Bundesamt für Sicherheit in der Informationstechnik

M 6.155 Erstellung eines Notfallkonzeptes für einen Cloud Service

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter, Leiter IT

Die Erstellung eines IT-Notfallkonzeptes für die internen Prozesse bei Cloud-Nutzung ist als wichtige Maßnahme zur Notfallvorsorge anzusehen. Im Rahmen des Notfallkonzeptes sollten sowohl organisatorische als auch technische Aspekte thematisiert werden.

Organisatorische Aspekte der Notfallvorsorge bei Cloud-Nutzung

Das Notfallkonzept sollte alle notwendigen Angaben zu Zuständigkeiten und Ansprechpartnern enthalten, um im Notfall schnell reagieren zu können. Alle vorgesehenen Abläufe müssen klar geregelt und vollständig dokumentiert werden.

Es sind Detailregelungen für die Datensicherung zu erstellen, da dieser im Notfall eine besondere Bedeutung zukommt. Hier sind beispielsweise Vorgaben hinsichtlich getrennter Backup-Medien für jeden Cloud-Service-Anwender, Anforderungen an die Verfügbarkeit, Vertretungsregelungen, Eskalationsstrategien sowie Maßnahmen zum Virenschutz denkbar.

Ebenfalls unter organisatorischen Gesichtspunkten ist die Notwendigkeit zur Erstellung von detaillierten Arbeitsanweisungen zu sehen. Diese sollten konkrete Anordnungen für bestimmte Fehlersituationen enthalten.

Darüber hinaus ist durch die Institution ein Konzept für regelmäßig durchzuführende Notfallübungen zu erarbeiten. Sollte es der genutzte Cloud-Dienst beziehungsweise der damit abgebildete Geschäftsprozess erforderlich machen, ist eine Entscheidung darüber festzuhalten, inwieweit gemeinsame Notfallübungen mit dem Cloud-Diensteanbieter vorgesehen sind.

Technische Aspekte der Notfallvorsorge bei Cloud-Nutzung

Im Rahmen der Notfallvorsorge sind neben den organisatorischen Aspekten auch technische Anforderungen zu dokumentieren. Der Verfügbarkeit benötigter Management-Tools kommt bei Nutzung von Cloud Services eine große Bedeutung zu (siehe hierzu G 4.98 Ausfall von Tools zur Administration von Cloud Services bei Cloud-Nutzung ). Daher sind diese in der Regel redundant auszulegen beziehungsweise auf redundanter Infrastruktur aufzubauen. Auch die benötigten Schnittstellensysteme sollten redundant vorliegen. Darüber hinaus sollte das Notfallkonzept Angaben darüber beinhalten, wie eine ausfallsichere Anbindung an den Cloud-Diensteanbieter gewährleistet werden kann.

Wen ein Notfallkonzept für die Cloud-Nutzungerstellt wird, gilt es zu beachten, dass der Schutzbedarf für die Anbindung und die Schnittstellensysteme im Vergleich zu den bisherigen Anforderungen der Institution höher sein kann. Ursache hierfür ist die Nutzung von Cloud Services für kritische Geschäftsprozesse.

Prüffragen:

  • Existiert ein Notfallkonzept für die genutzten Cloud-Dienste, das sowohl organisatorische als auch technische Aspekte beinhaltet?

  • Enthält das Notfallkonzept alle notwendigen Angaben zu Zuständigkeiten und Ansprechpartnern?

  • Wurden detaillierte Regelungen hinsichtlich Datensicherungen getroffen?

  • Wurden Vorgaben zur redundanten Auslegung von Management-Tools und Schnittstellensystemen festgehalten?

Stand: 14. EL Stand 2014