Bundesamt für Sicherheit in der Informationstechnik

M 2.537 Planung der sicheren Migration zu einem Cloud Service

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Fachverantwortliche, IT-Sicherheitsbeauftragter

Entscheidet sich eine Institution zur Nutzung von Cloud Services, sind in der Folge umfangreiche Planungsmaßnahmen durchzuführen, um deren sicheren Betrieb auch fortlaufend gewährleisten zu können. Ein besonderes Augenmerk ist hierbei auf die Planung der sicheren Migration und Einbindung von Cloud Services zu richten. Der Begriff Migration bezeichnet dabei immer entweder den technischen Wechsel von einem System auf ein anderes oder den Wechsel des Cloud-Diensteanbieters.

Die Planung der sicheren Einbindung von Cloud Services (siehe Maßnahme M 2.538 Planung der sicheren Einbindung von Cloud Services ) konzentriert sich dabei auf unterschiedliche Aspekte, die über die Überlegungen der Migrationsplanung hinaus betrachtet werden sollten.

Im Rahmen der Planung der sicheren Migration zu einem Cloud Service muss die Institution ein Migrationskonzept erstellen, welches als Teil des Sicherheitskonzeptes für die Cloud-Nutzung auszulegen ist (siehe Maßnahme M 2.539 Erstellung eines Sicherheitskonzeptes für die Cloud-Nutzung ). Dabei sind verschiedene Cloud-spezifische Besonderheiten und Voraussetzungen zu beachten und entsprechend im Migrationskonzept darzustellen.

Planung der Einführung eines Cloud Services in die Institution

Die Einführung eines Cloud Services erfolgt in der Regel stufenweise und unterscheidet sich hierbei von der Umsetzung eines klassischen Outsourcing-Vorhabens. In der Regel ist keine "echte" Transition erforderlich. Unter Transition ist hier der Übergang von einem Betriebsmodell in ein anderes zu verstehen, also etwa der Übergang aus dem Eigenbetrieb in eine Outsourcing-Situation.

Zu Beginn der Planung sollten zunächst organisatorische Regelungen wie hierarchische Strukturen, Rollen und Verantwortlichkeiten sowie die Aufgabenverteilung festgelegt werden.

Zusätzlich sollten geeignete Test- und Übergabeverfahren geplant werden, um sowohl eine reibungslose Migration als auch fortlaufend einen sicheren Betrieb gewährleisten zu können.

Im weiteren Verlauf der Migrationsplanungen sind festgelegte Anforderungen hinsichtlich des zu gewährleistenden Sicherheitsniveaus und Service Levels auf Einhaltung zu überprüfen und eventuell notwendige Anpassungen vorzunehmen, sofern Abweichungen vom definierten Soll-Zustand auftreten.

Zudem empfiehlt es sich, weitere vertragliche Regelungen zwischen Institution, Cloud-Diensteanbieter und gegebenenfalls externen Migrations-Dienstleistern zu definieren. Dies dient unter anderem der Beantwortung der Frage, wann eine Migration als abgeschlossen zu betrachten und wann die Übergabe in die Produktion erfolgt ist. Auch der Zeitpunkt, ab dem eine Institution die Einhaltung vereinbarter Service Level Agreements einfordern kann, gilt als genau zu definieren. Es ist hilfreich, nach der Abnahme der Migrationen ein Review über die gesamte Migration vorzunehmen. Wichtig sind in diesem Zusammenhang auch Nachweise, was der Migrations-Dienstleister an Konvertierungen von Daten und Systemen vorgenommen hat.

Berücksichtigung der eigenen IT

Um einen reibungslosen Einsatz von Cloud Services zu gewährleisten, ist eine enge Einbindung in die IT der Institution erforderlich. Die bestehende IT -Umgebung ist daher in besonderem Maße bei den Migrationsplanungen zu berücksichtigen. Hierbei sollten bereits vorhandene sowie zusätzlich benötigte Schnittstellen im Vorfeld identifiziert und gegebenenfalls an veränderte Anforderungen angepasst werden.

Auswirkung auf Betriebsprozesse

In der Praxis hat der Einsatz von Cloud Services häufig Veränderungen von Prozessen beim Auftraggeber zur Folge. Im Rahmen der Cloud-Nutzung empfiehlt es sich daher, bestehende Betriebsprozesse zu überprüfen und an neue Gegebenheiten anzupassen. Dabei sind auch etwaige Auswirkungen auf Mitarbeiter zu berücksichtigen. Gegebenenfalls müssen hier die neuen Aufgaben und damit einhergehenden Verantwortungsbereiche eindeutig definiert und zusätzlicher Schulungsbedarf identifiziert werden.

Prüffragen:

  • Ist das Migrationskonzept für den definierten Cloud Service als Teil des Sicherheitskonzeptes für die Cloud-Nutzung ausgelegt?

  • Sind organisatorische Regelungen hinsichtlich der Migration definiert?

  • Wurden bestehende Betriebsprozesse hinsichtlich der Cloud-Nutzung identifiziert und angepasst?

  • Ist die eigene IT ausreichend im Migrationsprozess berücksichtigt worden?

  • Wurde ein entsprechender Schulungsbedarf für Mitarbeiter ermittelt?

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK