Sicherheitsempfehlungen für Cloud Computing Anbieter
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
CLOUD COMPUTING | VERTRAGSGESTALTUNG<br />
den zu einzelnen Punkten konkrete Werte angegeben, so müssen diese<br />
auch messbar sein, beispielsweise bei den Verfügbarkeitsanforderungen.<br />
Der CSP muss seinen Kunden die Möglichkeit geben, die Einhaltung der<br />
vereinbarten Werte zu überprüfen oder überprüfen zu lassen. Dazu kann<br />
der CSP diese Leistungsparameter seinen Kunden beispielsweise über<br />
spezielle Schnittstellen zugänglich machen.<br />
Wichtig sind auch Regelungen zum Gerichtsstandort, dem anwendbaren<br />
Recht sowie die Vertragssprache. Die Eigentums- und Urheberrechte an<br />
Daten, Systemen, Software und Schnittstellen sind festzulegen.<br />
Es sollten im SLA jedoch auch sicherheitsrelevante Inhalte festgehalten sein.<br />
SokannsichderCSPzubestimmtenSicherheitsmaßnahmenverpflichten<br />
(z. B.NutzungeinesIntrusionPreventionSystems).AuchwennderNutzerdies<br />
nicht sofort überprüfen kann, schafft eine Nennung von Sicherheitsmaßnahmen<br />
Vertrauen gegenüber dem CSP. Ebenso sollten Vertraulichkeitsvereinbarungen<br />
(Non-Disclosure-Agreements) vertraglich vereinbart<br />
werden. Dies kann auch in einem zusätzlichen Security-SLA geschehen.<br />
Setzt ein CSP Subunternehmer zur Erbringung der von ihm angebotenen<br />
Servicesein(z. B.wenneinSaaS-<strong>Anbieter</strong>IaaSvoneinemDrittennutzt),<br />
so kann vom CSP aus Vertrauen geschaffen werden, indem den <strong>Cloud</strong>-<br />
Nutzern die relevanten Aussagen zur Informationssicherheit und zur<br />
Dienstgüte aus den SLAs mit Drittanbietern offen gelegt werden.<br />
Im Falle einer Geschäftsverlagerung oder Insolvenz des CSP muss der Kunde<br />
noch auf seine Daten zugreifen können und die Vertraulichkeit der Daten<br />
sowie Verfügbarkeit der Anwendungen und Daten müssen weiter gewährleistet<br />
sein. Das deutsche Insolvenzrecht kennt hier Regelungen, die einzuhalten<br />
sind, um dies zu gewährleisten. Sollte der CSP nicht deutschem Recht<br />
unterliegen, sind die entsprechenden Vorschriften dem Kunden zu erläutern.<br />
<strong>Cloud</strong><strong>Computing</strong><strong>Anbieter</strong>solltenverpflichtetwerden,nachBeendigungeines<br />
Auftrags alle gespeicherten Kundendaten inklusive Datensicherungen<br />
dem Kunden zu übergeben und alle gespeicherten Kundendaten zu löschen.<br />
70