Bundesamt für Sicherheit in der Informationstechnik

M 6.154 Notfallmanagement für Web-Services

Verantwortlich für Initiierung: Verantwortliche der einzelnen Anwendungen, Leiter IT

Verantwortlich für Umsetzung: Administrator

Web-Services stellen eine flexible, aber auch komplexe Lösung dar, um Geschäftsprozesse durch IT zu unterstützen. Ein Ausfall oder Leistungseinbußen können wesentliche Auswirkungen auf die unterstützten Geschäftsprozesse haben.

Daher ist es notwendig, unter Berücksichtigung des übergreifenden Notfallmanagements (siehe Baustein B 1.3 Notfallmanagement ) sowie des Datensicherungskonzepts (siehe Baustein B 1.4 Datensicherungskonzept ) entsprechende Vorkehrungen zu treffen, um Notfällen vorzubeugen und sie angemessen zu behandeln.

Die Grundlage hierzu stellt eine Notfallplanung dar, die die unterschiedlichen relevanten Ereignisse in der Risikoanalyse berücksichtigt. Diese können insbesondere sein:

Ausfall des Web-Service

Der Web-Service oder einzelne Komponenten sind ausgefallen, und die von ihnen unterstützten Geschäftsprozesse funktionieren nicht.

Leistungseinbrüche

Der Web-Service oder einzelne Komponenten erbringen nicht die erforderliche Leistung (zum Beispiel Antwortzeiten), und die Geschäftsprozesse werden dadurch beeinträchtigt. Ursache können beispielsweise Denial-of-Service-Angriffe oder aber saison- oder terminbedingte Lastaufkommen (zum Beispiel zum Jahresabschluss) sein.

Logische Fehler im Web-Service

Der Web-Service selbst ist nach außen verfügbar. Seine interne Verarbeitung der Informationen erfolgt jedoch fehlerhaft. Dadurch sind die Informationen hinsichtlich ihrer Integrität gefährdet und die Ergebnisse der Arbeitsabläufe beeinträchtigt. Der Web-Service steht im eigentlichen Sinne nicht mehr zur Verfügung. Des Weiteren muss berücksichtigt werden, dass voraussichtlich auch die Datenbank des Web-Service durch die fehlerhaften Informationen hinsichtlich ihrer Integrität beeinträchtigt wurde.

Beeinträchtigung durch Abhängigkeiten

Andere Komponenten, von denen der Web-Service abhängig ist, sind in ihrer Verfügbarkeit oder Leistungsfähigkeit beeinträchtigt. Komponenten können hierbei beispielsweise andere Web-Services, Authentisierungsdienste, Speichersysteme oder auch die relevanten Netze und Netzzugänge sein. Die Beeinträchtigung dieser Komponenten kann zum einen bedeuten, dass der Web-Service selbst nicht verfügbar ist. Andererseits können lediglich relevante Teile der Funktionalität des Web-Service beeinträchtigt sein.

Solche Szenarien haben jeweils auch Auswirkungen auf die Leistungsfähigkeit der Geschäftsprozesse, in denen die Web-Services eingesetzt werden. Diese Auswirkungen müssen analysiert und die entsprechenden Abhängigkeiten in der Business Impact Analyse (BIA) berücksichtigt werden. Dabei sind auch mittelbare Abhängigkeiten über andere Web-Services, die mit dem betrachteten Web-Service interagieren, zu berücksichtigen.

Auf Basis der Ereignisse und der mit ihnen verbundenen Auswirkungen müssen geeignete präventive und reaktive Maßnahmen im Rahmen der Notfallplanung entwickelt werden.

Im Notfallvorsorgekonzept sind geeignete Vorsorgemaßnahmen für die Web-Services zu berücksichtigen:

  • Für die kryptographischen Funktionen müssen die erforderlichen Schlüssel wiederherstellbar sein. Neue Schlüssel und Zertifikate, zum Beispiel für die Transportverschlüsselung, müssen in ausreichend kurzer Zeit generiert oder beschafft werden können. Unter Umständen kann dazu die Vorhaltung von Ersatzschlüsseln an einem sicheren Ort dienen.
  • Erforderliche Konfigurations- und Metadaten der Web-Services müssen dokumentiert und gesichert werden, um eine Wiederherstellung zu ermöglichen.
  • Die Dokumentation muss an geeigneter Stelle vorgehalten werden, um im Notfall schnell verfügbar zu sein. Die Qualität der Dokumentation muss es möglich machen, dass ein sachverständiger Dritter sich damit in angemessener Zeit in die Umgebung einarbeiten kann.
  • Bestehen hohe oder sehr hohe Anforderungen an die Verfügbarkeit des Web-Service, sollte geprüft werden, ob der Web-Service redundant und über unterschiedliche Standorte verteilt aufgebaut wird.

Die konkreten Maßnahmen für den Wiederanlauf eines Web-Service müssen in einem Wiederanlaufplan beschrieben werden. Dabei ist zu beachten:

  • Der Wiederanlauf muss den zeitlichen Anforderungen der Geschäftsprozesse entsprechen.
  • Auch während des Notfalls und des Wiederanlaufs müssen die Sicherheitsanforderungen weitestmöglich erfüllt bleiben (zum Beispiel Policy Management).
  • Die Planungen müssen die Reihenfolge der Komponenten des Web-Service beim Wiederanlauf berücksichtigen.
  • Abhängigkeiten zu anderen Web-Services müssen ebenfalls berücksichtigt werden. Dies kann insbesondere Auswirkungen auf die Reihenfolge des Wiederanlaufs haben.

Werden die Web-Services für Dritte erbracht, so ist zu prüfen, welche Anforderungen seitens der Dienstnutzer an die Notfallplanung bestehen, und wie die Vorsorge- und Reaktionsmaßnahmen auf beiden Seiten aufeinander abgestimmt werden können.

Die Notfallplanung muss schließlich regelmäßig praktisch getestet werden. Nur so kann sichergestellt werden, dass die in den Wiederanlaufplänen beschriebenen Maßnahmen tatsächlich durchführbar sind. Gleichzeitig lernen die Mitarbeiter in den Übungen die beschriebenen Abläufe kennen und trainieren ihre Umsetzung. Schließlich vermittelt die Übung Erkenntnisse zu den tatsächlichen Wiederherstellungs- und Wiederanlaufzeiten und erlaubt so die Prüfung der Einhaltung der in der BIA ermittelten Vorgaben.

Prüffragen:

  • Sind Web-Services als Ressourcen für Geschäftsprozesse in der Business Impact Analyse angemessen berücksichtigt? Wurden dabei auch die Abhängigkeiten von Web-Services untereinander beachtet?

  • Ist eine ausreichend schnelle Wiederherstellung der Web-Services unter Berücksichtigung von erforderlichen kryptographischen Schlüsseln, Konfigurations- und Metadaten, möglich?

  • Ist die Dokumentation im Notfall verfügbar und aussagekräftig?

  • Wurde ein Wiederanlaufplan für den Web-Service ausgearbeitet? Sind die Abhängigkeiten der Komponenten des Web-Service untereinander und die Abhängigkeiten zu anderen Web-Services dabei berücksichtigt?

  • Haben Notfälle beim Web-Service Auswirkungen auf Dritte, und sind die Notfallmaßnahmen mit diesen abgestimmt?

  • Werden die Notfallmaßnahmen regelmäßig getestet?

Stand: 14. EL Stand 2014