Bundesamt für Sicherheit in der Informationstechnik

M 2.533 Vertragliche Aspekte bei der Bereitstellung von Web-Services

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: Vertrieb, Vertragsmanagement

Wenn Web-Services für Dritte bereitgestellt werden, sind zwischen Web-Service-Anbieter und Web-Service-Consumer schriftliche Regelungen zu treffen, die die Sicherheit der Dienstnutzung, aber auch die Nachvollziehbarkeit und Ordnungsmäßigkeit der Leistungserbringung gewährleisten.

Die konkrete Ausgestaltung muss sich am Schutzbedarf der Anwendungen und Geschäftsprozesse orientieren, die durch den Web-Service abgebildet werden. Dabei kommt insbesondere der Verfügbarkeit häufig ein besonderer Fokus zu, da der Ausfall eines Web-Service unter Umständen weitere, abhängige Web-Services und Anwendungen betrifft und dadurch einen oder sogar mehrere Geschäftsprozesse beeinträchtigen kann.

Die folgende Liste umfasst Aspekte, die bei der Vertragsgestaltung mit dem Web-Service-Consumer geprüft und gemäß dem jeweiligen Schutzbedarf berücksichtigt werden sollten.

Generelle vertragliche Gestaltung

Fachliche Regelungen

  • Art und Umfang der Nutzung der Web-Services durch den Consumer, Einsatzzweck
  • Fachliche Beratung und Unterstützung der Web-Service-Consumer durch den Web-Service-Anbieter
  • Schulungen und Dokumentation
  • Kundeninformationen/gesetzliche Änderungen

Technische Leistungsparameter

  • Verfügbarkeit (mittlere Verfügbarkeit, Wartungsfenster, maximale Ausfallzeiten)
  • Leistungskennzahlen (Transaktionsgeschwindigkeit, Anzahl gleichzeitiger Zugriffe, Bandbreite der Anbindung)
  • Datenhaltung (Speicherorte, Verschlüsselung, Datensicherung)

Organisatorische Regelungen

  • Festlegung von Kommunikationswegen und Ansprechpartnern
  • Festlegung von Prozessen, Arbeitsabläufen und Zuständigkeiten
  • Verfahren zur Behebung von Problemen, Benennung von Ansprechpartnern mit den nötigen Befugnissen
  • regelmäßige Abstimmungsrunden
  • Archivierung und Löschung von Datenbeständen (insbesondere bei Beendigung des Vertragsverhältnisses)
  • Erfordernis und Ausgestaltung von Zutritts- und Zugriffsberechtigungen für Mitarbeiter des Benutzers zu den Räumlichkeiten und IT-Systemen des Web-Service-Anbieters
  • Abrechnungsmodell und Abrechnungsgrundlagen für die Nutzung

Personal

  • Festlegung und Abstimmung von Vertretungsregelungen

Notfallvorsorge und Notfallreaktion

  • Kategorien zur Einteilung von Fehlern und Störfällen nach Art, Schwere und Dringlichkeit
  • Erforderliche Handlungen beim Eintreten eines Störfalls
  • Kontakte für die Alarmierung einschließlich Kontaktwegen und Vertretern
  • Reaktionszeiten und Eskalationsstufen
  • Mitwirkungspflicht des Nutzers bei der Behebung von Notfällen
  • Art und zeitliche Abfolge von regelmäßigen und adäquaten Notfallübungen
  • Art und Umfang der Datensicherung
  • Vereinbarung, ob und welche Systeme redundant ausgelegt sein müssen
  • Regelungen bei Schäden durch höhere Gewalt
  • Regelungen zur Vertragsbeendigung im Falle einer Insolvenz oder Aufgabe der Geschäftstätigkeit von Web-Service-Anbieter oder -Consumers, inklusive Regelungen zum Umgang mit beim Anbieter gespeicherten Daten.

Sicherheitskonzept

Ein Sicherheitskonzept inklusive eines Notfallvorsorgekonzepts ist nachzuweisen und Sicherheitsmaßnahmen zum Schutz der Informationen sind umzusetzen und zu dokumentieren. Der Web-Service-Anbieter muss hierüber dem Consumer einen geeigneten Nachweis führen, insbesondere zur Umsetzung der technisch-organisatorischen Maßnahmen bei Auftragsdatenverarbeitung. Der Web-Service-Anbieter sollte sich auf die Einhaltung aller relevanten Gesetze und Vorgaben, vor allem aber des Datenschutzes nach dem Bundesdatenschutzgesetz ( BDSG ) verpflichten.

Entwicklung und Erweiterung von Web-Services

Für die effiziente Entwicklung von Web-Services sollten Regeln festgelegt werden, die von allen Partnern eingehalten werden. Das Ziel dabei ist es, sowohl Konzeptions- als auch Programmierfehler frühzeitig zu erkennen, um diese rechtzeitig zu vermeiden. Es sollte nach einem geeigneten Vorgehensmodell (zum Beispiel V-Modell XT) entwickelt werden.

Änderungs- und Patchmanagement

  • Es müssen Regelungen gefunden werden, die es ermöglichen, dass der Web-Service Consumer in der Lage ist, sich neuen Anforderungen anzupassen. Es ist festzulegen, wie geänderte Anforderungen des Consumers behandelt werden.
  • Der Zeitrahmen für die Behebung von Fehlern ist festzulegen.
  • Testverfahren für neue Soft- und Hardware sind zu vereinbaren. Dabei sind folgende Punkte einzubeziehen:
    • Informationspflicht und
    • Absprache vor wichtigen Eingriffen ins System

Kontrolle

  • Es ist zu vereinbaren, inwieweit dem Consumer Auditrechte für die Systeme und Abläufe des Web-Service-Anbieters eingeräumt werden. Wenn der Web-Service-Anbieter im Rahmen von Sicherheitszertifizierungen auditiert wird, ist zu klären, dass dem Consumer die Auditberichte zur Verfügung gestellt werden (mindestens als Auszug der für ihn relevanten Passagen).
  • Anforderungen an die Protokollierung und Auswertung von Protokolldateien müssen festgelegt werden.
  • Es ist zu vereinbaren, inwieweit der Web-Service-Consumer Protokolldaten anfordern oder einsehen darf, und welche weiteren Informationen oder Zugriffe ihm zur Aufklärung von Sicherheitsvorfällen zugänglich sind.

Die zu diesen Punkten getroffenen Regelungen müssen zwischen den beteiligten Parteien wirksam vereinbart werden, also einen Bestandteil der Vertragsbeziehung für die Erbringung beziehungsweise Nutzung der Dienste ausmachen.

Prüffragen:

  • Sind alle Vereinbarungen schriftlich fixiert?

  • Enthält der Vertrag alle hier aufgeführten Punkte, die für die konkrete Anbieter-Nutzer-Beziehung relevant sind?

  • Sind die entsprechenden Regelungen rechtswirksam zwischen Web-Service-Anbieter und -Nutzer vereinbart worden?

Stand: 14. EL Stand 2014