Bundesamt für Sicherheit in der Informationstechnik

M 2.541 Vertragsgestaltung mit dem Cloud-Diensteanbieter

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter IT

Hat die Institution einen geeigneten Cloud-Diensteanbieter ausgewählt, sollten alle relevanten Aspekte der geplanten Cloud-Nutzung vertraglich in sogenannten Service Level Agreements, kurz SLA , festgehalten und geregelt werden. Dabei sollten Art, Umfang und Detaillierungsgrad der vertraglichen Regelungen dem Schutzbedarf der Daten und Anwendungen angepasst werden, die im Zusammenhang mit der Cloud-Nutzung stehen.

Bei der Vertragsgestaltung mit dem Cloud-Diensteanbieter ist eine Vielzahl unterschiedlicher Themen zu betrachten. Es ist darauf zu achten, dass alle zuvor definierten Anforderungen auch im Vertrag mit dem Cloud-Diensteanbieter berücksichtigt werden. Grundsätzlich sollten sich die vertraglichen Regelungen zumindest an den nachfolgend beschriebenen Punkten orientieren.

Ort der Leistungserbringung durch den Cloud-Diensteanbieter

Es ist festzuhalten, an welchen Standorten ein Cloud-Diensteanbieter die beauftragten Cloud Services erbringt (zum Beispiel national, innerhalb der Europäischen Union etc. ). Wenn notwendig, können auch explizit bestimmte Rechenzentren festgelegt werden.

An der Erbringung des Services beteiligte Subunternehmer oder andere Dritte

Sofern Subunternehmer an der Service-Erbringung beteiligt sind beziehungsweise der Cloud-Dienst auf anderen Cloud-Diensten basiert, ist dies unter Angabe der beteiligten Dritten vertraglich festzuhalten. Änderungen müssen dem Cloud-Anwender mitgeteilt werden, und bei kritischen Diensten muss auch ein außerordentliches Kündigungsrecht eingeräumt werden.

Regelungen hinsichtlich der Infrastruktur des Cloud-Diensteanbieters

In diesem Zusammenhang sind unter anderem Vorgaben zur Absicherung der vorhandenen Infrastruktur und umzusetzende Maßnahmen zur Ausfallsicherheit beim Cloud-Diensteanbieter festzuhalten. Auch Vorgaben zur Ausgestaltung der Umsetzung einer mandantenfähigen Infrastruktur durch den Cloud-Diensteanbieter sollten vertraglich geregelt werden. Gegebenenfalls kann in diesem Zusammenhang ein Nachweis mithilfe von Zertifizierungen erfolgen.

Regelungen hinsichtlich des Personals beim Cloud-Diensteanbieter

Sofern die nutzende Institution besondere Anforderungen an Skill-Level, Qualifikationen und Zertifizierungen des Personals beim Cloud-Diensteanbieter stellt, sind diese vertraglich festzulegen. Dabei sind unter anderem folgende Aspekte denkbar:

  • Regelungen zum Vorgehen des Cloud-Diensteanbieters bei der Einstellung von IT-Administratoren oder anderen Mitarbeitern mit Zugriffsrechten auf Kundendaten. Bei Vertragspartnern mit Standorten in mehreren Ländern sollte sichergestellt sein, dass unabhängig vom Einsatzort des Mitarbeiters die gleichen Kriterien (zum Beispiel hinsichtlich Aus- und Weiterbildung, benötigten Zertifikaten, Sprachvermögen) angesetzt werden.

Weiterhin sind folgende Themen hinsichtlich des Personals zu regeln:

  • Vorgaben zu notwendigen Schulungen zu Informationssicherheit durch den Cloud-Diensteanbieter
  • Sofern dies als erforderlich angesehen wird, kann ein Nachweis der Sicherheitsüberprüfung von Mitarbeitern eingefordert werden.
  • Vorgaben zur regelmäßigen Beurteilung des Personals, um das erforderliche Qualitätsniveau dauerhaft gewährleisten zu können.

Regelungen zu Kommunikationswegen und Ansprechpartnern

Es sind klare Verantwortlichkeiten, Eskalationsstufen und Kommunikationswege zwischen der beauftragenden Institution und dem Cloud-Diensteanbieter zu definieren. Die Kommunikationssprache ist festzulegen. Es ist insbesondere darauf zu achten, dass Regelungen zu Ansprechpartnern im Notfall, zum Sicherheitsvorfall-Management und zur Behebung von Fehlern getroffen werden. Je nach Anforderungen des Auftraggebers sind hier explizit Telefonnummern, Kontaktpersonen sowie Erreichbarkeitszeiten anzugeben.

Regelungen zu Prozessen, Arbeitsabläufen und Zuständigkeiten

Folgende Themen sollten vertraglich vereinbart werden:

  • Vorgaben zur Durchführung regelmäßiger Security-Monitoring-Aktivitäten
  • Vorgaben zum Incident Handling
  • Vorgaben zur Durchführung regelmäßiger Abstimmungsrunden
  • Vorgaben zum Änderungsmanagement beim Cloud-Diensteanbieter
  • Vorgaben zu den Fernzugangsrichtlinien des Cloud-Diensteanbieters
  • Umzusetzende Maßnahmen zum Schutz gegen Schadprogramme
  • Detaillierte Dokumentation des Backup- und Recovery-Prozesses
  • Einräumung des Rechts zur eigenen Datensicherung durch die nutzende Institution (soweit dies beim angebotenen Dienst möglich ist)
  • Bereitstellung von verschlüsselten Transportwegen
  • Mitwirkungspflichten des Cloud-Anwenders

Regelungen zur Beendigung des Vertragsverhältnisses

Es sind unter anderem Regelungen zur Rückgabe der Daten zu treffen. Weiterführende Informationen zu umzusetzenden Maßnahmen, für den Fall, dass das Vertragsverhältnisses beendet wird, sind der Maßnahme M 2.307 Geordnete Beendigung eines Outsourcing- oder Cloud-Nutzungs-Verhältnisses zu entnehmen.

Sicherstellung der Datenlöschung beim Cloud-Diensteanbieter

Es sind Vereinbarungen darüber zu treffen, was unter der Löschung von Daten zu verstehen ist und was die vollständige Löschung der Daten beinhaltet. Hierbei kann beispielsweise zwischen dem Entfernen von Tags und dem (mehrfachen) Überschreiben von Daten unterschieden werden.

Weiterhin sind Vereinbarungen darüber zu treffen, welches Sicherheitsniveau bei der Datenlöschung durch den Cloud-Diensteanbieter zu erzielen ist und ob eine Unterscheidung hinsichtlich der Datenlöschung im regulären Betrieb oder bei Vertragsbeendigung erfolgen soll. Hierfür bietet es sich an, den notwendigen Aufwand zur Wiederherstellung der Daten als Maßstab heranzuziehen. In den meisten Fällen sollte ein Sicherheitsniveau angestrebt werden, bei dem die Wiederherstellung der Daten mithilfe professioneller Recovery-Tools nicht möglich ist. Sofern höhere Anforderungen an das Sicherheitsniveau der Datenlöschung, beispielsweise die Zerstörung der Datenträger nach DIN-Norm 66399, existieren, ist bereits im Vorfeld zu klären, ob diese durch den Cloud-Diensteanbieter tatsächlich erfüllt werden können (siehe hierzu auch Maßnahme M 2.540 Sorgfältige Auswahl eines Cloud-Diensteanbieters ).

Die Problematik des sicheren Löschens in modernen Speicherlösungen ist in der Maßnahme M 2.527 Sicheres Löschen in SAN-Umgebungen des Bausteins B 3.303 Speicherlösungen / Cloud Storage betrachtet worden. Hier können sowohl Anwender als auch Cloud-Diensteanbieter Hilfestellung hinsichtlich des zu erzielenden Sicherheitsniveaus finden.

Regelungen zu Zutritts- und Zugriffsberechtigungen

Sofern sich eine solche Anforderung aus den vorangegangenen Betrachtungen der Institution ergibt, ist hier beispielsweise die Beschränkung von Zugriffsberechtigungen ausschließlich auf zertifiziertes Personal denkbar. Weiterhin sind Vorgaben zu umzusetzenden Sicherheitsmaßnahmen in den Rechenzentren des Cloud-Diensteanbieters festzuhalten.

Regelungen zur Notfallvorsorge

Es sollte vertraglich geregelt werden, dass der Cloud-Diensteanbieter Notfallpläne vorhält und diese für den Cloud-Anwender zur Einsichtnahme zur Verfügung stehen.

Abhängig von den Verfügbarkeitsanforderungen der Anwender sind Dringlichkeitsstufen festzulegen, garantierte Reaktionszeiten im Notfall zu vereinbaren sowie die Durchführung von Notfallübungen beim Cloud-Diensteanbieter zu fordern.

Regelungen zu rechtlichen Rahmenbedingungen

Folgende Themen sind zu betrachten:

  • Verpflichtung des Cloud-Diensteanbieters zur Einhaltung geltender Normen und Gesetze in Abhängigkeit des Standortes und der relevanten Branche.
  • Regelungen zur Einbindung Dritter. Der Cloud-Diensteanbieter sollte zur Schaffung von Transparenz verpflichtet werden. Services, welche die Service Delivery Supply Chain betreffen, die Sicherheit (zum Beispiel die Verfügbarkeit) gefährden und durch Subunternehmer erbracht werden, sind offenzulegen. Darüber hinaus ist festzuhalten, dass SLAs, die Subunternehmer dem Cloud-Diensteanbieter bieten, nicht geringer sein sollten als jene, die der Cloud-Diensteanbieter seinen Kunden bietet. Der Cloud-Diensteanbieter sollte über Methoden verfügen, die ihn befähigen, den tatsächlichen Service-Level seiner Subunternehmer zu überprüfen. Zudem ist vertraglich zu regeln, dass Sicherheitsrichtlinien und Kontrollen auch von Dritten angewendet werden.
  • Vorgaben zur Beendigung der Cloud-Nutzung, zum Beispiel Kündigungsregelungen
  • Vertraulichkeitsvereinbarungen
  • Vereinbarung von Vertragsstrafen
  • Festlegung von Haftungsfragen
  • Gerichtsstand und anwendbares Recht auch hinsichtlich geltender Datenschutzbestimmungen

Festlegungen zum Änderungsmanagement und zu Testverfahren

In Bezug auf das Änderungsmanagement und die Umsetzung von Testverfahren ist festzulegen, inwiefern flexible Anpassungsmöglichkeiten gegeben sind. Dies ist insbesondere bei der Konfrontation mit gesetzlichen Änderungen oder gestiegenen Anforderungen relevant.

Regelungen zur Durchführung von Kontrollen

Die nutzende Institution sollte sich das Recht zur Durchführung eigener Audits beim Cloud-Diensteanbieter vertraglich einräumen lassen. Ebenso sollte die Akzeptanz von Audits durch Dritte sowie die Durchführung von Penetrationstests schriftlich bestätigt werden. In diesem Zusammenhang sind Regelungen dazu zu treffen, wer die Kosten für die Durchführung von Audits trägt. Darüber hinaus ist festzulegen, wie mit den Audit-Logs des Cloud-Diensteanbieters umzugehen ist. Folgende Themen sollten betrachtet werden:

  • Vorgaben zur Aufbewahrungsfrist für Log-Daten
  • Wirksame Kontrollen zum Schutz von Logs vor nicht autorisiertem Zugriff
  • Methoden zur Überprüfung und Sicherung der Integrität von Audit-Logs
  • Durchführung von Audit-Log-Reviews
  • Vorgaben zur Zeitquelle, die genutzt wird, um Systeme zu synchronisieren und einen exakten Zeitstempel für Audit-Logs anzubieten

Weiterhin sollte vertraglich geregelt werden, welche Messungen auf die Einhaltung von SLAs vorgenommen werden. Auch das regelmäßige Reporting zu anstehenden Änderungen beim Cloud-Diensteanbieter (zum Beispiel bezüglich Funktionsumfang, Subunternehmern und sämtlichen für SLA relevanten Ereignissen) ist sicherzustellen.

Berücksichtigung besonderer Anforderungen

Unter Umständen können Institutionen besondere Anforderungen an einen Cloud Service stellen. Diese sollten ebenfalls als vertragliche Regelung festgehalten werden. Denkbar sind beispielsweise folgende Anforderungen:

  • Zusicherung der Nutzung ausschließlich bestimmter, vorab definierter Rechenzentren
  • Regelungen zum Import beziehungsweise Export von Daten sowie zu benötigten Schnittstellen zu anderen Services und Systemen
  • Festlegung der konkreten Konfigurationsparameter bezüglich definierter Interoperabilitätsanforderungen
  • Einräumen des Rechts zur Durchführung eigener Datensicherungen und Erfassung notwendiger Schnittstellen und Parameter.

Prüffragen:

  • Sind die vertraglichen Regelungen in Art, Umfang und Detaillierungsgrad dem Schutzbedarf der Daten und Anwendungen angepasst, die im Zusammenhang mit der Cloud-Nutzung stehen?

  • Wurde geregelt, an welchem Standort der Cloud-Diensteanbieter seine Leistungen erbringt?

  • Wurden klare Verantwortlichkeiten, Eskalationsstufen und Kommunikationswege zwischen der beauftragenden Institution und dem Cloud-Diensteanbieter definiert?

  • Existieren Vereinbarungen über die sichere Löschung von Daten durch den Cloud-Diensteanbieter?

  • Wurden Kündigungsregelungen schriftlich fixiert?

Stand: 14. EL Stand 2014