Sicherheitsempfehlung für Cloud Computing Anbieter

Weitere Magazine

Empfehlungen

Info

12 Vertragsgestaltung CLOUD COMPUTING | VERTRAGSGESTALTUNG Die genauen Modalitäten der Nutzung von Cloud Services sollten klar geregelt werden. Dazu gehören neben der Beschreibung der gewünschten Leistungen inklusive Dienstgütevereinbarungen unter anderem die Klärung von Punkten wie Ansprechpartnern, Reaktionszeiten, IT-Anbindung, Kontrolle der Leistungen, Ausgestaltung der Sicherheitsvorkehrungen, Umgang mit Kundendaten und Weitergabe von Informationen an Dritte. 12.1 Transparenz Nur wenn der CSP seinen Kunden überzeugend darlegen kann, wie und unter welchen Rahmenbedingungen er arbeitet, können die Kunde das notwendigeVertrauenindenCSPaufauen,jenseitsdertechnischenMaßnahmen, die der CSP ergreift. Insbesondere Public Cloud Provider stehen hier in derPficht,demKundendienotwendigenInformationenzuliefern. Zunächst müssen Cloud Service Anbieter ihre Vertrags- und Geschäftsbedingungen nachvollziehbar offenlegen. Vor allem sollte transparent sein, welche Eingriffe der Cloud Service Anbieter oder Dritte in Daten und Verfahren der Kunden vornehmen dürfen. Zu den Vertragsgrundlagen gehören auch Service Level Agreements (SLAs), in denen unter anderem der Umfang der angebotenen Dienste, Verfügbarkeitsanforderungen, Reaktionszeiten, Rechenleistung, zur Verfügung stehender Speicherplatz und Support geregelt sind. Cloud Service Anbieter müssen ihren Kunden offen legen, an welchen Standorten (also in welchen Ländern und welchen Regionen) die Daten gespeichert und verarbeitet werden. Hierbei spielt weniger die geographische Entfernung eine Rolle, als die Frage, was für Auswirkungen die Standortwahl auf die angebotenen Dienste und die gespeicherten Daten haben kann. Sehr wichtig ist auch, wie die jeweiligen Standorte abgesichert sind und wie der Zugriff auf die Kundendaten durch Dritte geregelt ist. Je nach Standort der CSP-Rechenzentren sind diverse gesetzliche Rahmenbedingungen zu beachten. In einigen Ländern dürfen beispielsweise kryptographische Verfahren nicht ohne Genehmigung eingesetzt werden. Dies kann dazu führen, dass der CSP zwar Verschlüsselung einsetzen kann, aber unter Umständen staatlichen Stellen den Zugriff ermöglichen muss. 67
CLOUD COMPUTING | VERTRAGSGESTALTUNG CSPs sollten daher die Kunden darüber informieren, welche lokalen rechtlichen Regelungen Auswirkungen auf die Vertraulichkeit, Integrität oder Verfügbarkeit der Kundendaten haben können. Ebenso sollten CSPs offenlegen, in welchen Rechts- und Besitzverhältnissensiesichbefnden.NursokönnenKundenbeurteilen,obeinCSPeingeeigneter Geschäftspartner ist. Gehört ein CSP beispielsweise zu einem Unternehmen, das in Konkurrenz zueinemCloud-Kundensteht,könntedieszuInteressenkonfiktenführenund letztendlich dazu, dass der Kunde oder der CSP die bestehenden Verträge kündigt. Deshalb kann es wichtig sein, zu wissen, wem der CSP gehört und wie die Entscheidungsstrukturen beim CSP sind. Nicht alle Geschäftsformen lassen aber solche Aussagen zu, da sich die Besitzverhältnisse bei aktiennotierten Unternehmen ändern können und nur größere Aktionäre ihren Aktienbesitz veröffentlichen müssen. Auf jeden Fall sollte der Kunde vom CSP eine Freistellung von Rechtsstreitigkeiten um Lizenzabgaben oder Patent-Auseinandersetzungen bei der Nutzung des Dienstes erhalten. Viele Anbieter von SaaS betreiben keine eigene Infrastruktur, sondern nutzen wiederum PaaS- oder IaaS-Angebote anderer CSPs. In solchen Fällen sind die für die Erbringung der Cloud Services wichtigen Subunternehmer gegenüber den Kunden offenzulegen und diesen die erforderlichen Informationen zur Verfügung zu stellen. Bei wesentlichen Änderungen einer der oben genannten Punkte hat der CSP seine Kunden in geeigneter Weise zu unterrichten. Können bestimmte Cloud-Dienste nur genutzt werden, wenn die KundenhierfürvorabvomCSPbereitgestellteProgrammeinstallieren(z. B. Browser-Plugins bei SaaS), so ist dies den Kunden vor Vertragsschluss mitzuteilen. Darüber hinaus sollte der CSP die Kunden auch auf Sicherheitsrisiken hinweisen, die aus deren Nutzung entstehen können, sowie auf erforderliche Sicherheitsmaßnahmen seitens des Kunden. 68
Seite 1 und 2:
Eckpunktepapier Sicherheitsempfehlu
Seite 3 und 4:
CLOUD COMPUTING | INHALT 6 Kontroll
Seite 5 und 6:
CLOUD COMPUTING | VORWORT einerseit
Seite 7 und 8:
CLOUD COMPUTING | DAS BSI IM DIENST
Seite 9 und 10:
CLOUD COMPUTING | EINLEITUNG 1 Einl
Seite 11 und 12:
CLOUD COMPUTING | EINLEITUNG sowohl
Seite 13 und 14:
CLOUD COMPUTING | EINLEITUNG Bei de
Seite 15 und 16:
CLOUD COMPUTING | CLOUD COMPUTING G
Seite 17 und 18: CLOUD COMPUTING | CLOUD COMPUTING G
Seite 23 und 24: 22 3 Sicherheitsmanagement beim Anb
Seite 25 und 26: CLOUD COMPUTING | SICHERHEITSMANAGE
Seite 27 und 28: CLOUD COMPUTING | SICHERHEITSMANAGE
Seite 29 und 30: CLOUD COMPUTING | SICHERHEITSARCHIT
Seite 43 und 44: 42 5 ID- und Rechtemanagement
Seite 45 und 46: CLOUD COMPUTING | ID- UND RECHTEMAN
Seite 47 und 48: 46 6 Kontrollmöglichkeiten für Nu
Seite 49 und 50: 48 7 Monitoring und Security Incide
Seite 51 und 52: CLOUD COMPUTING | MONITORING UND SE
Seite 53 und 54: 52 8 Notfallmanagement
Seite 55 und 56: CLOUD COMPUTING | NOTFALLMANAGEMENT
Seite 57 und 58: 56 9 Portabilität und Interoperabi
Seite 59 und 60: CLOUD COMPUTING | PORTABILITÄT UND
Seite 61 und 62: CLOUD COMPUTING | SICHERHEITSPRÜFU
Seite 63 und 64: 62 11 Anforderungen an das Personal
Seite 65 und 66: CLOUD COMPUTING | ANFORDERUNGEN AN
Seite 67: 66 12 Vertragsgestaltung
Seite 71 und 72: CLOUD COMPUTING | VERTRAGSGESTALTUN
Seite 73 und 74: 72 13 Datenschutz und Compliance
Seite 75 und 76: CLOUD COMPUTING | DATENSCHUTZ UND C
Seite 77 und 78: CLOUD COMPUTING | DATENSCHUTZ UND C
Seite 79 und 80: 78 14 Ausblick
Seite 81 und 82: CLOUD COMPUTING | AUSBLICK Beeintr
Seite 83 und 84: CLOUD COMPUTING | GLOSSAR 15 Glossa
Seite 85 und 86: CLOUD COMPUTING | GLOSSAR SaaS Soft
Seite 87 und 88: CLOUD COMPUTING | REFERENZEN 16 Ref
Seite 89 und 90: 88 17 Dankesworte
Seite 91 und 92: CLOUD COMPUTING | DANKESWORT » Pir
Seite 93: www.bsi.bund.de
Alle anzeigen

Sicherheitsempfehlung für Cloud Computing Anbieter

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?