Bundesamt für Sicherheit in der Informationstechnik

M 2.532 Anbieten von Web-Services für Dritte

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: Vertrieb, Vertragsmanagement

Web-Services können auf verschiedene Weise bereitgestellt werden. Sie können entweder als fertige Lösung verkauft (Betrieb durch den Consumer selbst) oder als Dienstleistung bereitgestellt werden (Betrieb durch den Anbieter). Beim Betrieb durch einen Anbieter müssen alle relevanten Modalitäten der Zusammenarbeit mit dem Web-Service-Consumer vertraglich geregelt und geeignete Service Level Agreements ( SLA s) vereinbart werden, zum Beispiel Ansprechpartner, Reaktionszeiten, Kontrolle über die Daten, Leistungen, Ausgestaltung der Sicherheitsvorkehrungen (siehe hierzu M 2.533 Vertragliche Aspekte bei der Bereitstellung von Web-Services ).

Folgende Aspekte sind zu berücksichtigen, wenn Web-Services für Dritte betrieben werden:

Umgebung

Die Bereitstellung von Web-Services durch einen Anbieter kann auf einer eigenen IT-Infrastruktur des Anbieters, auf der des Kunden oder sogar eines Dritten erfolgen. Entsprechend ergeben sich unterschiedliche Zuständigkeiten für die Sicherheit der eingesetzten Umgebung, aber auch zum Beispiel für die Durchführung von Datensicherungen und Notfallübungen. Die Verantwortlichkeiten für die Betriebsumgebung, ihre einzelnen Bestandteile und Betriebsprozesse muss zwischen den beteiligten Parteien festgelegt und nachvollziehbar dokumentiert werden.

Ansprechpartner

Alle Parteien (Web-Service-Anbieter und -Consumer) müssen Ansprechpartner benennen, mindestens für

  • vertragliche Fragen
  • inhaltliche/fachliche Fragen
  • die Meldung und Behebung von Störungen sowie die Alarmierung im Notfall
  • die Kommunikation und Behandlung von Sicherheitsvorfällen
  • die Übermittlung beziehungsweise den Empfang der vereinbarten Berichte zu Leistungskennzahlen, sicherheitsrelevanten Ereignissen sowie Änderungen an den Systemen und Diensten.

Für eine mögliche Nichtverfügbarkeit der Ansprechpartner ist eine Vertretung einzuplanen und zu benennen.

Benutzer- und Rechteverwaltung

Je nachdem, wer die für die Web-Services erforderlichen Benutzer- und Rechteprofile pflegt, müssen dafür entsprechende Verfahren, Kommunikationsschnittstellen und Dokumentationswege eingerichtet werden. Sowohl die Einrichtung von Benutzern als auch die Pflege von Berechtigungen kann jeweils durch den Anbieter oder durch den Consumer selbst möglich sein. Denkbar sind auch mehrstufige Modelle, in denen der Anbieter Administrationskonten für die Consumer einrichtet, mit denen diese eigenständig die Benutzer innerhalb der eigenen Institution verwalten. In komplexeren Umgebungen können auch Dritte entsprechende Dienste zur Identifizierung, Authentisierung und Autorisierung von Benutzern anbieten, die zum Beispiel auch wiederum als Web-Service realisiert sein können.

Wartung und Pflege

Maßnahmen zur Wartung und Pflege der Systeme, insbesondere zum Einspielen von Patches und Updates für die Web-Services oder zugrunde liegende Komponenten, können Auswirkungen auf die Consumer haben. Dies umfasst beispielsweise Änderungen in der Funktionalität oder kurzfristige Einschränkungen der Verfügbarkeit. Daher müssen Verfahren eingerichtet sein, um solche Wartungsmaßnahmen vorab mit den betroffenen Consumern abzustimmen und zu koordinieren, zum Beispiel durch die Vereinbarung von Wartungsfenstern.

Berichts- und Meldepflichten

Der Web-Service-Anbieter muss Abläufe einrichten, um die mit den Consumern vereinbarten Berichts- und Meldepflichten zu erfüllen. Dazu gehören auch Berichtsformate und Übermittlungswege.

Sicherheitsvorfallsbehandlung

Der Prozess zur Sicherheitsvorfallsbehandlung muss berücksichtigen, dass zur Aufklärung und Behandlung von Vorfällen auch eine übergreifende Zusammenarbeit zwischen Web-Service-Anbieter und den Web-Service-Consumern erforderlich sein kann. Entsprechend müssen hierfür Schnittstellen, Ansprechpartner, Alarmierungswege und Dokumentationsverfahren eingerichtet werden.

Notfallplanung

Auch im Bereich der Notfallplanung ist eine Koordination der Aktivitäten von Web-Service-Anbieter und Web-Service-Consumer erforderlich. So muss sich insbesondere die Notfallplanung des Web-Service-Anbieters an den Anforderungen der Consumer orientieren. Aber auch bei der Umsetzung der Notfallvorsorgemaßnahmen ist eine Abstimmung und Koordination erforderlich, zum Beispiel bei der gemeinsamen Durchführung von Notfallübungen.

Prüffragen:

  • Sind die Verantwortlichkeiten für die genutzte Betriebsumgebung geklärt und dokumentiert?

  • Sind bei allen Partnern die relevanten Ansprechpartner festgelegt und bekannt?

  • Sind Verfahren für die Benutzer- und Rechteverwaltung vorhanden?

  • Sind Verfahren für die Wartung, Pflege und Weiterentwicklung der Web-Services und der Betriebsumgebung eingerichtet und mit allen Beteiligten abgestimmt?

  • Sind geeignete Abläufe, Formate und Kommunikationswege für das Berichts- und Meldewesen vorhanden?

  • Ist das Zusammenwirken von Anbieter und Consumer in den jeweiligen Prozessen zur Sicherheitsvorfallsbehandlung berücksichtigt?

  • Sind die Anforderungen der Consumer im Notfallmanagement des Web-Service-Anbieters berücksichtigt, und werden entsprechende Notfallvorsorgemaßnahmen untereinander abgestimmt?

Stand: 14. EL Stand 2014