M 2.536 Service-Definition für Cloud-Dienste durch den Anwender

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Fachverantwortliche, IT-Sicherheitsbeauftragter

Entscheidet sich eine Institution für die Nutzung von Cloud-Diensten, muss eine entsprechende Service-Definition erarbeitet werden. Die IT Infrastructure Library (ITIL) definiert einen Service als die Möglichkeit, einen Mehrwert für einen Auftraggeber zu generieren. Dazu soll die Erreichung der vom Auftraggeber angestrebten Ergebnisse erleichtert oder gefördert werden. Der Auftraggeber selbst hat dabei keine Verantwortung für bestimmte Kosten oder Risiken zu tragen.

Angewandt auf die Cloud-Nutzung bedeutet dies, dass ein Mehrwert durch einen beauftragten Diensteanbieter nur generiert werden kann, sofern die angestrebten Ergebnisse innerhalb der Institution auch tatsächlich bekannt und dokumentiert sind. Grundlage für die sorgfältige Definition der zu verwendenden Cloud Services sind die Anforderungen aus der Institution heraus, wie sie im Rahmen der Maßnahmen M 2.534 Erstellung einer Cloud-Nutzungs-Strategie und M 2.535 Erstellung einer Sicherheitsrichtlinie für die Cloud-Nutzung zu ermitteln und zu dokumentieren sind. Es empfiehlt sich, eine einheitlich gestaltete Auflistung vorzunehmen, in der alle für die Verwendung vorgesehenen Cloud Services übersichtlich dargestellt sind. Hierfür bietet sich beispielsweise die Erstellung sogenannter Service Templates nach ITIL an. Mögliche Inhalte in diesem Zusammenhang sind:

Im Rahmen der Service-Definition für Cloud-Dienste sollten durch die Institution zumindest die nachfolgenden, näher beschriebenen Aspekte thematisiert werden.

Schnittstellen und Verantwortlichkeiten

Die nutzende Institution sollte alle relevanten Schnittstellen und Verantwortlichkeiten für die Cloud-Nutzung identifizieren und dokumentieren.

Eine wesentliche Anwendungskomponente und wichtige Schnittstelle des Cloud-Dienstes stellt die Client-Software (zum Beispiel zur Integration eines zusätzlichen Laufwerks bei Nutzung eines Online-Speicherdienstes) dar. Daher ist insbesondere deren Auswahl für die Cloud-Nutzung ausreichende Bedeutung beizumessen. Hierbei sind eine Reihe von Aspekten zu berücksichtigen, und die Beantwortung der nachfolgenden Fragen kann der Institution wichtige Aufschlüsse zur Wahl einer geeigneten Lösung liefern.

Auswahl sicherer Authentisierungsmethoden

Plant eine Institution die Nutzung von Cloud-Diensten, sollte dabei auf die Auswahl und den Einsatz sicherer Authentisierungsmethoden geachtet werden. Dabei sind starke Authentisierungsmechanismen (zum Beispiel 2-Faktor-Authentisierung) zumindest für die Administration der Cloud Services einzusetzen. Wurde für den Cloud Service ein hoher Schutzbedarf identifiziert, sollten auch für Benutzer außerhalb der Administration starke Authentisierungsmechanismen zum Einsatz kommen. Gleiches gilt bei Nutzung von Cloud Services über das Internet, falls kein VPN eingesetzt wird. Bei der Nutzung von Cloud Services mit normalem Schutzbedarf und beim Einsatz von VPN ist hingegen in der Regel eine 1-Faktor-Authentisierung ausreichend, wobei das dabei verwendete Passwort den Regeln für sichere Passwörter der Institution unterliegt.

Berücksichtigung weiterer Sicherheitsaspekte

Neben den genannten Aspekten sind im Rahmen der Service-Definition für Cloud-Dienste auch Vorgaben zur Verschlüsselung von Informationen zu erstellen. Sofern weitere Sicherheitsvorgaben als notwendig angesehen werden, wie beispielsweise die Durchführung eigener Datensicherungen, sollten diese ebenfalls in die Service-Definition einfließen.

Definition von OLA und SLA

Es sind gezielt konkrete interne Anforderungen an die zu verwendenden Cloud Services auszuarbeiten, und der Service-Level für die Anwender innerhalb der eigenen Institution zu definieren. Diese internen Regelungen, die auch als OLA (Operational Level Agreement) bezeichnet werden, dienen in der Folge als Basis für die Erarbeitung entsprechender SLA (Service Level Agreements) mit einem externen Cloud-Diensteanbieter.

Nach abschließend erfolgter Service-Definition für den Cloud-Dienst ist dessen Einbindung in die Institution, wie in Maßnahme M 2.538 Planung der sicheren Einbindung von Cloud Services beschrieben, sicherzustellen.

Ist der Cloud Service definiert, muss ein geeigneter Cloud-Diensteanbieter für dessen Erbringung gefunden werden (siehe hierzu M 2.540 Sorgfältige Auswahl eines Cloud-Diensteanbieters). Basis für die tatsächliche Erbringung des definierten Cloud Services ist anschließend ein entsprechender Vertrag zwischen Auftraggeber und Cloud-Diensteanbieter (siehe hierzu M 2.541 Vertragsgestaltung mit dem Cloud-Diensteanbieter).

Prüffragen: