G 4.97 Schwachstellen bei der Anbindung an einen Outsourcing- oder Cloud-Dienstleister

Die Durchführung eines Outsourcing- oder Cloud-Nutzungs-Vorhabens verlangt in aller Regel den Zugriff des Dienstleisters auf interne Ressourcen des Auftraggebers. Dies wird häufig durch eine gegenseitige Anbindung von Teilen der jeweiligen IT-Infrastruktur realisiert. Zum beschleunigten Informationsaustausch zwischen Auftraggeber und Auftragnehmer werden möglicherweise spezielle Informationskanäle (zum Beispiel dedizierte Standleitungen, VPN-Verbindungen, Zugänge für die Remote-Wartung) eingerichtet.

Ist diese Anbindung nicht gesichert oder treten bei der Absicherung Schwachstellen auf, so ergeben sich zwangsläufig eine Reihe von Gefährdungen:

Der Schutzbedarf von Schnittstellensystemen (zum Beispiel Application Level Gateways, Paketfilter) und Leitungen kann durch die Nutzung von Outsourcing oder Cloud Services steigen. Wird keine neue Analyse des Schutzbedarfs vorgenommen, ergibt sich eine Gefährdung für die Verfügbarkeit der Anbindung.

Die IT-Anbindung zwischen auslagernder Institution und Dienstleister kann auch komplett ausfallen. Dabei können Daten, deren Übertragung vor dem Ausfall noch nicht vollständig abgeschlossen war, zerstört oder inkonsistent werden. In Abhängigkeit von der Dauer und Art des Ausfalls können die Konsequenzen auch existenzbedrohend sein. Diese Gefahr wird verstärkt, wenn kein Notfallvorsorgekonzept (siehe G 2.93 Unzureichendes Notfallvorsorgekonzept bei Outsourcing oder Cloud-Nutzung) existiert.