Baustein B 1.17 Cloud-Nutzung

Schicht Übergreifende Aspekte B 1.17

IT-Grundschutz-Kataloge: 14. EL Stand 2014 1

B 1.17 Cloud-Nutzung

Beschreibung

Mit Cloud Services nutzen Institutionen die Möglichkeit, IT-Infrastrukturen (zum Beispiel Rechenleistung,Speicherkapazitäten), IT-Plattformen (zum Beispiel Datenbanken, Applikations-Server) oder IT-Anwen-dungen (zum Beispiel Auftragssteuerung, Groupware) nach ihren spezifischen Bedürfnissen als Dienstüber ein Netz zu beziehen. Dabei kann die Leistung sowohl in den Räumlichkeiten des Auftraggebersals auch bei einem externen Cloud-Diensteanbieter erbracht werden.

Die so ermöglichte bedarfsgerechte, skalierbare und flexible Nutzung von IT-Diensten wird unterstütztdurch neuartige Geschäftsmodelle, bei denen die Abrechnung je nach Funktionsumfang, Nutzungsdauerund Anzahl der Benutzer erfolgen kann.

Nicht zuletzt aufgrund der genannten Eigenschaften erfreut sich Cloud Computing (zu Definitionen etc.siehe M 4.462 Einführung in die Cloud-Nutzung) bereits seit einigen Jahren wachsender Beliebtheit.Zahlreiche Studien belegen die steigende Nachfrage nach Cloud Services und prognostizieren dieseauch für zukünftige Jahre.

In der Praxis zeigt sich jedoch häufig, dass die Vorteile, die sich Institutionen von der Cloud-Nutzungerwarten, oftmals nicht vollständig zum Tragen kommen, weil die diesbezüglich wichtigsten kritischenErfolgsfaktoren nicht ausreichend betrachtet worden sind. Den nachfolgenden Aspekten kommt im Zu-sammenhang mit der Cloud-Nutzung durch Institutionen besondere Bedeutung zu:

- Strategische Planung des Einsatzes von Cloud-Diensten- Sorgfältige Definition und Vereinbarung von (Sicherheits-)Anforderungen- Sorgfältige Definition der Verantwortung und Schnittstellen, sowohl innerhalb einer Institution als

auch nach außen- Bewusstsein für ein erforderliches geändertes Rollenverständnis, sowohl aufseiten der IT als auch

aufseiten der Anwender

Zusätzlich spielt im Zuge der Einführung von Cloud Services eine Reihe von Governance-Themen einewichtige Rolle. Beispiele hierfür sind die Umsetzung von Mandantenfähigkeit, die Vertragsgestaltung,die Sicherstellung von Portabilität unterschiedlicher Services, die Abrechnung genutzter Service-Lei-stungen, das Monitoring der Service-Erbringung, das Sicherheitsvorfallmanagement und zahlreiche Da-tenschutz-Aspekte.

Thematische Abgrenzung

Im Sinne der IT-Grundschutz-Vorgehensweise umfasst Cloud-Nutzung alle Aspekte, die zur Nutzungeiner Cloud-Umgebung erforderlich sind. Damit schließt Cloud-Nutzung insbesondere sowohl die An-wendung des Cloud Services durch Mitarbeiter der nutzenden Institution als auch die Administration desCloud Services durch einen Cloud-Service-Administrator aufseiten der nutzenden Institution ein.

Ziel des vorliegenden Bausteins ist, Empfehlungen für die sichere Nutzung von Cloud-Diensten zu ge-ben. Er richtet sich daher an alle Institutionen, die bereits Cloud Services in Anspruch nehmen oder de-ren zukünftigen Einsatz planen. Die Gefährdungen und Maßnahmen des Bausteins gelten dabei grund-sätzlich unabhängig vom genutzten Service- und Bereitstellungsmodell.

Der Baustein ist so konzipiert, dass er immer auf einen konkreten Cloud Service anzuwenden ist. Nutzteine Institution einen Verbund von Cloud Services, so ist jeder einzelne Service mithilfe des Bausteins zumodellieren (siehe M 2.545 Modellierung der Cloud-Nutzung). Die entstehende Schnittstelle zwischenden unterschiedlichen Services ist ebenfalls Gegenstand des Bausteins. Sie muss für alle Servicesbetrachtet werden.



Der Baustein Cloud-Nutzung ist eng verwandt mit dem Baustein B 1.11 Outsourcing. In nahezu allenBereitstellungsmodellen, abgesehen von der Nutzung einer Private Cloud On-Premise, stellt die Nut-zung von Cloud Services eine Sonderform des Outsourcings dar. Die im Baustein Cloud-Nutzung be-schriebenen Gefährdungen und Maßnahmen werden daher häufig auch im Outsourcing angewendet.Die Nutzung von Cloud Services ist jedoch durch eine Reihe von Besonderheiten gekennzeichnet, diesich in spezifischen Gefährdungen und dagegen wirkenden Maßnahmen ausschließlich in diesem Bau-stein wiederfinden.

Im Mittelpunkt des vorliegenden Bausteins stehen organisatorische und technische Maßnahmen, derenUmsetzung den identifizierten spezifischen Gefährdungen entgegenwirkt. Die beschriebenen Maßnah-men konzentrieren sich dabei vorwiegend auf Cloud-spezifische Aspekte. So wird es Institutionen durchUmsetzung der genannten Maßnahmen zusätzlich ermöglicht, die im Vorfeld beschriebenen kritischenErfolgsfaktoren für die Cloud-Nutzung angemessen zu berücksichtigen.

Sicherheitsmaßnahmen, mit deren Hilfe die Erbringung der Cloud Services abgesichert wird, sind da-gegen nicht Gegenstand des Bausteins, sondern sind im Baustein B 5.23 Cloud Management beschrie-ben. Gefährdungen und spezifische Sicherheitsmaßnahmen, die durch die Anbindung eines Cloud Ser-vices über entsprechende Schnittstellen (engl. API- Application Programming Interface) als relevant an-zusehen sind, werden ebenfalls nicht im Baustein Cloud-Nutzung betrachtet. Hier sei auf den BausteinB 5.24 Web-Services verwiesen.

Gefährdungslage

Für die Cloud-Nutzung werden für den IT-Grundschutz die folgenden typischen Gefährdungen ange-nommen:

Höhere Gewalt- G 1.10 Ausfall eines Weitverkehrsnetzes- G 1.19 Ausfall eines Dienstleisters oder Zulieferers

Organisatorische Mängel- G 2.2 Unzureichende Kenntnis über Regelungen- G 2.7 Unerlaubte Ausübung von Rechten- G 2.27 Fehlende oder unzureichende Dokumentation- G 2.84 Unzulängliche vertragliche Regelungen mit einem externen Dienstleister- G 2.85 Unzureichende Regelungen für das Ende eines Outsourcing- oder eines Cloud-

Nutzungs-Vorhabens- G 2.86 Abhängigkeit von einem Outsourcing- oder Cloud-Dienstleister- G 2.87 Verwendung unsicherer Protokolle in öffentlichen Netzen- G 2.93 Unzureichendes Notfallvorsorgekonzept bei Outsourcing oder Cloud-Nutzung- G 2.105 Verstoß gegen gesetzliche Regelungen und vertragliche Vereinbarungen- G 2.188 Unzureichende Vorgaben zum Lizenzmanagement bei Cloud-Nutzung- G 2.189 Fehlende oder unzureichende Strategie für die Cloud-Nutzung- G 2.190 Unzureichendes Administrationsmodell für die Cloud-Nutzung- G 2.191 Unzureichendes Rollen- und Berechtigungskonzept- G 2.192 Unzureichende Verfügbarkeit der erforderlichen personellen Ressourcen mit

ausreichender Qualifikation- G 2.193 Fehlende Anpassung der Institution an die Nutzung von Cloud Services- G 2.194 Mangelhaftes Anforderungsmanagement bei Cloud-Nutzung- G 2.195 Mangelnde Überwachung der Service-Erbringung- G 2.196 Fehlende Kosten-Nutzen-Betrachtung der Cloud-Nutzung über den gesamten

Lebenszyklus- G 2.197 Unzureichende Einbindung von Cloud Services in die eigene IT- G 2.198 Mangelnde Planung der Migration zu Cloud Services- G 2.199 Unzureichende Auswahl des Cloud-Diensteanbieters

Menschliche Fehlhandlungen- G 3.43 Ungeeigneter Umgang mit Passwörtern- G 3.122 Fehlerhafte Nutzung eines Cloud Services



Technisches Versagen- G 4.10 Komplexität der Zugangsmöglichkeiten zu vernetzten IT-Systemen- G 4.22 Software-Schwachstellen oder -Fehler- G 4.43 Undokumentierte Funktionen- G 4.97 Schwachstellen bei der Anbindung an einen Outsourcing- oder Cloud-Dienstleister- G 4.98 Ausfall von Tools zur Administration von Cloud Services bei Cloud-Nutzung

Vorsätzliche Handlungen- G 5.20 Missbrauch von Administratorrechten- G 5.28 Verhinderung von Diensten- G 5.190 Missbrauch von Services- G 5.191 Manipulation der Abrechnungsinformationen

Maßnahmenempfehlungen

Um einen Informationsverbund abzusichern, müssen gemäß den Ergebnissen der Modellierung nachIT-Grundschutz zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden.

Alle Aspekte, die im Zuständigkeitsbereich des Cloud-Diensteanbieters liegen, sind durch den vorlie-genden Baustein abgedeckt. Übernimmt die eigene IT die Rolle des Cloud-Diensteanbieters, beispiels-weise in Verbindung mit dem Einsatz einer Private Cloud On-Premise, ist neben dem Baustein Cloud-Nutzung daher auch der Baustein Cloud Management anzuwenden.

Erfolgt die Administration des Cloud-Dienstes durch den Cloud-Service-Administrator aufseiten der nut-zenden Institution über eine Management-Software, die Webservices verwendet, ist zusätzlich der Bau-stein B 5.24 Web-Services anzuwenden.

Weitere Hinweise zur Modellierung beim Einsatz von Cloud Services finden sich in der MaßnahmeM 2.545 Modellierung der Cloud-Nutzung.

Planung und Konzeption

Die Entscheidung einer Institution zur Nutzung von Cloud Services ist strategischer Natur. Daher soll-ten relevante wirtschaftliche, technische und organisatorische Randbedingungen sowie sicherheitsrele-vante Aspekte betrachtet werden und in die Erstellung einer Cloud-Nutzungs-Strategie einfließen. DieMaßnahme M 2.534 Erstellung einer Cloud-Nutzungs-Strategie bietet hierzu weitere Hilfestellung.

Nachdem die Cloud-Nutzungs-Strategie festgelegt worden ist, ergeben sich konkrete Sicherheitsvorga-ben für die Umsetzung innerhalb der Institution. Diese sollten in ausreichend detaillierter Form in einerSicherheitsrichtlinie für die Cloud-Nutzung (siehe hierzu Maßnahme M 2.535 Erstellung einer Sicher-heitsrichtlinie für die Cloud-Nutzung) dokumentiert werden.

Die ermittelten Anforderungen der Institution hinsichtlich Sicherheitsvorgaben, relevanten Schnittstellenund benötigten Service-Leveln sollten die Grundlage für die Service-Definition des zu verwendendenCloud-Dienstes bilden. Nähere Angaben hierzu finden sich in der Maßnahme M 2.536 Service-Definitionfür Cloud-Dienste durch den Anwender.

Ist der zu nutzende Cloud-Dienst abschließend definiert, sind in der Folge umfangreiche Planungsmaß-nahmen durchzuführen, um einen sicheren, fortlaufenden Betrieb von Cloud Services gewährleisten zukönnen. Ein besonderes Augenmerk sollte hierbei auf die Planung der sicheren Migration (siehe hier-zu Maßnahme M 2.537 Planung der sicheren Migration zu einem Cloud Service) und die Planung dersicheren Einbindung von Cloud Services gerichtet werden (siehe Maßnahme M 2.538 Planung der si-cheren Einbindung von Cloud Services). Diese Maßnahme konzentriert sich dabei auf unterschiedlicheAspekte, die über die Migrationsplanung hinaus betrachtet werden sollten.

Im Rahmen der geplanten sicheren Migration zu einem Cloud Service sollte die Institution ein Migrati-onskonzept erstellen, welches als Teil des Sicherheitskonzeptes für die Cloud-Nutzung auszulegen ist(siehe Maßnahme M 2.539 Erstellung eines Sicherheitskonzeptes für die Cloud-Nutzung). Dabei sindverschiedene Cloud-spezifische Besonderheiten und Voraussetzungen zu beachten und entsprechendim Migrationskonzept darzustellen.



Sofern eine Institution besondere Anforderungen an einen Cloud Service hat, beispielsweise hinsichtlichder Vertraulichkeit der Informationen oder des problemlosen Zusammenspiels beim Einsatz mehrererServices, sollten zusätzliche Sicherheitsmaßnahmen umgesetzt werden. Hier empfiehlt sich, die Vorga-ben aus den Maßnahmen M 4.459 Einsatz von Verschlüsselung bei Cloud-Nutzung und M 4.461 Por-tabilität von Cloud Services umzusetzen.

Ebenfalls im Rahmen der Planungs- und Konzeptionsphase sind die Maßnahmen M 2.40 RechtzeitigeBeteiligung des Personal-/Betriebsrates sowie M 2.42 Festlegung der möglichen Kommunikationspart-ner zu beachten und umzusetzen.

Beschaffung

Voraussetzung für die Auswahl eines geeigneten Cloud-Diensteanbieters ist ein möglichst detailliert er-stelltes Anforderungsprofil. Die zuvor ermittelten Sicherheitsanforderungen sowie die erfolgte Definitionder einzusetzenden Cloud Services liefern in Kombination mit einer durchgeführten Anforderungsana-lyse die Basis für die Erstellung eines Lastenheftes. Dieses ist mit verfügbaren beziehungsweise ange-forderten Angeboten von Cloud-Diensteanbietern abzugleichen. Nähere Angaben zu einer geeignetenVorgehensweise bei der Auswahl eines Diensteanbieters finden sich in Maßnahme M 2.540 SorgfältigeAuswahl eines Cloud-Diensteanbieters, in der auch mögliche Fallstricke vermerkt sind.

Umsetzung

Nach der Auswahl eines Cloud-Diensteanbieters sollten alle relevanten Aspekte des Cloud-Nut-zungs-Vorhabens vertraglich festgehalten und geregelt werden. Der Vertrag sollte neben Aussagen zuIT-Sicherheitsanforderungen und Kriterien zur Messung von Servicequalität und Sicherheit auch Rege-lungen zu Auskunfts-, Mitwirkungs- und Revisionspflichten beinhalten. Alle wesentlichen Aspekte hierzufinden sich in Maßnahme M 2.541 Vertragsgestaltung mit dem Cloud-Diensteanbieter.

Im Rahmen der Umsetzungsphase erfolgt die Migration zu einem Cloud Service auf Basis eines Migra-tionskonzeptes, in dem Vorgaben zur geplanten Form der Migration (Testphase, Pilotphase etc.) sowiezu den technischen und organisatorischen Voraussetzungen für eine Migration festgeschrieben sind(siehe hierzu Maßnahme M 2.542 Sichere Migration zu einem Cloud Service).

Betrieb

Um die IT-Sicherheit im laufenden Cloud-Nutzungs-Betrieb aufrechtzuerhalten sind Dokumentationenund Richtlinien regelmäßig zu aktualisieren sowie regelmäßige Kontrollen, Abstimmungsrunden und diePlanung und Durchführung von Übungen beziehungsweise Tests sicherzustellen. Weitere Informationenhierzu sind der Maßnahme M 2.543 Aufrechterhaltung der Informationssicherheit im laufenden Cloud-Nutzungs-Betrieb zu entnehmen.

Im Zusammenhang mit der Nutzung von Cloud Services wird die Durchführung von Audits als eine wich-tige Maßnahme angesehen. Erfahrungen aus der Praxis haben gezeigt, dass die nutzende InstitutionAbweichungen zu vertraglichen Vereinbarungen, wie beispielsweise die Nicht-Einhaltung bestimmterService-Level oder die Missachtung von Sicherheitsvorgaben häufig nur im Rahmen von Audits trans-parent machen kann. Die Maßnahme M 2.544 Auditierung bei Cloud-Nutzung liefert Hinweise zu rele-vanten Aspekten bei der Planung und Durchführung von Audits im Cloud-Umfeld.

Aussonderung

Damit ein Cloud-Nutzungs-Verhältnis geordnet beendet werden kann, müssen Eigentumsrechte anHard- und Software sowie die Rückgabe der Datenbestände vom Dienstleister geklärt sein. Außerdemmüssen alle erforderlichen Informationen für die Weiterführung des Betriebs von IT-Systemen und IT-Anwendungen ausreichend dokumentiert sein. Informationen hierzu sind in der Maßnahme M 2.307 Ge-ordnete Beendigung eines Outsourcing- oder Cloud-Nutzungs-Verhältnisses zusammengefasst.

Notfallvorsorge

Als wichtige Maßnahme zur Notfallvorsorge zählt die Erstellung eines IT-Notfallkonzeptes für die inter-nen Prozesse bei Cloud-Nutzung (siehe hierzu Maßnahme M 6.155 Erstellung eines Notfallkonzeptes



für einen Cloud Service). In diesem sollten relevante organisatorische und technische Punkte themati-siert werden.

Stellt eine Institution fest, dass besondere Gegebenheiten eigens durchgeführte Datensicherungen er-forderlich machen, sind in diesem Zusammenhang die Vorgaben der Maßnahme M 6.156 Durchführungeigener Datensicherungen umzusetzen.

Nachfolgend wird das Maßnahmenbündel für den Baustein Cloud-Nutzung vorgestellt.

Planung und Konzeption- M 2.40 (A) Rechtzeitige Beteiligung des Personal-/Betriebsrates- M 2.42 (A) Festlegung der möglichen Kommunikationspartner- M 2.534 (A) Erstellung einer Cloud-Nutzungs-Strategie- M 2.535 (A) Erstellung einer Sicherheitsrichtlinie für die Cloud-Nutzung- M 2.536 (A) Service-Definition für Cloud-Dienste durch den Anwender- M 2.537 (A) Planung der sicheren Migration zu einem Cloud Service- M 2.538 (A) Planung der sicheren Einbindung von Cloud Services- M 2.539 (A) Erstellung eines Sicherheitskonzeptes für die Cloud-Nutzung- M 2.545 (W) Modellierung der Cloud-Nutzung- M 4.459 (Z) Einsatz von Verschlüsselung bei Cloud-Nutzung- M 4.461 (Z) Portabilität von Cloud ServicesBeschaffung- M 2.540 (A) Sorgfältige Auswahl eines Cloud-DiensteanbietersUmsetzung- M 2.541 (A) Vertragsgestaltung mit dem Cloud-Diensteanbieter- M 2.542 (A) Sichere Migration zu einem Cloud ServiceBetrieb- M 2.543 (A) Aufrechterhaltung der Informationssicherheit im laufenden Cloud-Nutzungs-Betrieb- M 2.544 (C) Auditierung bei Cloud-Nutzung- M 4.460 (Z) Einsatz von Federation Services- M 4.462 (W) Einführung in die Cloud-NutzungAussonderung- M 2.307 (A) Geordnete Beendigung eines Outsourcing- oder Cloud-Nutzungs-VerhältnissesNotfallvorsorge- M 6.155 (A) Erstellung eines Notfallkonzeptes für einen Cloud Service- M 6.156 (Z) Durchführung eigener Datensicherungen

Goldene Regeln

Die Nutzung von Cloud Services bietet die Möglichkeit, IT-Infrastrukturen (zum Beispiel Rechenleistung,Speicherkapazitäten), IT-Plattformen (zum Beispiel Datenbanken, Applikations-Server) oder IT-Anwen-dungen (zum Beispiel Auftragssteuerung, Groupware) nach kundenspezifischen Bedürfnissen als Dienstüber ein Netz zu beziehen. Dabei kann die Leistung sowohl in den Räumlichkeiten des Auftraggebersals auch in einer externen Betriebsstätte des Cloud-Diensteanbieters erbracht werden.

Die so ermöglichte bedarfsgerechte, skalierbare und flexible Nutzung von IT-Diensten wird unterstütztdurch neuartige Geschäftsmodelle, bei denen die Abrechnung je nach Funktionsumfang, Nutzungsdauerund Anzahl der Benutzer erfolgen kann.

- Die Entscheidung Cloud Services zu nutzen,ist strategischer Natur. Daher sollten relevante wirt-schaftliche, technische und organisatorische Randbedingungen sowie sicherheitsrelevante Aspektebetrachtet werden und in die Erstellung einer Cloud-Nutzungs-Strategie einfließen.

- Aus der Cloud-Nutzungs-Strategie ergeben sich konkrete Sicherheitsvorgaben für die Umsetzunginnerhalb der Institution. Diese sollten in ausreichend detaillierter Form in einer Sicherheitsrichtliniefür die Cloud-Nutzung dokumentiert werden.

- Die ermittelten Anforderungen der Institution hinsichtlich der Sicherheitsvorgaben, der relevantenSchnittstellen und des benötigten Service-Levels sollten die Grundlage für die Service-Definition deszu verwendenden Cloud-Dienstes bilden.



- Voraussetzung für die anschließende Auswahl eines geeigneten Cloud-Diensteanbieters ist die Er-stellung eines möglichst detaillierten Anforderungsprofils. In dieses Lastenheft sollten die Sicher-heitsanforderungen sowie die Definition des Cloud-Dienstes vollständig einfließen. Das Lastenheftist mit verfügbaren Angeboten von Cloud-Diensteanbietern abzugleichen.

- Alle relevanten Aspekte des Cloud-Nutzungs-Vorhabens sollten vertraglich festgehalten und gere-gelt werden. Der Vertrag sollte neben Aussagen zu IT-Sicherheitsanforderungen und Kriterien zurMessung von Service-Qualität und Sicherheit auch Regelungen zu Auskunfts-, Mitwirkungs- undRevisionspflichten sowie zu einer möglichen Beendigung des Vertragsverhältnisses beinhalten.

- Bevor ein Cloud Service genutzt wird, sollte dessen Einbindung in die IT der Institution geplantund umgesetzt werden. Hierbei sind insbesondere die Bandbreite der Netzanbindungen und dieSicherheitsanforderungen an die Sicherheitsgateways zu berücksichtigen.

- Die Migration zu einem Cloud Service erfolgt auf Basis eines Migrationskonzeptes, in dem Vorga-ben zur geplanten Form der Migration (Testphase, Pilotphase etc.) sowie zu den technischen undorganisatorischen Voraussetzungen für eine Migration festgeschrieben sind.

- Um die Informationssicherheit im laufenden Cloud-Nutzungs-Betrieb aufrechtzuerhalten, sind Do-kumentationen und Richtlinien regelmäßig zu aktualisieren sowie regelmäßige Kontrollen, Abstim-mungsrunden und die Planung und Durchführung von Übungen beziehungsweise Tests sicherzu-stellen. Weitere Informationen hierzu sind der Maßnahme M 2.543 Aufrechterhaltung der Informati-onssicherheit im laufenden Cloud-Nutzungs-Betrieb zu entnehmen.

- Um ein Cloud-Nutzungs-Verhältnisses geordnet zu beenden, müssen Eigentumsrechte an Hard-und Software sowie die Rückgabe der Datenbestände vom Dienstleister geklärt sein. Außerdemmüssen alle erforderlichen Informationen für die Weiterführung des Betriebs von IT-Systemen undIT-Anwendungen ausreichend dokumentiert sein.

- Als wichtige Maßnahme zur Notfallvorsorge zählt die Erstellung eines IT-Notfallkonzeptes für dieinternen Prozesse bei Cloud-Nutzung. In diesem sollten relevante organisatorische und technischePunkte thematisiert werden.

Die Sicherheitsempfehlungen zum Thema Cloud-Nutzung müssen zielgruppengerecht aufbereitet undinstitutionsweit veröffentlicht werden. Weitere Informationen zum Thema Cloud-Nutzung finden sich imBaustein B 1.17 Cloud-Nutzung und in weiteren Bereichen der IT-Grundschutz-Kataloge.

Gefährdungskatalog Höhere Gewalt G 1.10 Bemerkungen


G 1.10 Ausfall einesWeitverkehrsnetzes

Weitverkehrsnetze, die auch als Wide Area Networks (WAN) bezeichnet wer-den, wurden für die Sprach- und Datenübertragung über große Entfernungenentwickelt und können verschiedene LANs, aber auch einzelne Rechner mit-einander verbinden.

WANs werden im allgemeinen von Telekommunikationsverwaltungen, aberauch von privaten Netzbetreibern betreut. Es kommt auch vor, dass sie be-stimmten Institutionen gehören und nur von diesen genutzt werden. Die Qua-lität der Kommunikationsverbindungen kann daher unterschiedlich sein.

Die Ursachen für den Ausfall eines WAN können vielfältig sein. Daher ist esmöglich, dass sich ein Netzausfall lediglich auf einzelne Benutzer, einen An-bieter oder eine bestimmte Region auswirkt. Häufig stören solche Ausfälle nurkurz, es gibt aber auch immer wieder längere Ausfälle, die massive andereProbleme nach sich ziehen können.

Die Art und Weise der Netzausfälle spielt eine Rolle, wenn auf den IT-Syste-men, die über Weitverkehrsnetze verbunden sind, zeitkritische Anwendungenbetrieben werden. Die durch einen Netzausfall möglichen Schäden und Fol-geschäden können entsprechend hoch ausfallen, wenn keine Ausweichmög-lichkeiten wie beispielsweise die Anbindung an ein zweites Kommunikations-netz oder Ausweichverfahren zu Internet-Diensten vorgesehen bzw. festge-legt sind.

Beispiele:- Bei einem großen Internet-Provider fiel ein zentraler Server-Knoten aus.

Der Versuch, auf einen redundanten Server-Knoten umzuschalten, schei-terte. Dadurch waren etwa 250.000 bei diesem Anbieter gehostete Do-mains einige Tage nicht erreichbar.

- Durch den gleichzeitigen Bruch von drei benachbarten Tiefseekabeln imMittelmeer vor Ägypten wurden im Dezember 2008 90 Prozent des Inter-netverkehrs zwischen Europa, dem Nahen Osten und Asien lahmgelegt.

Gefährdungskatalog Höhere Gewalt G 1.19 Bemerkungen


G 1.19 Ausfall eines Dienstleisters oderZulieferers

Kaum eine Institution arbeitet heute noch ohne Dienstleister wie Zulieferer,Outsourcing- oder Cloud-Diensteanbieter. Wenn Organisationseinheiten vonDienstleistern abhängig sind, können Ausfälle der externen Dienste wie zumBeispiel bei IT-Systemen oder infrastrukturellen Anbindungen zu einer Beein-trächtigung der Aufgabenbewältigung führen. Der teilweise oder vollständigeAusfall eines Outsourcing- oder Cloud-Dienstleisters oder eines Zuliefererskann sich erheblich auf die betriebliche Kontinuität auswirken, insbesonde-re bei kritischen Geschäftsprozessen. Die Ursache eines Ausfalls kann da-bei unterschiedlichster Natur sein, wie Insolvenz, einseitige Kündigung desVertrags durch den Dienstleister oder den Zulieferer, betriebliche Problemedurch beispielsweise Naturgewalten oder Personalausfall, Qualitätsproblemeoder Imageschäden. Charakteristisch für den Cloud-Computing-Markt ist da-neben eine hohe Dynamik, die häufig Übernahmen von Cloud-Diensteanbie-tern durch Konkurrenten nach sich zieht. Eine damit einhergehende Umstel-lung des Service-Portfolios kann die Service-Verfügbarkeit für den Anwenderbeeinträchtigen.

Bei extern betriebenen IT-Systemen und Anwendungen kann bei unzurei-chender Strukturierung oder Isolation der IT-Systeme des Dienstleisters be-reits der Ausfall eines Systems eines anderen Kunden dazu führen, dassGeschäftsprozesse beim Auftraggeber beeinträchtigt werden. Dies kann im-mer dann ein Problem sein, wenn einzelne IT-Komponenten für verschiede-ne Kunden eines Dienstleisters gemeinsam genutzt werden. Dann kann un-ter Umständen ein Fehler im Datenbestand eines beliebigen Kunden des Out-sourcing- oder Cloud-Dienstleisters dazu führen, dass beispielsweise bei derHost-Verarbeitung die Batch-Verarbeitung mehrerer Kunden eingestellt wer-den muss, wenn diese schlecht oder fehlerhaft konfiguriert ist. Ähnliche Pro-bleme ergeben sich, wenn die Anbindung zwischen auslagernder Institutionund Outsourcing- oder Cloud-Dienstleister ausfällt.

Beispiele:- Ein Unternehmen hat seine Server in einem Rechenzentrum eines exter-

nen Dienstleisters installiert. Nach einem Brand in diesem Rechenzentrumwar die Finanzabteilung des Unternehmens nicht mehr handlungsfähig.Es entstanden erhebliche finanzielle Verluste für das Unternehmen.

- Die Just-in-Time-Produktion eines Unternehmens war von der Zulieferungvon Betriebsmitteln externer Dienstleister abhängig. Nachdem ein LKWdurch einen Defekt beim Dienstleister ausfiel, verzögerte sich die Liefe-rung dringend benötigter Teile drastisch. Dadurch verzögerte sich die Pro-duktion.

- Ein Bankinstitut wickelte alle Geldtransporte mit einem Werttransport-unternehmen ab. Das Werttransportunternehmen meldete überraschendKonkurs an. Die Vereinbarung und Tourenplanung mit einem neuen Wert-transporter dauerten mehrere Tage und führten zu erheblichen Proble-men und Zeitverzögerungen bei der Geldversorgung und -entsorgung derBankfilialen. Dieser Fall hatte für das Bankinstitut einen großen Reputati-onsschaden zur Folge.

- Durch Kündigung von Personal, als Folge der Übernahme durch einen an-deren Provider, gehen dem Cloud-Diensteanbieter Know-how-Träger ver-loren. Dadurch entstehen bei der Übernahme des Betriebs Unstimmigkei-ten, wie beispielsweise Unklarheiten bezüglich der Umsetzung der Dienst-leistung, und es kommt dazu, dass Dienstgütevereinbarungen (SLA) nichteingehalten werden und vertraglich vereinbarte Dienste ausfallen.

Gefährdungskatalog Organisatorische Mängel G 2.2 Bemerkungen


G 2.2 Unzureichende Kenntnis überRegelungen

Regelungen lediglich festzulegen sichert noch nicht, dass sie beachtet werdenund der Betrieb störungsfrei ist. Allen Mitarbeitern müssen die geltenden Re-gelungen auch bekannt sein, vor allem den Funktionsträgern. Ein Schaden,der entsteht, weil bestehende Regelungen nicht bekannt sind, darf sich nichtmit den Aussagen entschuldigen lassen: "Ich habe nicht gewusst, dass ichdafür zuständig bin." oder "Ich habe nicht gewusst, wie ich zu verfahren hatte."

Beispiele:- Werden Mitarbeiter nicht darüber unterrichtet, wie sie korrekt mit mobilen

Datenträgern und E-Mails umzugehen haben, besteht die Gefahr, dasshierüber Schadprogramme im Unternehmen bzw. in der Behörde verbrei-tet werden. Durch falsches Verhalten könnten auch vertrauliche Daten ver-sehentlich in die Hände Unbefugter geraten.

- In einer Bundesbehörde wurden farblich unterschiedliche Papierkörbe auf-gestellt, von denen eine Farbe für die Entsorgung zu vernichtender Unter-lagen bestimmt war. Die meisten Mitarbeiter waren über diese Regelungnicht unterrichtet.

- In einer Bundesbehörde gab es eine Vielzahl von Regelungen zur Durch-führung von Datensicherungen, die nach und nach mündlich zwischendem IT-Sicherheitsbeauftragten und dem IT-Referat vereinbart wordenwaren. Eine Nachfrage ergab, dass die betroffenen Mitarbeiter die getrof-fenen "Vereinbarungen" nicht kannten und auch nicht wussten, wer ihr An-sprechpartner für Fragen der Datensicherung war. Die Regelungen wa-ren auch nicht dokumentiert. Viele Benutzer haben darum z. B. von denlokalen Daten ihres Arbeitsplatzrechners keine Datensicherung angefer-tigt, obwohl nur auf den Servern kontinuierliche Datensicherungen zentraldurchgeführt wurden.

- In einem Rechenzentrum wurde als neue Regelung festgelegt, dass we-gen Problemen mit der Einbruch- und Brandmeldeanlage die Pförtnerlo-ge auch nachts besetzt werden sollte. Der Pförtnerdienst war jedoch überdiese Regelung vom Sicherheitsverantwortlichen nicht informiert worden.Als Folge war das Rechenzentrum für mehrere Wochen nachts unzurei-chend geschützt.

- In einer Institution existiert die Regelung, dass der Verlust eines Mobilte-lefons sofort einer Leitstelle gemeldet werden muss, damit die SIM-Kar-te gesperrt werden kann. Einem Mitarbeiter war diese Regelung nicht be-kannt. Er gab den Verlust erst Tage später nach seiner Rückkehr von einerDienstreise an. In der Zwischenzeit wurden mit dem verlorenen Mobiltele-fon jedoch diverse Premium-Dienste angerufen und Kurzmitteilungen andiese Dienste geschickt. Dadurch entstand ein erheblicher wirtschaftlicherSchaden.



G 2.7 Unerlaubte Ausübung vonRechten

Rechte wie Zutritts-, Zugangs- und Zugriffsberechtigungen werden als orga-nisatorische Maßnahmen eingesetzt, um Informationen, Geschäftsprozesseund IT-Systeme vor unbefugtem Zugriff zu schützen. Werden solche Rechtean die falsche Person vergeben oder wird ein Recht unautorisiert ausgeübt,können sich eine Vielzahl von Gefahren für die Vertraulichkeit und Integritätvon Daten oder die Verfügbarkeit von Rechnerleistung ergeben.

Beispiele:- Der Arbeitsvorbereiter, der keine Zutrittsberechtigung zum Datenträgerar-

chiv besitzt, entnimmt in Abwesenheit des Archivverwalters Magnetbän-der, um Sicherungskopien einspielen zu können. Durch die unkontrollierteEntnahme wird das Bestandsverzeichnis des Datenträgerarchivs nicht ak-tualisiert, die Bänder sind für diesen Zeitraum nicht auffindbar. Der Arbeits-vorbereiter, der keine Zutrittsberechtigung zum Datenträgerarchiv besitzt,entnimmt in Abwesenheit des Archivverwalters Magnetbänder, um Siche-rungskopien einspielen zu können. Durch die unkontrollierte Entnahmewird das Bestandsverzeichnis des Datenträgerarchivs nicht aktualisiert,die Bänder sind für diesen Zeitraum nicht auffindbar.

- Ein Mitarbeiter ist erkrankt. Ein Zimmerkollege weiß aufgrund von Beob-achtungen, wo dieser sein Passwort auf einem Merkzettel aufbewahrt undverschafft sich Zugang zum Rechner des anderen Mitarbeiters. Da er erstkürzlich durch ein Telefonat mitbekommen hat, dass der Kollege noch ei-ne fachliche Stellungnahme abzugeben hatte, nimmt er hier unberechtig-terweise diese Aufgabe im Namen seines Kollegen wahr, obwohl er zuder Thematik nicht auf dem aktuellen Sachstand ist. Eine daraus folgen-de Erstellung einer Ausschreibungsunterlage in der Verwaltungsabteilungfordert im Pflichtenheft daher eine längst veraltete Hardwarekomponente,weil die dortigen Mitarbeiter der fachlichen Stellungnahme des erfahrenenKollegen uneingeschränkt vertraut haben.



G 2.27 Fehlende oder unzureichendeDokumentation

Verschiedene Formen der Dokumentation können betrachtet werden: die Pro-duktbeschreibung, die Administrator- und Benutzerdokumentation zur Anwen-dung des Produktes und die Systemdokumentation.

Eine fehlende oder unzureichende Dokumentation der eingesetzten IT-Kom-ponenten kann sowohl im Auswahl- und Entscheidungsprozess für ein Pro-dukt, als auch bei einem Schadensfall im Wirkbetrieb erhebliche Auswirkun-gen haben.

Bei einer unzureichenden Dokumentation kann sich im Schadensfall, bei-spielsweise durch den Ausfall von Hardware bzw. Fehlfunktionen von Pro-grammen, die Fehlerdiagnose und -behebung erheblich verzögern oder völligundurchführbar sein.

Dies gilt auch für die Dokumentation von Leitungswegen und Verkabelungeninnerhalb der Gebäude-Infrastruktur. Ist aufgrund unzureichender Dokumen-tation die genaue Lage von Leitungen nicht bekannt, so kann es bei Bauarbei-ten außerhalb oder innerhalb eines Gebäudes zu Beschädigungen von Leitun-gen kommen. Dabei kann es zu längeren Ausfallzeiten (Eintritt eines Notfalls)oder unter Umständen sogar zu lebensbedrohenden Gefahren, zum Beispieldurch Stromschlag, kommen.

Beispiele:- Wenn von einem Programm Arbeitsergebnisse in temporären Dateien zwi-

schengespeichert werden, ohne dass dies ausreichend dokumentiert ist,kann dies dazu führen, dass die temporären Dateien nicht angemessengeschützt und vertrauliche Informationen offengelegt werden. Durch feh-lenden Zugriffsschutz auf diese Dateien oder eine nicht korrekte physika-lische Löschung der nur temporär genutzten Bereiche können Informatio-nen Unbefugten zugänglich werden.

- Bei Installation eines neuen Softwareproduktes werden bestehende Kon-figurationen abgeändert. Andere, bislang fehlerfrei laufende Programme,sind danach falsch parametrisiert und stürzen gegebenenfalls ab. Durcheine detaillierte Dokumentation der Veränderung bei der Installation vonSoftware ließe sich der Fehler schnell lokalisieren und beheben.

- In einer größeren Behörde wurde die Verkabelung der IT durch eine ex-terne Firma vorgenommen. Die Anfertigung einer Dokumentation war imLeistungsumfang nicht enthalten. Da nach Fertigstellung der Verkabelungmit der Firma kein Wartungsvertrag abgeschlossen wurde, verfügte dieBehörde nicht über die notwendige Dokumentation. Erweiterungen desNetzes konnten nur mit erheblichen Verzögerungen vorgenommen wer-den (siehe auch G 2.12 Unzureichende Dokumentation der Verkabelung).

- In einer z/OS-Installation wurden jeden Abend automatisch Batch-Jobs zurVerarbeitung von Anwendungsdaten gestartet. Für die Verarbeitung wares wichtig, dass die Batch-Jobs in der richtigen Reihenfolge abliefen. Alseines Abends die Automation versagte, mussten die Jobs manuell gestar-tet werden. Aufgrund fehlender Dokumentation wurden die Batch-Jobs inder falschen Reihenfolge gestartet. Dies führte zu Abbrüchen in der Ver-arbeitung der Anwendungsdaten und zu Verzögerungen in der Produktionum mehrere Stunden.

- Fehlende Datenblätter von (flüchtigen) Halbleiterspeichern wie SRAM(Static Random Access Memory) und DRAM (Dynamic Random Access



Memory) können dazu führen, dass die Speicher nicht ordnungsgemäßgelöscht und damit vertrauliche Informationen bekannt werden können.

- In einem Unternehmen sollten USB-Sticks (nichtflüchtige Speicher) aus-gemustert werden. Die Produktbeschreibungen waren nicht aufzufinden.Die USB-Sticks wurden daher mit dem vorhandenen Löschtool behandelt.Auf herstellerspezifische Besonderheiten konnte jedoch nicht eingegan-gen werden, so dass nicht alle Daten ordnungsgemäß und sicher gelöschtwurden.



G 2.84 Unzulängliche vertraglicheRegelungen mit einem externenDienstleister

Wenn Situationen eintreten, die nicht eindeutig vertraglich geregelt sind, kön-nen (zum Beispiel im Rahmen eines Outsourcing- oder Cloud-Computing-Vor-habens) Nachteile für den Auftraggeber entstehen.

So kann beispielsweise bei Outsourcing oder Nutzung von Cloud-Diensten derAuftraggeber verantwortlich gemacht werden, die zwar im Einflussbereich desDienstleisters liegen, aber vertraglich nicht eindeutig geregelt sind.

Ein Hauptgrund für Probleme zwischen den Vertragspartnern sind zu optimi-stische Kostenschätzungen. Wenn sich herausstellt, dass der Dienstleisterden Service nicht zu den kalkulierten und angebotenen Kosten erbringen kannoder Uneinigkeit darüber besteht, was "selbstverständlich" ist, kann dies direktzu Sicherheitsproblemen führen. Erfahrungsgemäß wird an der Informations-sicherheit gespart, wenn in anderen Bereichen ein Kostendruck entsteht, demso begegnet werden kann, ohne dass Folgen unmittelbar sichtbar werden. Esist daher von entscheidender Bedeutung, wie die vertraglichen Regelungenzwischen Auftraggeber und Auftragnehmer ausgestaltet sind. Nur, was vonAnfang an vertraglich fixiert ist, wird auch später sicher in die Tat umgesetzt!

Cloud-Diensteanbieter und Outsourcing-Dienstleister erbringen ihre Serviceshäufig mittels der Dienste Dritter. Bestehen hier unzureichende vertraglicheVereinbarungen, kann dies auch Auswirkungen auf die Service-Erbringunghaben. Werden in den vertraglichen Regelungen bestehende Abhängigkeitenzwischen Diensteanbieter und Dritten nicht beachtet, kann dies zu einem Man-gel an Transparenz hinsichtlich der Vorgänge beim Diensteanbieter und zuUnsicherheiten bei den Verantwortungsbereichen oder der Einhaltung verein-barter Dienstgüten führen.

Weitere Beispiele für Folgen aus unzulänglichen vertraglichen Regelungenmit externen Dienstleistern sind:

- Der Auftraggeber kann seiner Auskunftspflicht gegenüber Aufsichtsbehör-den oder Wirtschaftsprüfern nicht nachkommen, wenn der Dienstleisterkeinen Zutritt zu seinen Räumlichkeiten oder keinen Zugang zu den not-wendigen Unterlagen gewährt.

- Der Auftraggeber muss sich für Verstöße gegen geltende Gesetze ver-antworten, wenn der Dienstleister nicht auf die Einhaltung dieser Gesetzeverpflichtet wurde.

- Aufgaben, Leistungsparameter und Aufwände wurden ungenügend odermissverständlich beschrieben, sodass aus Unkenntnis oder wegen fehlen-der Ressourcen Sicherheitsmaßnahmen nicht umgesetzt werden.

- Der Auftraggeber kann neuen Anforderungen (zum Beispiel fachliche, ge-setzliche Vorschriften, Verfügbarkeit, technische Entwicklung) nicht nach-kommen, wenn Änderungsmanagement und Systemanpassungen nichtausreichend vertraglich geregelt wurden.

- Bei Outsourcing-Vorhaben ist die Behörden- beziehungsweise Unterneh-mensleitung des Auftraggebers unter Umständen voll verantwortlich für



die ausgelagerten Geschäftsbereiche, kann dieser Verantwortung aberwegen fehlender Kontrollmöglichkeiten nicht gerecht werden.

- Ausgelagerte Daten oder Systeme werden ungenügend geschützt, wennihr Schutzbedarf oder besser die daraus resultierenden Anforderungen andie Sicherheit dem Outsourcing-Dienstleister unbekannt sind.

- Die Dienstleistungsqualität ist schlecht, und es gibt keine Eingriffsmöglich-keiten, weil keine Sanktionen vertraglich festgelegt wurden.

- Der Dienstleister zieht qualifiziertes Personal ab oder Vertreter desStammpersonals sind nicht ausreichend vorbereitet, was zu Sicherheits-problemen führen kann.

Besondere Probleme treten häufig dann auf, wenn Dienstleistungsverträgebeendet werden (siehe G 2.85 Unzureichende Regelungen für das Ende einesOutsourcing- oder eines Cloud-Nutzungs-Vorhabens) und diese Situation nurunzureichend vertraglich geregelt wurde.



G 2.85 Unzureichende Regelungen fürdas Ende eines Outsourcing-oder eines Cloud-Nutzungs-Vorhabens

Nutzt eine Institution die Services eines Outsourcing- oder Cloud-Dienstean-bieters, so kommt es in der Regel zu Know-how-Verlust beim Auftraggeberund zu einer Abhängigkeit des Auftraggebers vom Dienstleister. Daher kön-nen unzureichende Regelungen für eine mögliche Kündigung des Vertrags-verhältnisses gravierende Folgen für den Auftraggeber haben. Dies ist erfah-rungsgemäß immer dann besonders problematisch, wenn ein aus Sicht desAuftraggebers kritischer Fall unerwartet eintritt, wie beispielsweise Insolvenzoder Verkauf des Outsourcing- oder Cloud-Dienstleisters.

Beispiele:- Ein Konkurrent des Auftraggebers kauft den Outsourcing- oder Cloud-

Dienstleister.- Eine nationale Sicherheitsbehörde hat Prozesse zu einem Rechenzen-

trum ausgelagert, das später von einem ausländischen Unternehmen ge-kauft wird.

- Es gibt juristische Auseinandersetzungen zwischen Auftraggeber undDiensteanbieter wegen schlechter Dienstleistungsqualität oder gravieren-der Sicherheitsmängel, in deren Folge ein Vertragspartner den Vertragkündigen möchte.

Ohne ausreichende interne Vorsorge sowie genaue Vertragsregelungen be-steht immer die Gefahr, dass sich der Auftraggeber nur schwer aus dem ab-geschlossenen Vertrag mit dem Outsourcing- oder Cloud-Dienstleister lösenkann. In diesem Fall ist es schwierig bis unmöglich, den ausgelagerten Bereichbeispielsweise auf einen anderen Dienstleister zu übertragen oder ihn wiederin das eigene Unternehmen einzugliedern, falls dies notwendig erscheint.

Im Folgenden sind beispielhaft weitere Probleme aufgelistet, die in dieser Si-tuation auftreten können:

- Durch unflexible Regelungen zum Kündigungsrecht kann der Vertrag nichtim Sinne des Auftraggebers bedarfsgerecht beendet werden.

- Zu kurze Kündigungszeiten führen bei Kündigung durch den Dienstleisterdazu, dass keine Zeit für einen geordneten Übergang bleibt.

- Unzureichende Regelungen über das Eigentumsrecht an eingesetzterHard- und Software (Schnittstellenprogramme, Tools, Batchabläufe, Ma-kros, Lizenzen, Backups) können einen geregelten Übergang, beispiels-weise auf einen neuen Outsourcing-Dienstleister, verhindern.

- Unzureichende Regelungen über das Überlassen von Dokumentationenkönnen dazu führen, dass die IT-Systeme nicht geregelt weiterbetriebenwerden.

- Unzureichende Regelungen für das Löschen von Daten, auch von Da-tensicherungen, beim Outsourcing- oder Cloud-Dienstleister können dazuführen, dass vertrauliche Daten Dritten bekannt werden.

- Der Auftraggeber kann seine Aufgaben unter Umständen nicht mehr er-füllen, da die Verfügbarkeit nicht mehr gewährleistet ist.

- In der Endphase des Auflösungsprozesses sind eventuell Daten und Sy-steme nicht mehr ausreichend geschützt, da diese als "Alt-Systeme" an-gesehen werden.

- Fehlende Regelungen (zum Beispiel auch Datenformate) zur Herausgabeder gespeicherten Informationen (Nutzdaten) durch den Diensteanbieter



führen zu Verzögerungen beim Wechsel auf einen anderen Anbieter oderbeim Eingliedern der Dienstleistung in die Institution.

- Die Interoperabilität von Cloud Services ist bei einem Wechsel desDiensteanbieters oder beim Eingliedern in die Institution nicht gewährlei-stet, da keine entsprechenden Regelungen getroffen wurden.

- Der Wechsel von einem Outsourcing- oder Cloud-Diensteanbieter zu ei-nem anderen Dienstleister bedingt unter Umständen Support-Leistungendurch den bestehenden Auftragnehmer. Wird die Verpflichtung zu derenErbringung nicht vertraglich geregelt, kann der Diensteanbieter den Sup-port verwehren oder dafür zusätzliche Kosten in Rechnung stellen.



G 2.86 Abhängigkeit von einemOutsourcing- oder Cloud-Dienstleister

Nutzt eine Institution die Services eines Outsourcing- oder Cloud-Dienstean-bieters, begibt sie sich immer in die Abhängigkeit vom entsprechenden Dienst-leister. Daraus ergeben sich folgende typische Gefahren:

- Bei ausgelagerten Geschäftsprozessen geht intern das entsprechendeKnow-how verloren.

- Mitarbeiter des Auftraggebers verlassen das Unternehmen oder werdenversetzt und nehmen ihr Know-how mit.

- IT-Systeme und Ressourcen werden dem Outsourcing-Dienstleister über-lassen, sodass über diese keine vollständige Kontrolle mehr besteht.

- Auftraggeber und Auftragnehmer schätzen den Schutzbedarf der ausge-lagerten Informationen unterschiedlich ein, beispielsweise aufgrund vonMissverständnissen in der Kommunikation oder einer anderen Sicher-heitskultur. Damit können dann die ergriffenen Sicherheitsmaßnahmenunzureichend oder falsch gelagert sein.

Aus einer zu großen Abhängigkeit können sich außerdem folgende Konse-quenzen ergeben, die es zu beachten gilt:

- Insourcing ist im Allgemeinen teuer und im Extremfall sogar unmöglich.- Ein Wechsel des Dienstleisters ist im Allgemeinen schwierig und kann zu

existenzbedrohenden Situationen (Verfügbarkeit, Kosten) führen.- Auf Veränderung der Rahmenbedingungen (zum Beispiel Eigentümer-

wechsel beim Outsourcing- oder Cloud-Dienstleister, Änderung der Ge-setzeslage, Zweifel an der Zuverlässigkeit des Outsourcing- oder Cloud-Dienstleisters) kann unter Umständen nicht angemessen reagiert werden.

Erkennt der Outsourcing- oder Cloud-Dienstleister eine große Abhängigkeitdes Auftraggebers, so können sich zudem auch folgende Probleme ergeben:

- Der Dienstleister führt drastische Preiserhöhungen durch.- Es kommt zu schlechter Dienstleistungsqualität.- Die Drohung, die Dienstleistung sofort einzustellen, wird als Druckmittel

(zum Beispiel bei Kündigung des Vertrages oder bei Streitigkeiten) be-nutzt.



G 2.87 Verwendung unsichererProtokolle in öffentlichen Netzen

Bei der Kommunikation über öffentliche Netze, insbesondere das Internet, exi-stiert eine Reihe von Gefahren, die aus der Verwendung unsicherer Protokolleentstehen.

Eine wichtige Gefahr ist, dass vertrauliche Informationen in fremde Hände ge-langen können. Als unsichere Protokolle müssen insbesondere solche Proto-kolle gelten, bei denen Informationen im Klartext übertragen werden. Da derWeg der Datenpakete im Internet nicht vorhersagbar ist, können in diesemFall die übertragenen Informationen an verschiedensten Stellen mitgelesenwerden. Besonders kritisch ist dies, wenn es sich um

- Authentisierungsdaten wie Benutzernamen und Passwörter,- Autorisierungsdaten, beispielsweise Transaktionsnummern beim Electro-

nic Banking oder Electronic Brokerage,- andere vertrauliche Informationen, beispielsweise in Dokumenten, die per

E-Mail verschickt werden, handelt.

Protokolle, bei denen sämtliche Informationen im Klartext übertragen werden,sind beispielsweise

- das Hypertext Transfer Protocol HTTP, das bei der Kommunikation zwi-schen Webbrowsern und Webservern verwendet wird,

- das TELNET Protokoll, das noch an einigen Stellen für Remote Loginsverwendet wird,

- das File Transfer Protocol FTP, das noch häufig für den Zugriff auf Serverbenutzt wird, die Dateien zum Download bereitstellen,

- das Simple Mail Transfer Protocol SMTP, das zur Übertragung von E-Mailverwendet wird,

- die Protokolle rsh (Remote Shell), rlogin (Remote Login) und andere ver-wandte Protokolle.

Bei solchen Protokollen können sämtliche übertragenen Informationen auf je-dem Rechner, über den eine entsprechende Verbindung läuft, mitgelesen undgegebenenfalls auch verändert werden. Kritisch ist beispielsweise die Über-tragung von Kreditkartennummern oder Passwörtern über HTTP-Verbindun-gen im Internet.

Mittels Password-Sniffings können in einem ersten Schritt Passwörter bei derÜbertragung zu einem System abgefangen werden. Dies erlaubt dem Angrei-fer anschließend auf dieses IT-System zu gelangen, um dann weitere Angriffelokal auf dem Rechner durchzuführen.

Bei den erwähnten Protokollen (besonders bei HTTP oder TELNET) drohenauch sogenannte Man-in-the-middle-Angriffe oder Session Hijacking (sieheG 5.89 Hijacking von Netz-Verbindungen). Bei dieser Art von Angriffen ist einAngreifer nicht nur dazu in der Lage, Informationen mitzulesen, sondern kanndarüber hinaus aktiv Schaden anrichten, indem laufende Transaktionen verän-dert werden. Beispielsweise können Preise oder Bestellmengen bei Geschäf-ten über das Internet so verändert werden, dass der Besteller nur die Artikeloder Lieferadresse sieht und bestätigt bekommt, die er eingibt, während derAngreifer eine wesentlich höhere Menge und eine andere Lieferadresse anden Verkäufer schickt.

Neben den erwähnten Protokollen, bei denen sämtliche Informationen im Klar-text übertragen werden, existieren auch solche, bei denen zumindest die Über-



tragung der Authentisierungsdaten verschlüsselt erfolgt. Dabei droht jedochimmer noch das Mitlesen der übertragenen Nutzinformation.



G 2.93 UnzureichendesNotfallvorsorgekonzept beiOutsourcing oder Cloud-Nutzung

Versäumnisse im Bereich der Notfallvorsorge haben beim Outsourcing oderbei der Nutzung von Cloud Services schnell gravierende Folgen. ZusätzlicheSchwierigkeiten ergeben sich dadurch, dass Probleme generell auf drei kriti-sche Bereiche verteilt sein können:

- IT-Systeme beim Auftraggeber- IT-Systeme beim Outsourcing- oder Cloud-Dienstleister- Schnittstellen (zum Beispiel Netzanbindung, Router, Telekommunikati-

ons-Provider) zwischen Auftraggeber und Dienstleister

Im Falle eines Fehlers muss dieser zunächst korrekt lokalisiert werden, was jenach Fehlerart schwierig ist, da unterschiedliche Fehler zu gleichen Sympto-men führen können, zum Beispiel Ausfall der Kommunikationsverbindung undAusfall eines Systems beim Dienstleister. Erst nachdem der Fehler identifiziertworden ist, können sinnvolle Notfallmaßnahmen eingeleitet werden.

Versäumnisse bei den Notfallvorsorgekonzepten für die IT-Systeme von Auf-traggeber beziehungsweise Dienstleister sowie der Schnittstellen führen imFalle eines Teil- oder Totalausfalls immer zu unnötig langen Ausfallzeiten mitentsprechenden Folgen für die Produktivität beziehungsweise Dienstleistungdes Auftraggebers. Daneben kann die mangelhafte Abstimmung von Notfalls-zenarien zwischen Auftraggeber und Dienstleister zu Lücken in der Notfallvor-sorge führen.



G 2.105 Verstoß gegen gesetzlicheRegelungen und vertraglicheVereinbarungen

Wenn Informationen, Geschäftsprozesse und IT-Systeme einer Institution un-zureichend abgesichert sind (beispielsweise durch ein unzureichendes Si-cherheitsmanagement), kann dies zu Verstößen gegen Rechtsvorschriften mitBezug zur Informationsverarbeitung oder gegen bestehende Verträge mit Ge-schäftspartnern führen. Welche Gesetze jeweils zu beachten sind, hängt vonder Art der Institution beziehungsweise ihrer Geschäftsprozesse und Dienst-leistungen ab. Je nachdem, wo sich die Standorte einer Institution befinden,können auch verschiedene nationale und internationale Vorschriften zu be-achten sein. Verfügt eine Institution über unzureichende Kenntnisse hinsicht-lich internationaler Gesetzesvorgaben (zum Beispiel Datenschutz, Informati-onspflicht, Insolvenzrecht, Haftung oder Informationszugriff für Dritte), erhöhtdies das Risiko entsprechender Verstöße. Es drohen rechtliche Konsequen-zen.

Folgende Beispiele verdeutlichen mögliche Ausprägungen:

- Der Umgang mit personenbezogenen Daten ist in Deutschland über ei-ne Vielzahl von Vorschriften geregelt. Dazu gehören das Bundesdaten-schutzgesetz und die Landesdatenschutzgesetze, aber auch eine Vielzahlbranchenspezifischer Regelungen. Werden bei der Kommunikation zwi-schen zwei Geschäftsbereichen personenbezogene Daten (zum Beispielvertrauliche Patientendaten) ungeschützt über öffentliche Netze übertra-gen, kann dies unter Umständen rechtliche Konsequenzen nach sich zie-hen.

- Die Geschäftsführung eines Unternehmens ist dazu verpflichtet, bei allenGeschäftsprozessen eine angemessene Sorgfalt anzuwenden. Hierzu ge-hört auch die Beachtung anerkannter Sicherheitsmaßnahmen. In Deutsch-land gelten verschiedene Rechtsvorschriften wie KonTraG (Gesetz zurKontrolle und Transparenz im Unternehmensbereich), GmbHG (Gesetzbetreffend die Gesellschaften mit beschränkter Haftung) oder AktG (Akti-engesetz), aus denen sich zu Risikomanagement und Informationssicher-heit Handlungs- und Haftungsverpflichtungen der Geschäftsführung be-ziehungsweise des Vorstands eines Unternehmens ableiten lassen.

- Die ordnungsmäßige Verarbeitung von buchungsrelevanten Daten ist inverschiedenen Gesetzen und Vorschriften geregelt. In Deutschland sinddies unter anderem das Handelsgesetzbuch (zum Beispiel HGB §§ 238ff.) und die Abgabenordnung (AO). Die ordnungsmäßige Verarbeitung vonInformationen umfasst natürlich deren sichere Verarbeitung. Beides mussin vielen Ländern regelmäßig nachgewiesen werden, beispielsweise durchWirtschaftsprüfer im Rahmen der Prüfung des Jahresabschlusses. Fallshierbei gravierende Sicherheitsmängel festgestellt werden, kann kein po-sitiver Prüfungsbericht erstellt werden.

- In vielen Branchen (zum Beispiel der Automobil-Industrie) ist es üblich,dass Hersteller ihre Zulieferer zur Einhaltung bestimmter Qualitäts- undSicherheitsstandards verpflichten. In diesem Zusammenhang werden zu-nehmend auch Anforderungen an die Informationssicherheit gestellt. Ver-stößt ein Vertragspartner gegen vertraglich geregelte Sicherheitsanforde-rungen, kann dies Vertragsstrafen, aber auch Vertragsauflösungen bis hinzum Verlust von Geschäftsbeziehungen nach sich ziehen.

- Um Skaleneffekte zu erzielen, bieten viele Cloud-Dienstleister ihre Ser-vices in einem internationalen Umfeld an. Damit unterliegen die Anbie-ter oft anderen nationalen Gesetzgebungen. Für den Cloud-Anwender ist



es oft sehr schwierig, die einschlägigen Gesetze und Verordnungen (zumBeispiel Datenschutz, Informationspflicht, Insolvenzrecht, Haftung, Infor-mationszugriff für Dritte) zu kennen und richtig zu bewerten.

- Cloud-Diensteanbieter geben unzureichend Auskunft über den Speicher-ort der Daten. So ist nicht klar, welche staatlichen Stellen auf die Informa-tionen zugreifen können.

Nur wenige Sicherheitsanforderungen ergeben sich unmittelbar aus Geset-zen. Die Gesetzgebung orientiert sich jedoch im Allgemeinen am Stand derTechnik als allgemeine Bewertungsgrundlage für den Grad der erreichbarenSicherheit. Stehen bei einer Institution die vorhandenen Sicherheitsmaßnah-men in keinem gesunden Verhältnis zu den zu schützenden Werten und demStand der Technik, kann dies gravierende Folgen haben.



G 2.188 Unzureichende Vorgaben zumLizenzmanagement bei Cloud-Nutzung

Im Zusammenhang mit dem Lizenzmanagement besteht für eine Institution,auch bei der Nutzung von Cloud Services, die Notwendigkeit zur Definition vonklaren Verantwortlichkeiten. Gerade die Thematik der Lizenzen wird jedochbei Cloud-Nutzung häufig nicht ausreichend betrachtet.

Ohne eindeutige Regelung, für welche Lizenzen die nutzende Institution undfür welche der Cloud-Diensteanbieter verantwortlich zeichnet, drohen rechtli-che Konsequenzen. Bei Lizenzprüfungen kann unter Umständen kein validerNachweis über die rechtmäßige Nutzung der eingesetzten Lizenzen erbrachtwerden. Um finanzielle Nachforderungen oder anderweitige Konsequenzenzu vermeiden, sollte die Institution darüber auskunftsfähig sein, welche Li-zenzen sie in den Cloud Service eingebracht hat und welche Lizenzen vomCloud-Diensteanbieter bezogen werden beziehungsweise in seinem Verant-wortungsbereich liegen.

Beispiele:- Eine Institution benötigt insgesamt 500 Windows-Server. 300 dieser Ser-

ver werden mit Lizenzen betrieben, die direkt durch die Institution erwor-ben wurden. Die restlichen 200 Lizenzen für den Betrieb der Server wer-den vom Cloud-Diensteanbieter bezogen.

- Für die Verwendung einer Office-Web-Applikation lässt sich die benötigteAnzahl der Lizenzen für interne Anwender einfach ermitteln. Die Zahl derextern benötigten Lizenzen ist jedoch für die Institution unklar. In der Fol-ge dürfen Mitarbeiter die Office-Web-Applikation nur für interne Zweckeeinsetzen.



G 2.189 Fehlende oder unzureichendeStrategie für die Cloud-Nutzung

Die Entscheidung für den Einsatz von Cloud Services in einer Institution isteine strategische Entscheidung. Durch diese begibt sich eine Institution in einenges Abhängigkeitsverhältnis zum Cloud-Diensteanbieter.

Fehlentscheidungen hinsichtlich der Strategie zur Cloud-Nutzung können or-ganisatorische, technische oder auch gravierende finanzielle Auswirkungennach sich ziehen, die unter Umständen auch langfristig und schwerwiegendausfallen können.

Bedingt durch eine unzureichende oder fehlerhafte Strategie für die Cloud-Nutzung sind in der Praxis folgende Auswirkungen zu beobachten:

- Weitverbreitet sind Fehleinschätzungen bei der Einführung und beim Ma-nagement der Cloud-Nutzung. Der Aufwand für die sichere Einführung ei-nes Cloud Services (zum Beispiel Erstellung von Dokumentationen, Tests,Absicherung von Systemen) wird häufig unterschätzt. Die daraus resultie-renden zeitlichen Verzögerungen verleiten Institutionen oft zu einer Re-duktion geplanter Testaufwände, was zu Abstrichen bei der Sicherheit füh-ren kann.

- Es entsteht eine Abhängigkeit vom Cloud-Diensteanbieter, die in der Fol-ge die Institution der Gefahr unangemessener Preiserhöhungen oder sin-kender Dienstleistungsqualität aussetzt.

- Durch den Einsatz von Cloud Services besteht die Gefahr, dass der IT-Einsatz nicht mehr ordnungsgemäß gesteuert werden kann (Verlust derGovernance). Mögliche Ursachen hierfür liegen in unklaren Service-, Pro-zess- oder Schnittstellendefinitionen.

- Wird in der Planung weder ein späterer Wechsel zu einem anderen Cloud-Diensteanbieter noch die Rückholung vom Cloud-Diensteanbieter in dieeigene IT berücksichtigt, kann dies zu hohen Kosten führen.

- Eine unzureichende Planung der Datenlöschung bei der Beendigung derNutzung eines Cloud Services birgt das Risiko, dass unberechtigt auf dieDaten zugegriffen werden kann.



G 2.190 UnzureichendesAdministrationsmodell für dieCloud-Nutzung

Die Entscheidung Cloud Services in einer Institution zu nutzen, bedingt eineAnpassung des bestehenden Administrationsmodells. In der Praxis ist häufigzu beobachten, dass innerhalb einer nutzenden Institution keine Vorgabenzur Service-Administration eines Cloud-Dienstes existieren. So fehlen auchRollendefinitionen für diese administrativen Tätigkeiten. Verzögerungen beider Service-Erbringung oder Ausfälle eines Services können die Folge sein.

Werden Cloud Services genutzt führt dies in der Regel dazu, dass sich dasRollenverständnis innerhalb der Administration verändert. Die unterschiedli-chen Aspekte beim Einsatz von Cloud Services bedingen dabei die Entwick-lung weg vom klassischen System-Administrator hin zum Service-Administra-tor. Wird diesem Prozess nicht ausreichend Rechnung getragen, kann dies ne-gative Auswirkungen haben. Beispielsweise bringen die Administratoren unterUmständen nicht das nötige Verständnis für die notwendigen Umstellungenmit oder sind für ihre neue Aufgabe nicht oder nur unzureichend geschult.

Ein unzureichend angepasstes Administrationsmodell für die veränderte Formder Service-Erbringung kann in der Folge zum Verlust der Service-Verfügbar-keit führen. Gegenüber den internen Benutzern einer Institution bleibt die ITauch bei Cloud-Nutzung weiterhin der Dienstleister. Um einen vereinbartenService für ihre internen Benutzer erbringen zu können, müssen die IT-Mitar-beiter beim Einsatz von Cloud Services allerdings selbst einen oder mehrereServices eines Cloud-Diensteanbieters in Anspruch nehmen. Diese neu ge-staltete Service-Erbringung bedingt zwangsläufig ein verändertes Administra-tionsmodell.

Die Änderungen im Administrationsmodell müssen auch in der Ressourcen-planung berücksichtigt werden, da sonst die Verfügbarkeit von Services auf-grund nicht reibungslos funktionierender Administrationsprozesse beeinträch-tigt werden kann.



G 2.191 Unzureichendes Rollen- undBerechtigungskonzept

Die sorgfältige Definition eines Berechtigungskonzeptes verhindert den un-rechtmäßigen Zugriff auf Informationssysteme und schützt damit auch die Inte-grität, Verfügbarkeit und Authentizität der zugehörigen Daten. Berechtigungs-konzepte besitzen dabei Relevanz sowohl für Anwender als auch für Admini-stratoren von IT-Systemen.

In der Regel sind Berechtigungskonzepte an die Definition von Rollen gekop-pelt, denen in der Folge gewisse Berechtigungen zugesprochen oder entzo-gen werden können. Sind die relevanten Rollen unzureichend definiert, kanndies die Wirksamkeit des Berechtigungskonzeptes verringern. Mitarbeiter er-halten unter Umständen Zugriff auf Systeme und Daten, zu denen sie keineBerechtigung haben dürften, wodurch die Vertraulichkeit und Integrität der Da-ten verletzt wird.

Bestehende Rollen- und Berechtigungskonzepte müssen regelmäßig über-prüft werden, da die Mitarbeiter- und Organisationsstruktur einer Institution ei-nem stetigen Wandel unterliegt. Der Entzug beziehungsweise die Erteilungvon Berechtigungen für Mitarbeiter beim Wechsel des Arbeitsbereiches unddamit Übernahme einer neuen Rolle oder bei Beendigung des Arbeitsverhält-nisses muss sichergestellt sein. Sind diese Voraussetzungen nicht erfüllt, kön-nen Mitarbeiter unberechtigt auf (vertrauliche) Informationen zugreifen unddiese unter Umständen verändern, vernichten oder zu ihrem Vorteil missbrau-chen. Finanzielle Einbußen und Schädigung des Images einer Institution sindmögliche Folgen.

Detaillierte Rollenkonzepte bringen eine hohe Komplexität und eine damit ein-hergehende erhöhte Fehleranfälligkeit mit sich. Unter Umständen sieht sicheine Institution hier einem Konflikt zwischen der Qualität eines Rollenkonzep-tes und der Möglichkeit, dieses angemessen zu verwalten, gegenüber.

Die fehlende Überprüfung des Rollenkonzeptes beim Cloud-Diensteanbie-ter im Verhältnis zum Rollenkonzept in der eigenen Institution erzeugt einenBruch in der rollenbasierten Ende-zu-Ende-Administration und kann zu einemVerlust der Service-Verfügbarkeit und Datenintegrität führen.



G 2.192 Unzureichende Verfügbarkeitder erforderlichen personellenRessourcen mit ausreichenderQualifikation

Die reibungslose Nutzung von Cloud-Diensten erfordert eine ausreichendeVerfügbarkeit von qualifizierten IT-Administratoren. Fehlen ausreichend ge-schulte und erfahrene Administratoren, kann dies für die Institution unter an-derem Beeinträchtigungen bei der Service-Verfügbarkeit nach sich ziehen.

Bei mangelnder Planung lässt sich die unzureichende Verfügbarkeit der per-sonellen Ressourcen in der Praxis häufig nicht kurzfristig beheben, da qualifi-ziertes beziehungsweise in der Administration von Cloud Services erfahrenesPersonal häufig nur schwer oder gar nicht verfügbar ist.

Administratoren, die bereits in der Institution beschäftigt sind, wissen unterUmständen nicht, welche Aufgaben ihnen im Zusammenhang mit der Einfüh-rung von Cloud Services übertragen werden. In der Regel setzt der Umstiegauf Cloud-Nutzung eine Entwicklung vom System-Administrator hin zum Ser-vice-Administrator voraus. Eine solche Umstellung bringt zusätzlichen Schu-lungsbedarf mit sich, da ungeschulte Mitarbeiter im Administrationsumfeld einerhebliches Gefahrenpotenzial darstellen (siehe hierzu auch G 2.103 Unzu-reichende Schulung der Mitarbeiter).



G 2.193 Fehlende Anpassung derInstitution an die Nutzung vonCloud Services

Die Nutzung von Cloud Services bedingt eine Anpassung der Institution in un-terschiedlichen Bereichen. Unterbleibt diese Anpassung an die neuen Gege-benheiten oder wird diese nur unzureichend umgesetzt, wirkt sich dies negativauf die Institution aus.

In folgenden Bereichen sind bei der Anpassung der Institution an die Nutzungvon Cloud Services häufig Fehler zu beobachten:

Anpassung der Service-Management-Prozesse

Werden die Service-Management-Prozesse nicht oder nur unzureichend an-gepasst, kann dies dazu führen, dass die Dynamik und die Schnelligkeit, diemit der Nutzung von Cloud Services einhergehen, nicht zu den bestehendenProzessen passen. Dies führt oftmals zu einer Abweichung zwischen der Er-wartungshaltung des Anwenders und den bestehenden Prozessen.

Berücksichtigung der Mitarbeiter

Häufig geht mit der Nutzung von Cloud Services eine Reduktion des IT-Perso-nals aufseiten der nutzenden Institution einher, die sich durch den sinkendenBedarf an Fachpersonal begründet. Dies kann zu einem Verlust des Know-hows führen, das mit diesen Mitarbeitern verbunden ist.

Die verbleibenden IT-Mitarbeiter müssen häufig neue Aufgaben wahrnehmen,nachdem sich eine Institution zur Nutzung eines Cloud Services entschiedenhat. In der Praxis ist dabei häufig eine fehlende Bereitschaft der Mitarbeiter zurWeiterentwicklung beziehungsweise zur Akzeptanz des neuen Aufgabenbe-reiches zu erkennen. Die Mitarbeiter sind in der Folge gegebenenfalls wenigermotiviert, arbeiten weniger engagiert und sorgfältig, fühlen sich nicht wertge-schätzt beziehungsweise über- oder unterfordert.

Die Cloud-Administration bedeutet in der Regel zusätzlichen Arbeitsaufwandfür die IT, da kurzfristig die klassischen IT-Systeme zumeist nicht abgeschafftwerden, während die Cloud-Dienste bereits genutzt werden.

Dies alles kann auch zu einer erkennbaren Störung des Betriebsklimas führenmit negativen Folgen wie einer erhöhten Zahl von Krankheitsfällen oder demAbwerben von Personal. Weitere Hinweise hierzu finden sich in G 2.88 Stö-rung des Betriebsklimas durch ein Outsourcing-Vorhaben.

Kultureller Wandel

Die Nutzung von Cloud Services bringt in der Regel einen sogenannten kul-turellen Wandel innerhalb der Institution mit sich. Dies betrifft nicht nur, wiebereits beschrieben, die Entwicklung des System-Administrators hin zum Ser-vice-Administrator, bei den Benutzern ist auch eine veränderte Erwartungs-haltung zu beobachten.

Verwenden Benutzer für dienstliche Zwecke Werkzeuge, die jenen aus demprivaten Nutzungsumfeld sehr ähnlich sind, wird der Trend zur Vermischungvon dienstlichen und privaten Aspekten verstärkt. Durch die sogenannte"Überall- und Immer-Verfügbarkeit" von Cloud-Diensten verändern sich dabeizunehmend auch die Erwartungen an die Gestaltung der Arbeit. Mitarbeiter



sehen in der Folge beispielsweise keine Notwendigkeit zur ortsgebundenenArbeit mehr, da sie viele Tätigkeiten auch von einem anderen Ort als ihrerArbeitsstätte aus erledigen können. Häufig ist zudem erkennbar, dass klassi-sche IT-Services abgelehnt werden, da diese beispielsweise als zu langsamoder wenig intuitiv wahrgenommen werden.

Cloud Computing birgt das Potenzial, erheblichen Einfluss auf die Arbeitsweltvieler Institutionen zu nehmen. Als eine der weitreichenden Folgen könnensich Mitarbeiter, die bislang ausschließlich klassische IT-Services genutzt ha-ben und die Veränderungen ablehnend gegenüberstehen, durch den Wechselzu Cloud Services übergangen und überfordert fühlen.

Sind den Verantwortlichen innerhalb der Institution die notwendigen Weiter-entwicklungen beziehungsweise Anpassungen der Unternehmenskultur nichtbewusst, kann es zu Störungen der Service-Erbringung durch die IT kommen.

Kommunikation der Veränderungen

Die Veränderungen müssen sowohl den Benutzern als auch den Administra-toren klar und zielgruppengerecht kommuniziert werden. Darüber hinaus soll-ten auch der Betriebs- beziehungsweise Personalrat sowie der Datenschutz-beauftragte frühzeitig in die Veränderungen eingebunden sein, um möglicheKonflikte schon im Vorfeld auszuräumen.

Beispiel:- Das Gremium zur Bewertung und Genehmigung von Änderungsanträgen

(Change Advisory Board, CAB) tritt im Wochenrhythmus zusammen. Ge-plante Änderungen müssen dabei mit einer Vorlaufzeit von drei Werktagenbeantragt werden. Cloud Services, zum Beispiel ein neuer Server, könnenaber oft schon in wenigen Minuten bereitgestellt werden, und so kann derÄnderungsmanagementprozess unterlaufen werden.



G 2.194 MangelhaftesAnforderungsmanagement beiCloud-Nutzung

An die Entscheidung einer Institution zur Nutzung von Cloud Services sind inder Regel eine Vielzahl von Erwartungen geknüpft. Anwender erwarten bei-spielsweise eine höhere Leistungsfähigkeit, einen größeren Funktionsumfangund/oder geringere Kosten.

Mangelndes Anforderungsmanagement bei der Nutzung von Cloud-Dienstenkann die Erreichung der gesteckten Ziele gefährden und der Service kannnicht den gewünschten und benötigten Mehrwert liefern.

In der Regel ist das Anforderungsmanagement nicht durch die IT getrieben,sondern durch das Management. Die IT muss in der Folge die gestellten An-forderungen aufnehmen und in jene Service-Leistungen übersetzen, die erfor-derlich sind, um die Anforderungen zu erfüllen.

Mangelhaftes Anforderungsmanagement kann beispielsweise die folgendenAusprägungen annehmen:

- Die Anforderungen an den Cloud Service sind unklar definiert. Die Grün-de hierfür können darin liegen, dass keine Anforderungsanalyse durchge-führt, aber auch darin dass darauf verzichtet wurde ein Lastenheft zu er-stellen. Damit fehlt die Service-Beschreibung für Cloud Services, die in derInstitution als IT-Service bereitgestellt werden.

- Die Anforderungen an Cloud Services werden schwächer formuliert be-ziehungsweise definiert, als dies in vergleichbaren Situationen bei klassi-scher IT der Fall ist. Dies kann zur Folge haben, dass wichtige Funktioneneines Services nach einem Wechsel hin zur Cloud-Nutzung nicht mehrzur Verfügung stehen, die Zugriffszeiten auf Anwendungen steigen oderdie Ausführung von Aufträgen im Vergleich zur Nutzung klassischer IT-Lösungen verzögert erfolgt.

- Die Anforderungen an die IT-Infrastruktur, die durch die Nutzung vonCloud Services entstehen, werden nicht ausreichend betrachtet.

- Es existieren keine Vorgaben hinsichtlich der benötigten Leistungsfähig-keit der Netz- und Internetanbindung.

- Der möglicherweise notwendige Ausbau von Datennetzen oder weiterenInfrastrukturbereichen (zum Beispiel Firewalls, Intrusion-Prevention-Sy-steme oder Loadbalancer) ist nicht vorgesehen.



G 2.195 Mangelnde Überwachung derService-Erbringung

Zwischen einer Institution als Cloud-Anwender und einem Cloud-Dienstean-bieter existieren vertragliche Regelungen hinsichtlich der Ausgestaltung derangebotenen Services. Die Beschreibung der Dienste und ihrer Dienstgütenfindet sich in Dienstgütevereinbarungen (SLAs - Service Level Agreements beiexternen Dienstleistern oder OLAs - Operational Level Agreements bei inter-ner Service-Erbringung). Bei Public Cloud Services sind diese häufig in Formvon AGBs oder Nutzungsbedingungen gestaltet.

Weicht die tatsächlich erbrachte Service-Leistung von den vereinbarten Para-metern ab, kann dies negative Auswirkungen auf die nutzende Institution ha-ben. Die Überwachung der Service-Erbringung des Cloud-Diensteanbietersdurch die nutzende Institution ist daher essenziell, um mögliche Servicemän-gel erkennen zu können und diesen entgegenzuwirken.

Häufig wird die Überwachung der Service-Erbringung jedoch vernachlässigt.Vertragsverletzungen oder Abweichungen vom vereinbarten Sicherheitsni-veau werden dadurch nicht oder erst spät identifiziert. Dies gilt auch bei Nut-zung einer Private Cloud, die durch die eigene IT betrieben wird. Hier ist ei-nerseits auf die Überwachung der Service-Erbringung zu achten. Andererseitssollten auch hier die Service-Vereinbarungen die Services ausreichend detail-liert und verständlich beschreiben. Bei der Überwachung ist hier insbesonderedarauf zu achten, dass die Verantwortlichkeiten festgeschrieben sind und esnicht zu einer "Selbstprüfung" kommt, die keine sinnvollen Ergebnisse liefert.

In der Praxis sind folgende Ausprägungen mangelnder Überwachung der Ser-vice-Erbringung zu beobachten:

- Der Cloud-Diensteanbieter stellt der nutzenden Institution in regelmäßigenAbständen Reports zur Verfügung. Aufseiten der Institution werden die-se jedoch nicht oder lediglich zeitlich verzögert ausgewertet. Sind solcheReports vertraglich vereinbart, werden vom Anwender aber nicht einge-fordert, fällt dies ebenfalls unter mangelnde Überwachung der Service-Er-bringung.

- Die Einhaltung der Sicherheitsmaßnahmen aufseiten des Cloud-Diensteanbieters wird durch den Anwender nicht in ausreichendem Maßüberwacht. Beispielsweise werden keine unabhängigen Sicherheitsrevi-sionen oder Penetrationstests durchgeführt oder externe Dienstleister da-mit beauftragt. Dies kann zu einem erhöhten Aufkommen von Sicherheits-vorfällen und einem sinkenden oder zu niedrigen Sicherheitsniveau auf-seiten des Cloud-Diensteanbieters führen. Für den Anwender ist damitdie Einhaltung des erforderlichen Sicherheitsniveaus nicht mehr gewähr-leistet.

- Im SLA mit dem Cloud-Diensteanbieter ist vereinbart, dass er nachweisenmuss, dass die Services in der erforderlichen Güte geliefert wurden, aberdie nutzende Institution fordert sie nicht ein. Der Cloud-Anwender erlangtdamit keine Kenntnis über die Nichterbringung der SLAs und läuft darauf-hin seinerseits Gefahr, eigene Services nicht oder lediglich ungenügenderbringen zu können.

- Die Inanspruchnahme von Subunternehmern durch den Cloud-Dienstean-bieter stellt möglicherweise ebenfalls eine Gefährdung dar, wenn nicht ge-regelt ist, in welcher Form dessen Service-Erbringung überwacht wird.



G 2.196 Fehlende Kosten-Nutzen-Betrachtung der Cloud-Nutzung über den gesamtenLebenszyklus

In der Praxis lässt sich, aufgrund der großen Popularität und Vielfalt von CloudServices, beobachten, dass nutzende Institutionen die zu erwartenden Kostenkleinrechnen, häufig verbunden mit dem Großrechnen des erhofften Nutzens.

Der Verzicht auf eine realistische Kosten-Nutzen-Betrachtung der Cloud-Nut-zung über den gesamten Lebenszyklus zieht häufig finanzielle Einbußen fürdie nutzende Institution nach sich. Bei der Kosten-Betrachtung ist zwischenInvestitionskosten (Capex - capital expenditure) und Kosten für den operativenGeschäftsbetrieb (Opex - operational expenditure) zu unterscheiden. Cloud-Angebote werben oft damit, dass die Investitionskosten durch operative Ko-sten abgelöst werden, die weniger langfristig und besser mit dem tatsächli-chen Bedarf skalieren.

Beim Umstieg auf Cloud Services entstehen zunächst zusätzliche Kosten, davorhandene Dienste und die dafür benötigte Infrastruktur nicht sofort abgelöstwerden können.

In vielen Institutionen ist zu beobachten, dass bei einer Kosten-Nutzen-Be-trachtung jedoch lediglich die Kosten für den operativen Geschäftsbetrieb her-angezogen werden, da Cloud Services in der Regel nach Verbrauch abge-rechnet und somit klassisch als Opex angesehen werden.

Bei der Entscheidung für die Nutzung von Cloud Services wird eine Reihevon Kosten häufig nicht oder unzureichend in eine Kosten-Nutzen-Betrach-tung einbezogen, wie zum Beispiel:

- Kosten für die notwendige Anpassung der Prozesse beziehungsweise dervorhandenen Infrastruktur an die Cloud-Nutzung

- Kosten für Fallback-Szenarien im Falle etwaiger Probleme- Kosten, die im Zusammenhang mit einem möglichen Vendor-Lock-In, also

der Abhängigkeit von einem spezifischen Cloud-Diensteanbieter, stehen- Kosten für die Durchführung von Schulungen, sowohl für Administratoren

als auch für Benutzer- Kosten für die Durchführung von Audits beim Cloud-Diensteanbieter- Kosten, die durch eine notwendige Anpassung anderer Services in Folge

der Cloud-Nutzung entstehen, wie zum Beispiel Backup oder Rechnungs-legung in der Buchhaltung

Als Folge einer fehlenden oder unzureichenden Kosten-Nutzen-Betrachtungüber den kompletten Lebenszyklus erweisen sich Services, die durch Cloud-Nutzung erbracht werden, unter Umständen als unrentabel. Zudem ist der Nut-zen den Kosten gegenüberzustellen. Es kann vorkommen, dass Cloud-Dien-ste im Produktivbetrieb keinen signifikanten Nutzwert erzielen. Werden solcheCloud-Dienste in die interne IT zurückgeführt, entstehen für die Institution so-wohl Kosten für die Auslagerung des Services in die Cloud, als auch für diespätere Wiedereingliederung.

Darüber hinaus existieren weitere Aspekte, die im Zusammenhang mit derNutzung von Cloud Services als Gefährdung angesehen werden können und



die sowohl finanzielle Risiken als auch Risiken für die Verfügbarkeit des Ser-vices nach sich ziehen:

- Die Abschätzung der zu erwartenden Pay-per-Use-Kosten ist falsch be-ziehungsweise lückenhaft. Grund hierfür ist beispielsweise das Zugrunde-legen eines typischen Nutzverhaltens und die Nichtberücksichtigung sai-sonaler Schwankungen. Dies ist insbesondere dann problematisch, wenndie betroffenen Cloud Services durch externe Benutzer angestoßen wer-den und die Institution damit nur schwer Einfluss auf den tatsächlichenVerbrauch nehmen kann.

- Bei Risikobewertungen, wie sie beispielsweise hinsichtlich IT -Ausfällenvorgenommen werden, erfolgt keine Anpassung an das Cloud-Nutzungs-modell oder diese Risiken werden schöngerechnet. Zwar werden einigeRisiken an den Cloud-Diensteanbieter übertragen, jedoch wird dabei häu-fig übersehen, dass dadurch neue Risiken für die Institution entstehen kön-nen.



G 2.197 Unzureichende Einbindung vonCloud Services in die eigene IT

Die Entscheidung einer Institution zum Einsatz von Cloud Services bedingtin der Folge, dass diese Services auch angemessen in die eigene IT einge-bunden werden. Erfolgt diese notwendige Einbindung nur unzureichend, kannin der Folge nicht sichergestellt werden, dass die beauftragten Cloud-Ser-vice-Leistungen durch den Anwender auch in vollem Umfang abgerufen wer-den können. Beauftragte Cloud Services liefern demnach unter Umständennicht die erforderliche und vereinbarte Performance oder der Zugriff auf Ser-vices ist gar nicht beziehungsweise lediglich verzögert möglich. Beeinträchti-gungen der Service-Verfügbarkeit sind die Folge.

Wird ein Cloud Service nur unzureichend in die eigene IT eingebunden, undsind die Mitarbeiter aber grundsätzlich zur Nutzung dieses Services berech-tigt, ist häufig zu beobachten, dass diese den Service auch ohne offizielle IT-Unterstützung nutzen. So kann in der Institution eine Schatten-IT und damitein potenzieller Kontrollverlust über Unternehmensinformationen entstehen.

Eine optimale Einbindung von Cloud Services in die IT einer Institution wirdhäufig vor allem durch folgende Aspekte beeinträchtigt:

- Die Performance der Netzanbindung ist unterdimensioniert. Der Da-tentransport kann daher nur eingeschränkt erfolgen, was zum verzöger-ten Kopieren von Daten, verlängerten Zugriffszeiten und erkennbaren Lei-stungseinbußen führt. Mögliche Gründe hierfür liegen beispielsweise in ei-ner unzureichend gewählten Bandbreite, einer nicht den Anforderungenentsprechenden Priorisierung der Dienste (Quality of Service), konzeptio-nellen Schwächen des Netzes (siehe hierzu G 2.45 Konzeptionelle Schwä-chen des Netzes) oder in Schwachstellen bei der Anbindung an einen Out-sourcing- oder Cloud-Diensteanbieter (siehe hierzu G 4.97 Schwachstel-len bei der Anbindung an einen Outsourcing- oder Cloud-Dienstleister).

- Die Verfügbarkeit der Schnittstellensysteme ist unzureichend, da not-wendige Änderungen in den Verfügbarkeitsanforderungen nicht ausrei-chend berücksichtigt wurden. Eine mögliche Ausprägung in diesem Zu-sammenhang zeigt sich in einer unzureichenden Verfügbarkeit in Bezugauf die Anbindung an den Cloud-Diensteanbieter. Der bestehende Inter-netzugang einer Institution wurde bislang beispielsweise als unkritisch an-gesehen. Durch die Verlagerung geschäftskritischer Services in die Cloudsteigen auch die Anforderungen an den Internetzugang, der in der Fol-ge als sehr kritisch eingestuft wird. Die unzureichende Verfügbarkeit derSchnittstellensysteme ist eine zweite mögliche Ausprägung. Der einge-setzte Proxy innerhalb einer Institution wurde hinsichtlich seiner Verfüg-barkeit beispielsweise als unkritisch angesehen. Durch die Verlagerungvon Services in die Cloud wird er jedoch zu einem (hoch-)kritischen Sy-stem.

- Die Performance der Schnittstellensysteme ist nicht ausreichend ge-wählt. Institutionen sollten in diesem Zusammenhang insbesondere jeneSysteme beachten, die sich an der Schnittstelle zum Cloud-Dienstean-bieter finden. Beispiele hierfür sind Loadbalancer, Proxys, Router, Sicher-heitsgateways oder Federation-Systeme.

- Die Performance interner Systeme reicht für eine vorgesehene API-Kopplung zum Datenaustausch zwischen Cloud Service und internen Sy-stemen nicht aus. Ein typisches Beispiel hierfür ist der Stammdatenaus-tausch zwischen dem lokalen ERP-System (Enterprise Resource Plan-



ning) und einem CRM-System (Customer Relationship Management) alsCloud Service.

Beispiel:- Eine Institution entschließt sich zur Nutzung einer Online-Kommunika-

tionsplattform zur Förderung der Zusammenarbeit innerhalb verteilterTeams. Der beauftragte Service wird jedoch nicht vollständig in die IT ein-gebunden. Einzelne Funktionen, wie beispielsweise die Dateifreigabe fürdefinierte Teammitglieder, funktionieren in der Folge nicht, wie von denMitarbeitern erwartet. Der Zugriff auf eine freigegebene Datei kann ledig-lich stark verzögert oder gar nicht erfolgen.



G 2.198 Mangelnde Planung derMigration zu Cloud Services

In Abhängigkeit des Leistungsumfangs und der Kritikalität der genutzten CloudServices kann deren Einsatz erhebliche finanzielle und organisatorische Risi-ken für die Institution mit sich bringen. Insbesondere die Phase der Migrationhin zur Nutzung von Cloud Services ist anfällig für Fehler, die sich möglicher-weise auf die Informationssicherheit innerhalb der Institution auswirken.

Unter Migration ist in diesem Zusammenhang sowohl der Umstieg von derNutzung klassischer IT auf die Nutzung von Cloud Services zu verstehen alsauch der Wechsel von einem Cloud-Diensteanbieter zu einem anderen. In derPraxis werden häufig die Begriffe Migration und Transition oder auch Trans-formation synonym verwendet.

Mängel in der Planung der Migration zu Cloud Services beruhen oftmals dar-auf, dass die diesbezüglichen Besonderheiten gegenüber Migrationen, wiesie beispielsweise bei klassischer IT oder im Zusammenhang mit Outsour-cing-Vorhaben anzutreffen sind, nicht oder nur unzureichend berücksichtigtwerden.

Eine Migration im Cloud-Umfeld erfordert in der Regel kein hartes Umschaltenzwischen klassischer IT und der Nutzung von Cloud Services. In der Praxis isthäufig zu beobachten, dass der alte Service und der neue, über den Cloud-Diensteanbieter bezogene Service über längere Zeit parallel eingesetzt wer-den. Der Wegfall beziehungsweise die Abschaltung des alten Services unddie Nutzung des Cloud Services überschneiden sich an dieser Stelle. Für ei-ne Institution können sich aus einem solchen Parallelbetrieb zusätzliche Her-ausforderungen und Gefährdungen, zum Beispiel hinsichtlich der Datenkon-sistenz, ergeben.

Im Cloud-Umfeld sind Migrationen von einem Diensteanbieter zum anderen inder Regel kurzfristiger und flexibler möglich als beispielsweise im Rahmen vonOutsourcing-Vorhaben. Die vertraglichen Vereinbarungen sehen häufig keinelangfristigen Bindungen vor. Die technische Umsetzung der Migration von ei-nem Diensteanbieter zu einem anderen kann sich jedoch als problematischerweisen und ist abhängig vom gewählten Servicemodell. So ist beispielswei-se die Migration eines Infrastructure-as-a-Service-Dienstes in der Regel un-problematisch umzusetzen, während bei einem Cloud-Dienst, der als Softwa-re as a Service erbracht wird, häufig Schwierigkeiten im Zusammenhang mitdem erforderlichen Datenformat anzutreffen sind.

Verzichtet eine Institution im Rahmen der Planungsphase auf die Betrachtungeiner stufenweisen Migration, können in der Praxis zusätzliche Probleme auf-treten. Der Verzicht auf das Ausdehnen der Migration über mehrere Stufen,die Auswahl von Pilot-Benutzern oder den Parallelbetrieb von bestehender In-frastruktur und Cloud Services, birgt die Gefahr von Datenverlusten oder kom-pletten Serviceausfällen, sofern die Migration nicht erwartungsgemäß verläuft.



G 2.199 Unzureichende Auswahl desCloud-Diensteanbieters

Hat eine Institution die strategische Entscheidung zur Nutzung von Cloud Ser-vices getroffen, begibt sie sich damit immer in ein Abhängigkeitsverhältnis vomgewählten Cloud-Diensteanbieter. Erfolgt die Auswahl des Diensteanbietersnicht mit besonderer Sorgfalt und unter Beachtung der festgelegten Cloud-Nutzungs-Strategie, kann dies über einen langen Zeitraum hinweg negativeAuswirkungen für die Institution nach sich ziehen.

Häufig werden bei der Auswahl des Cloud-Diensteanbieters wichtige Faktorenwie beispielsweise dessen Reputation, Anbieter-Rankings, öffentlich zugäng-liche Pflichtenhefte der Diensteanbieter, Verpflichtungen zur Einhaltung vonGesetzen und Richtlinien oder erworbene Zertifizierungen nicht oder nur un-zureichend berücksichtigt. Der Cloud-Markt ist für Auftraggeber wenig trans-parent, es fehlen standardisierte Angebote der Cloud-Diensteanbieter.

Daraus können Sicherheitsprobleme beim Cloud-Diensteanbieter (zum Bei-spiel bei mangelhafter Verfügbarkeit) resultieren. Diese sind häufig mit finan-ziellen Einbußen für die nutzende Institution verbunden, wenn diese auf dieVerfügbarkeit des Services angewiesen ist, um ihrerseits einen Service erbrin-gen zu können.

Gefährdungskatalog Menschliche Fehlhandlungen G 3.43 Bemerkungen


G 3.43 Ungeeigneter Umgang mitPasswörtern

Selbst die Nutzung von durchdachten Authentikationsverfahren hilft wenig,wenn die Benutzer nicht sorgfältig mit den benötigten Zugangsmitteln umge-hen. Unabhängig davon, ob Passwörter, PINs oder Authentikationstoken ein-gesetzt werden, werden diese immer wieder weitergegeben oder unsicher auf-bewahrt.

Benutzer geben oft aus Bequemlichkeit Passwörter an andere Personen wei-ter. Häufig werden Passwörter innerhalb von Arbeitsgruppen geteilt, um jedemMitarbeiter den Zugriff auf gemeinsam zu bearbeitende Dateien zu erleichtern.Der Zwang zur Passwortbenutzung wird oft als lästig empfunden und dadurchunterlaufen, dass Passwörter selten bis nie gewechselt werden oder alle Mit-arbeiter dasselbe Passwort benutzen.

Wird zur Benutzer-Authentisierung ein Token-basiertes Verfahren eingesetzt(zum Beispiel Chipkarte oder Einmal-Passwortgenerator), so ergibt sich beiVerlust die Gefahr, dass das Token unberechtigt verwendet wird. Ein unbe-rechtigter Benutzer kann mit diesem Token unter Umständen erfolgreich eineRemote-Access-Verbindung aufbauen.

Aufgrund der Vielzahl verschiedener Passwörter und PINs können sich Benut-zer diese oftmals nicht alle merken. Daher werden Passwörter immer wiedervergessen, was teilweise zu hohem Aufwand führt, um mit dem System wei-terarbeiten zu können. Authentikationstoken können ebenso verloren werden.Bei sehr sicheren IT-Systemen kann der Verlust von Passwörtern oder Tokensogar dazu führen, dass alle Benutzerdaten verloren sind.

Passwörter werden oft notiert, damit sie nicht vergessen werden. Dies ist so-lange kein Problem, wie sie sorgfältig, also vor unbefugtem Zugriff geschützt,aufbewahrt werden. Dies ist nicht immer der Fall. Ein klassisches Beispiel istdas Passwort unter der Tastatur oder auf einem Klebezettel am Bildschirm.Auch Authentikationstoken finden sich oft unter der Tastatur.

Ein anderer Trick, um Passwörter nicht zu vergessen, ist die "geeignete" Aus-wahl. Wenn Benutzer Passwörter selbst auswählen können und nicht ausrei-chend für die Probleme hierbei sensibilisiert sind, werden in vielen Fällen Tri-vial-Passwörter wie 4711 oder Namen von Freunden gewählt.

Beispiele:- In einem Unternehmen wurde bei Stichproben festgestellt, dass viele

Passwörter zu schlecht gewählt beziehungsweise zu selten gewechseltwurden. Es wurde technisch erzwungen, dass die Passwörter monatlichgewechselt wurden und außerdem Zahlen oder Sonderzeichen enthaltenmussten. Es stellte sich heraus, dass ein Administrator seine Passwör-ter wie folgt auswählte: Januar2009, Februar2009, Maerz2009, .... DiesePasswörter entsprachen zwar den Vorgaben, waren aber leicht zu erraten.

- In einer Behörde zeigte sich, dass einige der Benutzer, die ihre Büros zurStraßenseite hatten, dasselbe Passwort benutzten: den Namen des ge-genüberliegenden Hotels, der in großen Leuchtbuchstaben die Aussichtdominierte. Mitarbeiter einer Institution geben untereinander Anmeldein-formationen (Nutzername und Passwort) weiter, die zur Nutzung einesCloud Services berechtigen. Der betroffene Cloud-Dienst wurde in der Fol-ge von mehreren Benutzern unter der gleichen Kennung verwendet. Da-durch konnten die Benutzer nicht mehr unterschieden werden und es war



nicht mehr möglich nachzuvollziehen, welcher Mitarbeiter tatsächlich aktivangemeldet war und wer welche Informationen weitergegeben oder bear-beitet hat.



G 3.122 Fehlerhafte Nutzung einesCloud Services

Werden Cloud Services innerhalb einer Institution abweichend zu den Vorga-ben aus der Planungs- und Konzeptionsphase eingesetzt, liegt eine fehlerhaf-te Nutzung vor, aus der sich unterschiedliche Gefährdungen, insbesondereder Vertraulichkeit, ergeben können.

In der Praxis sind folgende Ausprägungen fehlerhafter Nutzung relevant:

- Cloud Services werden von Benutzern für Informationen eingesetzt, derenSchutzbedarf höher klassifiziert ist als der Schutzbedarf, für den der ver-wendete Cloud Service ursprünglich definiert wurde.

- Der Zugriff auf einen Cloud Service erfolgt über nicht autorisierte Kanä-le oder Schnittstellen. In der Folge kann es zum Aufbau unerwünschterund nicht kontrollierter Kommunikationsverbindungen kommen. Die ent-standenen Verbindungen können sowohl vom Cloud-Diensteanbieter zumCloud-Anwender als auch von der Cloud nach außen aufgebaut werden.Gerade ein solcher Verbindungsaufbau kann durch nachfolgende Ver-kettung zu weiteren unerwünschten Kommunikationsverbindungen führen(Chaining).

- Durch die Nutzung spezieller Funktionen, wie beispielsweise die Freigabevon Dateien oder Ordnern für andere Benutzer, kommt es zu einer unge-wollten Erteilung von Zugriffsrechten. In der Folge haben UnberechtigteZugriff auf Informationen der Institution. Die Vertraulichkeit und Integritätder Daten ist damit nicht mehr gewährleistet.

Beispiel:- Ein Mitarbeiter verwendet einen Online-Speicher-Dienst. Mithilfe der zur

Verfügung stehenden Optionen gibt er einen Teil seines Laufwerks für an-dere Benutzer frei. Auf diesem Laufwerk befinden sich neben den Daten,die für die Freigabe vorgesehen waren, auch schützenswerte Daten, derenVeröffentlichung nicht vorgesehen war. Durch die erfolgte Freigabe desLaufwerks können auch Unberechtigte Zugriff auf diese Daten erlangen.

Gefährdungskatalog Technisches Versagen G 4.10 Bemerkungen


G 4.10 Komplexität derZugangsmöglichkeiten zuvernetzten IT-Systemen

Im Gegensatz zu Stand-alone-Systemen, bei denen im Wesentlichen der Lo-gin-Prozess für die Zugangskontrolle verantwortlich ist und die somit nur durchschlechte oder fehlende Passwörter korrumpiert werden können, gibt es aufNetzrechnern sehr viele komplexe Prozesse, die die verschiedensten Artenvon Zugängen erlauben. So ermöglicht zum Beispiel unter Unix der sendmail-Daemon das Einbringen von Texten (E-Mails) in den Netzrechner, der FTP-Daemon einen, wenn auch etwas eingeschränkten Login, der unter Umstän-den (anonymous FTP) nicht einmal durch ein Passwort geschützt ist, der TEL-NET-Daemon einen kompletten Login.

Server-Systeme wie Windows NT oder Novell NetWare vermeiden aus Si-cherheitsgründen die Übertragung von Klartext-Passwörtern. Dieser Schutz-mechanismus wird jedoch durch den Einsatz von Diensten wie FTP oder Tel-net unterlaufen, da hier wieder Klartext-Passwörter Verwendung finden.

Abgesehen davon, dass alle diese Prozesse durch eine falsche oder fehler-hafte Konfiguration eine Sicherheitslücke darstellen können, ist aufgrund ihresUmfangs natürlich auch die Wahrscheinlichkeit, dass in einem dieser Prozes-se ein sicherheitsrelevanter Programmierfehler ist, wesentlich größer.

Es gibt zahlreiche verschiedene Möglichkeiten, ein z/OS-System an interneund öffentliche Netze anzubinden. Es sind Zugriffe über SNA und TCP/IP,zum Beispiel FTP, Telnet oder Browser, möglich. Viele der von Unix-Installa-tionen bekannten Netzfunktionen können unter den Unix System Services vonz/OS verwendet werden. Diese Vielfalt der Anschlussmöglichkeiten macht ei-ne sichere Netzkonfiguration der z/OS-Systeme sehr komplex.

Auch Cloud Services bieten häufig eine Vielzahl unterschiedlicher Zugriffs-wege (beispielsweise Zugriff über einen Browser oder über dedizierte Tools)und unterschiedlicher Authentisierungsmöglichkeiten (zum Beispiel Single Lo-gin oder Federation Services). Die Zugriffswege und Funktionen sind fürden Anwender häufig nicht transparent und bergen die Gefahr, unentdeckteSchwachstellen zu enthalten.

Beispiel:- Einem externen Angreifer gelang es, die Benutzerkennung und das

Passwort für eine hoch autorisierte Anwendung unter z/OS zu ermitteln.Obwohl die Kennung über kein TSO-Segment verfügte, konnte der An-greifer einen Batch-Job über FTP direkt in das JES2 einbringen und aus-führen lassen. Da der Job-Output ebenfalls über FTP ausgelesen werdenkonnte, war dadurch der Zugriff auf vertrauliche Daten möglich.

- Der Client, der für die Nutzung eines Cloud Services benötigt wird, verwen-det ein Authentisierungstoken, das vom Cloud Service für unterschiedlicheClients bereitgestellt wird. Eine neue Anwendung erhält aufgrund einesFehlers in der Konfiguration die Berechtigung, dieses Token ebenfalls zunutzen. Somit kann mithilfe der Anwendung unberechtigt auf den CloudService zugegriffen werden.



G 4.22 Software-Schwachstellen oder -Fehler

Für jede Art von Software gilt: je komplexer sie ist, desto häufiger treten Pro-grammier- oder Designfehler auf. Unter Software-Schwachstellen sollen un-beabsichtigte Programmfehler verstanden werden, die dem Anwender nichtoder noch nicht bekannt sind und ein Sicherheitsrisiko für das IT-System dar-stellen. Es werden ständig neue Sicherheitslücken in vorhandener, auch inweitverbreiteter oder ganz neuer Software gefunden.

Zu Fehlern oder Schwachstellen in Software kann es durch eine Vielzahl vonGründen kommen. Dazu gehören beispielsweise Kommunikationsfehler zwi-schen Kunden und Entwicklern, unzureichende Ausbildung der Programmie-rer oder ungenügende Tests. Auch zu hohe Erwartungen der Anwender undzeitlich zu knapp bemessene Fertigstellungstermine können dazu führen, dassdie Hersteller ihre Produkte teilweise unausgereift oder nicht fehlerfrei anbie-ten.

Werden Softwarefehler nicht erkannt, können die bei der Anwendung entste-henden Fehler zu weitreichenden Folgen führen. Bei weitverbreiteter Stan-dardsoftware können Software-Schwachstellen schnell dazu führen, dassweltweit schwerwiegende Sicherheitsprobleme für alle Arten von Institutionenentstehen können.

Beispiele:- Ein Software-Fehler in der Sicherheitssoftware RACF des z/OS-Betriebs-

systems kann bedeuten, dass nicht nur RACF den Dienst einstellt, son-dern dadurch das ganze System nicht mehr funktionsfähig ist und neu ge-startet werden muss.

- Die Stärke der in Standardsoftware implementierten Sicherheitsfunktiona-litäten (wie Passwörter oder Verschlüsselungsalgorithmen) wird vom An-wender häufig zu hoch eingeschätzt. Häufig können diese Sicherheits-funktionalitäten einem sachkundigen Angriff nicht dauerhaft standhalten.Dies gilt z. B. für die Verschlüsselungsfunktionen, die in vielen Textverar-beitungsprogrammen integriert sind. Für fast alle davon gibt es im Internetzahlreiche Tools, um diese Verschlüsselung zu überwinden.

- Nachweislich führte das Auftreten eines bestimmten Wortes in der Recht-schreibprüfung eines Textverarbeitungsprogrammes immer zu dessenAbsturz.

- Vielfach enthält Standardsoftware nicht dokumentierte Funktionen, wiesog. "Ostereier" oder "Gagscreens", mit denen sich die Entwickler desProduktes verewigt haben. Zum einen werden hierdurch zusätzliche IT-Ressourcen verbraucht, zum anderen wird dadurch auch deutlich, dass imSoftwaretest die gesamte Funktionalität des Produktes nicht bis ins Letztegeklärt werden kann.

- Die meisten Warnmeldungen der Computer Emergency Response Teamsin den letzten Jahren bezogen sich auf sicherheitsrelevante Programmier-fehler. Dies sind Fehler, die bei der Erstellung von Software entstehenund dazu führen, dass diese Software von Angreifern missbraucht werdenkann. Der größte Teil dieser Fehler wurde durch Speicherüberläufe (Buf-fer Overflow) hervorgerufen. Hierbei handelt es um Fehler, bei denen eineRoutine zum Einlesen von Zeichen nicht prüft, ob die Länge der eingege-benen Zeichenkette mit der Länge des dafür vorgesehenen Speicherbe-reiches übereinstimmt. Dadurch ist es Angreifern möglich, eine überlangeZeichenfolge zu übertragen, so dass hinter dem für die Eingabe reservier-ten Speicherbereich zusätzliche Befehle gespeichert werden können, die



zur Ausführung gebracht werden. Diese Befehle können zum Beispiel be-liebige Programme sein.

- Eine weitere große Anzahl von Warnmeldungen wurde durch Verfügbar-keitsangriffe (Denial of Service, DoS ) verursacht, bei denen durch Fehlerin einzelnen Routinen, die für die Netzdatenverarbeitung eingesetzt wer-den, der gesamte Rechner zum Absturz gebracht werden kann.

- Die unzureichende Absicherung der Registrierung zur Nutzung einesCloud Services führt dazu, dass ein Benutzer den Service in der Fol-ge unter einem falschen Namen missbrauchen kann. Der Benutzer regi-striert sich dabei beim Cloud Service im Namen eines anderen Cloud-Service-Benutzers. Bei der Registrierung wird auf eine ausreichende Ab-sicherung, beispielsweise mithilfe eines Aktivierungs-Links unter der an-gegebenen E-Mail-Adresse, verzichtet.



G 4.43 Undokumentierte Funktionen

Viele Anwendungsprogramme enthalten undokumentierte Funktionen, alsoFunktionen, die nicht in der Dokumentation beschrieben sind und die den Be-nutzern nicht bekannt sind. Bei einigen Betriebssystemen beziehungsweiseAnwendungsprogrammen gibt es mittlerweile Literatur, die einen Großteil derbekannt gewordenen, bis dato undokumentierten Funktionen beschreibt unddie im Allgemeinen umfassender ist als die mitgelieferten Handbücher. Un-dokumentierte Funktionen müssen sich allerdings nicht nur auf Hilfsmittel mitnützlichen Effekten beschränken. Solange diese Funktionen nicht offengelegtsind, kann nicht ausgeschlossen werden, dass mit ihnen auch viel Schadenangerichtet werden kann.

Dies ist insbesondere dann problematisch, wenn die undokumentierten Funk-tionen Sicherheitsmechanismen des Produktes betreffen, beispielsweise denZugriffsschutz. Solche Funktionen dienen oft als "Hintertüren" (engl. Back-door) während der Entwicklung oder der Verteilung von Anwendungsprogram-men.

Beispiele:- Bei verschiedenen IT-Systemen fanden sich von den Entwicklern einge-

baute (und vergessene) Hintertüren, um die Wartung zu erleichtern, diees allerdings auch ermöglichten, mit einem trivialen Passwort Administra-tor-Rechte zu erlangen.

- Viele Programme können (oder müssen sogar) online beim Hersteller re-gistriert werden. Bei einigen dieser Programme wurde bei der Online-Re-gistrierung der Software gleichzeitig ein Überblick über alle auf der Fest-platte gespeicherten Programme mitgeliefert.

- Eine Software, deren Einsatz für die Nutzung eines Cloud Services vor-ausgesetzt wird, enthält eine bewusst eingebaute beziehungsweise nichtverschlossene Backdoor. Mit deren Hilfe können sich Angreifer Zugriff aufdie Systeme des Cloud-Benutzers verschaffen.



G 4.97 Schwachstellen bei derAnbindung an einenOutsourcing- oder Cloud-Dienstleister

Die Durchführung eines Outsourcing- oder Cloud-Nutzungs-Vorhabens ver-langt in aller Regel den Zugriff des Dienstleisters auf interne Ressourcen desAuftraggebers. Dies wird häufig durch eine gegenseitige Anbindung von Tei-len der jeweiligen IT-Infrastruktur realisiert. Zum beschleunigten Informations-austausch zwischen Auftraggeber und Auftragnehmer werden möglicherweisespezielle Informationskanäle (zum Beispiel dedizierte Standleitungen, VPN-Verbindungen, Zugänge für die Remote-Wartung) eingerichtet.

Ist diese Anbindung nicht gesichert oder treten bei der Absicherung Schwach-stellen auf, so ergeben sich zwangsläufig eine Reihe von Gefährdungen:

- Die Vertraulichkeit der Kommunikation kann gefährdet sein.- Die Integrität von übermittelten Datensätzen ist nicht mehr garantiert.- Der Empfang von übermittelten Informationen und Nachrichten könnte ab-

gestritten werden.- Es wird Externen ein für die tatsächlichen Bedürfnisse des Dienstleisters

zu umfassender Einblick in Interna des Auftraggebers gegeben.- Es entstehen zusätzliche Zugangsmöglichkeiten für Außenstehende zum

Intranet der Institution und damit Gefahrenquellen.- Bei offenen oder schlecht gesicherten IT-Zugängen ergeben sich Manipu-

lationsmöglichkeiten.- Es könnten vertrauliche Informationen und geistiges Eigentum an Außen-

stehende weitergegeben werden.- Externe Systemzugriffe werden unter Umständen nicht ausreichend kon-

trolliert.

Der Schutzbedarf von Schnittstellensystemen (zum Beispiel Application LevelGateways, Paketfilter) und Leitungen kann durch die Nutzung von Outsourcingoder Cloud Services steigen. Wird keine neue Analyse des Schutzbedarfs vor-genommen, ergibt sich eine Gefährdung für die Verfügbarkeit der Anbindung.

Die IT-Anbindung zwischen auslagernder Institution und Dienstleister kannauch komplett ausfallen. Dabei können Daten, deren Übertragung vor demAusfall noch nicht vollständig abgeschlossen war, zerstört oder inkonsistentwerden. In Abhängigkeit von der Dauer und Art des Ausfalls können die Kon-sequenzen auch existenzbedrohend sein. Diese Gefahr wird verstärkt, wennkein Notfallvorsorgekonzept (siehe G 2.93 Unzureichendes Notfallvorsorge-konzept bei Outsourcing oder Cloud-Nutzung) existiert.



G 4.98 Ausfall von Tools zurAdministration von CloudServices bei Cloud-Nutzung

Der Ausfall von Management-Tools stellt im Zusammenhang mit der Nutzungvon Cloud Services eine Gefährdung für die Institution dar. Mögliche Ursa-chen für den Ausfall von Management-Tools können beispielsweise Softwa-re-Schwachstellen oder -Fehler sein, wie sie in G 4.22 Software-Schwachstel-len oder -Fehler beschrieben sind.

Grundsätzlich ist zwischen dem Ausfall von Management-Tools, die für dieNutzung von Cloud Services relevant sind, und den Verwaltungsservern be-ziehungsweise der Verwaltungssoftware aufseiten des Cloud-Diensteanbie-ters zu unterscheiden.

Beim Ausfall von Verwaltungsservern für die Cloud sind nahezu alle Cloud-Management-Prozesse direkt oder indirekt betroffen, sodass viele oder al-le Funktionen des Cloud Managements, wie beispielsweise administrati-ve Schnittstellen, ausfallen. Weitere Informationen hierzu finden sich inG 4.93 Ausfall von Verwaltungsservern und Verwaltungssoftware des Bau-steins B 5.23 Cloud Management.

Im Umfeld der Cloud-Nutzung ist eine Unterscheidung von Management-Toolshinsichtlich deren Bereitstellung vorzunehmen. Häufig werden diese der nut-zenden Institution dabei durch den Cloud-Diensteanbieter zur Verfügung ge-stellt. Darüber hinaus existieren Management-Tools, die von Dritten bereit-gestellt werden, sogenannte Third-Party-Management-Tools. In diesem Fallkann der Anwender aus unterschiedlichen, am Markt verfügbaren Produktenauswählen. Third-Party-Management-Tools sind in der Regel abhängig vonder API (Schnittstelle), die durch den Cloud-Diensteanbieter definiert wird. Än-dert er die API, kann der Zugriff auf das entsprechende Management-Tool ge-stört werden.

Eine solche Verhinderung des Zugriffs durch Management-Tools stellt eineGefährdung für die Institution dar. In der Folge können durch den Administra-tor aufseiten der nutzenden Institution keine Veränderungen an bestehendenServices vorgenommen werden.

Beispiel:- Für einen Dienst, der als Plattform as a Service erbracht wird, muss zu-

sätzliche Speicherkapazität beauftragt werden. Die Institution nutzt zur Ad-ministration des Cloud Services die Software eines Drittherstellers. Daseingesetzte Management-Tool kann jedoch nicht auf die entsprechendeSchnittstelle des Cloud-Diensteanbieters zugreifen. Die Verfügbarkeit desbetroffenen Services kann in der Folge nicht mehr sichergestellt werden.

Gefährdungskatalog Vorsätzliche Handlungen G 5.20 Bemerkungen


G 5.20 Missbrauch vonAdministratorrechten

Eine missbräuchliche Administration liegt vor, wenn man vorsätzlich recht-oder unrechtmäßig erworbene Super-User- (root-) Privilegien ausnutzt, umdem System oder dessen Benutzern zu schaden.

Beispiele:- Da root auf Unix-Anlagen keinerlei Beschränkungen unterliegt, kann der

Administrator unabhängig von Zugriffsrechten jede Datei lesen, verändernoder löschen. Außerdem kann er die Identität jedes Benutzers seines Sy-stems annehmen, ohne dass dies von einem anderen Benutzer bemerktwird, es ist ihm also z. B. möglich, unter fremden Namen Mails zu ver-schicken oder fremde Mails zu lesen und zu löschen.

- Es gibt verschiedene Möglichkeiten, missbräuchlich Super-User-Privilegi-en auszunutzen. Dazu gehören der Missbrauch von falsch administrier-ten Super-User-Dateien (Dateien mit Eigentümer root und gesetztem s-Bit) und des Befehls su.

- Die Gefährdung kann auch durch automatisches Mounten von austausch-baren Datenträgern entstehen: Sobald das Medium in das Laufwerk gelegtwird, wird es gemountet. Dann hat jeder Zugriff auf die dortigen Dateien.Mit sich auf dem gemounteten Laufwerk befindenden s-Bit-Programmenkann jeder Benutzer Super-User-Rechte erlangen.

- In Abhängigkeit von der Unix-Variante und der zugrunde liegenden Hard-ware kann bei Zugangsmöglichkeit zur Konsole der Monitor-Modus akti-viert oder in den Single-User-Modus gebootet werden. Das ermöglicht dieManipulation der Konfiguration.

- Durch Softwarefehler kann es möglich sein, dass eine Anwendung nur ei-ne begrenzt große Menge an Daten verarbeiten kann. Werden dieser An-wendung übergroße Datenmengen oder Parameter übergeben, könnenBereiche im Hauptspeicher mit fremdem Code überschrieben werden. Da-durch können Befehle mit den Rechten der Anwendung ausgeführt wer-den. Dies war unter anderem mit dem Befehl eject unter SunOS 5.5 mög-lich, der mit SetUID-Rechten ausgestattet ist, also bei der Ausführung Su-per-User-Rechte besitzt.



G 5.28 Verhinderung von Diensten

Ein solcher Angriff, auch "Denial of Service" genannt, zielt darauf ab, die Be-nutzer daran zu hindern, Funktionen oder Geräte zu verwenden, die ihnennormalerweise zur Verfügung stehen. Dieser Angriff steht häufig im Zusam-menhang mit verteilten Ressourcen, indem ein Angreifer diese Ressourcen sostark in Anspruch nimmt, dass andere Benutzer an der Arbeit gehindert wer-den. Es können zum Beispiel die folgenden Ressourcen künstlich verknapptwerden: Prozesse, CPU-Zeit, Plattenplatz, Inodes, Verzeichnisse.

Dies kann zum Beispiel geschehen durch:

- das Starten von beliebig vielen Programmen gleichzeitig,- das mehrfache Starten von Programmen, die viel CPU-Zeit verbrauchen,- das Belegen aller freien Inodes in einem Unix-System, sodass keine neuen

Dateien mehr angelegt werden können,- unkoordiniertes Belegen von Bandstationen in z/OS-Systemen, sodass

Anwendungen auf freie Bandstationen warten müssen und die Online-Ver-arbeitung eingeschränkt ist,

- bewusste Falscheingabe von Passwörtern (auch Skript-gesteuert) mitdem Ziel der Sperrung aller Kennungen eines z/OS-Systems,

- das Versenden bestimmter konstruierter Datenpakete, die beim Empfän-ger aufgrund von Software-Schwachstellen zu Fehlfunktionen oder zu ei-ner Überlastung führen können (zum Beispiel indem exzessiv kryptogra-phische Operationen aufgerufen werden),

- die gezielte Überlastung des Netzes,- das Kappen von Netzverbindungen- das gezielte Generieren von XML-Nachrichten mit großen Datenmengen,

rekursiven Inhalten, einer großen Anzahl an Verschachtelungen und feh-lerhaften DTDs, sodass ein XML-Parser intensiv Speicherressourcen sei-nes Systems belegt.



G 5.190 Missbrauch von Services

Cloud Services, die von einer Institution beauftragt werden, können unterUmständen von Angreifern missbräuchlich verwendet werden. Ein solcherMissbrauch wird dabei zunächst in der Regel auf den ursprünglichen Auftrag-geber zurückgeführt. Dies kann zu finanziellen Schäden und zu Reputations-verlusten für den Cloud-Anwender führen.

Werden Services durch Dritte missbräuchlich verwendet, erfolgt dies meist mitdem Ziel, eine oder mehrere der folgenden illegalen Aktivitäten durchzuführen:

- Versand von Spam-Nachrichten- Betreiben von Bot-Netzen- Verschleierung der Herkunft bei weiteren illegalen Aktivitäten- Hosting von Schadsoftware- Kostenlose Nutzung des Services für eigene Zwecke

Grundsätzlich kann der Missbrauch von Cloud Services durch Dritte über meh-rere Wege erfolgen. Ein Angreifer kann sich beispielsweise über die eingesetz-ten Schnittstellen Zugriff auf den Service verschaffen (siehe hierzu G 5.89 Hi-jacking von Netz-Verbindungen). Schwachstellen in Web-Schnittstellen bezie-hungsweise Protokollen, die von den angebundenen Clients genutzt werden,stellen ebenfalls ein Risiko dar. Weiterhin ist das Ausnutzen von Schwach-stellen in der technischen Realisierung des Cloud Services denkbar. Wirdbeispielsweise keine oder lediglich eine unzureichende Validierung von Be-nutzern (zum Beispiel mittels Verifizierung der angegebenen E-Mail-Adres-se) vorgenommen, ermöglicht dies die Kompromittierung des Cloud Servicesdurch Hacker beziehungsweise Spammer oder das Hosting von Schadsoft-ware.



G 5.191 Manipulation derAbrechnungsinformationen

Bei der Nutzung von Cloud Services erfolgt in der Regel eine verbrauchsorien-tierte Abrechnung der in Anspruch genommenen Leistungen durch den Cloud-Diensteanbieter.

Die beauftragende Institution sollte nach der Erstellung dieser Abrechnungsin-formationen eine Prüfung hinsichtlich deren Nachvollziehbarkeit und Korrekt-heit durchführen.

In der Praxis ist der Nachweis der tatsächlich in Anspruch genommenen Lei-stungen durch den Anwender jedoch nur schwer zu erbringen. Auswirkungenauf die Leistungserbringung, die sich durch Service-Ausfälle oder durch dieNichteinhaltung vereinbarter Service Level Agreements ergeben, sind für denAnwender unter Umständen nicht transparent.

Der Cloud-Diensteanbieter könnte diese Gegebenheiten zu seinen Gunstenausnutzen und die Abrechnungsinformationen der beauftragenden Institutionmanipulieren. In der Folge ist die Integrität der Abrechnung nicht mehr gege-ben. Dem Anwender werden Services in Rechnung gestellt, die tatsächlichnicht erbracht wurden.

Maßnahmenkatalog Organisation M 2.40 Bemerkungen


M 2.40 Rechtzeitige Beteiligung desPersonal-/Betriebsrates

Verantwortlich für Initiierung: Leiter IT, Leiter OrganisationVerantwortlich für Umsetzung: Personalabteilung

Bei allen Maßnahmen, die prinzipiell die Verhaltens- oder Leistungsüberwa-chung von Mitarbeitern ermöglichen, zum Beispiel Protokollierung, bedarf esder Mitbestimmung der Personalvertretung. Maßnahmen, die geeignet sind,eine Verhaltens- oder Leistungsüberwachung eines Mitarbeiters zu ermögli-chen, bedürfen der Mitbestimmung der Personalvertretung. Grundlage dessensind in Deutschland die Betriebsverfassungs- und Personalvertretungsgeset-ze von Bund und Ländern. In anderen Ländern ist die Einbeziehung der Per-sonalvertretung nicht immer erforderlich. Die rechtzeitige und umfassende In-formation des Betriebs- oder Personalrates empfiehlt sich aber grundsätzlich,da dies Zeitverzögerungen bei der Umsetzung von Maßnahmen im Bereichder Informationssicherheit verhindern kann.

Bei bereits bestehendem Verdacht, dass ein Sicherheitsvorfall (siehe BausteinB 1.8 Behandlung von Sicherheitsvorfällen) durch einen internen Mitarbeiterausgelöst wurde und entsprechende Nachforschungen durchgeführt werdensollen, die auf Sanktionen hinauslaufen, sind die Beteiligungsrechte des Per-sonal- beziehungsweise Betriebsrates unbedingt zu beachten. Unterbleibt ei-ne ordnungsgemäße Beteiligung der Mitarbeitervertretung, kann das eventu-ell erforderliche weitere Verfahren (gegebenenfalls vor dem Arbeitsgericht) jenach Schwere des Vorfalls für eine Abmahnung oder Kündigung aufgrund vonFormfehlern gravierend beeinflusst werden.

Große Outsourcing-Dienstleister berichten aus der Praxis, dass eine frühzeiti-ge Einbindung der Personalvertretung des Auftraggebers, möglichst schon inder Angebotsphase, sehr zum Gelingen des Projektes beitragen kann. Wech-selbereitschaft der Mitarbeiter, Motivation, Arbeitszufriedenheit und zügigeProjektabwicklung können durch Kooperation aller Beteiligten positiv beein-flusst werden. Gleiches gilt für die geplante Nutzung von Cloud-Diensten. AlsBesonderheit ist hierbei anzusehen, dass die oben genannten Vorgaben auchdann zu beachten sind, wenn sich eine Institution für eine Private Cloud ent-scheidet.

Prüffragen:

- Wird die Personalvertretung (Arbeitnehmer-, Mitarbeitervertretung) bei siebetreffenden Verfahren und Projekten rechtzeitig informiert?



M 2.42 Festlegung der möglichenKommunikationspartner

Verantwortlich für Initiierung: Datenschutzbeauftragter, IT-Sicherheitsbeauftragter, Leiter IT, LeiterOrganisation

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter

Sollen Informationen an einen Kommunikationspartner außerhalb der eigenenInstitution übertragen werden, so muss sichergestellt werden, dass der Emp-fänger die notwendigen Berechtigungen zum Weiterverarbeiten dieser Infor-mationen besitzt. Werden Informationen zwischen mehreren kommunizieren-den Stellen ausgetauscht, so sollte für alle Beteiligten ersichtlich sein, wer die-se Informationen ebenfalls erhalten hat beziehungsweise erhalten wird. Umdie oben genannten Kriterien zu erfüllen, muss festgelegt werden, welcheKommunikationspartner welche Informationen erhalten dürfen. Hierfür ist eserforderlich, dass alle Informationen entsprechend ihrer strategischen Bedeu-tung für die Institution klassifiziert sind (siehe M 2.217 Sorgfältige Einstufungund Umgang mit Informationen, Anwendungen und Systemen).

Die Empfänger sind darauf hinzuweisen, dass die übermittelten Daten nur zudem Zweck benutzt werden dürfen, zu dem sie weitergegeben wurden. Auchaus Datenschutzgründen (siehe zum Beispiel BDSG, Weitergabekontrolle)sollte eine Übersicht erstellt werden, welche Empfänger berechtigt sind, In-formationen, insbesondere personenbezogene Daten, per Datenübertragungoder Datenträgeraustausch zu erhalten.

Beispiel:

Eine Institution schließt mit einem Cloud-Diensteanbieter einen Vertrag zurNutzung eines definierten Cloud Services. Der gewählte Cloud-Diensteanbie-ter nutzt zur Leistungserbringung seinerseits Services eines Subauftragneh-mers und gibt die Daten der Institution zur Verarbeitung an diesen weiter. Al-le Kommunikationswege sowie die Art und der Umfang der weitergegebenenDaten sind in diesem Fall durch den Cloud-Diensteanbieter transparent dar-zulegen.

Prüffragen:

- Ist festgelegt, welche Kommunikationspartner welche Informationenerhalten dürfen?



M 2.307 Geordnete Beendigung einesOutsourcing- oder Cloud-Nutzungs-Verhältnisses

Verantwortlich für Initiierung: Behörden-/UnternehmensleitungVerantwortlich für Umsetzung: Behörden-/Unternehmensleitung,

Fachverantwortliche

Die Empfehlungen dieser Maßnahme lassen sich in der Regel nur umsetzen,wenn bereits im Vertrag mit dem Outsourcing-Dienstleister beziehungsweisedem Cloud-Diensteanbieter alle relevanten Themen zum Vertragsende gere-gelt wurden.

Wird das Dienstleistungsverhältnis beendet, müssen die betroffenen Dienstlei-stungen, wie beispielsweise der IT-Betrieb, geordnet zurück in eigene Verant-wortung oder auf einen anderen Dienstleister übergehen. Es müssen Vorkeh-rungen getroffen werden, dass durch das Vertragsende des Dienstleistungs-vertrags die Geschäftstätigkeit der Institution nicht beeinträchtigt wird.

- Der Übergang auf einen anderen Dienstleister ist ein neues Outsourcing-oder Cloud-Nutzungs-Vorhaben. Die Maßnahmen des Outsourcing- Bau-steins beziehungsweise die des Bausteins Cloud-Nutzung sind entspre-chend anzuwenden.

- Beim Insourcing sind die relevanten Maßnahmen des Outsourcing-Bau-steins analog anzuwenden. Entsprechendes gilt für den Baustein Cloud-Nutzung, sofern es sich um die Nutzung eines Cloud Services handelt.Für Strategie, Sicherheitskonzept für Insourcing, Migration und Notfallvor-sorge gelten die gleichen Anforderungen wie bei einem "klassischen" Out-sourcing- oder Cloud-Nutzungs-Verfahren.

Folgende Gesichtspunkte sind zu beachten:

- Eigentumsrechte an Hard- und Software (Schnittstellenprogramme, Tools,Batchabläufe, Makros, Lizenzen, Backups) müssen geregelt werden.

- Die Weiterverwendung der vom Dienstleister eingesetzten Tools, Pro-zeduren, Skripte, Batchprogramme ist für den Fall der Beendigung desDienstleistungsverhältnisses zu regeln.

- IT-Systeme, IT-Anwendungen und Arbeitsabläufe müssen ausreichenddokumentiert sein.

- Alle notwendigen Daten müssen vom Dienstleister an den Auftraggeberübertragen beziehungsweise übergeben werden.

- Alle Datenbestände beim Dienstleister müssen sicher gelöscht werden.- Interne oder externe Mitarbeiter, die Aufgaben des Dienstleisters überneh-

men, müssen eingewiesen und geschult werden.- Es ist empfehlenswert, vertraglich eine Übergangsfrist zu vereinbaren, in

der der ehemalige Dienstleister noch für Rückfragen und Hilfestellungenzur Verfügung steht.

Prüffragen:

- Regelt der Vertrag mit dem Outsourcing-Dienstleister oder demCloud-Diensteanbieter auch alle Aspekte der Beendigung desDienstleistungsverhältnisses?

- Ist sichergestellt, dass eine Beendigung des Dienstleistungsverhältnissesmit dem Outsourcing-Dienstleister oder Cloud-Diensteanbieter dieGeschäftstätigkeit des Auftraggebers nicht beeinträchtigt?



M 2.534 Erstellung einer Cloud-Nutzungs-Strategie

Verantwortlich für Initiierung: Behörden-/UnternehmensleitungVerantwortlich für Umsetzung: Behörden-/Unternehmensleitung,

Fachverantwortliche

Die Entscheidung einer Institution zur Nutzung von Cloud Services hat immereine strategische Komponente, auch wenn der Umfang des Cloud Servicesgering ist. Letzteres kann dazu verleiten, die Konsequenzen dieses Outsour-cings zu verkleinern oder zu verleugnen, zumal es in vielen Fällen der ersteFall von Outsourcing von IT-Dienstleistungen in der Institution ist. Oft unter-scheidet sich IT-Outsourcing von Cloud-Nutzung im Umfang, in der Vertrags-dauer sowie in der Art und Weise, wie die Dienste erbracht werden. Trotz allemist die Nutzung von Cloud-Diensten immer ein Outsourcing (zumindest, wennein externer Dienstleister beauftragt wird) und somit strategischer Natur. Diesbedingt die ausführliche Betrachtung der wirtschaftlichen, technischen und or-ganisatorischen Randbedingungen sowie der sicherheitsrelevanten Aspekte.

Die vorliegende Maßnahme wird dann umgesetzt, wenn sich eine Institu-tion bereits grundsätzlich für die Nutzung von Cloud-Diensten entschiedenhat. Darüber hinaus hat die Institution bereits konkrete Vorstellungen, wel-che Cloud-Dienste (zum Beispiel Online-Speicherdienst) genutzt werden sol-len. Die abschließende Auswahl beziehungsweise Definition eines konkretenCloud-Dienstes ist nicht Bestandteil dieser Maßnahme. Sie erfolgt erst im An-schluss an die Erarbeitung einer grundlegenden Cloud-Nutzungs-Strategie.

Die nachfolgend beschriebenen Gesichtspunkte sollten bei der Erstellung ei-ner Cloud-Nutzungs-Strategie betrachtet und dokumentiert werden.

Einbindung in die Unternehmensstrategie

Es ist zu klären, wie die Institution strategisch mit dem Thema Cloud-Nutzungumgeht. Ausgehend von der grundsätzlichen Entscheidung für den Einsatzvon Cloud-Diensten ist dabei festzuhalten, welcher Grad an Service-Orien-tierung angestrebt wird, also in welchem Umfang klassische IT durch CloudServices abgelöst werden soll. Es ist zu erarbeiten, welche Services für eineCloud-Nutzung grundsätzlich infrage kommen.

Es sollte unter anderem die Frage nach den Treibern für den Einsatz von CloudServices beantwortet werden. Darüber hinaus sind die Ziele zu definieren, diedie Institution mit der Cloud-Nutzung verbindet. Dies können beispielsweiseKosteneinsparungen, die Möglichkeit zu einer flexibleren Service-Erbringung,die Ablösung beziehungsweise der Ersatz bisheriger Services oder die Nut-zung neuer Services sein.

Diese Ergebnisse sollten möglichst auch in die Unternehmensstrategie einge-bunden werden.

Machbarkeitsstudie mit Zusammenstellung aller Rahmenbedingungen

Es gibt unterschiedliche äußere Faktoren, die Einfluss auf die Entschei-dung zur Cloud-Nutzung nehmen können oder diese bedingen. Dies sind so-wohl rechtliche Rahmenbedingungen (beispielsweise Vorgaben des Daten-schutzes oder von Aufsichtsbehörden), organisatorische Rahmenbedingun-gen (beispielsweise Reife der Institution hinsichtlich Organisation und IT) alsauch technische Anforderungen, die sich aus der Nutzung von Cloud Ser-



vices ergeben (beispielsweise Vorgaben bezüglich des benötigten Datennet-zes, Leistungsfähigkeit der Internetanbindung, Verfügbarkeit der Netze undder IT-Systeme).

Die Ergebnisse dieser Untersuchung sind in einer Machbarkeitsstudie zu do-kumentieren, die aussagt, ob der untersuchte Cloud-Dienst überhaupt zu ver-wenden ist.

Betriebswirtschaftliche Aspekte mit erster Kosten-Nutzen-Abschätzung

Da beim Cloud Computing oft finanzielle Einsparungen ein starker Treibersind, stehen Kosten und Nutzen besonders im Fokus. Die Kosten-Nutzen-Ab-schätzung ergibt eine erste Indikation, ob durch die Nutzung eines Cloud-Dienstes wirtschaftliche Vorteile gezogen werden können.

Hier sind auf der Kostenseite nicht nur die reinen Betriebskosten des Cloud-Dienstes zu berücksichtigen, sondern auch die Kosten für die Migration, dieSchulung der Mitarbeiter und Administratoren, gegebenenfalls neuer Hardwa-re und Ausbau der Netzkapazitäten.

Da die Kosten-Nutzen-Abschätzung im Rahmen der Erstellung der Strategieangesetzt ist, soll die Institution auch den strategischen Wert der RessourcenKnow-how, Mitarbeiter, IT-Systeme und Anwendungen berücksichtigen. Denndiese Ressourcen können durch die Nutzung von Cloud Computing teilweiseverloren gehen und nicht schnell wieder zurückgeholt werden. Auf der Nut-zenseite stehen zum Beispiel obsolet gewordene Hardware mitsamt Lizenzenund Administration, bessere und schnellere Anpassung der IT an den tatsäch-lichen Bedarf, und gegebenenfalls können auch Sicherheitsgewinne auf derNutzenseite verbucht werden.

Sobald der Cloud Service genauer definiert ist und erste konkrete Angeboteeinzelner Cloud-Diensteanbieter vorliegen, erfolgt eine detaillierte Kosten-Nut-zen-Analyse (siehe M 2.540 Sorgfältige Auswahl eines Cloud-Diensteanbie-ters).

Auswahl der Services und des Bereitstellungsmodells

Nach diesen strategischen Überlegungen sollte festgehalten werden, welchekonkreten Dienste zukünftig von einem Cloud-Diensteanbieter bezogen wer-den könnten. Daneben ist auf der Basis der erhobenen Anforderungen zu ent-scheiden, welches Bereitstellungsmodell (zum Beispiel Private, Public, HybridCloud) geeignet erscheint. Sowohl in der Literatur als auch im Zusammenhangmit der praktischen Umsetzung wird dieser Schritt häufig auch als Sourcingbezeichnet.

Berücksichtigung von Sicherheitsaspekten von Anfang an

Die Institution muss sicherstellen, dass grundlegende technische und orga-nisatorische Sicherheitsaspekte bereits zu Beginn der Planungsmaßnahmenzur Cloud-Nutzung ausreichend berücksichtigt werden. Insbesondere ist auchzu klären, ob und inwieweit die Nutzung von Cloud Computing in der Sicher-heitsleitlinie abgedeckt ist. Dabei sollten sich die Verantwortlichen innerhalbeiner Institution insbesondere folgender Cloud-Spezifika bewusst sein:

- Der Cloud-Diensteanbieter erhält je nach Cloud-Nutzungs-Modell Zugriffauf die Daten der beauftragenden Institution. Von diesem Zugriff könnenauch Daten mit hohem Schutzbedarf betroffen sein.

- Die technische Umsetzung des Cloud-Nutzung-Vorhabens bedingt dieÜbertragung von Daten zwischen beauftragender Institution und dem



Cloud-Diensteanbieter. Das sich daraus ergebende erhöhte Gefahrenpo-tenzial ist durch die Institution zu ermitteln und entsprechend zu bewerten.

- Die Einführung von Cloud Services setzt den Entwurf, die Einführung undUmsetzung neuer Prozesse und Arbeitsabläufe voraus. Die Folgen dersich ergebenden notwendigen Umstellungen sind zu ermitteln und abzu-schätzen.

Im Rahmen der Nutzung von Cloud Services sollten Vor- und Nachteile, dieeinen Bezug zur Informationssicherheit aufweisen, durch die Institution be-trachtet, bewertet und dokumentiert werden.

Erstellen einer Sicherheitsanalyse

Zur Festlegung der Cloud-Strategie sollte eine individuelle Sicherheitsanalysefür den geplanten Cloud Service durchgeführt werden, die bei wesentlichenVeränderungen der technischen und organisatorischen Rahmenbedingungenzu wiederholen ist.

Nur so kann festgestellt werden, wie bestehende Geschäftsprozesse oderInformationsverbünde abgegrenzt und getrennt werden können, damit Teiledavon als Cloud Service genutzt werden können. In dieser frühen Projekt-phase wird das Sicherheitskonzept naturgemäß nur Rahmenbedingungen be-schreiben und keine detaillierten Maßnahmen enthalten. Die Sicherheitsana-lyse sollte nach der in der IT-Grundschutz-Vorgehensweise beschriebenenMethodik durchgeführt werden.

Wenn der Schutzbedarf wichtiger Systeme oder Anwendungen hoch ist oderdie Modellierung des Informationsverbunds nach IT-Grundschutz nicht mög-lich ist, muss eine ergänzende Sicherheitsanalyse (zum Beispiel Risikoanaly-se) durchgeführt werden. Sind die sicherheitsrelevanten Gefährdungen ana-lysiert worden, kann festgelegt werden, ob und wie diesen begegnet werdensoll.

Zusätzlich weist sie bestehende Restrisiken im Zusammenhang mit der Cloud-Nutzung auf. Die Ergebnisse der Sicherheitsanalyse fließen in der Regel un-mittelbar in die Kosten-Nutzen-Abschätzung ein, die nach der Sicherheitsana-lyse gegebenenfalls wieder angepasst werden muss.

Erstellung einer Roadmap

Nachdem die strategischen und sicherheitsrelevanten Aspekte untersuchtwurden, sollten erste Überlegungen hinsichtlich einer geeigneten technischenRealisierung erfolgen. Sofern die Einführung mehrerer Cloud Services durchdie Institution geplant ist, hat es sich in der Praxis als hilfreich erwiesen, ei-ne sogenannte Cloud Roadmap zu erstellen. Diese stellt einen Fahrplan zurNutzung der Cloud Services dar und beschreibt deren Ausrollen mithilfe einesPhasenmodells. So kann die Akzeptanz der Cloud Services durch den Benut-zer erhöht werden, während gleichzeitig das Risiko technischer Probleme beider späteren Umsetzung gemindert wird.

Prüffragen:

- Wurde eine Strategie für die Nutzung von Cloud Computing erstellt?- Wurden die rechtlichen und organisatorischen Rahmenbedingungen

sowie die technischen Anforderungen, die sich aus der Nutzung vonCloud Services ergeben, untersucht?

- Sind grundlegende technische und organisatorische Sicherheitsaspekteder Cloud-Nutzung betrachtet worden?



- Ist eine individuelle Sicherheitsanalyse für geplante Cloud Servicesvorgesehen?

- Ist festgehalten, welche Dienste in welchem Bereitstellungsmodellzukünftig durch einen Cloud-Diensteanbieter bezogen werden sollen?

- Existiert eine Cloud Roadmap?



M 2.535 Erstellung einerSicherheitsrichtlinie für dieCloud-Nutzung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter ITVerantwortlich für Umsetzung: Fachverantwortliche, IT-

Sicherheitsbeauftragter

Aus der Strategie zur Cloud-Nutzung (siehe M 2.534 Erstellung einer Cloud-Nutzungs-Strategie) ergeben sich, je nach Detaillierungsgrad, bereits Si-cherheitsvorgaben für die Nutzung von Cloud-Diensten. Diese müssen inder Sicherheitsrichtlinie weiter verfeinert werden, sodass darauf ein ge-wünschter Cloud Service umfassend definiert (siehe hierzu MaßnahmeM 2.536 Service-Definition für Cloud-Dienste durch den Anwender) und eingeeigneter Cloud-Diensteanbieter ausgewählt werden kann (siehe Maßnah-me M 2.540 Sorgfältige Auswahl eines Cloud-Diensteanbieters).

Grundsätzlich müssen in diesem Zusammenhang möglichst alle Sicherheits-anforderungen betrachtet werden, die sich aus den ermittelten Schnittstellensowie den organisatorischen, technischen und rechtlichen Rahmenbedingun-gen ergeben. Neben den Sicherheitsanforderungen an die eingesetzte Tech-nik, einschließlich der benötigten Kommunikationswege und -dienste, ist daherzum Beispiel auch notwendig Datenschutzaspekte sowie Aspekte zur Informa-tionsklassifizierung für alle ausgelagerten Daten zu berücksichtigen. Auch or-ganisatorische Auswirkungen wie beispielsweise notwendige Schulungsmaß-nahmen für Administratoren und Benutzer sollten bereits in der Sicherheits-richtlinie berücksichtigt werden.

Weiterhin sollten insbesondere die nachfolgend beschriebenen Aspekte Ein-gang in die Sicherheitsrichtlinie für die Cloud-Nutzung finden:

- Sicherheitsanforderungen an den Cloud-Diensteanbieter sollten diebenötigte technische Verfügbarkeit des angebotenen Services sowie Vor-gaben zum Standort der Leistungserbringung des Cloud-Diensteanbietersberücksichtigen, sofern dieser ein eigenes Rechenzentrum betreibt. Zu-dem sollten Anforderungen hinsichtlich bestehender organisatorischer Re-gelungen und gelebter Prozesse beim Cloud-Diensteanbieter (beispiels-weise die Einhaltung des Vier-Augen-Prinzips bei der Administration) fest-gelegt sein. Auch Regelungen für den Einsatz von Fremdpersonal fallenunter mögliche Sicherheitsanforderungen an den Cloud-Diensteanbieter(siehe hier Maßnahme M 2.226 Regelungen für den Einsatz von Fremd-personal). Weitere Beispiele für Sicherheitsanforderungen an den Cloud-Diensteanbieter sind konkrete Vorgaben zur Datenablage, Datenverarbei-tung und Datenlöschung. Auch geforderte Zertifizierungen des Dienstlei-sters (vorzugsweise nach IT-Grundschutz) sollten bereits in der Sicher-heitsrichtlinie dokumentiert werden.

- Sicherheitsanforderungen in Abhängigkeit vom Bereitstellungsmo-dell. Setzt eine Institution Cloud Services ein, die mithilfe einer HybridCloud oder einer Private Cloud On-Premise, die von einem Dienstlei-ster betrieben wird, erbracht werden, ist unter anderem festzulegen, wel-che Nutzungsrechte (zum Beispiel Zutrittsrechte, Zugangsrechte, Zugriffs-rechte auf Daten und Systeme) dem Cloud-Diensteanbieter vom Auftrag-geber eingeräumt werden.

- Sicherheitsanforderungen aus relevanten Gesetzen und Vorschrif-ten. Ein besonderes Augenmerk sollte hierbei auf länderübergreifendeoder international agierende Cloud-Diensteanbieter gelegt werden, die



unter Umständen unterschiedlichen gesetzlichen Anforderungen und Be-stimmungen unterliegen.

Die Sicherheitsanforderungen an die eigene Institution sind in einem Si-cherheitskonzept für die Cloud-Nutzung festzulegen, wie in der MaßnahmeM 2.539 Erstellung eines Sicherheitskonzeptes für die Cloud-Nutzung be-schrieben ist. Der Institution bietet sich hierbei die Möglichkeit, ein eigenesKonzept für jeden spezifischen Nutzungsfall zu erstellen oder sich für ein Ge-samtkonzept zu entscheiden, mit dessen Hilfe alle beziehungsweise mehrereNutzungsfälle abgedeckt werden.

Prüffragen:

- Beinhaltet die Sicherheitsrichtlinie konkrete und ausreichend detaillierteSicherheitsvorgaben für die Umsetzung innerhalb der Institution?

- Sind spezifische Sicherheitsanforderungen an den Cloud-Diensteanbieterdokumentiert?

- Ist der festgelegte Schutzbedarf für den Einsatz von Cloud Serviceshinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit dokumentiert?

- Sind länderspezifische Anforderungen beziehungsweise gesetzlicheBestimmungen bei Nutzung von Cloud Services internationaler Cloud-Diensteanbieter bekannt?



M 2.536 Service-Definition für Cloud-Dienste durch den Anwender



Entscheidet sich eine Institution für die Nutzung von Cloud-Diensten, musseine entsprechende Service-Definition erarbeitet werden. Die IT InfrastructureLibrary (ITIL) definiert einen Service als die Möglichkeit, einen Mehrwert füreinen Auftraggeber zu generieren. Dazu soll die Erreichung der vom Auftrag-geber angestrebten Ergebnisse erleichtert oder gefördert werden. Der Auf-traggeber selbst hat dabei keine Verantwortung für bestimmte Kosten oderRisiken zu tragen.

Angewandt auf die Cloud-Nutzung bedeutet dies, dass ein Mehrwert durcheinen beauftragten Diensteanbieter nur generiert werden kann, sofern die an-gestrebten Ergebnisse innerhalb der Institution auch tatsächlich bekannt unddokumentiert sind. Grundlage für die sorgfältige Definition der zu verwenden-den Cloud Services sind die Anforderungen aus der Institution heraus, wie sieim Rahmen der Maßnahmen M 2.534 Erstellung einer Cloud-Nutzungs-Stra-tegie und M 2.535 Erstellung einer Sicherheitsrichtlinie für die Cloud-Nutzungzu ermitteln und zu dokumentieren sind. Es empfiehlt sich, eine einheitlich ge-staltete Auflistung vorzunehmen, in der alle für die Verwendung vorgesehenenCloud Services übersichtlich dargestellt sind. Hierfür bietet sich beispielsweisedie Erstellung sogenannter Service Templates nach ITIL an. Mögliche Inhaltein diesem Zusammenhang sind:

- Servicekürzel und Servicename- Kurzbeschreibung- Kategorie- Sub- beziehungsweise Sekundärservices- Varianten- Technische Parameter- Service-Parameter/SLA- SLA-Messung- Gültigkeit des Services (Zeitraum)- Service-Übergabe- Methoden der Kostenermittlung- Preis/Verrechnung- Ansprechpartner für den Service- Berechtigte und Anforderer- Voraussetzungen

Im Rahmen der Service-Definition für Cloud-Dienste sollten durch die Institu-tion zumindest die nachfolgenden, näher beschriebenen Aspekte thematisiertwerden.

Schnittstellen und Verantwortlichkeiten

Die nutzende Institution sollte alle relevanten Schnittstellen und Verantwort-lichkeiten für die Cloud-Nutzung identifizieren und dokumentieren.

Eine wesentliche Anwendungskomponente und wichtige Schnittstelle desCloud-Dienstes stellt die Client-Software (zum Beispiel zur Integration eineszusätzlichen Laufwerks bei Nutzung eines Online-Speicherdienstes) dar. Da-her ist insbesondere deren Auswahl für die Cloud-Nutzung ausreichende Be-deutung beizumessen. Hierbei sind eine Reihe von Aspekten zu berücksich-



tigen, und die Beantwortung der nachfolgenden Fragen kann der Institutionwichtige Aufschlüsse zur Wahl einer geeigneten Lösung liefern.

- Existiert eine definierte Rückfallebene beim Ausfall der Client-Software?- Sind eventuelle Abhängigkeiten oder Inkompatibilitäten im Zusammen-

hang mit der vorhandenen IT-Infrastruktur zu erwarten?- Kann die Client-Software ohne Weiteres in die bestehenden Prozesse

des Änderungsmanagements integriert werden oder sind Anpassungennotwendig? Nähere Hinweise hierzu finden sich auch in M 2.221 Ände-rungsmanagement beziehungsweise B 1.14 Patch- und Änderungsmana-gement.

- Erfüllt die Client-Software die Anforderungen der Institution hinsichtlich be-stehender Test- und Freigabeprozesse?

Auswahl sicherer Authentisierungsmethoden

Plant eine Institution die Nutzung von Cloud-Diensten, sollte dabei auf die Aus-wahl und den Einsatz sicherer Authentisierungsmethoden geachtet werden.Dabei sind starke Authentisierungsmechanismen (zum Beispiel 2-Faktor-Au-thentisierung) zumindest für die Administration der Cloud Services einzuset-zen. Wurde für den Cloud Service ein hoher Schutzbedarf identifiziert, solltenauch für Benutzer außerhalb der Administration starke Authentisierungsme-chanismen zum Einsatz kommen. Gleiches gilt bei Nutzung von Cloud Ser-vices über das Internet, falls kein VPN eingesetzt wird. Bei der Nutzung vonCloud Services mit normalem Schutzbedarf und beim Einsatz von VPN isthingegen in der Regel eine 1-Faktor-Authentisierung ausreichend, wobei dasdabei verwendete Passwort den Regeln für sichere Passwörter der Institutionunterliegt.

Berücksichtigung weiterer Sicherheitsaspekte

Neben den genannten Aspekten sind im Rahmen der Service-Definition fürCloud-Dienste auch Vorgaben zur Verschlüsselung von Informationen zu er-stellen. Sofern weitere Sicherheitsvorgaben als notwendig angesehen wer-den, wie beispielsweise die Durchführung eigener Datensicherungen, solltendiese ebenfalls in die Service-Definition einfließen.

Definition von OLA und SLA

Es sind gezielt konkrete interne Anforderungen an die zu verwendenden CloudServices auszuarbeiten, und der Service-Level für die Anwender innerhalbder eigenen Institution zu definieren. Diese internen Regelungen, die auch alsOLA (Operational Level Agreement) bezeichnet werden, dienen in der Folgeals Basis für die Erarbeitung entsprechender SLA (Service Level Agreements)mit einem externen Cloud-Diensteanbieter.

Nach abschließend erfolgter Service-Definition für den Cloud-Dienst ist des-sen Einbindung in die Institution, wie in Maßnahme M 2.538 Planung der si-cheren Einbindung von Cloud Services beschrieben, sicherzustellen.

Ist der Cloud Service definiert, muss ein geeigneter Cloud-Diensteanbieter fürdessen Erbringung gefunden werden (siehe hierzu M 2.540 Sorgfältige Aus-wahl eines Cloud-Diensteanbieters). Basis für die tatsächliche Erbringung desdefinierten Cloud Services ist anschließend ein entsprechender Vertrag zwi-schen Auftraggeber und Cloud-Diensteanbieter (siehe hierzu M 2.541 Ver-tragsgestaltung mit dem Cloud-Diensteanbieter).

Prüffragen:

- Gibt es eine Service-Definition des zu nutzenden Cloud-Dienstes?



- Existiert eine Auflistung, die alle geplanten und verwendeten CloudServices zusammenfasst?

- Sind alle relevanten Schnittstellen und Verantwortlichkeiten für die Cloud-Nutzung identifiziert und dokumentiert?

- Wurden Vorgaben zur Auswahl und zum Einsatz sichererAuthentisierungsmethoden definiert?

- Wurden konkrete interne Anforderungen an die zu verwendenden CloudServices ausgearbeitet?

- Wurden Vorgaben zur Verschlüsselung von Informationen für den Cloud-Dienst gemacht?



M 2.537 Planung der sicheren Migrationzu einem Cloud Service



Entscheidet sich eine Institution zur Nutzung von Cloud Services, sind in derFolge umfangreiche Planungsmaßnahmen durchzuführen, um deren sicherenBetrieb auch fortlaufend gewährleisten zu können. Ein besonderes Augen-merk ist hierbei auf die Planung der sicheren Migration und Einbindung vonCloud Services zu richten. Der Begriff Migration bezeichnet dabei immer ent-weder den technischen Wechsel von einem System auf ein anderes oder denWechsel des Cloud-Diensteanbieters.

Die Planung der sicheren Einbindung von Cloud Services (siehe MaßnahmeM 2.538 Planung der sicheren Einbindung von Cloud Services) konzentriertsich dabei auf unterschiedliche Aspekte, die über die Überlegungen der Mi-grationsplanung hinaus betrachtet werden sollten.

Im Rahmen der Planung der sicheren Migration zu einem Cloud Servicemuss die Institution ein Migrationskonzept erstellen, welches als Teil des Si-cherheitskonzeptes für die Cloud-Nutzung auszulegen ist (siehe MaßnahmeM 2.539 Erstellung eines Sicherheitskonzeptes für die Cloud-Nutzung). Dabeisind verschiedene Cloud-spezifische Besonderheiten und Voraussetzungenzu beachten und entsprechend im Migrationskonzept darzustellen.

Planung der Einführung eines Cloud Services in die Institution

Die Einführung eines Cloud Services erfolgt in der Regel stufenweise undunterscheidet sich hierbei von der Umsetzung eines klassischen Outsour-cing-Vorhabens. In der Regel ist keine "echte" Transition erforderlich. UnterTransition ist hier der Übergang von einem Betriebsmodell in ein anderes zuverstehen, also etwa der Übergang aus dem Eigenbetrieb in eine Outsour-cing-Situation.

Zu Beginn der Planung sollten zunächst organisatorische Regelungen wiehierarchische Strukturen, Rollen und Verantwortlichkeiten sowie die Aufga-benverteilung festgelegt werden.

Zusätzlich sollten geeignete Test- und Übergabeverfahren geplant werden,um sowohl eine reibungslose Migration als auch fortlaufend einen sicherenBetrieb gewährleisten zu können.

Im weiteren Verlauf der Migrationsplanungen sind festgelegte Anforderungenhinsichtlich des zu gewährleistenden Sicherheitsniveaus und Service Levelsauf Einhaltung zu überprüfen und eventuell notwendige Anpassungen vorzu-nehmen, sofern Abweichungen vom definierten Soll-Zustand auftreten.

Zudem empfiehlt es sich, weitere vertragliche Regelungen zwischen Instituti-on, Cloud-Diensteanbieter und gegebenenfalls externen Migrations-Dienstlei-stern zu definieren. Dies dient unter anderem der Beantwortung der Frage,wann eine Migration als abgeschlossen zu betrachten und wann die Überga-be in die Produktion erfolgt ist. Auch der Zeitpunkt, ab dem eine Institutiondie Einhaltung vereinbarter Service Level Agreements einfordern kann, gilt alsgenau zu definieren. Es ist hilfreich, nach der Abnahme der Migrationen einReview über die gesamte Migration vorzunehmen. Wichtig sind in diesem Zu-



sammenhang auch Nachweise, was der Migrations-Dienstleister an Konver-tierungen von Daten und Systemen vorgenommen hat.

Berücksichtigung der eigenen IT

Um einen reibungslosen Einsatz von Cloud Services zu gewährleisten, ist ei-ne enge Einbindung in die IT der Institution erforderlich. Die bestehende IT-Umgebung ist daher in besonderem Maße bei den Migrationsplanungen zuberücksichtigen. Hierbei sollten bereits vorhandene sowie zusätzlich benötig-te Schnittstellen im Vorfeld identifiziert und gegebenenfalls an veränderte An-forderungen angepasst werden.

Auswirkung auf Betriebsprozesse

In der Praxis hat der Einsatz von Cloud Services häufig Veränderungen vonProzessen beim Auftraggeber zur Folge. Im Rahmen der Cloud-Nutzung emp-fiehlt es sich daher, bestehende Betriebsprozesse zu überprüfen und an neueGegebenheiten anzupassen. Dabei sind auch etwaige Auswirkungen auf Mit-arbeiter zu berücksichtigen. Gegebenenfalls müssen hier die neuen Aufgabenund damit einhergehenden Verantwortungsbereiche eindeutig definiert undzusätzlicher Schulungsbedarf identifiziert werden.

Prüffragen:

- Ist das Migrationskonzept für den definierten Cloud Service als Teil desSicherheitskonzeptes für die Cloud-Nutzung ausgelegt?

- Sind organisatorische Regelungen hinsichtlich der Migration definiert?- Wurden bestehende Betriebsprozesse hinsichtlich der Cloud-Nutzung

identifiziert und angepasst?- Ist die eigene IT ausreichend im Migrationsprozess berücksichtigt

worden?- Wurde ein entsprechender Schulungsbedarf für Mitarbeiter ermittelt?



M 2.538 Planung der sicherenEinbindung von Cloud Services

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter ITVerantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter

Entscheidet sich eine Institution zur Nutzung von Cloud Services, sind in derFolge umfangreiche Planungsmaßnahmen durchzuführen, um deren sicherenBetrieb zu gewährleisten. Insbesondere sind hierbei die Planung der siche-ren Migration und die Planung der sicheren Einbindung in die vorhandene IT-Landschaft zu nennen.

In M 2.537 Planung der sicheren Migration zu einem Cloud Service findensich beispielsweise Hinweise auf die stufenweise Einführung von Cloud Ser-vices sowie die generelle Notwendigkeit, Cloud Services eng in die IT der ei-genen Institution einzubinden. Bei der tatsächlichen Planung der sicheren Ein-bindung von Cloud Services in die eigene Institution sind darüber hinaus al-lerdings weitere Aspekte zu betrachten, die über die ersten Überlegungen derMigrationsplanung hinausgehen.

Basierend auf den ermittelten Anforderungen für die Cloud-Nutzung (sieheM 2.534 Erstellung einer Cloud-Nutzungs-Strategie) sind notwendige Anpas-sungen mindestens in den nachfolgend beschriebenen Bereichen der Institu-tion zu prüfen und zu planen. Die Ergebnisse der Prüfung sind dabei zu do-kumentieren und für den Fall sich verändernder Anforderungen entsprechendanzupassen. Sofern sich aus den ermittelten Ergebnissen Handlungsbedarfergibt, ist dies ebenfalls zu dokumentieren und als Grundlage für die Umset-zung weiterer Maßnahmen im Rahmen der Umsetzung oder für die Durchfüh-rung von Kosten-Nutzen-Analysen anzusehen.

Anpassung der Schnittstellensysteme

Als Schnittstellensysteme sollten auf jeden Fall betrachtet werden: Loadba-lancer, Proxys, Router, Sicherheitsgateways, Federation-Systeme.

Um den Anpassungsbedarf an bestehenden Schnittstellensystemen sowieden Bedarf an potenziellen Neuanschaffungen in diesem Bereich zu ermitteln,empfiehlt sich die Beantwortung folgender Fragestellungen:

- Besteht ein Bedarf an der Bereitstellung neuer Schnittstellensysteme?- Ist die Interoperabilität aller benötigten Schnittstellensysteme mit dem be-

trachteten Cloud-Dienst gegeben?- Können die vorhandenen Schnittstellensysteme auf allen Ebenen mit den

zu nutzenden Services umgehen? Kann beispielsweise der vorhandeneProxy den Applikationsverkehr angemessen inspizieren?

- Welche Performance beziehungsweise welchen Datendurchsatz müssengeeignete Schnittstellensysteme zur Verfügung stellen können?

- Müssen Schnittstellensysteme redundant ausgelegt sein und wenn ja, wiewird dies umgesetzt?

Sofern eine Schnittstelle (API - Application Programming Interface) zur Ein-bindung eines Cloud Services genutzt wird, sind zusätzlich die entsprechen-den Maßnahmen des Bausteins B 5.24 Web-Services anzuwenden.



Anpassung der Netzanbindung

Um zu ermitteln, ob die vorhandene Netzanbindung angepasst werden muss,sollten folgende Punkte geklärt werden:

- Ist die bestehende Bandbreite der Netzanbindung ausreichend oder musssie für die Cloud-Nutzung angepasst werden?

- Stellen die zu nutzenden Cloud Services spezielle Anforderungen an dieLatenz der Netzanbindung?

- Besteht Bedarf an einer redundanten Anbindung von Cloud Services? Wiekann in diesem Fall die Umsetzung der redundanten Anbindung sicherge-stellt werden?

- Besteht Bedarf an der Priorisierung unterschiedlichen Netzverkehrs (Qua-lity of Service - QoS), um beispielsweise Videoinformationen oder Sprachequalitativ hochwertig übertragen zu können?

- Welche Vorkehrungen wurden hinsichtlich der Ausfallsicherheit der Netz-anbindung getroffen? Ist in diesem Zusammenhang die Umsetzung wei-terer Maßnahmen notwendig?

Anpassung des Administrationsmodells

Um notwendige Anpassungen des Administrationsmodells zu identifizieren,sollten nachfolgende Fragen beantwortet werden:

- Liegen sorgfältige Planungen für die Administration von Cloud Servicesvor?

- Existiert ein Rollen- und Berechtigungskonzept, welches eine Trennungvon Administratoren (Customer Cloud Service Administrator, oft auch le-diglich als Service Administrator bezeichnet) und Benutzern für die Cloud-Nutzung vorsieht?

Anpassung des Datenmanagementmodells

Je nach gewähltem Bereitstellungsmodell befinden sich gegebenenfalls eige-ne Daten nicht mehr ausschließlich in der administrativen Hoheit der eigenenInstitution. Es ist daher zu planen, ob und in welcher Form sich die Datensi-cherungs- und Datenaufbewahrungs-Strategien durch die Nutzung von CloudServices verändern.

Prüffragen:

- Werden die Ergebnisse der Prüfung hinsichtlich potenziell notwendigerAnpassungen der Institution an die Nutzung von Cloud Servicesdokumentiert?

- Wurde der Bedarf an der Bereitstellung neuer Schnittstellensystemeuntersucht?

- Existiert ein Administrationsmodell (inkl. Rollen- undBerechtigungskonzept) für die Cloud-Nutzung?

- Wurden mögliche Veränderungen an Datensicherungs- undDatenaufbewahrungs-Strategien untersucht?



M 2.539 Erstellung einesSicherheitskonzeptes für dieCloud-Nutzung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter ITVerantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter,

Leiter IT

Entscheidet sich eine Institution zur Nutzung von Cloud Services, ist hierfürein Sicherheitskonzept zu erstellen.

IT-Sicherheitskonzepte für Cloud-Nutzungs-Vorhaben unterscheiden sich da-bei in der Regel nur wenig von Sicherheitskonzepten für IT-Systeme, die durchdie Institution selbst betrieben werden. Das Sicherheitskonzept sollte mög-lichst auf der Basis der IT-Grundschutz-Vorgehensweise erstellt werden.

Eine der wenigen Besonderheiten im Zusammenhang mit der Nutzung vonCloud Services stellt die Beteiligung mehrerer Parteien dar. Dies ist auch beider Erstellung des Sicherheitskonzeptes zu berücksichtigen. In der Regel sindmindestens die nachfolgenden drei Parteien an einem Cloud-Nutzungs-Vor-haben beteiligt:

- Auftraggeber der Cloud Services (nutzende Institution)- Anbieter von Cloud Services (Cloud-Diensteanbieter)- ein (oder mehrere) Netzprovider

Grundsätzlich ist die Erstellung eines Sicherheitskonzeptes durch jeden dergenannten Beteiligten vorzunehmen. Sofern der Bedarf nach einen Sicher-heitskonzept des Netzproviders besteht, sind hierzu in der Regel vorabentsprechende Vereinbarungen mit ihm zu treffen. Die nutzende Institutionmuss sich das Recht einräumen lassen, das Sicherheitskonzept des Cloud-Diensteanbieters mithilfe eines Audits überprüfen zu können, das ggf. auchdurch einen unabhängigen, qualifizierten Dritten erfolgen kann.

Die Erstellung des Sicherheitskonzeptes dient der Dokumentation der notwen-digen Sicherheitsmaßnahmen im Zusammenhang mit der Nutzung von CloudServices. Die Grundlage für diese Dokumentation bilden dabei jene Anforde-rungen, die sich aus der Erstellung der Sicherheitsrichtlinie zur Cloud-Nutzung(siehe M 2.535 Erstellung einer Sicherheitsrichtlinie für die Cloud-Nutzung)für einen konkreten Anwendungsfall beziehungsweise einen konkreten CloudService ableiten lassen.

Das Sicherheitskonzept für einen Cloud Service sollte sich an den Sicherheits-anforderungen und Sicherheitsmaßnahmen für einen klassischen IT-Serviceorientieren. Die sich hieraus ergebenen Maßnahmen sollten die Basis für dieBetrachtung des Cloud Service darstellen.

Im Sicherheitskonzept für die Cloud-Nutzung sollte zusätzlich die besondereGefährdungslage durch die Erbringung als Cloud Service beschrieben wer-den. Hierbei sollten insbesondere folgende Punkte betrachtet werden:

- Vorzeitige oder zwangsweise Vertragsbeendigung- Fehlende Portabilität von Daten (insbesondere bei Software as a Service),

Anwendungen (insbesondere bei Platform as a Service) und Systemen(insbesondere bei Infrastructure as a Service) für den Fall, dass der ge-wählte Cloud-Dienst von etablierten Standards abweicht

- Abhängigkeit von einem Cloud-Diensteanbieter durch fehlende Möglich-keit, den Anbieter zu wechseln (Vendor-Lock-in)



- Nutzung proprietärer Datenformate kann die Integrität der Informationengefährden und den Wechsel des Anbieters erschweren

- Gemeinsame Nutzung der Cloud-Infrastruktur durch mehrere Institutionen(multi-tenancy)

- Fehlende Kenntnis über den Speicherort von Informationen- In der Regel hohe Mobilität der Informationen- Unbefugter Zugriff auf Informationen, zum Beispiel durch Administratoren

des Cloud-Diensteanbieters oder Dritte

Abgeleitet aus diesen spezifischen Gefährdungen für den konkreten CloudService müssen konkrete Sicherheitsmaßnahmen festgelegt werden. Diesesollten in jedem Fall im Rahmen der Vertragsgestaltung mit dem Cloud-Diensteanbieter verbindlich vereinbart werden. Hierbei sollten insbesonderefolgende Punkte betrachtet werden:

- Vorgaben zur sicheren Administration des Cloud Services (zum Beispiel4-Augen-Prinzip für bestimmte, besonders kritische administrative Tätig-keiten wie das Kopieren einzelner Datenbestände oder Systeme)

- Vorgaben zu Betriebsprozessen und Prozessen im Sicherheitsmanage-ment (Schnittstellen zum Beispiel für das Change-, Incident-, Sicherheits-vorfalls- und Risikomanagement)

- Regelungen zur Überwachung der Service-Erbringung und zum Berichts-wesen

- Verschlüsselung der Informationen- Vergabe und Entzug von Berechtigungen- Durchführung von Datensicherungen, sowohl durch den Cloud-Dienstean-

bieter als auch durch die Institution

Prüffragen:

- Existiert ein Sicherheitskonzept für die Cloud-Nutzung basierend auf denidentifizierten Sicherheitsanforderungen?

- Wurden Regelungen für die Erstellung eines Sicherheitskonzeptes durchden Netzprovider getroffen?

- Werden Existenz und Umsetzung des Sicherheitskonzeptes aufseiten desCloud-Diensteanbieters durch den Auftraggeber oder unabhängige Dritteüberprüft?



M 2.540 Sorgfältige Auswahl einesCloud-Diensteanbieters

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter IT

Nach Abschluss der Planungs- und Konzeptionsphase ist durch die Institutionein geeigneter Dienstleister für die Erbringung des definierten Cloud Servicesauszuwählen.

Die Voraussetzung für die sorgfältige Auswahl eines geeigneten Cloud-Diensteanbieters bildet die Erstellung eines möglichst detaillierten Anforde-rungsprofils. Neben der Definition des einzusetzenden Cloud Services fin-den sich in Maßnahme M 2.536 Service-Definition für Cloud-Dienste durchden Anwender weitere Aspekte, die für das Anforderungsprofil für den Cloud-Diensteanbieter relevant sind. Weitere Sicherheitsanforderungen sind aus denMaßnahmen M 2.535 Erstellung einer Sicherheitsrichtlinie für die Cloud-Nut-zung und M 2.539 Erstellung eines Sicherheitskonzeptes für die Cloud-Nut-zung einzubeziehen. Daneben sollte eine Anforderungsanalyse durchgeführtwerden, die den dokumentierten Vorgaben eine Gewichtung beziehungswei-se Bewertung zuordnet.

Aus der Gesamtheit der ermittelten Anforderungen ist ein Leistungskatalogbeziehungsweise Lastenheft zu generieren. Auf dieser Basis kann die Institu-tion individuelle Angebote einholen beziehungsweise verfügbare (Standard-)Angebote der Cloud-Diensteanbieter vergleichen.

Beschaffung und Auswertung weitergehender Informationen

Neben den oben aufgeführten Anforderungen sind bei der Auswahl eines ge-eigneten Cloud-Diensteanbieters weitere Aspekte zu betrachten. Als Bewer-tungsmethode hat sich in der Praxis die Verwendung einer Punkte-Matrix (zumBeispiel Balanced Scorecard) bewährt.

Nachfolgend beschriebene Aspekte sollten für die Auswahl eines geeignetenCloud-Diensteanbieters herangezogen werden.

- Reputation des Anbieters. Sofern Informationen hierüber zur Verfügungstehen, sollte eine Institution auch die Reputation eines Cloud-Dienstean-bieters in ihre Entscheidung einbeziehen. Dabei ist zusätzlich zu klären,ob innerhalb der eigenen Institution bereits Erfahrungen mit einem Cloud-Diensteanbieter verfügbar sind oder ob auf Erfahrungen anderer Kun-den mit ähnlichen Anforderungen zugegriffen werden kann. Eventuell sindInformationen hinsichtlich der vertragstreuen Service-Erbringung gegen-über anderen Kunden verfügbar.

- Kerngeschäft des Anbieters. Es sollte kritisch hinterfragt werden, ob dasAnbieten von Cloud Services als Kerngeschäft des Dienstleisters angese-hen werden kann. Daneben sollte geprüft werden, inwieweit der Cloud-Diensteanbieter bereits eine gewisse Historie aufzuweisen hat, die auchauf eine möglichst hohe Zukunftssicherheit schließen lässt. Die Auswahleines Cloud-Diensteanbieters, der erst seit kurzer Zeit am Markt in Er-scheinung tritt und für den die Erbringung von Cloud-Diensten nicht dasKerngeschäft darstellt, birgt unter Umständen ein erhöhtes Risikopotenzi-al. Die Gefahr, dass ein solcher Anbieter die Erbringung von Dienstleistun-gen kurzfristig einstellt, sich stark verändert oder komplett vom Markt ver-



schwindet, ist größer einzuschätzen als bei ausgewiesenen Cloud-Dienst-leistern, die ihr Service-Angebot bereits über einen längeren Zeitraum auf-rechterhalten und immer weiter ausbauen.

- Öffentlich verfügbare Rankings oder Bewertungsmatrizen. Auch öf-fentlich verfügbare Rankings oder Bewertungsmatrizen, die von (unab-hängigen) Dritten erstellt wurden, können zur Auswahl eines geeigne-ten Cloud-Diensteanbieters beitragen. Dabei ist darauf zu achten, dassdie Bewertung möglichst objektiv und neutral erfolgt. Hier empfehlen sichMarktanalysen, die beschreiben, welcher Cloud-Diensteanbieter für wel-che Kundensituation am geeignetsten erscheint. In diesem Zusammen-hang werden häufig Bewertungen hinsichtlich Sicherheitsaspekten, Ko-sten oder der Leistungserbringung vorgenommen.

- Due-Diligence-Prüfung. Bei entsprechendem Bedarf und sofern möglich,ist die Durchführung einer Due-Diligence-Prüfung (due diligence - "gebo-tene Sorgfalt") ratsam. Hierbei sollten alle relevanten Parameter im Zu-sammenhang mit der Nutzung von Cloud Services (zum Beispiel Sicher-heitsaspekte, eingesetzte Technik, Schnittstellen, Prozesse usw.) geprüftwerden. Ziel der Prüfung ist, die Leistungsfähigkeit des Diensteanbieterszu ermitteln und zu klären, ob der Cloud-Diensteanbieter die Vorausset-zungen für die gewünschte Service-Erbringung erfüllt.

- Zugriffe durch den Diensteanbieter oder Dritte. Ein weiteres Auswahl-kriterium für einen geeigneten Cloud-Diensteanbieter kann dessen Mög-lichkeit zum Zugriff auf Daten oder Verfahren der Institution darstellen. Un-ter Umständen räumt der Diensteanbieter ein solches Zugriffsrecht für sichoder Dritte ein, was in der Regel aber den Anforderungen an den CloudService widerspricht. Darüber hinaus ist zu beobachten, dass Dienstean-bieter Subunternehmer beauftragen, die in der Folge Zugriff auf Kunden-daten erhalten können.

- Installation bestimmter Softwarelösungen. In einigen Fällen setzt dieNutzung des Cloud Services die vorherige Installation einer bestimmtenSoftware-Lösung auf den Systemen der Institution voraus. Hier empfiehltsich zu hinterfragen, welche potenziellen Sicherheitsrisiken beziehungs-weise -erfordernisse mit einer solchen Installation einhergehen. Möglicher-weise ergeben sich Kompatibilitätsprobleme, oder es entstehen zusätzli-che Kosten, die nicht auf den ersten Blick ersichtlich sind. Zudem entstehteine weitere Abhängigkeit vom Cloud-Diensteanbieter.

- Standorte des Cloud-Diensteanbieters. Auch der Sitz des Cloud-Diensteanbieters (und die damit einhergehende Jurisdiktion), die Stand-orte der von ihm betriebenen oder genutzten Rechenzentren sowie die Sit-ze und Standorte der zur Service-Erbringung beauftragen Subunterneh-men können für eine Institution von entscheidender Bedeutung sein. Dermögliche Ort der Leistungserbringung kann durch Compliance-Vorgabeneingeschränkt sein. Abhängig von der Standortwahl des Diensteanbietersunterliegt dieser gegebenenfalls staatlichen Eingriffs- und Einsichtsrech-ten. Denkbar sind hier ebenfalls existierende Prüfpflichten zu gespeicher-ten Daten, denen der Diensteanbieter nachkommen muss, oder auch ge-richtlich einklagbare Einsichtsrechte Dritter.

- Subunternehmen zur Service-Erbringung. Häufig sind viele Subunter-nehmen an der Erbringung eines Cloud Services beteiligt. Unstimmigkei-ten zwischen den Vertragspartnern oder unzuverlässige Subunternehmerkönnen sich nachteilig auf die Leistungsfähigkeit des Cloud-Diensteanbie-ters auswirken. In der Regel ist die Beteiligung von Subunternehmen we-sentlich stärker ausgeprägt, als dies beispielsweise beim Outsourcing derFall ist. Bei der Auswahl eines Cloud-Diensteanbieters sollten daher auchdie Subunternehmen betrachtet werden.

- Berücksichtigung vertraglicher Regelungen. Bereits bei der Auswahleines Cloud-Diensteanbieters sollten dessen vertragliche Regelungen be-



rücksichtigt werden. Besteht ein Cloud-Diensteanbieter beispielsweise aufVertragsbestandteilen, die durch die nutzende Institution nicht zu akzep-tieren sind, sollte der entsprechende Cloud-Diensteanbieter als potenziel-ler Vertragspartner ausscheiden. Weitere Informationen zu vertraglichenRegelungen sind in der Maßnahme M 2.541 Vertragsgestaltung mit demCloud-Diensteanbieter beschrieben.

Durchführung einer Kosten-Nutzen-Analyse

Die vorliegenden konkreten Angebote einiger Cloud-Diensteanbieter ermögli-chen in der Folge die Durchführung einer Kosten-Nutzen-Analyse, die für je-den definierten Cloud Service durchzuführen ist. Der Fokus sollte dabei aufder Ermittlung der realistischen Kosten liegen. In der Praxis ist zu beobachten,dass im Verlauf der Service-Definition die gestellten Anforderungen an den zunutzenden Cloud-Dienst, beispielsweise in Form konkreter SLAs, stetig wach-sen. Häufig wird dabei jedoch der Einfluss solcher Leistungsmerkmale auf dieKosten eines Services unterschätzt oder gänzlich aus den Augen verloren.

Die Kosten-Nutzen-Analyse liefert einer Institution in diesem Fall Aufschlüs-se über ein sinnvolles Verhältnis zwischen dem potenziellen Mehrwert kon-kreter Anforderungsanpassungen und den sich daraus ergebenden Kosten.Weist die Kosten-Nutzen-Betrachtung des definierten Cloud Services höhereKosten als Nutzen auf, sollte in der Folge die Service-Definition überdacht undgegebenenfalls angepasst oder auf die Nutzung des Cloud Services verzich-tet werden.

Bei der Betrachtung der Kosten ist zwischen Investitionskosten (Capex - capi-tal expenditure) und Kosten für den operativen Geschäftsbetrieb (Opex - ope-rational expenditure) zu unterscheiden. Bei der Nutzung von Cloud Servicesentstehen zunächst zusätzliche Kosten, da ein Umstieg auf die Cloud nichtsofort vorhandene Services und die dafür benötigte Infrastruktur ablöst. Soübernehmen beispielsweise die Mitarbeiter einer Institution neue Aufgaben,für die sie zusätzlich geschult werden müssen, auch sind weitere organisa-torische Anpassungen innerhalb der nutzenden Institution notwendig. DieseKosten müssen ebenso in die Analyse des Kosten-Nutzen-Verhältnisses ein-bezogen werden, wie die in der Regel verbrauchsorientierten Nutzungskostenfür die Inanspruchnahme eines Cloud-Dienstes.

Auf diesem Weg soll sichergestellt werden, dass die potenzielle Ersparnisdurch die Einführung von Cloud Services realistisch betrachtet wird. In der Pra-xis hat sich gezeigt, dass sich der tatsächliche Vorteil bei der Cloud-Nutzunghäufig aus Einsparungen durch frei werdende Rechenzentrumsfläche ergibt.

Mögliche Fallstricke bei der Auswahl eines Cloud-Diensteanbieters

In der Praxis zeigt sich oft, dass Anwender zwar über ein grundsätzliches Ver-ständnis von Maßnahmen zur geeigneten Auswahl eines Cloud-Dienstean-bieters verfügen, sie aber dennoch an häufig wiederkehrenden Fallstrickenscheitern. Auf die nachfolgend beschriebenen Aspekte sollte daher, in Abhän-gigkeit von den Anforderungen der Institution, ein besonderes Augenmerk ge-legt werden. Die Ausführungen sind dabei als unterstützende Hinweise für denAnwender zu sehen, eine vollständige Umsetzung wird nicht als notwendigerachtet.

Prüfung der vertraglichen Grundlagen

Die Nutzungsbedingungen, Geschäftsbedingungen oder sonstige vertraglicheGrundlagen des Cloud-Diensteanbieters, die bereits vor dem eigentlichen Ver-tragsabschluss zur Einsicht vorliegen, sollten umfassend geprüft werden. Häu-



fig verbergen sich hier hinter unverständlichen, unübersichtlichen, auffallendumfangreichen oder intransparenten Unterlagen nachteilige Regelungen fürden Anwender.

Service-Beschreibungen

Die verfügbaren Service-Beschreibungen des Cloud-Diensteanbieters solltensorgfältig geprüft und hinterfragt werden. Es ist zu klären, wie die darin enthal-tenden Angaben zu verstehen sind. Bei Unklarheiten oder Unsicherheiten soll-te der entsprechende Cloud-Diensteanbieter direkt kontaktiert werden. Häu-fig ist in der Praxis zu beobachten, dass insbesondere im Zusammenhangmit Cloud Services Leistungen durch den Anwender als inklusiver Bestand-teil der Service-Beschreibung vorausgesetzt werden, die in dieser Form vomCloud-Diensteanbieter nicht oder lediglich als kostenpflichtige Zusatzleistungerbracht werden.

Beispiel:

- Der Anwender beauftragt einen Online-Speicher, den er für Daten ein-setzen möchte, die häufigen Änderungen unterliegen. In der zugehörigenService-Beschreibung des Cloud-Diensteanbieters wird das Backup derDaten als Inklusiv-Leistung beschrieben. Da der Anwender in seiner ei-genen Institution täglich ein Backup der Daten vornimmt, setzt er diesenBackup-Zyklus auch beim beauftragten Diensteanbieter als Standard vor-aus. Der Cloud-Diensteanbieter bietet tatsächlich aber nur ein wöchentli-ches Backup an. Für die Verkürzung des Backup-Zyklus fallen zusätzlicheKosten an.

Erwartete und tatsächliche Leistungserbringung

Ein Cloud-Diensteanbieter muss aus Gewinnerzielungsabsicht heraus seineServices möglichst kostengünstig erbringen, was unter Umständen den Er-wartungen des Auftraggebers (hohe Dienstleistungsqualität, Flexibilität, Kun-denfreundlichkeit, Sicherheitsniveau etc.) widerspricht.

Insbesondere bei Cloud-Nutzung ist in der Praxis jedoch häufig zu beobach-ten, dass IT-Verantwortliche die Werbeaussagen des Dienstleisters in der Er-wartung der Senkung von IT-Kosten nicht hinterfragen. Missverständnisse hin-sichtlich erwarteter und tatsächlich erbrachter Leistungen, die häufig nur mitzusätzlichen Kosten zu beheben sind, stellen sich daher oft erst im laufendenBetrieb heraus.

Aus diesem Grund sollten die Verantwortlichen innerhalb einer Institution be-reits vorab eine Vergleichsrechnung durchführen, die Aufschluss darüber gibt,zu welchen Kosten ein Dienstleister die vereinbarte Leistung erbringen muss,damit sowohl Auftraggeber als auch Auftragnehmer von einem Vertragsver-hältnis profitieren. Das Ergebnis der Berechnung zeigt unter Umständen, dasseine seriöse Leistungserbringung zu den angebotenen günstigen Konditionennicht als realistisch angesehen werden kann.

Standardisierte SLA-Beschreibungen

Standardisierte SLA-Beschreibungen des Cloud-Diensteanbieters, die nichtindividuell vereinbart werden, sollten bereits im Rahmen der Auswahl einesCloud-Diensteanbieters sorgfältig hinsichtlich ihres Inhaltes und ihrer Aussa-gekraft untersucht werden. Häufig sind in der Praxis unklare Beschreibungeninnerhalb von SLAs vorzufinden. Dies kann im laufenden Betrieb zu Unstim-migkeiten und Störungen führen. Sofern keine SLA-Beschreibungen vorlie-



gen, sollten Institutionen die verfügbaren AGBs auf ähnliche Weise prüfen undggf. mit konkreten Fragen an den Cloud-Diensteanbieter herantreten.

Beispiel:

- Ein Cloud-Diensteanbieter garantiert innerhalb des SLAs eine Servicever-fügbarkeit von 99,5 %, spezifiziert diese Zahl aber nicht genauer. Für denAnwender ist nicht transparent, was sie bedeutet. Der Service dürfte nachdiesem SLA zwei Tage am Stück ausfallen, was einer für den Anwendermaximal tolerierbaren Ausfallzeit von vier Stunden entgegenstehen würde.

Außendarstellung zur Leistungsfähigkeit des Cloud-Diensteanbieters

Die Außendarstellung zur Leistungsfähigkeit eines Cloud-Diensteanbieters istkritisch zu betrachten und im Zweifelsfall durch individuelle Kontrollen zu über-prüfen. Cloud-Nutzung wird nach wie vor als Trend-Thema angesehen. Ver-antwortliche in Institutionen sehen sich daher aus unterschiedlichen Gründenunter Umständen dazu verleitet, die Werbeversprechen von Cloud-Dienstean-bietern nicht in ausreichendem Maße kritisch zu hinterfragen. Anwender ge-winnen so gegebenenfalls einen falschen Eindruck davon, wer sich tatsächlichhinter dem Cloud-Diensteanbieter verbirgt und hinterfragen dessen getroffeneAussagen zur eigenen Leistungsfähigkeit in der Folge nicht ausreichend. Ineinem solchen Fall hätte beispielsweise die Besichtigung eines Rechenzen-trums vor Ort zum Aufdecken der falschen Versprechungen beigetragen.

Legt eine Institution bei der Auswahl ihres Cloud-Diensteanbieters besonde-ren Wert darauf, dass Zertifizierungen vorhanden sind, sollten auch diese nä-her hinterfragt werden. Häufig sind Zertifizierungen (zum Beispiel nach ISO/IEC 27001, ISO 9001 etc.) zwar grundsätzlich vorhanden, werden aber nichtregelmäßig aktualisiert und sind daher nicht mehr gültig oder der Scope decktden betroffenen Service nicht ab. Auch sind der Inhalt und Umfang zu hinter-fragen und gegebenenfalls weitere Informationen vom Cloud-Diensteanbieterzu fordern. Als zuverlässig sind in diesem Zusammenhang Zertifizierungennach IT-Grundschutz auf Basis von ISO 27001 anzusehen.

Kundenfreundlichkeit

Verwendet der Cloud-Diensteanbieter in seiner Leistungsbeschreibung unkla-re Definitionen und ist nicht willens oder in der Lage, diese verständlich zuerläutern, sollte der Anwender prüfen, ob dies ein geeigneter Vertragspartnerfür den geplanten Cloud Service ist.

Prüffragen:

- Wurde auf der Basis der Service-Definition für den Cloud-Dienst eindetailliertes Anforderungsprofil für einen Cloud-Diensteanbieter erstellt?

- Existiert eine Leistungsbeschreibung oder ein Lastenheft zum Abgleichund zur Bewertung vorliegender Angebote unterschiedlicher Cloud-Diensteanbieter?

- Fanden ergänzende Informationsquellen (zum Beispiel Marktanalysen,vertragliche Regelungen oder Standortwahl) Eingang in die Bewertungeines Cloud-Diensteanbieters?

- Wurden die verfügbaren Service-Beschreibungen (SLAs oder AGBs) desCloud-Diensteanbieters sorgfältig geprüft und hinterfragt?



M 2.541 Vertragsgestaltung mit demCloud-Diensteanbieter

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter IT

Hat die Institution einen geeigneten Cloud-Diensteanbieter ausgewählt, soll-ten alle relevanten Aspekte der geplanten Cloud-Nutzung vertraglich in soge-nannten Service Level Agreements, kurz SLA, festgehalten und geregelt wer-den. Dabei sollten Art, Umfang und Detaillierungsgrad der vertraglichen Re-gelungen dem Schutzbedarf der Daten und Anwendungen angepasst werden,die im Zusammenhang mit der Cloud-Nutzung stehen.

Bei der Vertragsgestaltung mit dem Cloud-Diensteanbieter ist eine Vielzahlunterschiedlicher Themen zu betrachten. Es ist darauf zu achten, dass allezuvor definierten Anforderungen auch im Vertrag mit dem Cloud-Dienstean-bieter berücksichtigt werden. Grundsätzlich sollten sich die vertraglichen Re-gelungen zumindest an den nachfolgend beschriebenen Punkten orientieren.

Ort der Leistungserbringung durch den Cloud-Diensteanbieter

Es ist festzuhalten, an welchen Standorten ein Cloud-Diensteanbieter die be-auftragten Cloud Services erbringt (zum Beispiel national, innerhalb der Euro-päischen Union etc.). Wenn notwendig, können auch explizit bestimmte Re-chenzentren festgelegt werden.

An der Erbringung des Services beteiligte Subunternehmer oderandere Dritte

Sofern Subunternehmer an der Service-Erbringung beteiligt sind beziehungs-weise der Cloud-Dienst auf anderen Cloud-Diensten basiert, ist dies unter An-gabe der beteiligten Dritten vertraglich festzuhalten. Änderungen müssen demCloud-Anwender mitgeteilt werden, und bei kritischen Diensten muss auch einaußerordentliches Kündigungsrecht eingeräumt werden.

Regelungen hinsichtlich der Infrastruktur des Cloud-Diensteanbieters

In diesem Zusammenhang sind unter anderem Vorgaben zur Absicherung dervorhandenen Infrastruktur und umzusetzende Maßnahmen zur Ausfallsicher-heit beim Cloud-Diensteanbieter festzuhalten. Auch Vorgaben zur Ausgestal-tung der Umsetzung einer mandantenfähigen Infrastruktur durch den Cloud-Diensteanbieter sollten vertraglich geregelt werden. Gegebenenfalls kann indiesem Zusammenhang ein Nachweis mithilfe von Zertifizierungen erfolgen.

Regelungen hinsichtlich des Personals beim Cloud-Diensteanbieter

Sofern die nutzende Institution besondere Anforderungen an Skill-Level, Qua-lifikationen und Zertifizierungen des Personals beim Cloud-Diensteanbieterstellt, sind diese vertraglich festzulegen. Dabei sind unter anderem folgendeAspekte denkbar:

- Regelungen zum Vorgehen des Cloud-Diensteanbieters bei der Einstel-lung von IT-Administratoren oder anderen Mitarbeitern mit Zugriffsrechtenauf Kundendaten. Bei Vertragspartnern mit Standorten in mehreren Län-dern sollte sichergestellt sein, dass unabhängig vom Einsatzort des Mitar-



beiters die gleichen Kriterien (zum Beispiel hinsichtlich Aus- und Weiter-bildung, benötigten Zertifikaten, Sprachvermögen) angesetzt werden.

Weiterhin sind folgende Themen hinsichtlich des Personals zu regeln:

- Vorgaben zu notwendigen Schulungen zu Informationssicherheit durchden Cloud-Diensteanbieter

- Sofern dies als erforderlich angesehen wird, kann ein Nachweis der Si-cherheitsüberprüfung von Mitarbeitern eingefordert werden.

- Vorgaben zur regelmäßigen Beurteilung des Personals, um das erforder-liche Qualitätsniveau dauerhaft gewährleisten zu können.

Regelungen zu Kommunikationswegen und Ansprechpartnern

Es sind klare Verantwortlichkeiten, Eskalationsstufen und Kommunikations-wege zwischen der beauftragenden Institution und dem Cloud-Diensteanbie-ter zu definieren. Die Kommunikationssprache ist festzulegen. Es ist insbe-sondere darauf zu achten, dass Regelungen zu Ansprechpartnern im Notfall,zum Sicherheitsvorfall-Management und zur Behebung von Fehlern getroffenwerden. Je nach Anforderungen des Auftraggebers sind hier explizit Telefon-nummern, Kontaktpersonen sowie Erreichbarkeitszeiten anzugeben.

Regelungen zu Prozessen, Arbeitsabläufen und Zuständigkeiten

Folgende Themen sollten vertraglich vereinbart werden:

- Vorgaben zur Durchführung regelmäßiger Security-Monitoring-Aktivitäten- Vorgaben zum Incident Handling- Vorgaben zur Durchführung regelmäßiger Abstimmungsrunden- Vorgaben zum Änderungsmanagement beim Cloud-Diensteanbieter- Vorgaben zu den Fernzugangsrichtlinien des Cloud-Diensteanbieters- Umzusetzende Maßnahmen zum Schutz gegen Schadprogramme- Detaillierte Dokumentation des Backup- und Recovery-Prozesses- Einräumung des Rechts zur eigenen Datensicherung durch die nutzende

Institution (soweit dies beim angebotenen Dienst möglich ist)- Bereitstellung von verschlüsselten Transportwegen- Mitwirkungspflichten des Cloud-Anwenders

Regelungen zur Beendigung des Vertragsverhältnisses

Es sind unter anderem Regelungen zur Rückgabe der Daten zu treffen. Wei-terführende Informationen zu umzusetzenden Maßnahmen, für den Fall, dassdas Vertragsverhältnisses beendet wird, sind der Maßnahme M 2.307 Geord-nete Beendigung eines Outsourcing- oder Cloud-Nutzungs-Verhältnisses zuentnehmen.

Sicherstellung der Datenlöschung beim Cloud-Diensteanbieter

Es sind Vereinbarungen darüber zu treffen, was unter der Löschung von Da-ten zu verstehen ist und was die vollständige Löschung der Daten beinhal-tet. Hierbei kann beispielsweise zwischen dem Entfernen von Tags und dem(mehrfachen) Überschreiben von Daten unterschieden werden.

Weiterhin sind Vereinbarungen darüber zu treffen, welches Sicherheitsniveaubei der Datenlöschung durch den Cloud-Diensteanbieter zu erzielen ist und obeine Unterscheidung hinsichtlich der Datenlöschung im regulären Betrieb oderbei Vertragsbeendigung erfolgen soll. Hierfür bietet es sich an, den notwendi-gen Aufwand zur Wiederherstellung der Daten als Maßstab heranzuziehen. Inden meisten Fällen sollte ein Sicherheitsniveau angestrebt werden, bei demdie Wiederherstellung der Daten mithilfe professioneller Recovery-Tools nichtmöglich ist. Sofern höhere Anforderungen an das Sicherheitsniveau der Da-



tenlöschung, beispielsweise die Zerstörung der Datenträger nach DIN-Norm66399, existieren, ist bereits im Vorfeld zu klären, ob diese durch den Cloud-Diensteanbieter tatsächlich erfüllt werden können (siehe hierzu auch Maßnah-me M 2.540 Sorgfältige Auswahl eines Cloud-Diensteanbieters).

Die Problematik des sicheren Löschens in modernen Speicherlösungen istin der Maßnahme M 2.527 Sicheres Löschen in SAN-Umgebungen des Bau-steins B 3.303 Speicherlösungen / Cloud Storage betrachtet worden. Hier kön-nen sowohl Anwender als auch Cloud-Diensteanbieter Hilfestellung hinsicht-lich des zu erzielenden Sicherheitsniveaus finden.

Regelungen zu Zutritts- und Zugriffsberechtigungen

Sofern sich eine solche Anforderung aus den vorangegangenen Betrachtun-gen der Institution ergibt, ist hier beispielsweise die Beschränkung von Zu-griffsberechtigungen ausschließlich auf zertifiziertes Personal denkbar. Wei-terhin sind Vorgaben zu umzusetzenden Sicherheitsmaßnahmen in den Re-chenzentren des Cloud-Diensteanbieters festzuhalten.

Regelungen zur Notfallvorsorge

Es sollte vertraglich geregelt werden, dass der Cloud-Diensteanbieter Notfall-pläne vorhält und diese für den Cloud-Anwender zur Einsichtnahme zur Ver-fügung stehen.

Abhängig von den Verfügbarkeitsanforderungen der Anwender sind Dringlich-keitsstufen festzulegen, garantierte Reaktionszeiten im Notfall zu vereinbarensowie die Durchführung von Notfallübungen beim Cloud-Diensteanbieter zufordern.

Regelungen zu rechtlichen Rahmenbedingungen

Folgende Themen sind zu betrachten:

- Verpflichtung des Cloud-Diensteanbieters zur Einhaltung geltender Nor-men und Gesetze in Abhängigkeit des Standortes und der relevantenBranche.

- Regelungen zur Einbindung Dritter. Der Cloud-Diensteanbieter sollte zurSchaffung von Transparenz verpflichtet werden. Services, welche die Ser-vice Delivery Supply Chain betreffen, die Sicherheit (zum Beispiel die Ver-fügbarkeit) gefährden und durch Subunternehmer erbracht werden, sindoffenzulegen. Darüber hinaus ist festzuhalten, dass SLAs, die Subunter-nehmer dem Cloud-Diensteanbieter bieten, nicht geringer sein sollten alsjene, die der Cloud-Diensteanbieter seinen Kunden bietet. Der Cloud-Diensteanbieter sollte über Methoden verfügen, die ihn befähigen, den tat-sächlichen Service-Level seiner Subunternehmer zu überprüfen. Zudemist vertraglich zu regeln, dass Sicherheitsrichtlinien und Kontrollen auchvon Dritten angewendet werden.

- Vorgaben zur Beendigung der Cloud-Nutzung, zum Beispiel Kündigungs-regelungen

- Vertraulichkeitsvereinbarungen- Vereinbarung von Vertragsstrafen- Festlegung von Haftungsfragen- Gerichtsstand und anwendbares Recht auch hinsichtlich geltender Daten-

schutzbestimmungen

Festlegungen zum Änderungsmanagement und zu Testverfahren

In Bezug auf das Änderungsmanagement und die Umsetzung von Testver-fahren ist festzulegen, inwiefern flexible Anpassungsmöglichkeiten gegeben



sind. Dies ist insbesondere bei der Konfrontation mit gesetzlichen Änderungenoder gestiegenen Anforderungen relevant.

Regelungen zur Durchführung von Kontrollen

Die nutzende Institution sollte sich das Recht zur Durchführung eigener Auditsbeim Cloud-Diensteanbieter vertraglich einräumen lassen. Ebenso sollte dieAkzeptanz von Audits durch Dritte sowie die Durchführung von Penetrations-tests schriftlich bestätigt werden. In diesem Zusammenhang sind Regelungendazu zu treffen, wer die Kosten für die Durchführung von Audits trägt. Dar-über hinaus ist festzulegen, wie mit den Audit-Logs des Cloud-Diensteanbie-ters umzugehen ist. Folgende Themen sollten betrachtet werden:

- Vorgaben zur Aufbewahrungsfrist für Log-Daten- Wirksame Kontrollen zum Schutz von Logs vor nicht autorisiertem Zugriff- Methoden zur Überprüfung und Sicherung der Integrität von Audit-Logs- Durchführung von Audit-Log-Reviews- Vorgaben zur Zeitquelle, die genutzt wird, um Systeme zu synchronisieren

und einen exakten Zeitstempel für Audit-Logs anzubieten

Weiterhin sollte vertraglich geregelt werden, welche Messungen auf die Ein-haltung von SLAs vorgenommen werden. Auch das regelmäßige Reporting zuanstehenden Änderungen beim Cloud-Diensteanbieter (zum Beispiel bezüg-lich Funktionsumfang, Subunternehmern und sämtlichen für SLA relevantenEreignissen) ist sicherzustellen.

Berücksichtigung besonderer Anforderungen

Unter Umständen können Institutionen besondere Anforderungen an einenCloud Service stellen. Diese sollten ebenfalls als vertragliche Regelung fest-gehalten werden. Denkbar sind beispielsweise folgende Anforderungen:

- Zusicherung der Nutzung ausschließlich bestimmter, vorab definierter Re-chenzentren

- Regelungen zum Import beziehungsweise Export von Daten sowie zu be-nötigten Schnittstellen zu anderen Services und Systemen

- Festlegung der konkreten Konfigurationsparameter bezüglich definierterInteroperabilitätsanforderungen

- Einräumen des Rechts zur Durchführung eigener Datensicherungen undErfassung notwendiger Schnittstellen und Parameter.

Prüffragen:

- Sind die vertraglichen Regelungen in Art, Umfang und Detaillierungsgraddem Schutzbedarf der Daten und Anwendungen angepasst, die imZusammenhang mit der Cloud-Nutzung stehen?

- Wurde geregelt, an welchem Standort der Cloud-Diensteanbieter seineLeistungen erbringt?

- Wurden klare Verantwortlichkeiten, Eskalationsstufen undKommunikationswege zwischen der beauftragenden Institution und demCloud-Diensteanbieter definiert?

- Existieren Vereinbarungen über die sichere Löschung von Daten durchden Cloud-Diensteanbieter?

- Wurden Kündigungsregelungen schriftlich fixiert?



M 2.542 Sichere Migration zu einemCloud Service

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter ITVerantwortlich für Umsetzung: Administrator, Fachverantwortliche, IT-

Sicherheitsbeauftragter, Leiter IT

Hat die Institution einen Cloud-Diensteanbieter für ihr Cloud-Nutzungs-Vor-haben ausgewählt, müssen bei der Umsetzung der Migration verschiedeneSicherheitsaspekte betrachtet werden. Die Vorgaben zur sicheren Migrationsollten auch angewendet werden, wenn ein Cloud Service wieder zurück in dieeigene Institution geholt oder er an einen anderen Anbieter übertragen wird.

Grundlegende Aspekte der Planung einer sicheren Migration zu einem CloudService werden ausführlich in der Maßnahme M 2.537 Planung der sicherenMigration zu einem Cloud Service beschrieben. Dabei ist zu beachten, dassdie Zielinfrastruktur für einen Cloud Service in der Regel durch den Cloud-Diensteanbieter bereitgestellt wird. Sie ist daher nicht Gegenstand der Be-trachtungen im Rahmen der Migrationsumsetzung.

Durchführung der Migration

Die Migration erfolgt auf Basis des Migrationskonzeptes, das bereits in derPlanungsphase erstellt wurde und technische sowie organisatorische Voraus-setzungen für eine Migration enthält. Darüber hinaus sind hier bestimmte Vor-gaben zum Ablauf der Migration wie die Ausgestaltung einer Testphase oderPilotphase beschrieben.

Im Rahmen der Migration sind die Vorgaben des Migrationskonzeptes mit dentatsächlichen Gegebenheiten der Institution abzugleichen. Im Falle von Ab-weichungen müssen diese erfasst und dokumentiert werden. In diesem Fallsind Maßnahmen zu ergreifen, um den im Migrationskonzept definierten Zu-stand herzustellen.

Auch das Sicherheitskonzept, das in der Planungsphase erstellt wurde (sie-he hierzu Maßnahme M 2.539 Erstellung eines Sicherheitskonzeptes für dieCloud-Nutzung), ist während der Umsetzung der Migration auf notwendige An-passungen zu prüfen und gegebenenfalls zu aktualisieren. Um während derEinführungsphase das notwendige IT-Sicherheitsniveau kontinuierlich zu ge-währleisten, ist ein besonderes Augenmerk auf die Abstimmung folgender si-cherheitsrelevanter Aspekte zu richten:

- Um die Übertragung von Daten der Institution zu einem Cloud-Dienstean-bieter vornehmen zu können, sind gegebenenfalls privilegierte Zugriffs-rechte notwendig. Um das angestrebte Sicherheitsniveau gewährleistenzu können, ist entsprechend sicherzustellen, dass die Vergabe der zu-griffsrechte ausschließlich gemäß den Vorgaben der Planung erfolgt unddiese wieder entzogen werden, nachdem die MIgration abgeschlossen ist.

- Wird die Migration durch einen externen Dritten geplant und durchgeführtund bei der Migrationsplanung besondere Regelungen aufgestellt, so istderen Einhaltung zu prüfen.

- Im Falle einer fehlgeschlagenen oder abgebrochenen Migration ist sicher-zustellen, dass die notwendigen Maßnahmen um die bereits übermitteltenDaten zu löschen durch den Cloud-Diensteanbieter realisiert werden.

Bevor die ersten Daten einer Institution an den Cloud-Diensteanbieter über-mittelt werden, sind zusätzlich alle Maßnahmen zur Notfallvorsorge auf Voll-ständigkeit und Aktualität zu prüfen. Gegebenenfalls müssen daraufhin Fall-



back-Szenarien angepasst werden, um im Notfall die Daten wieder aus derCloud zurückholen zu können. Regelungen, wie die Institution mit einem Ab-bruch einer Datenübertragung umzugehen hat, sind auf deren Anwendbar-keit und Einhaltung hin zu überprüfen. Auch wenn bereits ein Teil der Da-ten migriert wurde und alle notwendigen Voraussetzungen zur Nutzung vonCloud Services geschaffen sind, besteht die Notwendigkeit zur kontinuierli-chen Sicherung des Datenbestandes durch den Anwender. Die ordnungsge-mäße Durchführung der Datensicherung ist daher während der Migration re-gelmäßig zu kontrollieren.

Durchführung der Migration im Rahmen eines Testbetriebs

Um einen möglichst reibungslosen Übergang zur Cloud-Nutzung ohne Beein-trächtigung des laufenden Betriebs zu gewährleisten, empfiehlt es sich, dieMigration zunächst in einem Testbetrieb auf ihre Umsetzbarkeit hin zu über-prüfen.

Dabei wird der Cloud Service zunächst mithilfe einiger Testdaten betrieben.Dies hat den Vorteil, dass die Vorgaben des Migrations- und des SIicherheits-konzeptes auf deren grundsätzliche Realisierbarkeit hin überprüft werden kön-nen. Gegebenenfalls kann bereits zu diesem Zeitpunkt zusätzlicher Nachbes-serungs- oder Entwicklungsbedarf identifiziert werden. Im Rahmen des Test-betriebs sollten, sofern möglich und sinnvoll, Leistungsmessungen vorgenom-men werden, um diese mit den geforderten Leistungswerten zu vergleichen.So kann festgestellt werden, ob sich der geplante Migrationsweg grundsätz-lich als umsetzbar erweist. Zudem erhält man Erkenntnisse, ob die geplanteBandbreite ausreichend ist und ob sich der zeitgleiche Umzug der festgeleg-ten Anzahl an Datensätzen wie geplant realisieren lässt.

Durchführung der Migration innerhalb einer Pilotphase

Abhängig vom Umfang des Cloud-Nutzung-Vorhabens wird nach erfolgreichabgeschlossenem Testbetrieb der Übergang in eine Pilotphase empfohlen.

Ziel der Pilotphase ist es, einen Abgleich der Produktion gegenüber den zuvordefinierten Anforderungen der Institution an den Cloud Service zu erhalten.Hierbei ist noch einmal zu prüfen, ob alle Zusagen und Vereinbarungen mitdem Cloud-Diensteanbieter auch eingehalten werden.

Die Durchführung der Pilotphase dient in der Regel weiterhin dazu, dass sichService-Administratoren auf der Anwenderseite zunehmend mit dem neuenService vertraut machen können. Im Rahmen der Migration in einer Pilotpha-se sollten Service-Administratoren ihre Erfahrungen entsprechend dokumen-tieren, um erlerntes Wissen zu dokumentieren und daraus gegebenenfalls zu-sätzliche Schulungsinhalte für zukünftiges Personal ableiten zu können.

Übergang in den Produktionsbetrieb

Sind der Testbetrieb und der Übergang in die Pilotphase positiv verlaufen,erfolgt die anschließende Durchführung der Migration und damit die Überfüh-rung des Cloud Services in den Produktionsbetrieb. In diesem Zusammen-hang sind die zwischen Anwender, Cloud-Diensteanbieter und gegebenenfallsexternem Migrations-Dienstleister getroffenen Regelungen gemäß den Über-gabeprozessen zu berücksichtigen.



Prüffragen:

- Ist das Sicherheitskonzept im Rahmen der Umsetzung der Migrationund der damit verbundenen Regelungen auf etwaige Anpassungen undAnforderungen überprüft und gegebenenfalls angepasst worden?

- Wurden im Rahmen der Umsetzung der Migration alle Maßnahmenhinsichtlich der Notfallvorsorge auf Vollständigkeit und Aktualitätüberprüft?

- Wurde die Funktionalität der Cloud-Nutzung zuvor in einem Testbetriebüberprüft?

- Erfolgte ein Abgleich der Produktion gegenüber den definiertenAnforderungen der Institution an den Cloud Service?



M 2.543 Aufrechterhaltung derInformationssicherheit imlaufenden Cloud-Nutzungs-Betrieb


Leiter IT

Nach der erfolgreich abgeschlossenen Migration zu einem Cloud Servicemuss die Aufrechterhaltung der Informationssicherheit im laufenden Betriebgewährleistet werden. Hierzu sind eine Reihe von Maßnahmen zu ergreifen,die im Folgenden näher beschrieben sind.

Die regelmäßige Aktualisierung von Dokumentationen und Richtlinien inner-halb der Institution ist sicherzustellen. Dies gilt beispielsweise für Betriebs-handbücher, Nutzungsanweisungen oder Anleitungen.

Weiterhin ist sicherzustellen, dass regelmäßige Kontrollen durchgeführt wer-den, die sich über möglichst viele Bereiche der Cloud-Nutzung erstrecken. Essind zumindest folgende Aspekte zu betrachten und in regelmäßige Kontrolleneinzubeziehen:

- Sicherstellung der ordnungsgemäßen Administration von Cloud Ser-vices.Im Rahmen der Maßnahme M 3.11 Schulung des Wartungs- und Admi-nistrationspersonals werden grundlegende Vorgaben zu den Anforderun-gen an Administratoren beschrieben. Es ist sicherzustellen, dass alle Ad-ministratoren von Cloud Services diese Anforderungen kennen und dazubefähigt werden, diese zu erfüllen. Regelmäßige Reviews der vergebe-nen Berechtigungen können ebenfalls zur Sicherstellung der ordnungsge-mäßen Administration von Cloud Services beitragen. Sofern dies im Rah-men der Planungsmaßnahmen als notwendig angesehen und dokumen-tiert wurde, ist an dieser Stelle auch auf die Einhaltung des 4-Augen-Prin-zips zu achten.

- Regelmäßige Kontrolle der Service-Erbringung.In diesem Bereich sind die für die Service-Erbringung unabdingbarenParameter zu überprüfen, neben den im Vertrag (SLA) mit dem Cloud-Diensteanbieter vereinbarten Kennzahlen (zum Beispiel Verfügbarkeit,maximale Anzahl gleichzeitiger Benutzer, Schnelligkeit der Einrichtungneuer Benutzer oder neuer Ressourcen, um nur einige zu nennen). Hinzukommen weitere Parameter, die Leistungen der eigenen Institution odervon Dritten beschreiben, wie beispielsweise die Performance der Netzan-bindung und -verbindungen.

- Regelmäßige Service-Reviews zwischen Cloud-Diensteanbieter undAnwender.Ein wichtiger Aspekt der Aufrechterhaltung der Informationssicherheit imlaufenden Cloud-Nutzungs-Betrieb ist die regelmäßige Durchführung vonService-Reviews zwischen dem beauftragten Cloud-Diensteanbieter undder Institution. Dabei sollten die vereinbarten und die tatsächlich erreichtenService-Level gegenübergestellt werden. Die Behandlung von Ausnahme-situationen, wie beispielsweise eines groß angelegten Angriffs oder einesglobalen Netzausfalls, sollte ebenfalls Inhalt der Reviews sein. Die Forde-rung nach regelmäßigen Service-Reviews unter Beteiligung von Auftrag-geber und Auftragnehmer ist in der Praxis nicht für jeden Cloud-Dienst



umsetzbar. Das Service-Review kann daher auch zunächst vom Auftrag-geber allein vorgenommen werden. Nur bei ermittelten Problemen oderbei hohem Schutzbedarf sollte eine entsprechende Abstimmung mit demCloud-Diensteanbieter erfolgen.

- Sicherstellung der Interoperabilität von Cloud Services.Um bei Nutzung mehrerer Cloud Services deren Interoperabilität sicher-stellen zu können, empfiehlt sich die Durchführung von Interoperabilitäts-tests.

- Erbringung von Sicherheitsnachweisen durch den Cloud-Dienstean-bieter.Die Institution sollte regelmäßig die vorhandene Dokumentation aufsei-ten des Cloud-Diensteanbieters zur Einsicht einfordern. Ebenso sollte derCloud-Diensteanbieter in der Lage sein, Nachweise über die Zertifizierungvon internen Kontrollsystemen für seine Prozesse und Services zu erbrin-gen, sofern dies vertraglich vereinbart ist.

- Die ordnungsgemäße Durchführung von Datensicherungen.- Die Sicherstellung der Einhaltung vorgesehener und vereinbarter

Prozesse.- Die Kontrolle der technischen Maßnahmen zur Verhinderung der Nut-

zung nicht "erlaubter" Services, beispielsweise mithilfe des Einsat-zes von Proxys.

- Die Durchführung von Audits, Sicherheitsprüfungen, Penetrations-tests oder Schwachstellenanalysen.

Neben den bereits beschriebenen Maßnahmen bietet die Durchführung regel-mäßiger Abstimmungsrunden zwischen Cloud-Diensteanbieter und nutzenderInstitution weitere Möglichkeiten zur Gewährleistung der Informationssicher-heit im laufenden Cloud-Nutzungs-Betrieb. In diesem Zusammenhang könnenAbstimmungen zu unterschiedlichen Themen von Interesse sein. Aktuelle In-formationen bezüglich des Änderungsmanagements bieten sich beispielswei-se ebenso an wie Änderungen hinsichtlich der Personalsituation aufseiten desCloud-Diensteanbieters. Auch eine Diskussion über die Kundenzufriedenheitund mögliche Verbesserungspotenziale könnten Inhalt einer solchen Abstim-mungsrunde sein.

Die Planung und Durchführung von Übungen und Tests leistet einen wich-tigen Beitrag, um die Informationssicherheit aufrecht zu erhalten. Dabei ist,mit Schwerpunkt auf der Kommunikation zwischen Institution und Cloud-Diensteanbieter, vor allem die Reaktion auf Systemausfälle (Teilausfall undTotalausfall) zu planen und zu überprüfen. Weiterhin müssen Planungen hin-sichtlich des Wiedereinspielens von Datensicherungen vorgenommen und do-kumentiert werden. Generell sind Vorgaben zum Sicherheitsvorfallsmanage-ment bei Cloud-Nutzung festzuhalten.

Prüffragen:

- Werden Dokumentationen und Richtlinien (zum BeispielBetriebshandbücher und Nutzungsanweisungen) regelmäßig aktualisiert?

- Wird die Service-Erbringung regelmäßig kontrolliert?- Wurden Sicherheitsnachweise durch den Cloud-Diensteanbieter

erbracht?- Werden regelmäßige Abstimmungsrunden zwischen Cloud-

Diensteanbieter und nutzender Institution durchgeführt?- Werden Übungen und Tests zur Reaktion auf Systemausfälle geplant und

durchgeführt?



M 2.544 Auditierung bei Cloud-NutzungVerantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter ITVerantwortlich für Umsetzung: IT-Sicherheitsbeauftragter

Die Durchführung von Audits wird im Zusammenhang mit der Nutzung vonCloud Services als eine notwendige Maßnahme angesehen. Erfahrungen ausder Praxis haben gezeigt, dass die nutzende Institution Abweichungen zu ver-traglichen Vereinbarungen, wie beispielsweise die Nichteinhaltung bestimm-ter Service-Level oder die Missachtung von Sicherheitsvorgaben häufig nurim Rahmen von Audits transparent machen kann.

Da der Auditierung im Cloud-Nutzungs-Umfeld eine solch große Bedeutungzukommt, sollten Audits in verschiedenen Phasen der Cloud-Nutzung thema-tisiert werden:

- Bei der Auswahl des Providers im Hinblick auf die generelle Einräumungeines Audit-Rechts.

- Bei der Vertragsgestaltung mit dem Cloud-Diensteanbieter hinsichtlich derAusgestaltung des Audit-Rechts.

- Bei der Festlegung von Maßnahmen zur regelmäßigen Durchführung vonAudits im Cloud-Nutzungs-Betrieb.

Die nutzende Institution sollte die Umsetzung der mit dem Cloud-Dienstean-bieter vereinbarten Sicherheitsmaßnahmen regelmäßig überprüfen. Zu die-sem Zweck bieten sich zur Durchführung der Audits aber auch speziell aus-gearbeitete Fragebögen an.

Durchführung von Audits beim Cloud-Diensteanbieter

Bei der Durchführung von Audits beim Cloud-Diensteanbieter können grund-sätzlich drei Ausprägungen unterschieden werden, die von der Art der Ser-vice-Erbringung abhängig sind. Bei der Nutzung eines Services, der in Formeiner Private Cloud On-Premise erbracht wird, erfolgt die Überprüfung als in-ternes Audit. Werden andere Service-Erbringungs-Modelle genutzt, wird derCloud-Diensteanbieter einem externen Audit unterzogen. Eine Sonderformstellen sogenannte Fremd-Audits dar. Diese werden häufig mit dem Ziel eineranschließenden Zertifizierung (zum Beispiel ISO 27001 Zertifizierung auf derBasis von IT-Grundschutz) durchgeführt.

Die unterschiedlichen Service-Modelle bei Cloud-Nutzung bedingen verschie-dene Audit-Ebenen. Die Existenz solch unterschiedlicher Ebenen stellt eineBesonderheit bei der Nutzung von Cloud-Diensten dar. Diese Besonderheit istsowohl während der Planung als auch im Verlauf der Durchführung von Auditszu berücksichtigen. Dem Auditor muss klar sein, welche Art von Service er zubewerten hat, da sich der Aufwand für ein Audit in Abhängigkeit der Ebeneändert.

Bei der Modellierung des IT-Verbundes nach IT-Grundschutz muss, in Abhän-gigkeit vom Service-Modell, die Bausteinauswahl anders getroffen werden.Während bei der Nutzung von Cloud-Diensten als Infrastructure as a Service(IaaS) hauptsächlich das Rechenzentrum und die zugehörige Infrastruktur zubetrachten sind, wird dies bei Nutzung von Cloud-Diensten als Platform as aService (PaaS) bereits um die Betrachtung von Betriebssystemen und Midd-leware (zum Beispiel Webserver, Datenbanken, sonstige Anwendungen mitzugehörigen Schnittstellen) ergänzt. Bei Nutzung von Software as a Service(SaaS) ist zusätzlich die Anwendungsebene einzubeziehen.



Der Auditor muss daneben auch immer den Schutzbedarf der Informationensowie die Abhängigkeiten zu anderen Bereichen wie Infrastruktur, Systemen,Anwendungen oder Diensten, die den Service bilden, berücksichtigen.

Prüffragen:

- Hat sich die Institution das Recht zur Durchführung von Audits vertraglichzusichern lassen?

- Wird die Umsetzung der mit dem Cloud-Diensteanbieter vereinbartenSicherheitsmaßnahmen regelmäßig in Form von Audits oder durch dieBeantwortung von Fragebögen überprüft?

- Werden bei der Planung und der Durchführung von Audits dieBesonderheiten der Service-Modelle IaaS, PaaS und SaaSberücksichtigt?



M 2.545 Modellierung der Cloud-NutzungVerantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter ITVerantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter,

Leiter IT

Allgemeine Hinweise zur Anwendung des Bausteins

Der Baustein B 1.17 Cloud-Nutzung richtet sich an alle Institutionen, die bereitsCloud Services in Anspruch nehmen oder deren zukünftigen Einsatz planen.Die Gefährdungen und Maßnahmen des Bausteins gelten dabei grundsätzlichunabhängig vom genutzten Service- und Bereitstellungsmodell.

Sofern in Abhängigkeit eines spezifischen Service- oder Bereitstellungsmo-dells Besonderheiten auftreten sollten, sind diese in der entsprechenden Ge-fährdung beziehungsweise Maßnahme gesondert vermerkt. Nähere Informa-tionen zu den genannten Service-Begriffen sowie weitere grundlegende Defi-nitionen und Erläuterungen finden sich in Maßnahme M 4.462 Einführung indie Cloud-Nutzung.

Der Baustein B 1.17 Cloud-Nutzung ist immer auf einen konkreten Cloud Ser-vice anzuwenden. Nutzt eine Institution einen Verbund von Cloud Services,so sind alle Services einzeln zu modellieren. Die Schnittstelle zwischen denServices ist ebenfalls Gegenstand des Bausteins und muss für alle Servicesbetrachtet werden.

Cloud-Nutzung umfasst alle Themengebiete, die zur Nutzung einer Cloud-Um-gebung erforderlich sind. Insbesondere sind damit die folgenden Punkte durchdie Inhalte des Bausteins abgedeckt:

- Anwendung des Cloud Services durch Mitarbeiter der nutzenden Institu-tion

- Administration des Cloud Services durch Mitarbeiter der nutzenden Insti-tution

Schnittstellen zu anderen Bausteinen

Der Baustein Cloud-Nutzung ist eng verwandt mit dem Baustein B 1.11 Out-sourcing. In nahezu allen Bereitstellungsmodellen, abgesehen von der Nut-zung einer Private Cloud On-Premise, stellt die Nutzung von Cloud Serviceseine Sonderform des Outsourcings dar.

Um die Lesbarkeit und Anwendbarkeit des Bausteins zu verbessern, wurdenrelevante bestehende Gefährdungen aus dem Bereich des Outsourcings auchin den Baustein Cloud-Nutzung aufgenommen. Ergänzend findet sich eineReihe spezifischer Gefährdungen, die gezielt Besonderheiten bei der Nutzungvon Cloud Services betrachten.

Eine Reihe der neu konzipierten Maßnahmen des Bausteins Cloud-Nutzungweist Redundanzen zu bereits bestehenden Maßnahmen des Bausteins Out-sourcing auf. Die komplette Neuerstellung wurde dabei der bloßen Ergänzungbestehender Maßnahmen um Cloud-spezifische Aspekte bewusst vorgezo-gen. Durch die gewählte Gestaltung der Bausteininhalte kann der BausteinCloud-Nutzung eigenständig betrachtet werden, was auch dem starken Inter-esse an der Thematik Cloud-Nutzung Rechnung trägt.

Neben den genannten Schnittstellen zum Outsourcing weisen weitere Bau-steine Berührungspunkte mit dem Baustein Cloud-Nutzung auf. Einige Ge-fährdungen und Maßnahmen aus dem Bereich des Cloud Managements (sie-



he Baustein B 5.23 Cloud Management) sprechen ähnliche Aspekte an, wiesie auch bei der Cloud-Nutzung relevant sind. Ein Beispiel hierfür stellt dieGefährdung G 2.176 Mangelnde Kommunikation zwischen Cloud-Dienstean-bieter und Cloud-Anwender dar, die in beiden Bausteinen Anwendung findet.Übernimmt die eigene IT die Rolle des Cloud-Diensteanbieters, beispielsweisein Verbindung mit dem Einsatz einer Private Cloud On-Premise, ist neben demBaustein Cloud-Nutzung auch der Baustein Cloud Management anzuwenden.

Erfolgt die Administration des Cloud-Dienstes durch den Cloud Service Admi-nistrator aufseiten der nutzenden Institution über eine Management-Software,die Webservices verwendet, ist zusätzlich der Baustein B 5.24 Web-Servicesanzuwenden.

Abgrenzungen zu anderen Bausteinen

Alle Aspekte, die im Zuständigkeitsbereich des Cloud-Diensteanbieters liegen,sind durch den Baustein B 5.23 Cloud Management abgedeckt.

Eine Besonderheit stellen Cloud Services dar, die über die Bereitstellungeiner entsprechenden API (Application Programming Interface) durch denCloud-Diensteanbieter angebunden werden. Zur Betrachtung aller relevan-ten Gefährdungen und Maßnahmen im Zusammenhang mit der entstehendenSchnittstelle ist der Baustein B 5.24 Web-Services anzuwenden.

Bestehende Bausteine der IT-Grundschutz-Kataloge, die auch im Rahmen derCloud-Nutzung relevant sind, werden im Baustein nicht neu betrachtet. Hierzuzählen insbesondere die Themen Netze (LAN, Internet, VPN) sowie Gebäudebeziehungsweise Infrastrukturen. Diese sind auf Basis der IT-Grundschutz-vorgehensweise und anhand der Hinweise aus Kapitel 2 Schichtenmodell undModellierung der IT-Grundschutz-Kataloge anzuwenden.

Sofern sich für diese Themengebiete besondere Aspekte aus der Cloud-Nut-zung ergeben, werden diese im Rahmen des Bausteins Cloud-Nutzung be-trachtet. Ein Beispiel für eine solche gesonderte Betrachtung ist die steigendeWichtigkeit der Internetanbindung, wenn kritische Unternehmensprozesse inCloud Services abgebildet werden.

Maßnahmenkatalog Hard- und Software M 4.459 Bemerkungen


M 4.459 Einsatz von Verschlüsselung beiCloud-Nutzung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter ITVerantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter

Grundsätzlich ist bei Cloud-Nutzung hinsichtlich der Verschlüsselung von Da-ten auf dem Transportweg (engl.: data in motion) und der Verschlüsselung vonDaten an deren Ablageort (engl.: data at rest) zu unterscheiden.

Die Verschlüsselung auf dem Transportweg wird dabei im Zusammenhangmit der Nutzung von Cloud Services immer gefordert, außer es handelt sichum einen Cloud-Dienst einer Private Cloud, der über das abgesicherte lokaleNetz genutzt wird. Die Anmeldung an einem Cloud Service muss in jedem Fallverschlüsselt erfolgen, auch im Falle der Nutzung einer Private Cloud. Vor-gaben beziehungsweise Empfehlungen hierzu finden sich daher in den Maß-nahmen zur Service-Definition (siehe M 2.536 Service-Definition für Cloud-Dienste durch den Anwender) und zur Vertragsgestaltung mit dem Cloud-Diensteanbieter (siehe M 2.541 Vertragsgestaltung mit dem Cloud-Dienstean-bieter). Deshalb wird in dieser Maßnahme nicht näher auf die Möglichkei-ten zur Umsetzung einer Verschlüsselung in Motion eingegangen und aufM 5.66 Clientseitige Verwendung von SSL/TLS bzw. M 5.177 ServerseitigeVerwendung von SSL/TLS verwiesen.

Bei der Verschlüsselung der Daten an ihrem Speicher- beziehungsweise Ver-arbeitungsort sind zwei Varianten zu unterscheiden. Zum einen kann die Ver-schlüsselung im Vorfeld einer Datenübertragung an den Cloud-Diensteanbie-ter direkt durch die nutzende Institution vorgenommen werden. Bei der zwei-ten Variante erfolgt die Verschlüsselung der übertragenen Daten erst auf denSystemen des Cloud-Diensteanbieters.

Sofern die Verschlüsselung durch den Cloud-Diensteanbieter vorgenommenwird, sind hierzu entsprechende vertragliche Regelungen zu treffen, die unteranderem Vorgaben zur Auswahl sicherer Verschlüsselungsmechanismen undzum Einsatz geeigneter Schlüssellängen beinhalten. Darüber hinaus solltevereinbart werden, dass der Cloud-Anwender bei Bedarf die Neuvergabe vonSchlüsseln anstoßen kann und er Einfluss auf die Lebenszyklen der Schlüs-sel nehmen kann. Es ist zu beachten, dass bei der Verschlüsselung durchden Cloud-Diensteanbieter die Verantwortung für das Schlüsselmanagementauch bei ihm liegt. Mitarbeiter des Cloud-Diensteanbieters, die Kenntnis vonden entsprechenden Schlüsseln haben, können so auf die Daten der Institu-tion zugreifen.

Alternativ zur Verschlüsselung der Daten durch den Cloud-Diensteanbie-ter kann, abhängig vom Cloud Service, für die Institution die Möglichkeitbestehen, eigene Verschlüsselungsmechanismen einzusetzen. Das sichereSchlüsselmanagement liegt dann in ihrer Hand. In diesem Zusammenhanghat sich der Einsatz sogenannter Hardware-Security-Module (HSM) zur Un-terstützung einer sicheren Erzeugung und Speicherung der Schlüssel als hilf-reich erwiesen. Beim Einsatz eines HSM ist es in der Folge unerheblich, wodie Verschlüsselung stattfindet, in der Cloud oder auf den Systemen der Insti-tution, der Cloud-Diensteanbieter kann nicht auf die Schlüssel zugreifen.

Es gilt zu beachten, dass eine Verschlüsselung durch die Institution nicht in je-dem Fall realisierbar ist. Als eine Besonderheit im Zusammenhang mit der Nut-zung von Cloud-Diensten ist hier die Abhängigkeit vom genutzten Service-Mo-



dell zu berücksichtigen. So ist beispielsweise bei der Nutzung von Software asa Service eine eigene Verschlüsselung in Verbindung mit der Nutzung von An-wendungen über eine API (zum Beispiel CRM-Datenbankverschlüsselung) invielen Fällen nicht möglich. Sollte aber eine Verschlüsselung gefordert werdenund der Cloud-Diensteanbieter kann diese nicht bereitstellen, so kann man, jenach Cloud Service, auch auf Drittanbieter zurückgreifen, die eine solche Ver-schlüsselung anbieten. Sofern eine Institution den Einsatz eigener Verschlüs-selungsmechanismen plant oder einen Drittanbieter nutzt, empfiehlt sich eineenge Abstimmung mit dem Cloud-Diensteanbieter, um mögliche Probleme imlaufenden Betrieb möglichst frühzeitig ausschließen zu können.

Bei der Umsetzung dieser Maßnahme ist zusätzlich der Baustein B 1.7 Kryp-tokonzept zu berücksichtigen.

Prüffragen:

- Existieren bei Verschlüsselung durch den Cloud-Diensteanbietervertragliche Regelungen, die diesem Vorgaben zur Auswahl sichererVerschlüsselungsmechanismen und zum Einsatz geeigneterSchlüssellängen machen?

- Wird beim Einsatz eigener Verschlüsselungsmechanismen dieUmsetzung eines geeigneten Schlüsselmanagements sichergestellt?

- Werden Besonderheiten der Cloud-Nutzung hinsichtlich des gewähltenService-Modells bei der Umsetzung von Verschlüsselung berücksichtigt?



M 4.460 Einsatz von Federation ServicesVerantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter ITVerantwortlich für Umsetzung: Administrator, Fachverantwortliche, IT-


Wesentliches Merkmal von Federation Services ("Verbunddiensten") ist dieTrennung zwischen Authentisierung und Autorisierung. Für Federation Ser-vices spielen der sogenannte Identity Provider und der Service Provider einewesentliche Rolle. Der Identity Provider übernimmt die Authentisierung desBenutzers, beim Service Provider erfolgt die Autorisierung. Zwischen IdentityProvider und Service Provider muss eine explizite Vertrauensstellung einge-richtet werden.

Der Einsatz von Federation Services bietet eine Möglichkeit zur Absicherungder Cloud-Nutzung durch gesicherte Übertragung von Claims-Token (verifi-zierte, zentral ausgestellte Aussagen zur Identität eines Benutzers), häufigauch Authentisierungstoken genannt. Dabei können die Benutzerinformatio-nen (zum Beispiel Benutzername) oder andere Informationen zur Identifizie-rung eines Mitarbeiters auch über Unternehmensgrenzen hinweg sicher über-tragen werden.

Nur durch die beschriebene Vertrauensstellung kann gewährleistet werden,dass der Service Provider die vom Identity Provider ausgestellten Claims-To-ken akzeptiert. Sollen Federation Services zum Einsatz kommen, übernimmtdie Institution als Cloud-Anwender dabei die Rolle des Identity Providers.

Mitarbeiter, die einen Cloud Service in Anspruch nehmen wollen, melden sichdazu zunächst am zentralen Verzeichnisdienst an und erhalten in der Folgeein Ticket (zum Beispiel Kerberos-Ticket), mit dessen Hilfe sie sich für fest-gelegte Dienste authentisieren können. Die Anforderung zur Nutzung einesbestimmten Cloud-Dienstes wird in der Folge vom Federation Server der nut-zenden Institution in ein sogenanntes SAML-Ticket umgewandelt.

SAML steht dabei für Security Assertion Markup Language und stellt einenStandard für die Gestaltung von Tokens dar. Das auf diesem Weg erzeugteToken wird an den Federation Server des Cloud-Diensteanbieters übertragen.Dieser entpackt das SAML-Ticket, verifiziert die Unterschrift vom FederationServer des Cloud-Anwenders und leitet die Inhalte an die Anwendung weiter.Bei Nutzung von Federation Services sollte SAML ab Version 2.0 eingesetztwerden.

Da die Institution wie beschrieben als Identity Provider agiert, geht die Ver-antwortung für die ordnungsgemäße Authentisierung der Benutzer auf die-se über. Die Verantwortlichen innerhalb der nutzenden Institution müssen si-cherstellen, dass lediglich berechtigten Benutzern ein SAML-Ticket ausge-stellt wird. Auch die weitergehenden Berechtigungen, die nach erfolgreicherAuthentisierung an die Anwendung übergeben werden, sollten sorgfältig defi-niert und regelmäßig überprüft werden. Benutzern sollten nur Berechtigungenzugewiesen werden, die diese auch tatsächlich zur Erfüllung ihrer Aufgabenbenötigen.

Die Übernahme der Verantwortung für die Authentisierung ihrer Benutzer beider Nutzung von Cloud Services bringt gleichzeitig eine Reihe von Vorteilenfür die nutzende Institution mit sich. So ist beispielsweise die Umsetzung ei-ner institutionsweiten Passwortrichtlinie unabhängig von möglicherweise ab-weichenden Vorgaben des Cloud-Diensteanbieters möglich. Außerdem liegt



die Hoheit über die Berechtigungsvergabe allein bei der nutzenden Instituti-on. Bei sorgfältiger Konfiguration des zentralen Verzeichnisdienstes könnenunberechtigte Zugriffe, beispielsweise durch ehemalige Mitarbeiter, wirksamausgeschlossen werden, ohne dabei auf die Mitwirkung des Cloud-Dienstean-bieters angewiesen zu sein.

Aufgrund dieser Vorteile für die nutzende institution und die Möglichkeit zureinfacheren Bereitstellung von Services durch den Cloud-Diensteanbieterwerden Federation Services daher bereits in großem Umfang von Cloud Ser-vices unterstützt.

Sollen bei einem Cloud-Nutzungs-Vorhaben Federation Services zum Ein-satz kommen, ist dies im Rahmen der Vertragsverhandlungen mit dem Cloud-Diensteanbieter zu berücksichtigen (siehe hierzu Maßnahme M 2.541 Ver-tragsgestaltung mit dem Cloud-Diensteanbieter). In der Regel stellt der Cloud-Diensteanbieter der nutzenden Institution zusätzlich Informationen bezüglichnotwendiger Konfigurationsparameter für deren Federation Server zur Ver-fügung. Bei der Festlegung der Konfigurationsparameter und der im SAML-Ticket zu übertragenden Informationen sollte die Institution darauf achten,dass nach Möglichkeit nur die erforderlichen Informationen an den Cloud-Diensteanbieter übertragen werden. Eine umfassende Replikation weitrei-chender und nicht erforderlicher Informationen aus dem Verzeichnisdienst,wie zum Beispiel Telefonnummern, sollte vermieden werden.

Prüffragen:

- Ist sichergestellt, dass nur die erforderlichen Informationen in demsogenannten SAML-Ticket an den Cloud-Diensteanbieter übertragenwerden?

- Werden die Benutzerberechtigungen regelmäßig geprüft und wirdsichergestellt, dass lediglich berechtigten Benutzern ein SAML-Ticketausgestellt wird?



M 4.461 Portabilität von Cloud ServicesVerantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter ITVerantwortlich für Umsetzung: Administrator, Fachverantwortliche, IT-


Grundsätzlich ist bei Cloud-Nutzung der Wechsel von einem Diensteanbieterzu einem anderen einfacher möglich, als dies beispielsweise bei klassischenOutsourcing-Vorhaben der Fall ist. In der Praxis hat sich jedoch gezeigt, dassauch bei Cloud Services häufig Probleme auftreten, wenn diese zu einem an-deren Cloud-Diensteanbieter übertragen oder zurück in die eigene Institutiongeholt werden sollen.

Institutionen, die sich zur Nutzung von Cloud Services entscheiden und da-bei erhöhte Anforderungen hinsichtlich der benötigten Flexibilität haben, soll-ten daher zusätzliche Maßnahmen zur Aufrechterhaltung der Portabilität vonCloud Services umsetzen.

Die Notwendigkeit zur Portabilität von Cloud Services ergibt sich zum einendurch einen angestrebten Wechsel des Cloud-Diensteanbieters und zum an-deren durch die Möglichkeit, Cloud Services wieder durch die IT der eige-nen Institution erbringen zu lassen. Beim Wechsel des Cloud-Diensteanbie-ters kann der Cloud Service direkt von einem Dienstleister zum anderen über-tragen werden. In Fällen, in denen dies nicht möglich oder gewünscht ist, wirdder Cloud Service zunächst an die beauftragende Institution übergeben undim Anschluss zum neuen Cloud-Diensteanbieter migriert.

In beiden Fällen sind durch die Institution alle wichtigen Anforderungen (zumBeispiel hinsichtlich einzusetzender Datenformate) zu definieren, die eineneinfachen Wechsel des Dienstleisters oder eine Rückholung in die eigene In-frastruktur ermöglichen.

Insbesondere bei der Nutzung von Software as a Service sollte ein besonderesAugenmerk auf die eingesetzten Datenformate gelegt werden. Hier treten inder Praxis häufig Probleme beim Import der Daten in einen neuen Service auf,da der Cloud-Diensteanbieter ein eigenes, nicht standardisiertes Format zumEinsatz bringt. Die Durchführung von Portabilitätstests kann hier erheblich zurSicherstellung der Portabilität von Cloud Services beitragen.

Sofern die nutzende Institution auf den flexiblen Wechsel des Cloud-Diensteanbieters angewiesen ist, empfiehlt es sich, die Portabilität vertraglichzu regeln. In diesem Fall sind die inhaltlichen Vorgaben der Maßnahme zurVertragsgestaltung (siehe hierzu M 2.541 Vertragsgestaltung mit dem Cloud-Diensteanbieter) um den entsprechenden Aspekt zu ergänzen.

Prüffragen:

- Wurden alle wichtigen Anforderungen für den Wechsel des Cloud-Diensteanbieters oder die Rückholung in die eigene IT definiert?

- Ist die Durchführung von Portabilitätstests vorgesehen?- Sind Vorgaben zur Realisierung der Portabilität in die Vertragsgestaltung

mit dem Cloud-Diensteanbieter eingeflossen?



M 4.462 Einführung in die Cloud-Nutzung


Leiter IT

Im Sinne der IT-Grundschutz-Vorgehensweise umfasst Cloud-Nutzung alleThemengebiete, die zur Nutzung einer Cloud-Umgebung erforderlich sind. Da-mit schließt Cloud-Nutzung insbesondere folgende Aspekte ein:

- Anwendung des Cloud Services durch Mitarbeiter der nutzenden Institu-tion

- Administration des Cloud Services durch Mitarbeiter der nutzenden Insti-tution

Definitionen und Grundbegriffe zur Cloud-Nutzung

Ein Cloud Service wird in der Regel durch die nachfolgend aufgeführten Ei-genschaften charakterisiert (gemäß Cloud Security Alliance - CSA). Die Be-schreibung ist dabei nicht starr definiert, sondern kann immer noch interpre-tiert, ergänzt oder auch reduziert werden.

On-demand Self-Service

Die Provisionierung, also die Bereitstellung der IT-Ressourcen, wie beispiels-weise Rechnerleistung oder Speicherkapazitäten, läuft automatisch ohne In-teraktion mit dem Cloud-Diensteanbieter (engl. Cloud Service Provider, kurzCSP) ab.

Broad Network Access

Cloud Services werden über ein Netz bereitgestellt und sind über Stan-dard-Mechanismen beziehungsweise Standard-Protokolle zugänglich.

Resource Pooling

Die IT-Ressourcen des Cloud-Diensteanbieters sind in sogenannten Pools or-ganisiert. Basierend auf einem mandantenfähigen Modell ist es dem Cloud-Diensteanbieter somit möglich, den Anforderungen einer Vielzahl von Anwen-dern bedarfsgerecht zu entsprechen.

Bei der Nutzung von Cloud Services ist dem Auftraggeber der genaue Ortder IT-Ressourcen des Cloud-Diensteanbieters in der Regel nicht bekannt.Beispiele für solche Ressourcen können Speichersysteme, Prozessorleistung,Arbeitsspeicher oder auch Anwendungssoftware sein.

Rapid Elasticity

Cloud Services lassen sich (automatisiert), schnell und flexibel anpassen, umauf sich rasch ändernden Bedarf aufseiten der nutzenden Institution reagierenzu können.

Measured Services

Cloud Services verwenden häufig Werkzeuge, die die Ressourcennutzung inAbhängigkeit des genutzten Services (zum Beispiel Speicherlösungen, Pro-zessorleistung oder aktive Benutzerkonten) automatisch überwachen und op-timieren können.



Um Transparenz sowohl aufseiten der nutzenden Institution als auch aufseitendes Providers zu schaffen kann die Ressourcennutzung gemessen und dieErgebnisse gegenüber dem Anwender kommuniziert werden.

Pay per Use

Die Abrechnung erfolgt bei Cloud-Nutzung in der Regel auf Basis der Leistun-gen beziehungsweise Ressourcen, die auch tatsächlich vom Anwender in An-spruch genommen wurden.

Definition des BSI

Um für alle Arbeiten rund um Cloud Computing eine einheitliche Grundlagezu haben, hat das BSI folgende Definition für den Begriff "Cloud Computing"festgelegt:

Cloud Computing bezeichnet das dynamisch an den Bedarf angepasste An-bieten, Nutzen und Abrechnen von IT-Dienstleistungen über ein Netz. Angebotund Nutzung dieser Dienstleistungen erfolgen dabei ausschließlich über defi-nierte technische Schnittstellen und Protokolle. Die Spannbreite der im Rah-men von Cloud Computing angebotenen Dienstleistungen umfasst das kom-plette Spektrum der Informationstechnik und beinhaltet unter anderem Infra-struktur (zum Beispiel Rechenleistung, Speicherplatz), Plattformen und Soft-ware.

In diesem Dokument wird der Begriff "Cloud Computing" entsprechend be-nutzt, wobei die oben genannten Charakteristika stets im Hinterkopf zu behal-ten sind. So ist eine einfache Webanwendung in der Regel kein Cloud Com-puting, obwohl dies von den Marketingabteilungen der Hersteller oft so be-zeichnet wird.

Cloud-Nutzung mittels unterschiedlicher Cloud-Service-Modelle

Bei Cloud-Nutzung können grundsätzlich drei unterschiedliche Kategorien vonService-Modellen unterschieden werden. Zum besseren Verständnis sind die-se nachfolgend näher beschrieben.

Infrastructure as a Service (IaaS)

Bei IaaS werden IT-Ressourcen wie zum Beispiel Rechenleistung, Datenspei-cher oder Netze als Dienst angeboten. Ein Cloud-Anwender kauft diese vir-tualisierten und in hohem Maße standardisierten Services und baut darauf ei-gene Services zum internen oder externen Gebrauch auf. So kann ein Cloud-Anwender zum Beispiel Rechenleistung, Arbeitsspeicher und Datenspeicheranmieten und darauf ein Betriebssystem mit Anwendungen seiner Wahl lau-fen lassen.

Die Verwaltung der IT-Ressourcen obliegt der nutzenden Institution und wirdin der Regel durch den Cloud Service Administrator auf Kundenseite (engl.Customer Cloud Service Administrator) vorgenommen.

Platform as a Service (PaaS)

Ein PaaS-Anbieter stellt eine komplette Infrastruktur bereit und bietet dem An-wender auf der Plattform standardisierte Schnittstellen an, die von Dienstendes Kunden genutzt werden. So kann die Plattform zum Beispiel Mandan-tenfähigkeit, Skalierbarkeit, Zugriffskontrolle, Datenbankzugriffe etc. als Ser-vice zur Verfügung stellen. Die nutzende Institution hat keinen Zugriff auf diedarunter liegenden Schichten (Betriebssystem, Hardware), sie kann aber auf



der Plattform eigene Anwendungen laufen lassen, für deren Entwicklung derCloud-Diensteanbieter in der Regel eigene Werkzeuge anbietet.

Software as a Service (SaaS)

Sämtliche Angebote von Anwendungen, die den Kriterien des Cloud Com-putings entsprechen, fallen in diese Kategorie. Dem Angebotsspektrum sindhierbei keine Grenzen gesetzt. Als Beispiele seien Kontaktdatenmanagement,Finanzbuchhaltung, Textverarbeitung oder Kollaborationsanwendungen ge-nannt.

Die Mitarbeiter der Institution nutzen Software-Anwendungen direkt über dasInternet. Eine Installation auf dem eigenen PC beziehungsweise im Rechen-zentrum der Institution ist häufig nicht erforderlich.

Teilweise werden jedoch auch Architekturen eingesetzt, bei denen der Einsatzspezieller Clientsoftware erforderlich oder möglich ist (Nutzung über Browserund/oder Clientsoftware).

Cloud-Nutzung mittels unterschiedlicher Cloud-Bereitstellungsmodelle

Institutionen, die sich für die Nutzung von Cloud Services entscheiden, habenin der Regel die Wahl zwischen folgenden Bereitstellungsmodellen:

Public Cloud

Bereitstellung von Cloud Services für beliebige Anwender über das Internet.

Private Cloud

Bereitstellung von Cloud Services ausschließlich für die eigene Institution. Beieiner Private Cloud ist eine weitere Unterscheidung möglich:

- On-Premise: Die Cloud-Infrastruktur wird in einem Rechenzentrum der In-stitution betrieben.

- Off-Premise: Die Cloud-Infrastruktur wird in einem fremden Rechenzen-trum betrieben.

Hinweis zur Problematik bei der Zuordnung zu einem Bereitstellungsmodell:

In Konzernen mit mehreren Konzerngesellschaften wird aus Sicht der IT-Toch-ter eine Private Cloud für den Konzern betrieben. Eine nutzende Konzernge-sellschaft teilt diese Sicht jedoch unter Umständen nicht, da sie sich dieseCloud in ihren Augen mit "Fremden" teilt. Daher betrachtet die Konzerngesell-schaft die Cloud als "public".

Hybrid Cloud

Eine Hybrid Cloud stellt in der Regel eine Mischform aus Public Cloud undPrivate Cloud dar.

Teile des Services werden dabei durch On-Premise-Systeme abgebildet, wäh-rend andere Teile des Services durch (Public)-Cloud-Systeme bei einemCloud-Diensteanbieter abgebildet werden. Die Services, die durch den Cloud-Diensteanbieter abgebildet werden, können auch Private-Cloud-Off-Premise-oder Community-Cloud-Lösungen sein.

Die Hybrid Cloud bietet die Möglichkeit zur Aufteilung eines Services zwischenPublic Cloud und Private Cloud.



Beispiel:- Für die Inanspruchnahme eines Office-Services werden die E-Mail-Konten

in der Private Cloud der Institution verwaltet, für die Nutzung von Webkon-ferenzen und Dateifreigaben wird jedoch auf die Public-Cloud-Infrastruk-tur des Dienste-Anbieters zurückgegriffen.

Eine Virtual Private Cloud wird durch einen Cloud-Diensteanbieter in seinemRechenzentrum für dedizierte Kunden betrieben. Aus Kundensicht sieht dieCloud wie eine Private Cloud aus, der Dienstleister stellt diese aber in derRegel auf einer mandantenfähigen, geteilten Infrastruktur bereit.

Bei der Managed Private Cloud kann die Cloud-Infrastruktur hingegen auchim eigenen Rechenzentrum untergebracht sein. Betrieben und gemanagt wirddiese allerdings von einem externen Dienstleister.

Community Cloud

In einer Community Cloud schließen sich Institutionen der gleichen Brancheoder mit gleichen Interessen zusammen und nutzen gemeinsam eine Cloud-Umgebung, die vom Cloud-Diensteanbieter speziell für diese "Community" be-reitgestellt wird.

Community Clouds finden sich auch im Bereich der öffentlichen Verwaltung.Hier stellt ein Cloud-Diensteanbieter einer Benutzergruppe eine Anwendungdediziert als Cloud Service zur Verfügung - Beispiel: Personalverwaltung oderE-Mail-Service.

Maßnahmenkatalog Notfallvorsorge M 6.155 Bemerkungen


M 6.155 Erstellung einesNotfallkonzeptes für einenCloud Service


Leiter IT

Die Erstellung eines IT-Notfallkonzeptes für die internen Prozesse bei Cloud-Nutzung ist als wichtige Maßnahme zur Notfallvorsorge anzusehen. Im Rah-men des Notfallkonzeptes sollten sowohl organisatorische als auch technischeAspekte thematisiert werden.

Organisatorische Aspekte der Notfallvorsorge bei Cloud-Nutzung

Das Notfallkonzept sollte alle notwendigen Angaben zu Zuständigkeiten undAnsprechpartnern enthalten, um im Notfall schnell reagieren zu können. Al-le vorgesehenen Abläufe müssen klar geregelt und vollständig dokumentiertwerden.

Es sind Detailregelungen für die Datensicherung zu erstellen, da dieser imNotfall eine besondere Bedeutung zukommt. Hier sind beispielsweise Vorga-ben hinsichtlich getrennter Backup-Medien für jeden Cloud-Service-Anwen-der, Anforderungen an die Verfügbarkeit, Vertretungsregelungen, Eskalati-onsstrategien sowie Maßnahmen zum Virenschutz denkbar.

Ebenfalls unter organisatorischen Gesichtspunkten ist die Notwendigkeit zurErstellung von detaillierten Arbeitsanweisungen zu sehen. Diese sollten kon-krete Anordnungen für bestimmte Fehlersituationen enthalten.

Darüber hinaus ist durch die Institution ein Konzept für regelmäßig durchzu-führende Notfallübungen zu erarbeiten. Sollte es der genutzte Cloud-Dienstbeziehungsweise der damit abgebildete Geschäftsprozess erforderlich ma-chen, ist eine Entscheidung darüber festzuhalten, inwieweit gemeinsame Not-fallübungen mit dem Cloud-Diensteanbieter vorgesehen sind.

Technische Aspekte der Notfallvorsorge bei Cloud-Nutzung

Im Rahmen der Notfallvorsorge sind neben den organisatorischen Aspektenauch technische Anforderungen zu dokumentieren. Der Verfügbarkeit benö-tigter Management-Tools kommt bei Nutzung von Cloud Services eine großeBedeutung zu (siehe hierzu G 4.98 Ausfall von Tools zur Administration vonCloud Services bei Cloud-Nutzung). Daher sind diese in der Regel redundantauszulegen beziehungsweise auf redundanter Infrastruktur aufzubauen. Auchdie benötigten Schnittstellensysteme sollten redundant vorliegen. Darüber hin-aus sollte das Notfallkonzept Angaben darüber beinhalten, wie eine ausfallsi-chere Anbindung an den Cloud-Diensteanbieter gewährleistet werden kann.

Wen ein Notfallkonzept für die Cloud-Nutzungerstellt wird, gilt es zu beachten,dass der Schutzbedarf für die Anbindung und die Schnittstellensysteme imVergleich zu den bisherigen Anforderungen der Institution höher sein kann.Ursache hierfür ist die Nutzung von Cloud Services für kritische Geschäftspro-zesse.



Prüffragen:

- Existiert ein Notfallkonzept für die genutzten Cloud-Dienste, das sowohlorganisatorische als auch technische Aspekte beinhaltet?

- Enthält das Notfallkonzept alle notwendigen Angaben zu Zuständigkeitenund Ansprechpartnern?

- Wurden detaillierte Regelungen hinsichtlich Datensicherungen getroffen?- Wurden Vorgaben zur redundanten Auslegung von Management-Tools

und Schnittstellensystemen festgehalten?



M 6.156 Durchführung eigenerDatensicherungen

Verantwortlich für Initiierung: IT-SicherheitsbeauftragterVerantwortlich für Umsetzung: Administrator, Fachverantwortliche, IT-


Stellt eine Institution im Verlauf der Planungsmaßnahmen zur Nutzung vonCloud Services oder zu einem späteren Zeitpunkt fest, dass besondere Gege-benheiten eigene Datensicherungen erforderlich machen, sind einige wichtigeAspekte zu beachten. Die identifizierte Notwendigkeit für eigene Datensiche-rungen ist zu begründen und zu dokumentieren.

Grundsätzlich existieren zwei unterschiedliche Möglichkeiten zur Durchfüh-rung zusätzlicher Datensicherungen für eine Institution. Zum einen kann dieErstellung der Datensicherung durch die Institution selbst vorgenommen wer-den, und zum anderen ist dies durch die Nutzung eines zusätzlichen Ser-vices (Backup as a Service) umsetzbar. In diesem Fall übernimmt ein externerDienstleister diese Aufgabe.

Insbesondere im Fall der Beauftragung eines externen Dienstleisters solltendie Anforderungen der Institution an den Backup Service detailliert ausgear-beitet und sorgfältig dokumentiert werden. Sie sind mit den besonderen Ge-gebenheiten, aus denen die Notwendigkeit zur eigenen Datensicherung ent-standen ist, abzugleichen. Der Backup Service ist dann entweder ein weite-rer Cloud-Dienst oder ein Outsourcing-Vorhaben, für das die Sicherheitsmaß-nahmen aus den entsprechenden Bausteinen umgesetzt werden müssen.

Grundsätzlich empfiehlt es sich, das Recht zur eigenen Datensicherung mitdem gewählten Cloud-Diensteanbieter vertraglich zu vereinbaren. In die-sem Fall ist die Maßnahme zur Vertragsgestaltung (siehe hierzu MaßnahmeM 2.541 Vertragsgestaltung mit dem Cloud-Diensteanbieter) um den entspre-chenden Aspekt zu ergänzen.

Prüffragen:

- Ist die Entscheidung zur Durchführung eigener Datensicherungenbegründet und dokumentiert?

- Existieren detaillierte Anforderungen an einen Backup Service?

Kreuzreferenztabelle für B 1.17

99

G 1.10 G 1.19 G 2.2 G 2.7 G 2.27 G 2.84 G 2.85 G 2.86 G 2.87 G 2.93 G 2.105 G 2.188 G 2.189 G 2.190 G 2.191 G 2.192 G 2.193 G 2.194 G 2.195 G 2.196 G 2.197 G 2.198 G 2.199 G 3.43 G 3.122 G 4.10 G 4.22 G 4.43M 2.40 PK A X X XM 2.42 PK A X X XM 2.307 AU A X X X XM 2.534 PK A X X X X XM 2.535 PK A X X X X X X X X X X X X X XM 2.536 PK A X X X X X X XM 2.537 PK A X XM 2.538 PK A X X X X X X X XM 2.539 PK A X X X X X X XM 2.540 BE A X X X X X X X X X XM 2.541 UM A X X X X X X X X X X XM 2.542 UM A X X X XM 2.543 BT A X X X X X X X X X X X X X X X X XM 2.544 BT C X X X X X XM 2.545 PK W XM 4.459 PK Z X XM 4.460 BT Z X X X X X XM 4.461 PK Z X X XM 4.462 BT W XM 6.155 NV A X X X XM 6.156 NV Z X

G 4.97 G 4.98 G 5.20 G 5.28 G 5.190 G 5.191

M 2.40 PK AM 2.42 PK AM 2.307 AU AM 2.534 PK AM 2.535 PK A X X XM 2.536 PK A XM 2.537 PK AM 2.538 PK A X X XM 2.539 PK A XM 2.540 BE A XM 2.541 UM A XM 2.542 UM AM 2.543 BT A X X X X XM 2.544 BT C X X XM 2.545 PK WM 4.459 PK Z XM 4.460 BT ZM 4.461 PK ZM 4.462 BT WM 6.155 NV A X XM 6.156 NV Z

Documents

Baustein B 1.17 Cloud-Nutzung