Bundesamt für Sicherheit in der Informationstechnik

M 2.540 Sorgfältige Auswahl eines Cloud-Diensteanbieters

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter IT

Nach Abschluss der Planungs- und Konzeptionsphase ist durch die Institution ein geeigneter Dienstleister für die Erbringung des definierten Cloud Services auszuwählen.

Die Voraussetzung für die sorgfältige Auswahl eines geeigneten Cloud-Diensteanbieters bildet die Erstellung eines möglichst detaillierten Anforderungsprofils. Neben der Definition des einzusetzenden Cloud Services finden sich in Maßnahme M 2.536 Service-Definition für Cloud-Dienste durch den Anwender weitere Aspekte, die für das Anforderungsprofil für den Cloud-Diensteanbieter relevant sind. Weitere Sicherheitsanforderungen sind aus den Maßnahmen M 2.535 Erstellung einer Sicherheitsrichtlinie für die Cloud-Nutzung und M 2.539 Erstellung eines Sicherheitskonzeptes für die Cloud-Nutzung einzubeziehen. Daneben sollte eine Anforderungsanalyse durchgeführt werden, die den dokumentierten Vorgaben eine Gewichtung beziehungsweise Bewertung zuordnet.

Aus der Gesamtheit der ermittelten Anforderungen ist ein Leistungskatalog beziehungsweise Lastenheft zu generieren. Auf dieser Basis kann die Institution individuelle Angebote einholen beziehungsweise verfügbare (Standard-) Angebote der Cloud-Diensteanbieter vergleichen.

Beschaffung und Auswertung weitergehender Informationen

Neben den oben aufgeführten Anforderungen sind bei der Auswahl eines geeigneten Cloud-Diensteanbieters weitere Aspekte zu betrachten. Als Bewertungsmethode hat sich in der Praxis die Verwendung einer Punkte-Matrix (zum Beispiel Balanced Scorecard) bewährt.

Nachfolgend beschriebene Aspekte sollten für die Auswahl eines geeigneten Cloud-Diensteanbieters herangezogen werden.

  • Reputation des Anbieters. Sofern Informationen hierüber zur Verfügung stehen, sollte eine Institution auch die Reputation eines Cloud-Diensteanbieters in ihre Entscheidung einbeziehen. Dabei ist zusätzlich zu klären, ob innerhalb der eigenen Institution bereits Erfahrungen mit einem Cloud-Diensteanbieter verfügbar sind oder ob auf Erfahrungen anderer Kunden mit ähnlichen Anforderungen zugegriffen werden kann. Eventuell sind Informationen hinsichtlich der vertragstreuen Service-Erbringung gegenüber anderen Kunden verfügbar.
  • Kerngeschäft des Anbieters. Es sollte kritisch hinterfragt werden, ob das Anbieten von Cloud Services als Kerngeschäft des Dienstleisters angesehen werden kann. Daneben sollte geprüft werden, inwieweit der Cloud-Diensteanbieter bereits eine gewisse Historie aufzuweisen hat, die auch auf eine möglichst hohe Zukunftssicherheit schließen lässt. Die Auswahl eines Cloud-Diensteanbieters, der erst seit kurzer Zeit am Markt in Erscheinung tritt und für den die Erbringung von Cloud-Diensten nicht das Kerngeschäft darstellt, birgt unter Umständen ein erhöhtes Risikopotenzial. Die Gefahr, dass ein solcher Anbieter die Erbringung von Dienstleistungen kurzfristig einstellt, sich stark verändert oder komplett vom Markt verschwindet, ist größer einzuschätzen als bei ausgewiesenen Cloud-Dienstleistern, die ihr Service-Angebot bereits über einen längeren Zeitraum aufrechterhalten und immer weiter ausbauen.
  • Öffentlich verfügbare Rankings oder Bewertungsmatrizen. Auch öffentlich verfügbare Rankings oder Bewertungsmatrizen, die von (unabhängigen) Dritten erstellt wurden, können zur Auswahl eines geeigneten Cloud-Diensteanbieters beitragen. Dabei ist darauf zu achten, dass die Bewertung möglichst objektiv und neutral erfolgt. Hier empfehlen sich Marktanalysen, die beschreiben, welcher Cloud-Diensteanbieter für welche Kundensituation am geeignetsten erscheint. In diesem Zusammenhang werden häufig Bewertungen hinsichtlich Sicherheitsaspekten, Kosten oder der Leistungserbringung vorgenommen.
  • Due-Diligence-Prüfung. Bei entsprechendem Bedarf und sofern möglich, ist die Durchführung einer Due-Diligence-Prüfung (due diligence - "gebotene Sorgfalt") ratsam. Hierbei sollten alle relevanten Parameter im Zusammenhang mit der Nutzung von Cloud Services (zum Beispiel Sicherheitsaspekte, eingesetzte Technik, Schnittstellen, Prozesse usw.) geprüft werden. Ziel der Prüfung ist, die Leistungsfähigkeit des Diensteanbieters zu ermitteln und zu klären, ob der Cloud-Diensteanbieter die Voraussetzungen für die gewünschte Service-Erbringung erfüllt.
  • Zugriffe durch den Diensteanbieter oder Dritte. Ein weiteres Auswahlkriterium für einen geeigneten Cloud-Diensteanbieter kann dessen Möglichkeit zum Zugriff auf Daten oder Verfahren der Institution darstellen. Unter Umständen räumt der Diensteanbieter ein solches Zugriffsrecht für sich oder Dritte ein, was in der Regel aber den Anforderungen an den Cloud Service widerspricht. Darüber hinaus ist zu beobachten, dass Diensteanbieter Subunternehmer beauftragen, die in der Folge Zugriff auf Kundendaten erhalten können.
  • Installation bestimmter Softwarelösungen. In einigen Fällen setzt die Nutzung des Cloud Services die vorherige Installation einer bestimmten Software-Lösung auf den Systemen der Institution voraus. Hier empfiehlt sich zu hinterfragen, welche potenziellen Sicherheitsrisiken beziehungsweise -erfordernisse mit einer solchen Installation einhergehen. Möglicherweise ergeben sich Kompatibilitätsprobleme, oder es entstehen zusätzliche Kosten, die nicht auf den ersten Blick ersichtlich sind. Zudem entsteht eine weitere Abhängigkeit vom Cloud-Diensteanbieter.
  • Standorte des Cloud-Diensteanbieters. Auch der Sitz des Cloud-Diensteanbieters (und die damit einhergehende Jurisdiktion), die Standorte der von ihm betriebenen oder genutzten Rechenzentren sowie die Sitze und Standorte der zur Service-Erbringung beauftragen Subunternehmen können für eine Institution von entscheidender Bedeutung sein. Der mögliche Ort der Leistungserbringung kann durch Compliance-Vorgaben eingeschränkt sein. Abhängig von der Standortwahl des Diensteanbieters unterliegt dieser gegebenenfalls staatlichen Eingriffs- und Einsichtsrechten. Denkbar sind hier ebenfalls existierende Prüfpflichten zu gespeicherten Daten, denen der Diensteanbieter nachkommen muss, oder auch gerichtlich einklagbare Einsichtsrechte Dritter.
  • Subunternehmen zur Service-Erbringung. Häufig sind viele Subunternehmen an der Erbringung eines Cloud Services beteiligt. Unstimmigkeiten zwischen den Vertragspartnern oder unzuverlässige Subunternehmer können sich nachteilig auf die Leistungsfähigkeit des Cloud-Diensteanbieters auswirken. In der Regel ist die Beteiligung von Subunternehmen wesentlich stärker ausgeprägt, als dies beispielsweise beim Outsourcing der Fall ist. Bei der Auswahl eines Cloud-Diensteanbieters sollten daher auch die Subunternehmen betrachtet werden.
  • Berücksichtigung vertraglicher Regelungen. Bereits bei der Auswahl eines Cloud-Diensteanbieters sollten dessen vertragliche Regelungen berücksichtigt werden. Besteht ein Cloud-Diensteanbieter beispielsweise auf Vertragsbestandteilen, die durch die nutzende Institution nicht zu akzeptieren sind, sollte der entsprechende Cloud-Diensteanbieter als potenzieller Vertragspartner ausscheiden. Weitere Informationen zu vertraglichen Regelungen sind in der Maßnahme M 2.541 Vertragsgestaltung mit dem Cloud-Diensteanbieter beschrieben.

Durchführung einer Kosten-Nutzen-Analyse

Die vorliegenden konkreten Angebote einiger Cloud-Diensteanbieter ermöglichen in der Folge die Durchführung einer Kosten-Nutzen-Analyse, die für jeden definierten Cloud Service durchzuführen ist. Der Fokus sollte dabei auf der Ermittlung der realistischen Kosten liegen. In der Praxis ist zu beobachten, dass im Verlauf der Service-Definition die gestellten Anforderungen an den zu nutzenden Cloud-Dienst, beispielsweise in Form konkreter SLA s, stetig wachsen. Häufig wird dabei jedoch der Einfluss solcher Leistungsmerkmale auf die Kosten eines Services unterschätzt oder gänzlich aus den Augen verloren.

Die Kosten-Nutzen-Analyse liefert einer Institution in diesem Fall Aufschlüsse über ein sinnvolles Verhältnis zwischen dem potenziellen Mehrwert konkreter Anforderungsanpassungen und den sich daraus ergebenden Kosten. Weist die Kosten-Nutzen-Betrachtung des definierten Cloud Services höhere Kosten als Nutzen auf, sollte in der Folge die Service-Definition überdacht und gegebenenfalls angepasst oder auf die Nutzung des Cloud Services verzichtet werden.

Bei der Betrachtung der Kosten ist zwischen Investitionskosten (Capex - capital expenditure) und Kosten für den operativen Geschäftsbetrieb (Opex - operational expenditure) zu unterscheiden. Bei der Nutzung von Cloud Services entstehen zunächst zusätzliche Kosten, da ein Umstieg auf die Cloud nicht sofort vorhandene Services und die dafür benötigte Infrastruktur ablöst. So übernehmen beispielsweise die Mitarbeiter einer Institution neue Aufgaben, für die sie zusätzlich geschult werden müssen, auch sind weitere organisatorische Anpassungen innerhalb der nutzenden Institution notwendig. Diese Kosten müssen ebenso in die Analyse des Kosten-Nutzen-Verhältnisses einbezogen werden, wie die in der Regel verbrauchsorientierten Nutzungskosten für die Inanspruchnahme eines Cloud-Dienstes.

Auf diesem Weg soll sichergestellt werden, dass die potenzielle Ersparnis durch die Einführung von Cloud Services realistisch betrachtet wird. In der Praxis hat sich gezeigt, dass sich der tatsächliche Vorteil bei der Cloud-Nutzung häufig aus Einsparungen durch frei werdende Rechenzentrumsfläche ergibt.

Mögliche Fallstricke bei der Auswahl eines Cloud-Diensteanbieters

In der Praxis zeigt sich oft, dass Anwender zwar über ein grundsätzliches Verständnis von Maßnahmen zur geeigneten Auswahl eines Cloud-Diensteanbieters verfügen, sie aber dennoch an häufig wiederkehrenden Fallstricken scheitern. Auf die nachfolgend beschriebenen Aspekte sollte daher, in Abhängigkeit von den Anforderungen der Institution, ein besonderes Augenmerk gelegt werden. Die Ausführungen sind dabei als unterstützende Hinweise für den Anwender zu sehen, eine vollständige Umsetzung wird nicht als notwendig erachtet.

Prüfung der vertraglichen Grundlagen

Die Nutzungsbedingungen, Geschäftsbedingungen oder sonstige vertragliche Grundlagen des Cloud-Diensteanbieters, die bereits vor dem eigentlichen Vertragsabschluss zur Einsicht vorliegen, sollten umfassend geprüft werden. Häufig verbergen sich hier hinter unverständlichen, unübersichtlichen, auffallend umfangreichen oder intransparenten Unterlagen nachteilige Regelungen für den Anwender.

Service-Beschreibungen

Die verfügbaren Service-Beschreibungen des Cloud-Diensteanbieters sollten sorgfältig geprüft und hinterfragt werden. Es ist zu klären, wie die darin enthaltenden Angaben zu verstehen sind. Bei Unklarheiten oder Unsicherheiten sollte der entsprechende Cloud-Diensteanbieter direkt kontaktiert werden. Häufig ist in der Praxis zu beobachten, dass insbesondere im Zusammenhang mit Cloud Services Leistungen durch den Anwender als inklusiver Bestandteil der Service-Beschreibung vorausgesetzt werden, die in dieser Form vom Cloud-Diensteanbieter nicht oder lediglich als kostenpflichtige Zusatzleistung erbracht werden.

Beispiel:

  • Der Anwender beauftragt einen Online-Speicher, den er für Daten einsetzen möchte, die häufigen Änderungen unterliegen. In der zugehörigen Service-Beschreibung des Cloud-Diensteanbieters wird das Backup der Daten als Inklusiv-Leistung beschrieben. Da der Anwender in seiner eigenen Institution täglich ein Backup der Daten vornimmt, setzt er diesen Backup-Zyklus auch beim beauftragten Diensteanbieter als Standard voraus. Der Cloud-Diensteanbieter bietet tatsächlich aber nur ein wöchentliches Backup an. Für die Verkürzung des Backup-Zyklus fallen zusätzliche Kosten an.

Erwartete und tatsächliche Leistungserbringung

Ein Cloud-Diensteanbieter muss aus Gewinnerzielungsabsicht heraus seine Services möglichst kostengünstig erbringen, was unter Umständen den Erwartungen des Auftraggebers (hohe Dienstleistungsqualität, Flexibilität, Kundenfreundlichkeit, Sicherheitsniveau etc. ) widerspricht.

Insbesondere bei Cloud-Nutzung ist in der Praxis jedoch häufig zu beobachten, dass IT -Verantwortliche die Werbeaussagen des Dienstleisters in der Erwartung der Senkung von IT-Kosten nicht hinterfragen. Missverständnisse hinsichtlich erwarteter und tatsächlich erbrachter Leistungen, die häufig nur mit zusätzlichen Kosten zu beheben sind, stellen sich daher oft erst im laufenden Betrieb heraus.

Aus diesem Grund sollten die Verantwortlichen innerhalb einer Institution bereits vorab eine Vergleichsrechnung durchführen, die Aufschluss darüber gibt, zu welchen Kosten ein Dienstleister die vereinbarte Leistung erbringen muss, damit sowohl Auftraggeber als auch Auftragnehmer von einem Vertragsverhältnis profitieren. Das Ergebnis der Berechnung zeigt unter Umständen, dass eine seriöse Leistungserbringung zu den angebotenen günstigen Konditionen nicht als realistisch angesehen werden kann.

Standardisierte SLA-Beschreibungen

Standardisierte SLA -Beschreibungen des Cloud-Diensteanbieters, die nicht individuell vereinbart werden, sollten bereits im Rahmen der Auswahl eines Cloud-Diensteanbieters sorgfältig hinsichtlich ihres Inhaltes und ihrer Aussagekraft untersucht werden. Häufig sind in der Praxis unklare Beschreibungen innerhalb von SLA s vorzufinden. Dies kann im laufenden Betrieb zu Unstimmigkeiten und Störungen führen. Sofern keine SLA -Beschreibungen vorliegen, sollten Institutionen die verfügbaren AGB s auf ähnliche Weise prüfen und ggf. mit konkreten Fragen an den Cloud-Diensteanbieter herantreten.

Beispiel:

  • Ein Cloud-Diensteanbieter garantiert innerhalb des SLA s eine Serviceverfügbarkeit von 99,5 %, spezifiziert diese Zahl aber nicht genauer. Für den Anwender ist nicht transparent, was sie bedeutet. Der Service dürfte nach diesem SLA zwei Tage am Stück ausfallen, was einer für den Anwender maximal tolerierbaren Ausfallzeit von vier Stunden entgegenstehen würde.

Außendarstellung zur Leistungsfähigkeit des Cloud-Diensteanbieters

Die Außendarstellung zur Leistungsfähigkeit eines Cloud-Diensteanbieters ist kritisch zu betrachten und im Zweifelsfall durch individuelle Kontrollen zu überprüfen. Cloud-Nutzung wird nach wie vor als Trend-Thema angesehen. Verantwortliche in Institutionen sehen sich daher aus unterschiedlichen Gründen unter Umständen dazu verleitet, die Werbeversprechen von Cloud-Diensteanbietern nicht in ausreichendem Maße kritisch zu hinterfragen. Anwender gewinnen so gegebenenfalls einen falschen Eindruck davon, wer sich tatsächlich hinter dem Cloud-Diensteanbieter verbirgt und hinterfragen dessen getroffene Aussagen zur eigenen Leistungsfähigkeit in der Folge nicht ausreichend. In einem solchen Fall hätte beispielsweise die Besichtigung eines Rechenzentrums vor Ort zum Aufdecken der falschen Versprechungen beigetragen.

Legt eine Institution bei der Auswahl ihres Cloud-Diensteanbieters besonderen Wert darauf, dass Zertifizierungen vorhanden sind, sollten auch diese näher hinterfragt werden. Häufig sind Zertifizierungen (zum Beispiel nach ISO/IEC 27001, ISO 9001 etc.) zwar grundsätzlich vorhanden, werden aber nicht regelmäßig aktualisiert und sind daher nicht mehr gültig oder der Scope deckt den betroffenen Service nicht ab. Auch sind der Inhalt und Umfang zu hinterfragen und gegebenenfalls weitere Informationen vom Cloud-Diensteanbieter zu fordern. Als zuverlässig sind in diesem Zusammenhang Zertifizierungen nach IT-Grundschutz auf Basis von ISO 27001 anzusehen.

Kundenfreundlichkeit

Verwendet der Cloud-Diensteanbieter in seiner Leistungsbeschreibung unklare Definitionen und ist nicht willens oder in der Lage, diese verständlich zu erläutern, sollte der Anwender prüfen, ob dies ein geeigneter Vertragspartner für den geplanten Cloud Service ist.

Prüffragen:

  • Wurde auf der Basis der Service-Definition für den Cloud-Dienst ein detailliertes Anforderungsprofil für einen Cloud-Diensteanbieter erstellt?

  • Existiert eine Leistungsbeschreibung oder ein Lastenheft zum Abgleich und zur Bewertung vorliegender Angebote unterschiedlicher Cloud-Diensteanbieter?

  • Fanden ergänzende Informationsquellen (zum Beispiel Marktanalysen, vertragliche Regelungen oder Standortwahl) Eingang in die Bewertung eines Cloud-Diensteanbieters?

  • Wurden die verfügbaren Service-Beschreibungen (SLAs oder AGBs) des Cloud-Diensteanbieters sorgfältig geprüft und hinterfragt?

Stand: 14. EL Stand 2014