiges Berichtswesen sollte eingeführt sein, damit der Cloud-Diensteanbieter gegenüber den Cloud-Anwendern die Dienstgüte ( z. B. Verfügbarkeit) nachweisen kann: Berichte mit Angaben zu Dienstgüte, Nutzungsumfang durch den Cloud-Anwender ( z. B. Verbrauch des gebuchten Speicherplatzes) und Kosten sollten regelmäßig an die Cloud-Anwender verteilt werden.

In der Dienstgüte-Vereinbarung oder im Cloud-Dienstekatalog muss definiert werden, welche Berichte und Messwerte den Cloud-Anwendern in welchen Zeitzyklen zur Verfügung gestellt werden. Hierbei müssen die Kennzahlen zur Messung der Dienstgüte und die Berichtsform sowie die Form der Bereitstellung festgelegt werden ( z. B. über ein Web Dashboard eines Self Service Portals für Cloud-Anwender). Auf Basis der Messungen und der Kennzahlen im SLA sollte der Cloud-Anwender transparent nachvollziehen können, inwieweit der Cloud-Diensteanbieter die im SLA festgelegten Kennzahlen erreicht hat. Grundlage für die Messungen bildet die Protokollierung des Cloud-Dienstes.

Meldewesen

Etwaige Störungen oder Ausfälle von Ressourcen (wie z. B. Virtualisierungsserver, virtuelle Maschine, Load Balancer) müssen zeitnah erkannt werden, sodass rasch Gegenmaßnahmen eingeleitet werden können. Dementsprechend müssen Schnittstellen zum technischen Betrieb bei Sicherheitsproblemen (Benachrichtigung der Administratoren) definiert werden.

Hier muss der Cloud-Diensteanbieter eine Schnittstelle zu seinem bestehenden Informationssicherheitsvorfallmanagement schaffen und entsprechende Ansprechpartner definieren (siehe auch M 3.46 Ansprechpartner zu Sicherheitsfragen sowie M 6.60 Festlegung von Meldewegen für Sicherheitsvorfälle ).

Allen Cloud-Anwendern müssen sowohl die Ansprechpartner zu Sicherheitsfragen als auch die Meldewege für Sicherheitsvorfälle bekannt gemacht werden. Störungen, die von Cloud-Anwendern gemeldet werden, müssen sodann zum betrieblichen Störungsmanagement des Cloud-Diensteanbieters gelangen und dort bearbeitet werden.

Prüffragen:

  • Wird der Cloud-Anwender regelmäßig und transparent über die vom Cloud-Diensteanbieter erbrachten Leistungen informiert?

  • Sind den Cloud-Anwendern Kontaktmöglichkeiten zur Meldung von Störungen bekannt gemacht worden?

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK