Bundesamt für Sicherheit in der Informationstechnik

M 2.536 Service-Definition für Cloud-Dienste durch den Anwender

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Fachverantwortliche, IT-Sicherheitsbeauftragter

Entscheidet sich eine Institution für die Nutzung von Cloud-Diensten, muss eine entsprechende Service-Definition erarbeitet werden. Die IT Infrastructure Library ( ITIL ) definiert einen Service als die Möglichkeit, einen Mehrwert für einen Auftraggeber zu generieren. Dazu soll die Erreichung der vom Auftraggeber angestrebten Ergebnisse erleichtert oder gefördert werden. Der Auftraggeber selbst hat dabei keine Verantwortung für bestimmte Kosten oder Risiken zu tragen.

Angewandt auf die Cloud-Nutzung bedeutet dies, dass ein Mehrwert durch einen beauftragten Diensteanbieter nur generiert werden kann, sofern die angestrebten Ergebnisse innerhalb der Institution auch tatsächlich bekannt und dokumentiert sind. Grundlage für die sorgfältige Definition der zu verwendenden Cloud Services sind die Anforderungen aus der Institution heraus, wie sie im Rahmen der Maßnahmen M 2.534 Erstellung einer Cloud-Nutzungs-Strategie und M 2.535 Erstellung einer Sicherheitsrichtlinie für die Cloud-Nutzung zu ermitteln und zu dokumentieren sind. Es empfiehlt sich, eine einheitlich gestaltete Auflistung vorzunehmen, in der alle für die Verwendung vorgesehenen Cloud Services übersichtlich dargestellt sind. Hierfür bietet sich beispielsweise die Erstellung sogenannter Service Templates nach ITIL an. Mögliche Inhalte in diesem Zusammenhang sind:

  • Servicekürzel und Servicename
  • Kurzbeschreibung
  • Kategorie
  • Sub- beziehungsweise Sekundärservices
  • Varianten
  • Technische Parameter
  • Service-Parameter/ SLA
  • SLA -Messung
  • Gültigkeit des Services (Zeitraum)
  • Service-Übergabe
  • Methoden der Kostenermittlung
  • Preis/Verrechnung
  • Ansprechpartner für den Service
  • Berechtigte und Anforderer
  • Voraussetzungen

Im Rahmen der Service-Definition für Cloud-Dienste sollten durch die Institution zumindest die nachfolgenden, näher beschriebenen Aspekte thematisiert werden.

Schnittstellen und Verantwortlichkeiten

Die nutzende Institution sollte alle relevanten Schnittstellen und Verantwortlichkeiten für die Cloud-Nutzung identifizieren und dokumentieren.

Eine wesentliche Anwendungskomponente und wichtige Schnittstelle des Cloud-Dienstes stellt die Client-Software (zum Beispiel zur Integration eines zusätzlichen Laufwerks bei Nutzung eines Online-Speicherdienstes) dar. Daher ist insbesondere deren Auswahl für die Cloud-Nutzung ausreichende Bedeutung beizumessen. Hierbei sind eine Reihe von Aspekten zu berücksichtigen, und die Beantwortung der nachfolgenden Fragen kann der Institution wichtige Aufschlüsse zur Wahl einer geeigneten Lösung liefern.

  • Existiert eine definierte Rückfallebene beim Ausfall der Client-Software?
  • Sind eventuelle Abhängigkeiten oder Inkompatibilitäten im Zusammenhang mit der vorhandenen IT-Infrastruktur zu erwarten?
  • Kann die Client-Software ohne Weiteres in die bestehenden Prozesse des Änderungsmanagements integriert werden oder sind Anpassungen notwendig? Nähere Hinweise hierzu finden sich auch in M 2.221 Änderungsmanagement beziehungsweise B 1.14 Patch- und Änderungsmanagement .
  • Erfüllt die Client-Software die Anforderungen der Institution hinsichtlich bestehender Test- und Freigabeprozesse?

Auswahl sicherer Authentisierungsmethoden

Plant eine Institution die Nutzung von Cloud-Diensten, sollte dabei auf die Auswahl und den Einsatz sicherer Authentisierungsmethoden geachtet werden. Dabei sind starke Authentisierungsmechanismen (zum Beispiel 2-Faktor-Authentisierung) zumindest für die Administration der Cloud Services einzusetzen. Wurde für den Cloud Service ein hoher Schutzbedarf identifiziert, sollten auch für Benutzer außerhalb der Administration starke Authentisierungsmechanismen zum Einsatz kommen. Gleiches gilt bei Nutzung von Cloud Services über das Internet, falls kein VPN eingesetzt wird. Bei der Nutzung von Cloud Services mit normalem Schutzbedarf und beim Einsatz von VPN ist hingegen in der Regel eine 1-Faktor-Authentisierung ausreichend, wobei das dabei verwendete Passwort den Regeln für sichere Passwörter der Institution unterliegt.

Berücksichtigung weiterer Sicherheitsaspekte

Neben den genannten Aspekten sind im Rahmen der Service-Definition für Cloud-Dienste auch Vorgaben zur Verschlüsselung von Informationen zu erstellen. Sofern weitere Sicherheitsvorgaben als notwendig angesehen werden, wie beispielsweise die Durchführung eigener Datensicherungen, sollten diese ebenfalls in die Service-Definition einfließen.

Definition von OLA und SLA

Es sind gezielt konkrete interne Anforderungen an die zu verwendenden Cloud Services auszuarbeiten, und der Service-Level für die Anwender innerhalb der eigenen Institution zu definieren. Diese internen Regelungen, die auch als OLA (Operational Level Agreement) bezeichnet werden, dienen in der Folge als Basis für die Erarbeitung entsprechender SLA (Service Level Agreements) mit einem externen Cloud-Diensteanbieter.

Nach abschließend erfolgter Service-Definition für den Cloud-Dienst ist dessen Einbindung in die Institution, wie in Maßnahme M 2.538 Planung der sicheren Einbindung von Cloud Services beschrieben, sicherzustellen.

Ist der Cloud Service definiert, muss ein geeigneter Cloud-Diensteanbieter für dessen Erbringung gefunden werden (siehe hierzu M 2.540 Sorgfältige Auswahl eines Cloud-Diensteanbieters ). Basis für die tatsächliche Erbringung des definierten Cloud Services ist anschließend ein entsprechender Vertrag zwischen Auftraggeber und Cloud-Diensteanbieter (siehe hierzu M 2.541 Vertragsgestaltung mit dem Cloud-Diensteanbieter ).

Prüffragen:

  • Gibt es eine Service-Definition des zu nutzenden Cloud-Dienstes?

  • Existiert eine Auflistung, die alle geplanten und verwendeten Cloud Services zusammenfasst?

  • Sind alle relevanten Schnittstellen und Verantwortlichkeiten für die Cloud-Nutzung identifiziert und dokumentiert?

  • Wurden Vorgaben zur Auswahl und zum Einsatz sicherer Authentisierungsmethoden definiert?

  • Wurden konkrete interne Anforderungen an die zu verwendenden Cloud Services ausgearbeitet?

  • Wurden Vorgaben zur Verschlüsselung von Informationen für den Cloud-Dienst gemacht?

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK