Heutzutage ist die Nutzung von Cloud-Diensten längst ein fester Bestandteil moderner Unternehmensstrategien. Gleichzeitig bringt das Outsourcing von IT-Diensten erhebliche rechtliche, vertragliche und sicherheitsrelevante Anforderungen und Risiken mit sich. Deshalb sind eine klare Definition von Geschäftsanforderungen sowie ein strukturiertes Vertrags- und Lieferantenmanagement entscheidend.
Geschäftsanforderungen (Business Requirements)
Bevor man sich für den einen oder anderen Cloud Service Provider (CSP) entscheidet, müssen die unternehmerischen, technischen und regulatorischen Anforderungen klar definiert werden. Denn ohne diese klare Definition lässt sich nicht sicherstellen, ob der gewählte CSP sie auch erfüllen kann. In diesem Kontext kommen folgende bekannte Vertragsbegriffe ins Spiel:
SLA (Service Level Agreement) – Vereinbarung über Leistungskennzahlen wie Verfügbarkeit und Reaktionszeiten, inklusive Sanktionen bei Nichteinhaltung.
MSA (Master Service Agreement) – der Hauptrahmenvertrag zwischen Unternehmen und CSP, der die allgemeinen Bedingungen der Geschäftsbeziehung festlegt.
SOW (Statement of Work) – detaillierte Beschreibung spezifischer Projekte oder Dienstleistungen, inklusive technischer Anforderungen, Zeitrahmen und Verantwortlichkeiten.
Lieferantenbewertungen
Dieser Punkt ist zwar obligatorisch aus Sicht der CCSP-Outline, scheint mir aber sehr problematisch in der Umsetzung zu sein. Wenn man das bekannte Sprichwort von Lenin leicht abwandelt: „Vertrauen ist gut – kontinuierliche Überprüfung ist besser.“ In der Theorie sollte eine laufende Bewertung, Überwachung und Steuerung des CSP während der gesamten Vertragslaufzeit stattfinden. Quasi ein proaktives Monitoring, das sicherstellt, dass Sicherheits- und Compliance-Anforderungen dauerhaft eingehalten werden.
Die Kernaufgaben umfassen:
Regelmäßige Sicherheitsprüfungen – auf Basis aktueller Auditberichte und Zertifizierungen.
Bewertung der wirtschaftlichen Stabilität – anhand von Finanzkennzahlen des CSP.
Überwachung der Servicequalität – durch Analyse von SLA-Berichten und Kundenfeedback.
Erkennung von Vendor-Lock-in-Risiken: Je stärker man auf proprietäre CSP-Technologien setzt, desto schwieriger und kostspieliger wird ein späterer Anbieterwechsel. Theoretisch empfiehlt es sich, auf offene Standards zu setzen und Daten in exportierbaren Formaten zu speichern. In der Praxis ist eine vollständige Vermeidung von Vendor Lock-in bei großen CSPs jedoch kaum realistisch.
Bei Quellcode-Escrow werden kritische Softwarebestandteile bei einem neutralen Dritten hinterlegt, damit der Betrieb im Fall einer Insolvenz oder Einstellung des Dienstes fortgeführt werden kann. Dies könnte in der Praxis eher bei kleineren SaaS-Anbietern oder spezialisierten Softwaredienstleistern der Fall sein. Von großen CSPs erwartet jedoch niemand, dass sie ihren Quellcode bei einem neutralen Dritten hinterlegen.
Vertragsmanagement
Das Vertragsmanagement ist eine logische Erweiterung der Geschäftsanforderungen. Es stellt sicher, dass Vereinbarungen zwischen Kunde und CSP laufend überprüft, angepasst und durchgesetzt werden. Ein zentrales Instrument dafür ist das SLA-Monitoring. Es muss kontinuierlich überwacht werden, dass die zugesicherten Leistungen tatsächlich erbracht werden.
Damit der Kunde sich in gewissem Maße „sicher fühlen“ kann, sollte ein Cloud-Vertrag folgende kritische Klauseln enthalten. Aus juristischer Perspektive handelt es sich dabei um ganz normale Vertragsbestandteile, die weit über die IT-Welt hinausgehen:
Right to Audit – das Recht des Kunden, den CSP zu prüfen oder Drittanbieter-Auditberichte anzufordern. Wie wir aber bereits wissen, gewähren die CSPs keinen direkten Audit, sondern stellen SOC- oder ISO-Berichte bereit.
Metrics – es handelt sich um eine klare Definition von Leistungskennzahlen (z. B. Verfügbarkeit, Reaktionszeiten), anhand derer die Vertragserfüllung gemessen wird.
Definitions – es bedarf eindeutige Begriffsdefinitionen im Vertrag, um Interpretationsspielräume zu minimieren.
Termination Rights – die regeln, unter welchen Bedingungen der Vertrag gekündigt werden kann. Sie enthalten auch Regelungen zur Datenrückgabe oder Löschung der Daten nach Vertragsende.
Litigation Terms – definieren Rechtsweg und Zuständigkeit im Streitfall. Es wird festgelegt, welches Recht gilt und welcher Gerichtsstandort zuständig ist.
Assurance – Zusicherungen des CSP über die Einhaltung von Sicherheits- und Compliance-Anforderungen.
Compliance – vertragliche Verpflichtung des CSP, relevante gesetzliche und regulatorische Anforderungen.
Access to Cloud/Data – Regelung, wie und unter welchen Bedingungen der Kunde auf seine Daten zugreifen kann z.B. im Fall einer Vertragskündigung oder Insolvenz des CSP.
Die Cyber Risk Insurance ist eine Cyberversicherung, die finanzielle Schäden durch Datenpannen, Ausfälle oder Cyberangriffe abdeckt. Dabei ist zu klären, wer vertragsgemäß versichert ist: der CSP, der Kunde oder beide.
Supply-Chain Management (Verwaltung der Lieferkette)
Das Thema Supply-Chain-Risikomanagement haben wir bereits in Kapitel 6.4 angesprochen. Hier betrachten wir es aus einer anderen Perspektive, nämlich aus Software-Sicht statt aus Infrastruktur-Sicht.
Es geht um Supply-Chain-Angriffe (ein bekanntes Beispiel dafür ist SolarWinds) und um die Risiken, die eine Abhängigkeit von bestimmten Subdienstleistern mit sich bringen kann. Dies ist besonders bedenklich, da Lieferketten oft mehrschichtig sind.
Die Implementierung eines Supply-Chain-Managements verfolgt folgende Ziele, unabhängig davon, ob es sich um Cloud-Anbieter oder -Kunden handelt:
– Identifikation kritischer Abhängigkeiten: Innerhalb der Cloud-Infrastruktur müssen Abhängigkeiten möglichst genau erfasst werden. Soweit möglich, sollten die Sicherheitsmaßnahmen aller Lieferanten bewertet und kontrolliert werden.
– Integration in Risiko- und Compliance-Programme: Mögliche Risiken durch die Lieferkette müssen im Risikomanagement der Organisation berücksichtigt werden.
Durch ein konsequentes Supply-Chain-Management lassen sich Risiken aus Drittsystemen erheblich reduzieren.
Relevante Standards und Best Practices:
- ISO/IEC 27036 – Information Security for Supplier Relationships
- NIST SP 800-161 – Supply Chain Risk Management Practices for Federal Information Systems
Ich bedanke mich für Ihre Zeit und dafür, dass Sie dieses Buch bis hierhin gelesen haben. Ich hoffe, ich konnte einen kleinen Beitrag zur IT-Sicherheit in Ihrem Unternehmen leisten.