G 2.195 Mangelnde Überwachung der Service-Erbringung

Zwischen einer Institution als Cloud-Anwender und einem Cloud-Diensteanbieter existieren vertragliche Regelungen hinsichtlich der Ausgestaltung der angebotenen Services. Die Beschreibung der Dienste und ihrer Dienstgüten findet sich in Dienstgütevereinbarungen (SLAs - Service Level Agreements bei externen Dienstleistern oder OLAs - Operational Level Agreements bei interner Service-Erbringung). Bei Public Cloud Services sind diese häufig in Form von AGBs oder Nutzungsbedingungen gestaltet.

Weicht die tatsächlich erbrachte Service-Leistung von den vereinbarten Parametern ab, kann dies negative Auswirkungen auf die nutzende Institution haben. Die Überwachung der Service-Erbringung des Cloud-Diensteanbieters durch die nutzende Institution ist daher essenziell, um mögliche Servicemängel erkennen zu können und diesen entgegenzuwirken.

Häufig wird die Überwachung der Service-Erbringung jedoch vernachlässigt. Vertragsverletzungen oder Abweichungen vom vereinbarten Sicherheitsniveau werden dadurch nicht oder erst spät identifiziert. Dies gilt auch bei Nutzung einer Private Cloud, die durch die eigene IT betrieben wird. Hier ist einerseits auf die Überwachung der Service-Erbringung zu achten. Andererseits sollten auch hier die Service-Vereinbarungen die Services ausreichend detailliert und verständlich beschreiben. Bei der Überwachung ist hier insbesondere darauf zu achten, dass die Verantwortlichkeiten festgeschrieben sind und es nicht zu einer "Selbstprüfung" kommt, die keine sinnvollen Ergebnisse liefert.

In der Praxis sind folgende Ausprägungen mangelnder Überwachung der Service-Erbringung zu beobachten: