Bundesamt für Sicherheit in der Informationstechnik

M 4.461 Portabilität von Cloud Services

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Fachverantwortliche, IT-Sicherheitsbeauftragter

Grundsätzlich ist bei Cloud-Nutzung der Wechsel von einem Diensteanbieter zu einem anderen einfacher möglich, als dies beispielsweise bei klassischen Outsourcing-Vorhaben der Fall ist. In der Praxis hat sich jedoch gezeigt, dass auch bei Cloud Services häufig Probleme auftreten, wenn diese zu einem anderen Cloud-Diensteanbieter übertragen oder zurück in die eigene Institution geholt werden sollen.

Institutionen, die sich zur Nutzung von Cloud Services entscheiden und dabei erhöhte Anforderungen hinsichtlich der benötigten Flexibilität haben, sollten daher zusätzliche Maßnahmen zur Aufrechterhaltung der Portabilität von Cloud Services umsetzen.

Die Notwendigkeit zur Portabilität von Cloud Services ergibt sich zum einen durch einen angestrebten Wechsel des Cloud-Diensteanbieters und zum anderen durch die Möglichkeit, Cloud Services wieder durch die IT der eigenen Institution erbringen zu lassen. Beim Wechsel des Cloud-Diensteanbieters kann der Cloud Service direkt von einem Dienstleister zum anderen übertragen werden. In Fällen, in denen dies nicht möglich oder gewünscht ist, wird der Cloud Service zunächst an die beauftragende Institution übergeben und im Anschluss zum neuen Cloud-Diensteanbieter migriert.

In beiden Fällen sind durch die Institution alle wichtigen Anforderungen (zum Beispiel hinsichtlich einzusetzender Datenformate) zu definieren, die einen einfachen Wechsel des Dienstleisters oder eine Rückholung in die eigene Infrastruktur ermöglichen.

Insbesondere bei der Nutzung von Software as a Service sollte ein besonderes Augenmerk auf die eingesetzten Datenformate gelegt werden. Hier treten in der Praxis häufig Probleme beim Import der Daten in einen neuen Service auf, da der Cloud-Diensteanbieter ein eigenes, nicht standardisiertes Format zum Einsatz bringt. Die Durchführung von Portabilitätstests kann hier erheblich zur Sicherstellung der Portabilität von Cloud Services beitragen.

Sofern die nutzende Institution auf den flexiblen Wechsel des Cloud-Diensteanbieters angewiesen ist, empfiehlt es sich, die Portabilität vertraglich zu regeln. In diesem Fall sind die inhaltlichen Vorgaben der Maßnahme zur Vertragsgestaltung (siehe hierzu M 2.541 Vertragsgestaltung mit dem Cloud-Diensteanbieter ) um den entsprechenden Aspekt zu ergänzen.

Prüffragen:

  • Wurden alle wichtigen Anforderungen für den Wechsel des Cloud-Diensteanbieters oder die Rückholung in die eigene IT definiert?

  • Ist die Durchführung von Portabilitätstests vorgesehen?

  • Sind Vorgaben zur Realisierung der Portabilität in die Vertragsgestaltung mit dem Cloud-Diensteanbieter eingeflossen?

Stand: 14. EL Stand 2014