Inhaltsverzeichnis - IBM

IBM Österreich Internationale Büromaschinen Gesellschaft m.b.H. A-1020 Wien, Obere Donaustraße 95
Telefon (01) 211 45-0*
Telefax (01) 216 08 86
Sitz: Wien
Firmenbuchnummer FN 80000 y
IBM Infrastructure Security Services
Firmenbuchgericht HG Wien
DVR: 0003824
Managed Network Security Services
Leistungsbeschreibung
Stand:
Inhaltsverzeichnis
1. Managed Network Security Services....................................................................................................................2
2. Begriffserklärungen ...............................................................................................................................................2
3. Managed Network Security Services – Foundational Features .........................................................................3
3.1 MSS-Portal ..............................................................................................................................................................3
3.2 Ansprechpartner für die Managed Network Security Services ..........................................................................5
3.3 Erstellung von Sicherheitsberichten....................................................................................................................7
3.4 IBM X-Force Threat Analysis.................................................................................................................................7
3.5 Implementierung und Aktivierung ........................................................................................................................8
3.6 Implementierung und Aktivierung des Protokollmanagements und der Alarmausgabe...............................15
3.7 Erneute Implementierung und Aktivierung........................................................................................................19
3.8 Erfassung von Sicherheitsereignissen und -protokollen .................................................................................19
4. Managed Network Security Services – Common Features ..............................................................................20
4.1 Automatisierte Analyse .......................................................................................................................................20
4.2 Überwachung und Benachrichtigung durch Bedrohungsanalysten ...............................................................21
4.3 Richtlinienmanagement.......................................................................................................................................23
4.4 VPN-Unterstützung (Virtual Private Network)....................................................................................................25
4.5 Überwachung des Status und der Verfügbarkeit der Managed Agents ..........................................................26
4.6 Management von Agenten...................................................................................................................................27
4.7 Content-Sicherheit ...............................................................................................................................................28
5. Managed Network Security Services – Optionale Features .............................................................................29
5.1 Bereitstellung von Sicherheitsereignissen und -protokollen...........................................................................29
5.2 Cold Standby ........................................................................................................................................................29
5.3 Warm Standby ......................................................................................................................................................30
5.4 Management von virtuellen Instanzen................................................................................................................31
5.5 Hochverfügbarkeit................................................................................................................................................31
5.6 Aggregator am Kundenstandort .........................................................................................................................33
5.7 Integration des Ticketsystems............................................................................................................................35
5.8 Optionaler Out-of-Band-Zugriff für das Protokollmanagement........................................................................35
6. Service-Level-Agreements ..................................................................................................................................36
6.1 SLA-Verfügbarkeit................................................................................................................................................36
6.2 SLA-Gutschriften..................................................................................................................................................38
6.3 Änderung der SLAs im Simulationsmodus .......................................................................................................39
6.4 Intellectual Property Services Components ......................................................................................................39
* * *
Z126-5942-AT-2 04-2013 Seite 1 von 41 Z126-5942-WW-2 04-2013

IBM Managed Network Security Services
Zusätzlich zu den nachstehend aufgeführten Bedingungen enthält diese Leistungsbeschreibung die
„Allgemeinen Bedingungen für IBM Managed Security Services“ (nachfolgend „Allgemeine Bedingungen“
genannt), die unter http://www-935.ibm.com/services/at/gts/html/contracts_landing.html zu finden sind
und durch Bezugnahme Bestandteil dieser Leistungsbeschreibung werden.
1. Managed Network Security Services
Gegenstand der Leistung der IBM Infrastructure Security Services – Managed Network Security Services
(nachfolgend „MNSS“ oder „Services“ genannt) ist die Überwachung (mit Alarmausgabe) und das
Management von Technologien für die Netzwerksicherheit (nachfolgend „Agenten“ oder „Managed
Agents“ genannt) auf einer Vielzahl verschiedener Plattformen und Technologien. Diese Agenten dürfen
nicht zu anderen Zwecken eingesetzt werden, während sie im Rahmen dieser Services von IBM
betrieben werden.
Die hierin beschriebenen Merkmale der Services sind von der Verfügbarkeit und Unterstützbarkeit der
genutzten Produkte und Produktmerkmale abhängig. Auch bei unterstützten Produkten werden
möglicherweise nicht alle Produktmerkmale unterstützt. Informationen zu unterstützten Merkmalen sind
auf Anfrage von IBM erhältlich. Zu den Produkten gehören sowohl von IBM als auch nicht von IBM
bereitgestellte Hardware, Software und Firmware.
Die Services werden von einem Netz aus IBM Security Operations Centers (SOCs) weltweit aus erbracht,
die während 24 Stunden pro Tag an 7 Tagen die Woche für den Kunden erreichbar sind. Die
Komponenten dieser Service-Features werden in diesem Dokument als „Foundational“, „Common“ und
„Optional“ Features kategorisiert.
Der IBM X-Force Hosted Threat Analysis Service ist ein Security-Intelligence-Service, der individuell
angepasste Informationen zu einer Vielzahl von Sicherheitsbedrohungen bereitstellt, die sich auf die
Sicherheit des Netzwerks des Kunden auswirken könnten.
2. Begriffserklärungen
Alert Condition (AlertCon) ist eine von IBM entwickelte globale Risikomessgröße, die proprietäre
Methoden nutzt. Die AlertCon-Alarmstufe (nachfolgend „AlertCon-Level“ genannt) basiert auf einer
Vielzahl verschiedener Faktoren, darunter der Anzahl und dem Schweregrad bekannter Schwachstellen,
Exploits, die diese Schwachstellen ausnutzen, der allgemeinen Verfügbarkeit solcher Exploits, der
Aktivität sich massenhaft verbreitender Würmer und der Aktivität globaler Sicherheitsbedrohungen. Die
vier AlertCon-Levels sind im IBM MSS-Kundenportal (IBM Managed Security Services) (nachfolgend
„Portal“ genannt) beschrieben.
Antispam ist dafür ausgelegt, die Menge an Spam-E-Mail, die an die Mailboxen der Benutzer gesendet
wird, zu minimieren.
Antivirus ist dafür ausgelegt, viele Arten von Dateiübertragungen (z. B. Webseiten, E-Mail-Verkehr und
FTP-Übertragungen (File Transfer Protocol)) im Hinblick auf Würmer, Viren und weitere Formen von
Malware zu überwachen.
Autorisierter Ansprechpartner für die Sicherheit ist ein Entscheidungsträger, der für alle betrieblichen
Aspekte im Zusammenhang mit dem/den MNSS-Feature/s verantwortlich ist.
Benannter Ansprechpartner für die Services ist ein Entscheidungsträger, der für bestimmte
betriebliche Aspekte im Zusammenhang mit jedem IBM MNSS-Feature, dem/den Agenten des jeweiligen
Features oder einer Gruppe von Agenten verantwortlich ist.
Schulungsmaterial beinhaltet u. a. Handbücher, Anweisungen für Schulungsleiter, Literatur,
Methodiken, Bilder, Richtlinien und Verfahren zu elektronischen Kursen und Fallstudien sowie weitere
schulungsbezogene Komponenten, die von oder für IBM erstellt wurden. Soweit zutreffend, beinhaltet
das Schulungsmaterial auch Handbücher für die Schulungsteilnehmer, Übungsdokumente, Handbücher
und Präsentationen, die von IBM bereitgestellt werden.
Firewall ist ein Gerät für die Netzwerksicherheit, das dafür konzipiert ist, unbefugten Zugriff zu verhindern
und berechtigte Datenübertragungen zuzulassen, basierend auf einer Konfiguration von Regeln für das
Zulassen, Ablehnen, Verschlüsseln, Entschlüsseln oder Weiterleiten von Daten in Übereinstimmung mit
der Sicherheitsrichtlinie des Serviceempfängers.
Z126-5942-AT-2 04-2013 Seite 2 von 41 Z126-5942-WW-2 04-2013

IBM MSS-Portal (Managed Security Services) („Portal“ genannt) ist ein Portal, das Zugriff auf eine
Umgebung (und zugehörige Tools) für die Überwachung und das Management des Sicherheitsstatus
bietet. Das Portal vereint Technologie- und Servicedaten von mehreren Anbietern und aus
unterschiedlichen Ländern in einer einheitlichen webbasierten Oberfläche.
Intrusion Detection and Prevention System (IDPS) ist ein Gerät oder eine Softwareanwendung für die
Netzwerksicherheit, das/die Verfahren zur Erkennung und Vermeidung unbefugter Zugriffe nutzt, um
Netzwerkaktivitäten im Hinblick auf schädliches oder unerwünschtes Verhalten zu überwachen. Diese
Überwachung kann mögliche Sicherheitsverstöße in Echtzeit erkennen und in einigen Fällen abwehren.
MSS-Agent oder Agent ist ein neues oder vorhandenes Gerät, für das die IBM Managed Security
Services genutzt werden. MSS-Agenten dürfen nicht zu anderen Zwecken eingesetzt werden, während
sie im Rahmen dieser Services von IBM betrieben werden.
MSS-Portalbenutzer sind Benutzer des MSS-Portals mit unterschiedlichen Berechtigungen für das MSS-
Portal. MSS-Portalbenutzer können eingeschränkten, regulären oder administrativen Zugriff auf alle
MSS-Agenten oder nur auf einen Teil der MSS-Agenten erhalten. Die Ansichten im MSS-Portal und die
Berechtigungen, die den Portalbenutzern zur Verfügung stehen, werden vom autorisierten
Ansprechpartner für die Sicherheit festgelegt.
Aggregator am Kundenstandort (Onsite Aggregator, OA) ist ein erforderliches Gerät, das am
Kundenstandort implementiert und von IBM MSS gegen Zahlung einer zusätzlichen Gebühr betrieben
und überwacht wird. Der OA übernimmt die Zusammenfassung, das Parsing und die Normalisierung von
textbasierten Protokollen zu Systemaktivitäten in unbekannten Formaten, komprimiert und verschlüsselt
Sicherheitsereignisse und Protokolldaten und überträgt die Sicherheitsereignisse und Protokolldaten an
die IBM MSS-Infrastruktur.
Universal Log Agent (ULA) ist eine schlanke Anwendung für die Protokollerfassung, die auf einem oder
mehreren berechtigten Agenten ausgeführt wird. Der ULA erfasst textbasierte Protokolle lokal auf dem
Agenten, komprimiert und verschlüsselt sie und leitet sie sicher an den Aggregator am Kundenstandort
(OA) oder direkt an die IBM MSS-Infrastruktur weiter.
UTM-System (Unified Threat Management) ist ein neues oder vorhandenes Gerät, für das die IBM
Managed Network Security Services genutzt werden. Dieses Gerät enthält unter anderem die folgende
Funktionalität: Firewall, IDPS, Webfilter, Antivirus, Antispam und VPN-Konnektivität.
Virtual Private Networks (VPNs) nutzen öffentliche Telekommunikationsnetze für die verschlüsselte
Übertragung privater Daten. Die meisten VPN-Implementierungen verwenden das Internet als öffentliche
Infrastruktur und eine Vielzahl verschiedener spezialisierter Protokolle zur Unterstützung der Übertragung
privater Daten.
Webfilter sind dafür ausgelegt, anstößige Webinhalte zu blockieren, Gefahren aus dem Internet zu
entschärfen und das Webnutzungsverhalten von Mitarbeitern hinter dem/den Agenten zu steuern.
3. Managed Network Security Services – Foundational Features
Foundational Features werden mit jedem Agenten bereitgestellt, der Teil der Managed Network Security
Services ist. Sie sind nicht optional. Es können unterschiedliche Stufen des Features bereitgestellt
werden. Diese Features sind jedoch im Leistungsumfang aller Managed Network Security Services
enthalten.
3.1 MSS-Portal
Das MSS-Portal bietet Zugriff auf eine Umgebung (und zugehörige Tools) für die Überwachung und das
Management des Sicherheitsstatus. Das Portal vereint Technologie- und Servicedaten von mehreren
Anbietern und aus mehreren Ländern in einer einheitlichen webbasierten Oberfläche.
Das Portal kann auch zur Bereitstellung des Schulungsmaterials verwendet werden. Sämtliches
Schulungsmaterial wird lizenziert, nicht verkauft, und verbleibt ausschließlich im Eigentum von IBM. IBM
erteilt dem Kunden ein Nutzungsrecht gemäß den im Portal aufgeführten Bedingungen. Das
Schulungsmaterial wird „as is“, ohne jegliche Gewährleistung oder Haftung bereitgestellt, sei sie
ausdrücklich oder stillschweigend, einschließlich, jedoch nicht beschränkt auf die Gewährleistung für die
Handelsüblichkeit, die Verwendbarkeit für einen bestimmten Zweck und die Nichtverletzung von
Eigentums- und Schutzrechten.
Z126-5942-AT-2 04-2013 Seite 3 von 41 Z126-5942-WW-2 04-2013

3.1.1 Leistungsumfang
IBM wird
a. dem Kunden während 24 Stunden pro Tag an 7 Tagen die Woche Zugriff auf das MSS-Portal
gewähren. Das MSS-Portal bietet Folgendes:
(1) Mehrere Ebenen des Zugriffs für MSS-Portalbenutzer, die auf einen IBM Managed Security
Service, einen MSS-Agenten oder eine Gruppe von Agenten angewandt werden können;
(2) Informationen über und Warnung bei Sicherheitsbedrohungen;
(3) Details zur Konfiguration und Richtlinie des/der MSS-Agenten, soweit zutreffend
(4) Informationen über Sicherheitsverstöße und/oder Servicetickets;
(5) Möglichkeit der Initiierung und Aktualisierung von Tickets und Workflows;
(6) Möglichkeit der Interaktion mit einem SOC-Analysten;
(7) Dashboard für die Erstellung von Berichten auf der Basis von Vorlagen;
(8) Zugriff auf Protokolle und Ereignisse des/der MSS-Agenten, soweit zutreffend;
(9) Berechtigung zum Download von Protokolldaten, sofern zutreffend;
(10) Zugriff auf das Schulungsmaterial gemäß den im MSS-Portal aufgeführten Bedingungen; und
(11) soweit zutreffend:
(a)
(b)
Möglichkeit, unbekannte textbasierte Protokolle zu Systemaktivitäten zu parsen und zu
normalisieren; und
Möglichkeit, benutzerdefinierte Korrelationsregeln zu erstellen;
b. die Verfügbarkeit des MSS-Portals gemäß den Kennzahlen sicherstellen, die im Abschnitt „Service-
Level-Agreements“, „Verfügbarkeit des Portals“ dieser Leistungsbeschreibung angegeben sind; und
c. einen Benutzernamen, ein Kennwort, eine URL und entsprechende Berechtigungen für den Zugriff
auf das MSS-Portal bereitstellen.
3.1.2 Verantwortlichkeiten des Kunden
Der Kunde wird
a. das MSS-Portal nutzen, um tägliche Aktivitäten im Rahmen des Betriebs durchzuführen;
b. sicherstellen, dass die Mitarbeiter des Kunden, die im Namen des Kunden auf das MSS-Portal
zugreifen, die im Portal veröffentlichten Nutzungsbedingungen einhalten, einschließlich der
Bedingungen im Zusammenhang mit dem Schulungsmaterial;
c. seine Zugangsdaten für die Anmeldung am MSS-Portal angemessen schützen (das bedeutet unter
anderem, sie gegenüber Unbefugten nicht offenzulegen);
d. IBM umgehend benachrichtigen, wenn er den Verdacht hat, dass seine Zugangsdaten
kompromittiert wurden;
e. IBM in Bezug auf alle Verluste entschädigen und schadlos halten, die IBM durch den Kunden oder
Dritte dadurch entstehen, dass
(1) der Kunde seine Zugangsdaten nicht angemessen schützt; und
(2) – sofern das Protokollmanagement und die Alarmausgabe Bestandteil des Servicevertrags
des Kunden sind –
(a)
(b)
der Kunde reguläre Ausdrücke beim Parsing und bei der Normalisierung von Ereignisund
Protokolldaten nicht korrekt verwendet; und
der Kunde benutzerdefinierte Korrelationsregeln nicht korrekt verwendet;
f. – sofern das Protokollmanagement und die Alarmausgabe Bestandteil des Servicevertrags des
Kunden sind –
(1) die Verantwortung für das Parsing und die Normalisierung unbekannter Protokollformate im
Portal übernehmen;
(2) die alleinige Verantwortung für den Test und die Verifizierung der Leistung von Protokoll-
Parsern und benutzerdefinierten Korrelationsregeln übernehmen;
Z126-5942-AT-2 04-2013 Seite 4 von 41 Z126-5942-WW-2 04-2013

(3) Protokoll-Parser und benutzerdefinierte Korrelationsregeln über das Portal aktivieren und
deaktivieren; und
(4) bestätigen, dass
(a)
(b)
(c)
die Leistung des Aggregators am Kundenstandort (OA) und die rechtzeitige
Bereitstellung von Protokolldaten durch nicht korrekt geschriebene oder ineffiziente
Protokoll-Parser beeinträchtigt werden können;
IBM nicht für die Protokoll-Parser oder benutzerdefinierten Korrelationsregeln
verantwortlich ist, die im Portal konfiguriert und gespeichert werden; und
Konfigurationsunterstützung für das Parsing unbekannter Protokollformate nicht im
Leistungsumfang der Services enthalten ist.
3.2 Ansprechpartner für die Managed Network Security Services
Der Kunde kann zwischen mehreren Ebenen des Zugriffs auf das SOC und das MSS-Portal wählen.
Dadurch kann er verschiedenen Rollen in seinem Unternehmen unterschiedliche Zugriffsrechte
zuweisen. Verfügbar sind autorisierte Ansprechpartner für die Sicherheit, benannte Ansprechpartner für
die Services und MSS-Portalbenutzer.
3.2.1 Autorisierte Ansprechpartner für die Sicherheit
IBM wird
a. dem Kunden die Erstellung von bis zu drei autorisierten Ansprechpartnern für die Sicherheit
ermöglichen;
b. jedem autorisierten Ansprechpartner für die Sicherheit Folgendes bereitstellen:
(1) administrative MSS-Portalberechtigungen für den/die MSS-Agenten des Kunden, sofern
zutreffend;
(2) die Berechtigung zur Erstellung von benannten Ansprechpartnern für die Services und MSS-
Portalbenutzern; und
(3) die Berechtigung zur Delegation der Verantwortung an die benannten Ansprechpartner für die
Services;
c. sich mit den autorisierten Ansprechpartnern für die Sicherheit über Aspekte bezüglich der
Unterstützung und Benachrichtigung im Zusammenhang mit den MSS-Features austauschen; und
d. die Identität der autorisierten Ansprechpartner für die Sicherheit mittels einer
Authentifizierungsmethode überprüfen, die ein vorab ausgetauschtes Abfragekennwort oder eine
vorab ausgetauschte Abfragekennziffer verwendet.
Der Kunde wird
a. IBM Kontaktinformationen zu jedem autorisierten Ansprechpartner für die Sicherheit bereitstellen.
Die autorisierten Ansprechpartner für die Sicherheit sind für Folgendes verantwortlich:
(1) Authentifizierung bei den SOCs mittels eines vorab ausgetauschten Abfragekennworts;
(2) Pflege von Informationen zur Benachrichtigungsreihenfolge und von Kontaktinformationen zu
Ansprechpartnern des Kunden sowie Übergabe dieser Informationen an IBM;
(3) Erstellung der benannten Ansprechpartner für die Services und Delegation von
Verantwortlichkeiten und Rechten an diese Ansprechpartner, sofern angebracht; und
(4) Erstellung von Portalbenutzern;
b. sicherstellen, dass mindestens ein autorisierter Ansprechpartner für die Sicherheit während
24 Stunden pro Tag an 7 Tagen die Woche erreichbar ist;
c. IBM innerhalb von drei Kalendertagen über Änderungen an den Kontaktinformationen zu
Ansprechpartnern des Kunden informieren; und
d. bestätigen, dass nicht mehr als drei autorisierte Ansprechpartner für die Sicherheit erlaubt sind,
unabhängig von der vereinbarten Anzahl an IBM Services oder MSS-Agenten.
Z126-5942-AT-2 04-2013 Seite 5 von 41 Z126-5942-WW-2 04-2013

3.2.2 Benannte Ansprechpartner für die Services
IBM wird
a. die Identität der benannten Ansprechpartner für die Services mittels einer
Authentifizierungsmethode überprüfen, die ein vorab ausgetauschtes Abfragekennwort verwendet;
und
b. sich mit den benannten Ansprechpartnern für die Services nur über die betrieblichen Aspekte
austauschen, für die sie verantwortlich sind.
Der Kunde wird
a. IBM Kontaktinformationen zu jedem benannten Ansprechpartner für die Services und Informationen
zu dessen Zuständigkeit bereitstellen. Die benannten Ansprechpartner für die Services sind für die
Authentifizierung bei den SOCs mittels einer Kennphrase verantwortlich; und
b. bestätigen, dass ein benannter Ansprechpartner für die Services möglicherweise während
24 Stunden pro Tag an 7 Tagen die Woche erreichbar sein muss, abhängig von seinem
Zuständigkeitsbereich (z. B. wenn der Ausfall eines Firewall-Agenten in seinen
Zuständigkeitsbereich fällt).
3.2.3 MSS-Portalbenutzer
IBM wird
a. mehrere Ebenen des Zugriffs auf das MSS-Portal bereitstellen, wie nachstehend beschrieben:
(1) Funktionen für administrative Benutzer, einschließlich folgender Möglichkeiten:
(a)
(b)
(c)
(d)
(e)
(f)
(g)
(h)
(i)
(j)
(k)
(l)
Erstellung von Portalbenutzern;
Erstellung und Bearbeitung von kundenspezifischen Agentengruppen;
Übermittlung von Anforderungen einer Richtlinienänderung für einen Managed Agent
oder eine Gruppe von Agenten an die SOCs;
Übermittlung von Serviceanforderungen an die SOCs;
„Live Chat“ mit einem SOC-Analysten in Bezug auf bestimmte Vorfälle oder Tickets, die
im Rahmen der Services erstellt wurden;
Erstellung interner Tickets im Zusammenhang mit den Services und Zuordnung dieser
Tickets zu den Portalbenutzern;
Abfrage, Anzeige und Aktualisierung von Tickets im Zusammenhang mit den Services;
Anzeige und Bearbeitung von Agentendetails;
Anzeige von Agentenrichtlinien, soweit zutreffend;
Erstellung und Bearbeitung von Beobachtungslisten (Watch Lists) zu Schwachstellen;
Überwachung von Ereignissen in Echtzeit, soweit zutreffend;
Abfrage von Sicherheitsereignis- und Protokolldaten;
(m) Planung von Downloads von Sicherheitsereignis- und Protokolldaten;
(n)
(o)
Planung und Ausführung von Berichten; und
soweit zutreffend:
(i)
(ii)
(iii)
Parsing und Normalisierung unbekannter textbasierter Protokolle zu
Systemaktivitäten von Betriebssystemen und Anwendungen;
Aktivierung/Deaktivierung der Richtlinienregeln für Alarmbenachrichtigungen der
AI-Analyse-Engine (AI = Automated Intelligence); und
Erstellung von benutzerdefinierten Korrelationsregeln;
(2) Funktionen für reguläre Benutzer, einschließlich aller Rechte eines administrativen Benutzers
für die Agenten, für die der Benutzer zuständig ist, mit Ausnahme der Möglichkeit zur
Erstellung von Portalbenutzern; und
(3) Funktionen für eingeschränkte Benutzer, einschließlich aller Rechte eines regulären
Benutzers für die Agenten, für die der Benutzer zuständig ist, mit Ausnahme folgender
Möglichkeiten:
Z126-5942-AT-2 04-2013 Seite 6 von 41 Z126-5942-WW-2 04-2013

(a)
(b)
(c)
Erstellung und Übermittlung von Anforderungen einer Richtlinienänderung;
Aktualisierung von Tickets; und
Bearbeitung von Agentendetails;
b. dem Kunden die Berechtigung erteilen, Zugriffsebenen auf einen MSS-Agenten oder auf Gruppen
von MSS-Agenten anzuwenden;
c. MSS-Portalbenutzer mittels eines statischen Kennworts authentifizieren; und
d. MSS-Portalbenutzer mittels vom Kunden bereitgestellter Tokens für die Zwei-Faktor-
Authentifizierung (RSA SecureID) authentifizieren.
Der Kunde wird
a. zustimmen, dass die Portalbenutzer das Portal zur Durchführung täglicher Aktivitäten im Rahmen
des Betriebs nutzen werden;
b. die Verantwortung für die Bereitstellung der von IBM unterstützten RSA SecureID-Tokens
übernehmen (sofern zutreffend); und
c. bestätigen, dass die SOCs nur mit den autorisierten Ansprechpartnern für die Sicherheit und den
benannten Ansprechpartnern für die Services kommunizieren werden.
3.3 Erstellung von Sicherheitsberichten
Über das Portal erhält der Kunde Zugriff auf Informationen zu den Services und auf Berichtsfunktionen
mit individuell anpassbaren Anzeigen der Aktivität auf Unternehmens-, Arbeitsgruppen- und
Agentenebene. Das Portal bietet dem Kunden zudem die Möglichkeit, die Erstellung individuell
angepasster Berichte zu planen.
3.3.1 Leistungsumfang
IBM wird dem Kunden Zugriff auf die Berichtsfunktionen im Portal gewähren, die relevante Informationen
zu dem MNSS-Agenten, der Bestandteil der Services ist, bereitstellen. Dazu zählen einzelne oder alle der
folgenden Informationen (soweit zutreffend):
a. Anzahl der aufgerufenen und eingehaltenen SLAs;
b. Anzahl, Art und Zusammenfassung von Serviceanforderungen/-tickets;
c. Anzahl, Priorität und Status der festgestellten Sicherheitsverstöße;
d. Auflistung und Zusammenfassung von Sicherheitsverstößen;
e. Berichte von MNSS-Agenten;
f. Ereigniskorrelation und -analyse
g. Systemprotokolle
h. Firewall-Berichte, die eine Zusammenfassung, eine Datenverkehrsanalyse, die Protokollnutzung,
die Ziel-IP und die Nutzung von Regeln dokumentieren;
i. Berichte zur Erfüllung der Audit-Voraussetzungen der Payment Card Industry (PCI), die
Systemereignisse auf ausgewählten Geräten mit bestimmten PCI-Anforderungen in Verbindung
setzen;
j. Erweiterte Analyse- und Compliance-Berichte.
3.3.2 Verantwortlichkeiten des Kunden
Der Kunde wird
a. Berichte zu den Managed Security Services über das MSS-Portal erstellen;
b. die Verantwortung für die Planung von Berichten übernehmen (sofern gewünscht); und
c. bestätigen, dass im Rahmen der Services keine Unterstützung durch einen PCI Qualified Security
Assessor (QSA) bereitgestellt wird, der Kunde diese Unterstützung jedoch im Rahmen eines
gesonderten Vertrags bei IBM beauftragen kann (soweit zutreffend).
3.4 IBM X-Force Threat Analysis
Informationen zu Sicherheitsbedrohungen werden vom IBM X-Force Threat Analysis Center
bereitgestellt, das eine Risikostufe („AlertCon“ genannt) zu Sicherheitsbedrohungen aus dem Internet
Z126-5942-AT-2 04-2013 Seite 7 von 41 Z126-5942-WW-2 04-2013

veröffentlicht. Der AlertCon-Level beschreibt die progressiven Alarmstufen aktueller Gefahren aus dem
Internet. Falls dieser Level auf AlertCon 3 angehoben wird – diese Stufe steht für gezielte Angriffe, die
unverzügliche Abwehrmaßnahmen erfordern –, wird IBM dem Kunden Echtzeitzugriff auf IBM
Informationen oder Anweisungen zur globalen Lage bereitstellen. Über das MSS-Portal kann der Kunde
eine Beobachtungsliste (Watch List) zu Schwachstellen mit individuell angepassten Informationen zu
Sicherheitsbedrohungen erstellen. Darüber hinaus kann jeder MSS-Portalbenutzer auf Anforderung pro
Arbeitstag eine Bewertung der Internetsicherheit per E-Mail erhalten. Diese Bewertung enthält eine
Analyse der aktuellen bekannten Sicherheitsbedrohungen aus dem Internet, Echtzeitmessdaten zu
Internet-Ports sowie individuell angepasste Warnungen, Empfehlungen und Sicherheitsnachrichten.
Anmerkung: Der Zugriff des Kunden auf die Informationen zu Sicherheitsbedrohungen, die über das
Portal bereitgestellt werden, und die Nutzung dieser Informationen durch den Kunden (einschließlich der
täglichen Bewertung der Internetsicherheit per E-Mail) unterliegen den im Portal angegebenen
Nutzungsbedingungen. Im Fall von Widersprüchen zwischen den im Portal angegebenen
Nutzungsbedingungen und den Bedingungen des Vertrags haben die im Portal angegebenen
Nutzungsbedingungen Vorrang. Zusätzlich zu den im Portal angegebenen Nutzungsbedingungen gelten
für die Nutzung von Informationen in Links oder Webseiten und Ressourcen Dritter durch den Kunden die
in diesen Links oder Webseiten und Ressourcen Dritter veröffentlichten Nutzungsbedingungen.
3.4.1 Leistungsumfang
IBM wird
a. dem Kunden Zugriff auf den X-Force Hosted Threat Analysis Service über das MSS-Portal
gewähren;
b. Informationen über die Sicherheit im MSS-Portal anzeigen, sobald sie verfügbar sind;
c. über das MSS-Portal Informationen zu Sicherheitsbedrohungen bereitstellen, die auf eine vom
Kunden definierte Beobachtungsliste zu Schwachstellen abgestimmt sind, sofern vom Kunden
entsprechend konfiguriert;
d. an jedem Arbeitstag eine Bewertung der Internetsicherheit per E-Mail bereitstellen, sofern vom
Kunden abonniert und entsprechend konfiguriert;
e. einen AlertCon-Level zu Sicherheitsbedrohungen aus dem Internet über das MSS-Portal
veröffentlichen;
f. einen Internet-Notfall ausrufen, wenn der tägliche AlertCon-Level AlertCon 3 erreicht;
g. MSS-Portalfunktionen zur Erstellung und Pflege einer Beobachtungsliste zu Schwachstellen
bereitstellen;
h. zusätzliche Informationen über Warnungen, Empfehlungen oder weitere wichtige
Sicherheitsaspekte bereitstellen, sofern IBM dies für notwendig hält; und
i. dem Kunden Zugriff auf den Threat Insight Quarterly (Threat IQ) Report über das MSS-Portal
bereitstellen.
3.4.2 Verantwortlichkeiten des Kunden
Der Kunde wird das MSS-Portal verwenden, um
a. die tägliche Bewertung der Internetsicherheit per E-Mail zu abonnieren, sofern gewünscht;
b. eine Beobachtungsliste zu Schwachstellen zu erstellen, sofern gewünscht;
c. auf den Threat IQ Report zuzugreifen; und
d. die Lizenzvereinbarung einzuhalten und die im Rahmen der Services erhaltenen Informationen
nicht an Personen ohne gültige Lizenz weiterzugeben.
3.5 Implementierung und Aktivierung
Während der Implementierung und Aktivierung wird IBM in Zusammenarbeit mit dem Kunden einen
neuen Agenten implementieren oder mit dem Management eines vorhandenen Agenten beginnen.
Anmerkung: Die Aktivitäten im Rahmen der Implementierung und Aktivierung werden einmal während der
Erbringung der Leistungen durchgeführt. Wenn der Kunde seinen Agenten während der Laufzeit des
Servicevertrags austauscht, aufrüstet oder an einen anderen Standort verlegt, kann IBM verlangen, dass
dieser Agent erneut implementiert und aktiviert wird (nachfolgend „erneute Implementierung“ genannt).
Solche erneuten Implementierungen werden gegen Zahlung einer im jeweils geltenden Bestellschein
Z126-5942-AT-2 04-2013 Seite 8 von 41 Z126-5942-WW-2 04-2013

(nachfolgend „Bestellschein“ genannt) angegebenen zusätzlichen Gebühr durchgeführt. Die Gebühren für
eine erneute Implementierung sind nur für einen Austausch, ein Upgrade oder eine Verlegung von
Hardware an einen anderen Standort, initiiert vom Kunden, fällig. Sie sind nicht auf Defekte von Agenten
anwendbar, die zu einer Rücksendung der Agenten führen. Für die Log and Alert Services kann der
Kunde Leistungen für die physische Installation und Konfiguration im Rahmen eines gesonderten
Vertrags bei IBM beauftragen.
3.5.1 Leistungsumfang
Aktivität 1 – Projektauftakt
Zweck dieser Aktivität ist die Durchführung einer Besprechung zum Projektauftakt. IBM wird dem Kunden
eine Begrüßungsmail zusenden und eine maximal einstündige Besprechung zum Projektauftakt mit bis
zu drei Mitarbeitern des Kunden durchführen, um
a. den Beauftragten des Kunden dem für die Implementierung zuständigen IBM Spezialisten
vorzustellen;
b. die Verantwortlichkeiten jeder Vertragspartei zu prüfen;
c. die Erwartungen an den Zeitplan festzulegen; und
d. mit der Analyse der Anforderungen und der Umgebung des Kunden zu beginnen.
Beendigung der Leistungen:
Die IBM Verpflichtungen im Rahmen dieser Aktivität sind erfüllt, wenn die Besprechung zum
Projektauftakt durchgeführt wurde.
Zu liefernde Materialien:
●
Keine
Aktivität 2 – Voraussetzungen für den Netzwerkzugriff
Zweck dieser Aktivität ist die Festlegung der Voraussetzungen für den Netzwerkzugriff.
IBM wird
a. dem Kunden ein Dokument zu den Voraussetzungen für den Netzwerkzugriff („Network Access
Requirements“ genannt) übergeben, das detailliert beschreibt,
(1) wie IBM eine Remote-Verbindung zum Netzwerk des Kunden herstellen wird; und
(2) welche technischen Voraussetzungen für diese Remote-Verbindung erforderlich sind;
Anmerkung: IBM kann das Dokument „Network Access Requirements“ während der Erbringung der
Services ändern, sofern IBM dies für angebracht hält.
b. eine Verbindung zum Netzwerk des Kunden über das Internet mittels IBM
Standardzugriffsmethoden herstellen; und
c. sofern angebracht, ein Site-to-Site-VPN für die Verbindung zum Netzwerk des Kunden einsetzen.
Dieses VPN kann von IBM gegen Zahlung einer im Bestellschein angegebenen zusätzlichen
Gebühr bereitgestellt werden.
Beendigung der Leistungen:
Die IBM Verpflichtungen im Rahmen dieser Aktivität sind erfüllt, wenn das Dokument „Network Access
Requirements“ an den Beauftragten des Kunden übergeben wurde.
Zu liefernde Materialien:
●
Dokument „Network Access Requirements“
Aktivität 3 – Prüfung
Zweck dieser Aktivität ist die Durchführung einer Prüfung der aktuellen Umgebung sowie der
geschäftlichen und technischen Ziele des Kunden, um den Kunden bei der Ausarbeitung der
erforderlichen Sicherheitsstrategie für alle anwendbaren Managed Network Security Services zu
unterstützen.
Aufgabe 1 – Erfassung von Daten
IBM wird
Z126-5942-AT-2 04-2013 Seite 9 von 41 Z126-5942-WW-2 04-2013

a. dem Beauftragten des Kunden ein Formular zur Datenerfassung übergeben, auf dem der Kunde
folgende Informationen dokumentieren wird:
(1) Namen, Kontaktinformationen, Aufgabenbereiche und Verantwortlichkeiten der Mitglieder des
Projektteams;
(2) Besondere länder- und standortspezifische Anforderungen;
(3) Vorhandene Netzwerkinfrastruktur des Kunden;
(4) Kritische Server;
(5) Anzahl und Art der Endbenutzer; und
(6) Wichtige Einflussfaktoren und/oder Abhängigkeiten, die die Erbringung der Leistungen oder
die vereinbarten Fristen beeinflussen könnten.
Aufgabe 2 – Prüfung der Umgebung
IBM wird
a. die im Formular zur Datenerfassung angegebenen Informationen verwenden, um die vorhandene
Umgebung des Kunden zu prüfen;
b. eine optimale Agentenkonfiguration bestimmen;
c. sofern zutreffend, Folgendes bereitstellen:
(1) Empfehlungen zur Anpassung der Richtlinie eines Agenten; oder
(2) Empfehlungen zur Anpassung der Anordnung des Netzwerks, um die Sicherheit im Rahmen
der Managed Network Security Services zu verbessern (soweit zutreffend);
d. festlegen, ob die Datenerfassung auf den Agenten unter Verwendung des Universal Log Agent
(ULA) oder mittels SYSLOG implementiert wird (soweit zutreffend).
Aufgabe 3 – Prüfung des vorhandenen Agenten
Diese Aufgabe wird im Rahmen der Managed Network Security Services durchgeführt. IBM wird die im
Folgenden beschriebenen Leistungen erbringen, soweit zutreffend.
IBM wird
a. den Agenten per Fernanalyse prüfen, um zu verifizieren, dass er den IBM Spezifikationen
entspricht;
b. Anwendungs- und Benutzeraccounts ermitteln, die gelöscht oder hinzugefügt werden sollen, sofern
zutreffend; und
c. bei Agenten, die den IBM Spezifikationen nicht entsprechen,
(1) die Agentensoftware ermitteln, die ein Upgrade erfordert, und/oder
(2) die Agentenhardware ermitteln, die ein Upgrade erfordert, damit sie den Kompatibilitätslisten
der jeweiligen Hersteller entspricht.
Beendigung der Leistungen:
Die IBM Verpflichtungen im Rahmen dieser Aktivität sind erfüllt, wenn IBM die Umgebung des Kunden
und den vorhandenen Agenten des Kunden (sofern zutreffend) geprüft hat.
Zu liefernde Materialien:
●
Keine
Aktivität 4 – Out-of-Band-Zugriff
Out-of-Band-Zugriff ist erforderlich, um die SOCs zu unterstützen, falls die Verbindung zu einem Agenten
unterbrochen wird. Im Fall solcher Verbindungsprobleme kann sich der SOC-Analyst in das Out-of-Band-
Gerät einwählen, um zu verifizieren, dass der Agent korrekt funktioniert, und versuchen, die Ursache des
Ausfalls zu bestimmen, bevor das Problem an den Kunden eskaliert wird.
IBM wird
a. den Kunden per Telefon und E-Mail dabei unterstützen, Dokumente des jeweiligen Herstellers zu
finden, die eine genaue Beschreibung der Verfahren für die physische Installation und der
Verkabelung enthalten;
b. das Out-of-Band-Gerät für den Zugriff auf die Managed Agents konfigurieren; oder
Z126-5942-AT-2 04-2013 Seite 10 von 41 Z126-5942-WW-2 04-2013

c. mit dem Kunden zusammenarbeiten, um eine von IBM genehmigte vorhandene Out-of-Band-
Lösung zu nutzen.
Anmerkung: Zum Zweck der Klarstellung wird darauf hingewiesen, dass IBM auf den erforderlichen Outof-Band-Zugriff
verzichten kann, falls die interne Sicherheitsrichtlinie des Kunden die Verwendung eines
Out-of-Band-Geräts verbietet. Dies kann jedoch die Fähigkeit von IBM zur effektiven Erbringung der
Services deutlich beeinträchtigen.
Beendigung der Leistungen:
Die IBM Verpflichtungen im Rahmen dieser Aktivität sind erfüllt, wenn eine der folgenden Bedingungen
zuerst eintritt:
●
●
IBM hat das Out-of-Band-Gerät für den Zugriff auf den Managed Agent konfiguriert; oder
IBM hat sich auf Wunsch des Kunden damit einverstanden erklärt, auf den erforderlichen Out-of-
Band-Zugriff zu verzichten.
Zu liefernde Materialien:
●
Keine
Aktivität 5 – Implementierung
Zweck dieser Aktivität ist die Implementierung des/der Agenten für die Managed Network Security
Services. IBM wird die im Folgenden beschriebenen Services erbringen, soweit zutreffend.
Aufgabe 1 – Konfiguration des Agenten
IBM wird
a. den Agenten per Fernanalyse prüfen, um zu verifizieren, dass er den IBM Spezifikationen
entspricht;
b. Agentensoftware, -hardware und/oder -inhalte ermitteln, die nicht mit den aktuellen von IBM
unterstützten Versionen übereinstimmen;
c. sofern angebracht, Hardware-Upgrades ermitteln, die erforderlich sind, um die Kompatibilitätslisten
der jeweiligen Hersteller zu unterstützen;
d. den Agenten per Fernzugriff konfigurieren. Dies schließt die Festlegung der Richtlinie, die
Absicherung des Betriebssystems und die Registrierung des Agenten in der IBM MSS-Infrastruktur
ein;
e. telefonische Unterstützung bereitstellen und den Kunden darüber informieren, wo Dokumente des
Herstellers zu finden sind, um den Kunden bei der Konfiguration des Agenten mit einer öffentlichen
IP-Adresse und zugehörigen Einstellungen zu unterstützen. Diese Unterstützung muss im Voraus
geplant werden, um sicherzustellen, dass ein IBM Spezialist für die Implementierung zur Verfügung
steht;
f. die Agentenrichtlinie anpassen, um die Zahl von Fehlalarmen zu reduzieren (sofern zutreffend); und
g. auf Wunsch des Kunden die Konfiguration und Richtlinie auf dem vorhandenen Agenten ausführen.
Aufgabe 2 – Installation des Agenten
IBM wird
a. den Kunden per Telefon und/oder E-Mail dabei unterstützen, Dokumente des jeweiligen Herstellers
zu finden, die eine genaue Beschreibung der Verfahren für die physische Installation und der
Verkabelung enthalten. Diese Unterstützung muss im Voraus geplant werden, um sicherzustellen,
dass ein IBM Spezialist für die Implementierung zur Verfügung steht;
b. Empfehlungen zur Anpassung der Anordnung des Netzwerks zur Verbesserung der Sicherheit
abgeben (sofern zutreffend);
c. den Agenten per Fernzugriff konfigurieren. Dies schließt die Registrierung des Agenten in der IBM
MSS-Infrastruktur ein; und
d. die Agentenrichtlinie anpassen, um die Zahl von Fehlalarmen zu reduzieren (sofern zutreffend).
Anmerkung: Der Kunde kann Leistungen für die physische Installation im Rahmen eines gesonderten
Vertrags bei IBM beauftragen.
Z126-5942-AT-2 04-2013 Seite 11 von 41 Z126-5942-WW-2 04-2013

Beendigung der Leistungen:
Die IBM Verpflichtungen im Rahmen dieser Aktivität sind erfüllt, wenn der Agent in der IBM MSS-
Infrastruktur registriert ist.
Zu liefernde Materialien:
●
Keine
Aktivität 6 – Test und Verifizierung
Zweck dieser Aktivität ist der Test und die Verifizierung der Services.
IBM wird
a. die Verbindung des Agenten oder OA zu der IBM MSS-Infrastruktur verifizieren;
b. abschließende Funktionstests der Services durchführen;
c. die Übermittlung von Protokolldaten von dem Agenten an die IBM MSS-Infrastruktur verifizieren;
d. die Verfügbarkeit und Funktionalität des Agenten im Portal verifizieren;
e. Qualitätssicherungstests des Agenten durchführen; und
f. bis zu zehn Mitarbeitern des Kunden die wichtigsten Funktionen des Portals im Rahmen einer
maximal einstündigen Remote-Demonstration vorstellen.
Beendigung der Leistungen:
Die IBM Verpflichtungen im Rahmen dieser Aktivität sind erfüllt, wenn IBM die Verfügbarkeit und
Funktionalität des Agenten im Portal verifiziert hat.
Zu liefernde Materialien:
●
Keine
Aktivität 7 – Aktivierung der Services
Zweck dieser Aktivität ist die Aktivierung der Services.
IBM wird
a. das Management und die Unterstützung des Agenten übernehmen;
b. den Agenten im Rahmen der Managed Network Security Services auf „active“ einstellen (soweit
zutreffend); und
c. die Verantwortung für das fortlaufende Management und die kontinuierliche Unterstützung des
Agenten an die SOCs übertragen.
Beendigung der Leistungen:
Die IBM Verpflichtungen im Rahmen dieser Aktivität sind erfüllt, wenn der Agent auf „active“ eingestellt
wurde. Bei den Log & Alert Services sind die IBM Verpflichtungen im Rahmen dieser Aktivität erfüllt,
wenn das SOC die Verantwortung für die Unterstützung der Services übernommen hat.
Zu liefernde Materialien:
●
Keine
3.5.2 Verantwortlichkeiten des Kunden
Aktivität 1 – Projektauftakt
Der Kunde wird
a. an der Besprechung zum Projektauftakt teilnehmen; und
b. die Verantwortlichkeiten jeder Vertragspartei prüfen.
Aktivität 2 – Voraussetzungen für den Netzwerkzugriff
Der Kunde wird
a. das IBM Dokument „Network Access Requirements“ prüfen und während der Implementierung und
der gesamten Vertragslaufzeit befolgen; und
b. die alleinige Verantwortung für alle Gebühren übernehmen, die dadurch entstehen, dass IBM ein
Site-to-Site-VPN für die Verbindung zum Netzwerk des Kunden nutzt.
Z126-5942-AT-2 04-2013 Seite 12 von 41 Z126-5942-WW-2 04-2013

Aktivität 3 – Prüfung
Aufgabe 1 – Erfassung von Daten
Der Kunde wird
a. alle Fragebogen und/oder Formulare zur Datenerfassung ausfüllen und innerhalb von fünf Tagen
nach Erhalt an IBM zurückgeben;
b. Informationen, Daten, Zustimmungen, Entscheidungen und Genehmigungen, die IBM zur
Implementierung der Services benötigt, innerhalb von zwei Arbeitstagen nach Anforderung durch
IBM beschaffen und bereitstellen;
c. mit IBM zusammenarbeiten, um die Netzwerkumgebung des Kunden sorgfältig zu prüfen;
d. für den Fall, dass IBM Kontakt zum Kunden aufnehmen muss, Ansprechpartner im Unternehmen
des Kunden nennen und eine Benachrichtigungsreihenfolge in seinem Unternehmen angeben; und
e. IBM innerhalb von drei Kalendertagen über Änderungen an den Kontaktinformationen zu den
Ansprechpartnern des Kunden informieren.
Aufgabe 2 – Prüfung der Umgebung
Diese Aufgabe wird der Kunde im Rahmen der Managed Network Security Services durchführen (soweit
zutreffend).
Der Kunde wird
a. sicherstellen, dass gültige Lizenz-, Support- und Wartungsverträge für die Agenten vorliegen;
b. alle von IBM angeforderten Änderungen an der Anordnung des Netzwerks des Kunden zur
Verbesserung der Sicherheit durchführen;
c. bestätigen, dass der Schutz durch Agenten, die im passiven Modus eingesetzt werden, deutlich
abgeschwächt sein wird; und
d. bestätigen, dass die Umstellung auf eine Inline-Implementierung zu einem späteren Zeitpunkt im
Voraus angekündigt werden muss.
Aufgabe 3 – Prüfung des vorhandenen Agenten
Diese Aufgabe wird der Kunde im Rahmen der Managed Network Security Services durchführen (soweit
zutreffend).
Der Kunde wird
a. sicherstellen, dass der vorhandene Agent den IBM Spezifikationen entspricht;
b. die von IBM angegebenen Anwendungen und Benutzeraccounts entfernen oder hinzufügen; und
c. auf Anforderung von IBM
(1) die von IBM angegebene Agentensoftware aufrüsten; und
(2) die von IBM angegebene Agentenhardware aufrüsten.
Aktivität 4 – Out-of-Band-Zugriff
Der Kunde wird
a. beim Einsatz neuer Out-of-Band-Lösungen
(1) ein von IBM unterstütztes Out-of-Band-Gerät erwerben;
(2) das Out-of-Band-Gerät physisch installieren und mit dem Agenten verbinden;
(3) eine dedizierte analoge Telefonleitung für den Zugriff bereitstellen;
(4) das Out-of-Band-Gerät physisch an die dedizierte Telefonleitung anschließen und die
Verbindung aufrechterhalten;
(5) die Verantwortung für alle Gebühren im Zusammenhang mit dem Out-of-Band-Gerät und der
Telefonleitung übernehmen; und
(6) die Verantwortung für alle Gebühren im Zusammenhang mit dem fortlaufenden Management
der Out-of-Band-Lösung übernehmen;
b. beim Einsatz vorhandener Out-of-Band-Lösungen
Z126-5942-AT-2 04-2013 Seite 13 von 41 Z126-5942-WW-2 04-2013

(1) sicherstellen, dass die Lösung IBM keinen Zugriff auf nicht von IBM betriebene Geräte
ermöglicht;
(2) sicherstellen, dass die Lösung keine Installation spezifischer Software erfordert;
(3) IBM detaillierte Anweisungen für den Zugriff auf die Managed Agents bereitstellen; und
(4) die Verantwortung für alle Aspekte im Zusammenhang mit dem Management der Out-of-
Band-Lösung übernehmen;
c. bestätigen, dass vorhandene Out-of-Band-Lösungen von IBM genehmigt werden müssen;
d. sicherstellen, dass gültige Support- und Wartungsverträge für das Out-of-Band-Gerät vorliegen
(sofern erforderlich); und
e. bestätigen – falls der Kunde sich für eine Nutzung der Services ohne den erforderlichen Out-of-
Band-Zugriff entscheidet oder der Out-of-Band-Zugriff IBM aus irgendeinem Grund nicht zur
Verfügung steht –, dass
(1) IBM der Verpflichtungen im Rahmen aller SLAs enthoben wird, die direkt von der
Verfügbarkeit dieses Zugriffs beeinflusst werden;
(2) IBM möglicherweise mehr Zeit für die Fehlersuche/-behebung und/oder Wartung der Geräte
des Kunden benötigt; und
(3) der Kunde verpflichtet ist, IBM vor Ort bei der Konfiguration, Problemlösung,
Geräteaktualisierung, Fehlersuche/-behebung und/oder jeder anderen Aufgabe zu
unterstützen, die üblicherweise mittels Out-of-Band-Zugriff durchgeführt wird.
Aktivität 5 – Implementierung
Diese Aktivität wird der Kunde im Rahmen der Managed Network Security Services durchführen (soweit
zutreffend).
Aufgabe 1 – Konfiguration des Agenten
Der Kunde wird
a. ein Update der Agentensoftware oder -inhalte auf die neueste von IBM unterstützte Version
durchführen (d. h. Datenträger physisch laden, sofern zutreffend);
b. ein Update der Hardware durchführen, um die Kompatibilitätslisten der jeweiligen Hersteller zu
unterstützen (sofern zutreffend);
c. die Agentenrichtlinie anpassen, wie von IBM angefordert;
d. den Agenten mit einer öffentlichen IP-Adresse und zugehörigen Einstellungen konfigurieren; und
e. IBM bei der Ausführung der Konfiguration und Richtlinie des vorhandenen Agenten unterstützen
(sofern zutreffend).
Aufgabe 2 – Installation des Agenten
Der Kunde wird
a. in Zusammenarbeit mit IBM Dokumente der Hersteller suchen, die eine genaue Beschreibung der
Verfahren für die physische Installation und der Verkabelung enthalten. Der Kunde wird diese
Unterstützung im Voraus planen, um sicherzustellen, dass ein IBM Spezialist für die
Implementierung zur Verfügung steht;
b. die Verantwortung für die physische Verkabelung und Installation des/der Agenten übernehmen;
c. die von IBM angegebenen Anpassungen an der Anordnung des Netzwerks zur Verbesserung der
Sicherheit durchführen; und
d. bestätigen, dass die Agenten laut Empfehlung von IBM „inline“ und innerhalb der Firewall des
Kunden implementiert werden sollten.
Aktivität 6 – Test und Verifizierung
Der Kunde wird
a. die Verantwortung für die Erarbeitung aller spezifischen Testpläne der abschließenden
Funktionstests des Kunden übernehmen;
b. die Verantwortung für die Durchführung der abschließenden Funktionstests der Anwendungen und
Netzwerkverbindungen des Kunden übernehmen; und
Z126-5942-AT-2 04-2013 Seite 14 von 41 Z126-5942-WW-2 04-2013

c. bestätigen, dass zusätzliche abschließende Funktionstests, die der Kunde durchführt oder nicht
durchführt, IBM nicht daran hindern, den Agenten in den SOCs auf „active“ einzustellen, um die
kontinuierliche Unterstützung und das fortlaufende Management durch die SOCs zu aktivieren.
Aktivität 7 – Aktivierung der Services
Diese Aktivität erfordert keine weiteren Verantwortlichkeiten des Kunden.
3.6 Implementierung und Aktivierung des Protokollmanagements und der Alarmausgabe
Während der Implementierung und Aktivierung des Protokollmanagements und der Alarmausgabe wird
IBM in Zusammenarbeit mit dem Kunden einen neuen Agenten implementieren oder mit dem
Management eines vorhandenen Agenten beginnen.
Aktivität 1 – Implementierung des Aggregators am Kundenstandort
Zweck dieser Aktivität ist die Konfiguration des Aggregators am Kundenstandort („Onsite Aggregator“
oder „OA“ genannt).
Der OA ist ein vom Kunden bereitgestelltes erforderliches Gerät, das am Kundenstandort implementiert
und von IBM MSS gegen Zahlung einer im Bestellschein angegebenen zusätzlichen Gebühr betrieben
und überwacht wird.
Die Basisfunktionen des OA sind nachstehend beschrieben:
a. Kompilierung oder anderweitige Zusammenfassung der Sicherheitsereignisse und Protokolldaten;
b. Parsing und Normalisierung von textbasierten Protokollen zu Systemaktivitäten in unbekannten
Formaten, die an die IBM MSS-Infrastruktur übermittelt werden sollen;
c. Komprimierung und Verschlüsselung der Sicherheitsereignisse und Protokolldaten; und
d. Übertragung der Sicherheitsereignisse und Protokolldaten an die IBM MSS-Infrastruktur.
Die Kernfunktionen des OA sind nachstehend beschrieben:
a. Durchführung des lokalen Spoolings, indem die Ereignisse lokal in die Warteschlange gestellt
werden, wenn keine Verbindung zur IBM MSS-Infrastruktur verfügbar ist;
b. Durchführung der unidirektionalen Protokollübertragung. Die OA-Kommunikation wird über
abgehende SSL/TCP-443-Verbindungen ausgeführt;
c. Durchführung der Nachrichtendrosselung bei entsprechender Konfiguration. Dadurch wird die Zahl
der vom OA zur IBM MSS-Infrastruktur übertragenen Nachrichten pro Sekunde eingeschränkt, um
Bandbreite zu sparen; und
d. Bereitstellung von Übertragungszeitfenstern bei entsprechender Konfiguration. Die
Übertragungszeitfenster aktivieren/deaktivieren die Ereignisübertragung an die IBM MSS-
Infrastruktur während des vom Kunden im Portal angegebenen Zeitrahmens.
IBM empfiehlt nachdrücklich die Verwendung des Out-of-Band-Zugriffs auf den OA, wie im Abschnitt
„Out-of-Band-Zugriff“ dieser Leistungsbeschreibung beschrieben.
Aufgabe 1 – Konfiguration des OA
IBM wird
a. den Kunden per Telefon und E-Mail dabei unterstützen, Dokumente des jeweiligen Herstellers zu
finden, die eine genaue Beschreibung der Installations- und Konfigurationsverfahren für das OA-
Betriebssystem und die von IBM bereitgestellte OA-Software enthalten. Diese Unterstützung muss
im Voraus geplant werden, um sicherzustellen, dass ein IBM Spezialist für die Implementierung zur
Verfügung steht;
b. dem Kunden Hardwarespezifikationen für die OA-Plattform bereitstellen;
c. dem Kunden OA-Software und Konfigurationseinstellungen bereitstellen;
d. den Kunden per Telefon und E-Mail bei der Installation der von IBM bereitgestellten OA-Software
auf der vom Kunden bereitgestellten Hardwareplattform unterstützen. Diese Unterstützung muss im
Voraus geplant werden, um sicherzustellen, dass ein IBM Spezialist für die Implementierung zur
Verfügung steht;
e. auf Wunsch des Kunden und gegen Zahlung einer im Bestellschein angegebenen zusätzlichen
Gebühr Leistungen für die Softwareinstallation erbringen; und
Z126-5942-AT-2 04-2013 Seite 15 von 41 Z126-5942-WW-2 04-2013

f. beim Einsatz vorhandener Plattformen
(1) vorhandene Hardwarekonfigurationen prüfen, um sicherzustellen, dass sie den IBM
Spezifikationen entsprechen; und
(2) erforderliche Hardware-Upgrades ermitteln, die vom Kunden bereitzustellen und zu
installieren sind.
Aufgabe 2 – Installation des OA
IBM wird
a. den Kunden per Telefon und E-Mail dabei unterstützen, Dokumente des jeweiligen Herstellers zu
finden, die eine genaue Beschreibung der Verfahren für die physische Installation und der
Verkabelung des OA enthalten. Diese Unterstützung muss im Voraus geplant werden, um
sicherzustellen, dass ein IBM Spezialist für die Implementierung zur Verfügung steht;
b. den OA per Fernzugriff konfigurieren. Dabei wird IBM den OA in der IBM MSS-Infrastruktur
registrieren und den Prozess für die Übernahme der Implementierung und des Managements des
OA initiieren; und
c. bestätigen, dass die IBM MSS-Infrastruktur Daten vom OA empfängt.
Beendigung der Leistungen:
Die IBM Verpflichtungen im Rahmen dieser Aktivität sind erfüllt, wenn der OA installiert und konfiguriert
ist und IBM bestätigt hat, dass die IBM MSS-Infrastruktur Daten vom OA empfängt.
Zu liefernde Materialien:
●
Keine
Aktivität 2 – Implementierung des Universal Log Agent (ULA)
Der ULA ist eine schlanke Anwendung für die Protokollerfassung, die auf einem Agenten ausgeführt wird,
für den die Services genutzt werden. Der ULA erfasst textbasierte Protokolle lokal auf dem Agenten und
leitet sie sicher an den OA weiter. Der OA leitet die Protokolle anschließend sicher an die IBM MSS-
Infrastruktur weiter, damit sie erfasst, langfristig aufbewahrt und im Portal angezeigt werden können.
Die Basisfunktionen des ULA sind nachstehend beschrieben:
a. Lokale Erfassung von Ereignissen/Protokollen auf dem Agenten;
b. Komprimierung der Ereignisse/Protokolldaten;
c. Verschlüsselung der Ereignisse/Protokolldaten; und
d. Sichere Übertragung der Ereignisse/Protokolle an den OA.
Die Kernfunktionen des ULA sind nachstehend beschrieben:
a. Erfassung von generischen Daten aus Textdateien;
b. Erfassung von Ereignisprotokollen;
c. Erfassung von Systeminformationen, die Folgendes beinhalten können:
(1) Betriebssystemversion;
(2) Hauptspeicher;
(3) CPU;
(4) Lokale Benutzeraccounts;
(5) Details zu Netzwerkschnittstellen;
(6) Aktive Prozesse; und
(7) Offene Netzwerkanschlüsse;
d. Durchführung der unidirektionalen Protokollübertragung. Die ULA-Kommunikation wird über
abgehende SSL/TCP-443-Verbindungen ausgeführt;
e. Durchführung der Nachrichtendrosselung bei entsprechender Konfiguration. Dadurch wird die Zahl
der vom ULA zum OA übertragenen Nachrichten pro Sekunde eingeschränkt, um Bandbreite zu
sparen; und
Z126-5942-AT-2 04-2013 Seite 16 von 41 Z126-5942-WW-2 04-2013

f. Bereitstellung von Übertragungszeitfenstern bei entsprechender Konfiguration. Die
Übertragungszeitfenster aktivieren/deaktivieren die Ereignisübertragung an die IBM MSS-
Infrastruktur während des vom Kunden im Portal angegebenen Zeitrahmens.
Aufgabe 1 – Vorbereitung des Agenten
IBM wird dem Kunden eine Liste von Agenten bereitstellen, die die Installation des ULA erfordern.
Aufgabe 2 – Installation des ULA
IBM wird
a. den ULA zum Download über das Portal bereitstellen; und
b. dem Kunden über das Portal Zugriff auf das Installationshandbuch zur Installation des ULA für das
Protokollmanagement gewähren.
Aufgabe 3 – Konfiguration des ULA
IBM wird dem Kunden Anweisungen zur Anmeldung am Portal und zur Konfiguration des Agenten
bereitstellen.
Beendigung der Leistungen:
Die IBM Verpflichtungen im Rahmen dieser Aktivität sind erfüllt, wenn IBM dem Kunden eine Liste der
Agenten, die die Installation des ULA erfordern, übergeben hat.
Zu liefernde Materialien:
●
Keine
Aktivität 3 – Implementierung der Protokollerfassung ohne ULA
Im Rahmen dieser Aktivität wird IBM die Protokollerfassung über SYSLOG-Datenströme ermöglichen,
wenn die Installation des ULA auf einem Agenten technisch nicht durchführbar oder nicht angebracht ist.
IBM wird
a. dem Kunden eine Liste von Agenten bereitstellen, die die Protokollerfassung mittels SYSLOG
erfordern; und
b. die IP-Adresse des OA bereitstellen, an den der SYSLOG-Datenstrom weitergeleitet werden soll.
Beendigung der Leistungen:
Die IBM Verpflichtungen im Rahmen dieser Aktivität sind erfüllt, wenn dem Beauftragten des Kunden die
IP-Adresse des OA, an den der SYSLOG-Datenstrom weitergeleitet werden soll, bereitgestellt wurde.
Zu liefernde Materialien:
●
Keine
Aktivität 4 – Aktivierung des Protokollmanagements und der Alarmausgabe
Zweck dieser Aktivität ist die Aktivierung des Protokollmanagements und der Alarmausgabe.
IBM wird
a. die Verantwortung für die Unterstützung des Agenten übernehmen; und
b. die Verantwortung für die kontinuierliche Unterstützung des Agenten an die SOCs übertragen.
Beendigung der Leistungen:
Die IBM Verpflichtungen im Rahmen dieser Aktivität sind erfüllt, wenn der Agent auf „active“ eingestellt
wurde. Bei den Log & Alert Services sind die IBM Verpflichtungen im Rahmen dieser Aktivität erfüllt,
wenn das SOC die Verantwortung für die Unterstützung der Services übernommen hat.
Zu liefernde Materialien:
●
Keine
3.6.2 Verantwortlichkeiten des Kunden
Aktivität 1 – Implementierung des Aggregators am Kundenstandort
Aufgabe 1 – Konfiguration des OA
Der Kunde wird
Z126-5942-AT-2 04-2013 Seite 17 von 41 Z126-5942-WW-2 04-2013

a. IBM eine externe IP-Adresse für den OA bereitstellen;
b. die Hardware für die OA-Plattform bereitstellen, basierend auf den Empfehlungen und
Anforderungen von IBM;
c. sicherstellen, dass gültige Lizenz-, Support- und Wartungsverträge für die Hardware vorliegen, auf
der der OA installiert ist;
d. die von IBM bereitgestellte OA-Software nach Anleitung von IBM auf der vom Kunden
bereitgestellten Hardware installieren;
e. eine externe IP-Adresse und die zugehörigen Einstellungen auf dem OA konfigurieren;
f. IBM die IP-Adresse des OA, den Hostnamen, die Maschinenplattform, die Anwendungsversion und
die Zeitzone des Agenten bereitstellen; und
g. beim Einsatz vorhandener Plattformen die von IBM geforderten Hardware-Upgrades beschaffen
und installieren.
Aufgabe 2 – Installation des OA
Der Kunde wird
a. die Verantwortung für die physische Installation und Verkabelung des OA übernehmen; und
b. die Unterstützung mit einem IBM Spezialisten für die Implementierung planen.
Aktivität 2 – Implementierung des Universal Log Agent (ULA)
Aufgabe 1 – Vorbereitung des Agenten
Der Kunde wird
a. die von seinem Unternehmen gewünschten Prüfungen der Betriebssysteme oder Anwendungen,
die überwacht werden sollen, auf System-, Sicherheits- und Anwendungsebene aktivieren; und
b. die Verbindung zwischen dem Agenten und dem OA verifizieren.
Aufgabe 2 – Installation des ULA
Der Kunde wird
a. die ULA-Software vom Portal downloaden;
b. den ULA auf dem/den Agenten installieren, für den/die die Services genutzt werden; und
c. bestätigen, dass er die alleinige Verantwortung für alle Aufgaben im Zusammenhang mit der
Installation des ULA trägt.
Aufgabe 3 – Konfiguration des ULA
Der Kunde wird
a. sich innerhalb von drei Arbeitstagen nach der Installation und Konfiguration des ULA am Portal
anmelden und bestätigen, dass der Agent verfügbar ist und Protokolle empfängt;
b. den ULA mit entsprechenden Konfigurationseinstellungen (darunter Service-Level, Standort,
Plattform, Betriebssystem und Zeitzone) konfigurieren;
c. die ULA-Konfigurationseinstellungen (darunter Service-Level, Standort, Plattform, Betriebssystem
und Zeitzone) innerhalb von drei Tagen nach jeder künftigen Modifizierung des Geräts
aktualisieren;
d. die ULA-Richtlinie ändern (sofern gewünscht); und
e. bestätigen, dass er die alleinige Verantwortung für alle Aufgaben im Zusammenhang mit der
Konfiguration des ULA trägt.
Aktivität 3 – Implementierung der Protokollerfassung ohne ULA
Der Kunde wird
a. den Agenten unter Anleitung von IBM dafür konfigurieren, SYSLOG-Datenströme an den OA zu
übertragen;
b. sich innerhalb von drei Arbeitstagen am Portal anmelden und bestätigen, dass der Agent verfügbar
ist und Protokolle empfängt; und
Z126-5942-AT-2 04-2013 Seite 18 von 41 Z126-5942-WW-2 04-2013

c. bestätigen, dass er die alleinige Verantwortung für alle Aufgaben im Zusammenhang mit der
SYSLOG-Installation trägt.
Aktivität 4 – Test und Verifizierung des Protokollmanagements und der Alarmausgabe
Der Kunde wird
a. die Verantwortung für die Erarbeitung aller spezifischen Testpläne der abschließenden
Funktionstests des Kunden übernehmen;
b. die Verantwortung für die Durchführung der abschließenden Funktionstests der Anwendungen und
Netzwerkverbindungen des Kunden übernehmen;
c. verifizieren, dass die Protokolle jedes Agenten im Portal verfügbar sind;
d. die ULA-Konfigurationseinstellungen (darunter Service-Level, Standort, Plattform, Betriebssystem
und Zeitzone) innerhalb von drei Tagen nach jeder künftigen Modifizierung des Geräts
aktualisieren; und
e. bestätigen, dass zusätzliche abschließende Funktionstests, die der Kunde durchführt oder nicht
durchführt, IBM nicht daran hindern, den Agenten in den SOCs auf „active“ einzustellen, um die
kontinuierliche Unterstützung und das fortlaufende Management durch die SOCs zu aktivieren.
Aktivität 5 – Out-of-Band-Zugriff für die Protokollerfassung
Der Kunde wird die Verantwortung für die gesamte Remote-Konfiguration und Fehlersuche/-behebung im
Zusammenhang mit dem Out-of-Band-Zugriff übernehmen, falls sich der Kunde gegen die
Implementierung einer Out-of-Band-Lösung entscheidet oder die Out-of-Band-Lösung aus irgendeinem
Grund nicht verfügbar ist.
3.7 Erneute Implementierung und Aktivierung
Während der erneuten Implementierung und Aktivierung wird IBM in Zusammenarbeit mit dem Kunden
einen MSS-Agenten austauschen, aufrüsten oder an einen anderen Standort verlegen.
Anmerkung: Die Aktivitäten im Rahmen der erneuten Implementierung und Aktivierung werden einmalig
durchgeführt. Wenn der Kunde seinen MSS-Agenten während der Laufzeit des Servicevertrags
austauscht, aufrüstet oder an einen anderen Standort verlegt, kann IBM verlangen, dass dieser MSS-
Agent erneut implementiert wird. Eine solche erneute Implementierung und Aktivierung wird gegen
Zahlung einer zusätzlichen Gebühr mittels einer Änderungsanforderung durchgeführt. Die Gebühren für
eine erneute Implementierung und Aktivierung sind nur für einen Austausch, ein Upgrade oder eine
Verlegung von Hardware an einen anderen Standort, initiiert vom Kunden, fällig. Sie sind nicht auf
Defekte von MSS-Agenten anwendbar, die zu einer Rücksendung der Agenten führen.
Im Rahmen der erneuten Implementierung und Aktivierung wird IBM die unter „Leistungsumfang“ in der
Ziffer „Implementierung und Aktivierung“ dieses Dokuments beschriebenen Aktivitäten durchführen.
Im Rahmen der erneuten Implementierung und Aktivierung wird der Kunde die unter
„Verantwortlichkeiten des Kunden“ in der Ziffer „Implementierung und Aktivierung“ dieses Dokuments
beschriebenen Aktivitäten durchführen und bestätigen.
Anmerkung: Für die Log and Alert Services kann der Kunde Leistungen für die physische Installation und
Konfiguration im Rahmen eines gesonderten Vertrags bei IBM beauftragen.
3.8 Erfassung von Sicherheitsereignissen und -protokollen
IBM nutzt das X-Force Protection System, um Protokolle zu erfassen, zu organisieren und zu speichern.
Protokolle können im Portal für die Dauer des im Bestellschein angegebenen Aufbewahrungszeitraums
angezeigt werden. Nach Ablauf dieser Frist werden die Daten permanent gelöscht.
3.8.1 Leistungsumfang
IBM wird
a. die von dem/den Agenten erzeugten Protokolle eindeutig identifizieren, erfassen und speichern,
sobald sie die IBM MSS-Infrastruktur erreichen;
b. sofern unterstützt, kundenspezifische Parser oder Standard-Parser verwenden, um Protokolle zum
Zweck ihrer Anzeige und Aufbewahrung zu normalisieren;
c. Protokolle über das Portal für die Dauer des im Bestellschein angegebenen
Aufbewahrungszeitraums speichern und anzeigen;
Z126-5942-AT-2 04-2013 Seite 19 von 41 Z126-5942-WW-2 04-2013

d. Protokolle unwiderruflich löschen, wobei die FIFO-Methode (First In, First Out) angewandt wird,
(1) wenn der im Bestellschein angegebene Aufbewahrungszeitraum abgelaufen ist; oder
(2) wenn die Protokolldaten das Alter von sieben Jahren überschreiten;
Ungeachtet der vom Kunden festgelegten Aufbewahrungsfristen wird IBM Protokolldaten nicht
länger als sieben Jahre aufbewahren. Überschreitet der Kunde die Aufbewahrungsdauer von
sieben Jahren an irgendeinem Zeitpunkt während der Vertragslaufzeit, wird IBM die Protokolle
mittels der FIFO-Methode löschen.
e. sofern IBM dies für angebracht hält, ein Site-to-Site-VPN empfehlen, das zur Verschlüsselung des
Datenverkehrs verwendet wird, der nicht nativ durch den/die Agenten verschlüsselt wird.
3.8.2 Verantwortlichkeiten des Kunden
Der Kunde wird
a. das Portal verwenden, um Protokolldaten zu prüfen;
b. das Portal verwenden, um sich eigenverantwortlich über den verfügbaren Speicherplatz für
Protokolldaten zu informieren; und
c. bestätigen, dass
(1) IBM die Protokolle für die Dauer des im Bestellschein angegebenen Aufbewahrungszeitraums
speichern wird;
(2) IBM seiner Verpflichtung enthoben wird, die Protokolldaten des Kunden aufzubewahren, wenn
die Services aus irgendeinem Grund gekündigt werden;
(3) alle Protokolldaten mittels der vereinbarten Methode an die IBM MSS-Infrastruktur übertragen
werden;
(4) Protokoll- und Ereignisdaten, die über das Internet übertragen werden, nicht verschlüsselt
werden, falls der Kunde kein von IBM empfohlenes Site-to-Site-VPN für Agenten nutzt, die
keine nativen Verschlüsselungsalgorithmen bereitstellen;
(5) IBM nur Protokolle aufbewahrt, die erfolgreich an die IBM MSS-Infrastruktur übertragen
werden;
(6) IBM nicht garantiert, dass die Protokolle in einem nationalen oder internationalen
Rechtssystem als Beweis verwendet werden können. Die Zulässigkeit von Beweisen basiert
auf den beteiligten Technologien und der Fähigkeit des Kunden, die korrekte
Datenverarbeitung und Beweiskette für jeden präsentierten Datensatz nachzuweisen;
(7) die vom Kunden festgelegten Aufbewahrungsfristen sieben Jahre nicht überschreiten werden,
da IBM Protokolldaten nicht länger als sieben Jahre aufbewahren wird, und IBM Protokolle
mittels der FIFO-Methode löschen wird, wenn die Protokolle das Alter von sieben Jahren
überschreiten, ungeachtet der vom Kunden angegebenen Aufbewahrungsfristen; und
(8) IBM die durch den Service erfassten Protokolle verwenden kann, um a) Trends und b) reale
oder potenzielle Bedrohungen zu ermitteln. IBM kann diese Daten kompilieren oder auf
andere Weise mit den Daten anderer Kunden kombinieren, solange dabei sichergestellt wird,
dass die Daten in keiner Weise dem Kunden zugeordnet werden können.
4. Managed Network Security Services – Common Features
Common Features bieten dem Kunden die Möglichkeit, nach Gerät (soweit zutreffend) den notwendigen
Zeitrahmen für die Einleitung von Maßnahmen, die Eskalation, die Implementierung oder Updates im
Zusammenhang mit dem Service zu definieren. Die verschiedenen auswählbaren Zeitrahmen bieten
mehrere Serviceoptionen, die – jeweils nach Gerät – im Vertrag des Kunden festgelegt werden. Für die
verschiedenen Service-Levels für das Feature kann ein SLA im Zusammenhang mit dem Feature gelten.
4.1 Automatisierte Analyse
Die automatisierte Analyse wird im Rahmen der Managed Network Security Services durchgeführt, es sei
denn, die Secure Web Gateway Management Services sind Bestandteil des Servicevertrags. Agenten
können eine große Zahl von Alarmmeldungen als Reaktion auf die Sicherheitsbedingungen erzeugen, für
deren Erkennung sie konfiguriert sind. Das tatsächliche Sicherheitsrisiko einer bestimmten festgestellten
Z126-5942-AT-2 04-2013 Seite 20 von 41 Z126-5942-WW-2 04-2013

Bedingung ist jedoch nicht immer klar, und es ist nicht zweckmäßig, alle Daten, die schädlich sein
könnten, standardmäßig zu blockieren.
IBM hat proprietäre Analyse-Engines entwickelt, die Teil des X-Force Protection System sind. Die
erfassten Protokolle werden zur Korrelation und Alarmausgabe an die Analyse-Engines übermittelt.
Die Analyse-Engines führen die folgenden Basisfunktionen aus:
●
●
●
●
Korrelation von Echtzeit- und Langzeitprotokollen;
Nutzung statistischer und regelbasierter Analyseverfahren;
Nutzung unformatierter, normalisierter und konsolidierter Daten; und
Bearbeitung der von Anwendungen und Betriebssystemen erzeugten Protokolle.
Die Alarmbenachrichtigungen des X-Force Protection System werden dem Kunden über das MSS-Portal
zur Verfügung gestellt. IBM wird dem Kunden eine stündliche Alarmbenachrichtigung des X-Force
Protection System per E-Mail zusenden, in der die Alarmbenachrichtigungen zusammengefasst sind,
sofern der Kunde diese Option im Portal ausgewählt hat.
Die automatisierte Analyse und die anschließend vom X-Force Protection System erzeugten
Alarmbenachrichtigungen sind nur auf den von IBM angegebenen Plattformen verfügbar.
4.1.1 Leistungsumfang
IBM wird
a. die erfassten Protokolldaten an die Analyse-Engines des X-Force Protection System zur Korrelation
und Alarmausgabe übertragen;
b. – sofern das Protokollmanagement und die Alarmausgabe Bestandteil des Servicevertrags des
Kunden sind – die benutzerdefinierten Korrelationsregeln verwenden, die für die Analyse und
Alarmausgabe aktiviert werden;
c. die von den Analyse-Engines des X-Force Protection System erzeugten maßgeblichen
Alarmbenachrichtigungen im MSS-Portal anzeigen, sobald sie verfügbar sind; und
d. sofern vom Kunden entsprechend konfiguriert, die Alarmbenachrichtigung des X-Force Protection
System innerhalb der Fristen bereitstellen, die im Abschnitt „Service-Level-Agreements“,
„Alarmbenachrichtigung bei Sicherheitsverstößen“ dieser Leistungsbeschreibung angegeben sind.
4.1.2 Verantwortlichkeiten des Kunden
Der Kunde wird
a. die Verantwortung dafür übernehmen, die maßgeblichen Regeln der Analyse-Engines über das
MSS-Portal zu aktivieren/zu deaktivieren;
b. die Verantwortung dafür übernehmen, die Alarmbenachrichtigung des X-Force Protection System
über das MSS-Portal auszuwählen; und
c. bestätigen, dass
(1) das Portal zur Überwachung und Prüfung der von den Analyse-Engines des X-Force
Protection System erzeugten Alarmbenachrichtigungen verwendet werden kann; und
(2) eine automatisierte Analyse nur auf den von IBM angegebenen Plattformen oder für die
Protokolle, die der Kunde unter Verwendung des kundenspezifischen Protokoll-Parsers
normalisiert, verfügbar ist (soweit zutreffend).
4.2 Überwachung und Benachrichtigung durch Bedrohungsanalysten
Die Überwachung und Benachrichtigung durch Bedrohungsanalysten wird im Rahmen der Managed
Network Security Services durchgeführt, es sei denn, die Secure Web Gateway Management Services
und Firewall Management Services sind Bestandteil des Servicevertrags. IBM MSS-Sicherheitsanalysten
werden die vom X-Force Protection System erzeugten Alarmbenachrichtigungen überwachen und
analysieren, die das Ergebnis der automatisierten Analyse von unterstützten Protokolldaten sind. Ob eine
Alarmbenachrichtigung als Sicherheitsverstoß gewertet wird, liegt im alleinigen Ermessen von IBM.
Alarmbenachrichtigungen werden klassifiziert, priorisiert und eskaliert, wie es IBM für angemessen hält.
Alarmbenachrichtigungen, die nicht als unkritisch ausgeschlossen werden können, werden als
Sicherheitsverstoß klassifiziert.
Sicherheitsverstöße werden nach den drei folgenden Prioritäten unterteilt:
Z126-5942-AT-2 04-2013 Seite 21 von 41 Z126-5942-WW-2 04-2013

● Sicherheitsverstöße der Priorität 1
Untersuchungen, die zu einer Klassifizierung hoher Priorität (d. h. Priorität 1) führen, erfordern
umgehende Abwehrmaßnahmen.
● Sicherheitsverstöße der Priorität 2
Untersuchungen, die zu einer Klassifizierung mittlerer Priorität (d. h. Priorität 2) führen, erfordern
Maßnahmen innerhalb von 12 bis 24 Stunden nach Meldung des Sicherheitsverstoßes.
● Sicherheitsverstöße der Priorität 3
Untersuchungen, die zu einer Klassifizierung geringer Priorität (d. h. Priorität 3) führen, erfordern
Maßnahmen innerhalb von einem bis sieben Tagen nach Meldung des Sicherheitsverstoßes.
4.2.1 Leistungsumfang
IBM wird
a. den Kunden auffordern, eine Modifizierung der Konfiguration des Agenten vorzunehmen, falls die
aktuelle Richtlinie das SOC an der zufriedenstellenden Verarbeitung von Protokolldaten hindert und
das Gerät nicht vom IBM MSS SOC betrieben wird;
b. den Kunden am Anfang und am Ende des Zeitfensters für die Ereignisüberwachung und
Benachrichtigung per E-Mail darüber informieren, dass die Überwachung begonnen/beendet wurde;
c. Alarmbenachrichtigungen untersuchen und analysieren;
d. sofern möglich, falsch-positive Alarmmeldungen und unkritische Auslöser ausschließen und als
„kommentierte Sicherheitsverstöße“ klassifizieren;
e. Alarmbenachrichtigungen, die nicht als unkritische Auslöser ausgeschlossen werden können,
identifizieren und als Sicherheitsverstoß klassifizieren. In diesem Fall wird IBM
(1) die SLA-Timer starten; und
(2) dem Sicherheitsverstoß hohe, mittlere oder geringe Priorität zuteilen;
f. Sicherheitsverstöße innerhalb der Frist und mittels der Kommunikationsmethode (z. B. E-Mail oder
Telefon), die im Abschnitt „Service-Level-Agreements“, „Benachrichtigung bei Sicherheitsverstößen“
dieser Leistungsbeschreibung angegeben sind, über die vom Kunden angegebene
Standardbenachrichtigungsreihenfolge an einen autorisierten Ansprechpartner für die Sicherheit
oder einen benannten Ansprechpartner für die Services eskalieren, basierend auf bewährten
Verfahren (Best Practices) von IBM für Benachrichtigungen bei Sicherheitsvorfällen;
g. Abhilfe-/Gegenmaßnahmen empfehlen, sofern zutreffend;
h. Details zu Sicherheitsverstößen und kommentierten Sicherheitsverstößen im IBM Ticketsystem
dokumentieren; und
i. Sicherheitsverstöße und kommentierte Sicherheitsverstöße im Portal auflisten.
4.2.2 Verantwortlichkeiten des Kunden
Der Kunde wird
a. das MSS-Portal nutzen, um die Ereignisüberwachung und Benachrichtigung zu planen;
b. die von IBM MSS angeforderten Richtlinienänderungen an dem Agenten vor dem nächsten
Überwachungszeitraum durchführen, sofern das Gerät nicht von IBM betrieben wird;
c. das MSS-Portal nutzen, um Protokolle und Ereignisse zu untersuchen, die nicht als unmittelbare
Sicherheitsbedrohungen eingestuft wurden;
d. IBM eine aktuelle, detaillierte Dokumentation zur Umgebung des Kunden bereitstellen;
e. IBM innerhalb von drei Kalendertagen über Änderungen an der Umgebung des Kunden informieren;
f. IBM die folgenden Informationen bereitstellen und auf dem aktuellen Stand halten (über das MSS-
Portal):
(1) Informationen zu kritischen Servern (z. B. Name, Plattform, Betriebssystem, IP-Adresse und
Netzwerksegmenttyp);
(2) Informationen zu überwachten Netzwerken;
(3) Informationen zu Geräten, die die Netzadressumsetzung (NAT) verwenden (z. B. Name,
Plattform, Betriebssystem und Netzwerksegmenttyp);
Z126-5942-AT-2 04-2013 Seite 22 von 41 Z126-5942-WW-2 04-2013

(4) Informationen zu Proxy-Servern; und
(5) Informationen zu autorisierten Prüfprogrammen;
g. eine lineare Benachrichtigungsreihenfolge, einschließlich Telefonnummern und E-Mail-Adressen
der Ansprechpartner, bereitstellen und auf dem aktuellen Stand halten;
h. IBM über das MSS-Portal innerhalb von drei Kalendertagen über eine Änderung an den
Kontaktinformationen der Ansprechpartner des Kunden informieren;
i. E-Mail-Aliasnamen bereitstellen, sofern notwendig, um die Benachrichtigung zu vereinfachen;
j. sicherstellen, dass ein autorisierter Ansprechpartner für die Sicherheit oder ein benannter
Ansprechpartner für die Services, der in der Benachrichtigungsreihenfolge aufgelistet ist, während
24 Stunden pro Tag an 7 Tagen die Woche erreichbar ist;
k. sich Details zu Sicherheitsverstößen und kommentierten Sicherheitsverstößen über das MSS-Portal
ansehen;
l. gemeinsam mit IBM an der Optimierung des Überwachungsservice arbeiten;
m. Feedback zu Sicherheitsverstößen und kommentierten Sicherheitsverstößen über das MSS-Portal
abgeben; und
n. bestätigen, dass
(1) der Kunde die alleinige Verantwortung für alle Reaktionen auf Sicherheitsverstöße und
entsprechende Abhilfemaßnahmen trägt, sobald IBM einen Sicherheitsverstoß eskaliert hat;
(2) nicht alle Untersuchungen von Alarmbenachrichtigungen zur Feststellung eines
Sicherheitsverstoßes führen werden;
(3) die Überwachung von Alarmbenachrichtigungen und Benachrichtigung nur
Alarmbenachrichtigungen betrifft, die das Ergebnis der automatisierten Analyse durch die
maßgeblichen Agenten sind;
(4) fehlendes Feedback des Kunden dazu führen kann, dass einer anhaltenden oder wiederholt
auftretenden Aktivität eine geringere Priorität zugeteilt wird; und
(5) das SLA für die Benachrichtigung bei Sicherheitsverstößen, das im Abschnitt „Service-Level-
Agreements“ dieser Leistungsbeschreibung angegeben ist, unwirksam ist, falls der Kunde die
angeforderten Richtlinienänderungen nicht vor dem nächsten Überwachungszeitraum
durchführt.
4.3 Richtlinienmanagement
Das Richtlinienmanagement wird im Rahmen der Managed Network Security Services durchgeführt. IBM
definiert eine einzelne Änderung der regelbasierten Agentenrichtlinie/-konfiguration als autorisierte
Anforderung zum Hinzufügen oder Ändern einer einzigen Regel in einem einzigen Kontext mit höchstens
fünf Objekten pro Anforderung. Eine Änderungsanforderung, die das Hinzufügen von sechs oder mehr
Objekten oder die Bearbeitung von zwei oder mehr Regeln erfordert, wird als zwei oder mehr
Anforderungen gewertet. Bezieht sich die Änderungsanforderung auf Änderungen außerhalb der
regelbasierten Agentenrichtlinie, wird jede eingereichte Anforderung als einzelne Änderung betrachtet.
IBM wird die im Folgenden beschriebenen Leistungen erbringen, soweit zutreffend.
Der Kunde kann den Managed Agent mit einer einzigen globalen Richtlinie konfigurieren, die für alle
Agenten gilt.
4.3.1 Leistungsumfang
IBM wird
a. die von autorisierten Ansprechpartnern für die Sicherheit oder benannten Ansprechpartnern für die
Services über das MSS-Portal eingereichten Anforderungen einer Richtlinienänderung bis zu der
angegebenen Anzahl an Änderungen pro Monat, die der Kunde ausgewählt hat, akzeptieren;
b. die über das MSS-Portal eingereichten Anforderungen einer Richtlinienänderung innerhalb der
Fristen bestätigen, die im Abschnitt „Service-Level-Agreements“, „Bestätigung der Anforderung
einer Richtlinienänderung“ dieser Leistungsbeschreibung angegeben sind;
c. die eingereichten Anforderungen einer Richtlinienänderung prüfen, um zu verifizieren, dass der
Kunde darin alle erforderlichen Informationen angegeben hat;
Z126-5942-AT-2 04-2013 Seite 23 von 41 Z126-5942-WW-2 04-2013

d. sofern notwendig, den Antragsteller darüber informieren, dass zusätzliche Informationen benötigt
werden. Solange diese Informationen nicht zur Verfügung stehen, werden die SLA-Timer
angehalten;
e. die Konfiguration der Richtlinienänderung, wie vom Kunden angefordert, vorbereiten und prüfen;
f. angeforderte Richtlinienänderungen innerhalb der Frist implementieren, die im Bestellschein unter
„Implementierungszeit“ angegeben und vom Kunden beim Einreichen der Änderungsanforderung
über das MSS-Portal ausgewählt wird. Die verschiedenen Implementierungszeiten sind im
Abschnitt „Implementierung einer angeforderten Richtlinienänderung“ dieser Leistungsbeschreibung
angegeben;
g. Details der Anforderung einer Richtlinienänderung im IBM MSS-Ticketsystem dokumentieren;
h. Tickets zu Anforderungen einer Richtlinienänderung im Portal anzeigen;
i. nicht in Anspruch genommene Anforderungen einer Richtlinienänderung vom jeweils aktuellen
Monat in den Folgemonat übernehmen. In den Folgemonat übernommene Anforderungen einer
Richtlinienänderung können bis zum letzten Tag des Folgemonats in Anspruch genommen werden.
Danach verfallen die nicht in Anspruch genommenen Anforderungen einer Richtlinienänderung;
j. auf Wunsch des Kunden und gegen Zahlung einer zusätzlichen Gebühr (und abhängig von der
Verfügbarkeit von IBM Ressourcen) zusätzliche Richtlinienänderungen durchführen, deren
maximale Anzahl im Bestellschein angegeben ist;
k. die Konfiguration des Managed Agent täglich sichern;
l. 14 Konfigurationssicherungen aufbewahren;
m. die aktuelle Konfiguration des Agenten im MSS-Portal anzeigen (soweit zutreffend); und
n. auf vierteljährlicher Basis nach schriftlicher Anforderung durch den Kunden
(1) die Richtlinieneinstellungen des Kunden prüfen, um ihre Richtigkeit zu verifizieren; und
(2) in Zusammenarbeit mit dem Kunden die von IBM betriebenen Agenten prüfen und
Änderungen an der Strategie zum Schutz des Netzwerks empfehlen.
4.3.2 Verantwortlichkeiten des Kunden
Der Kunde wird
a. sicherstellen, dass alle Anforderungen einer Richtlinienänderung von einem autorisierten
Ansprechpartner für die Sicherheit oder einem benannten Ansprechpartner für die Services über
das Portal gemäß den oben angegebenen Verfahren eingereicht werden;
b. die Verantwortung für die Bereitstellung ausreichender Informationen zu jeder angeforderten
Richtlinienänderung übernehmen, um IBM die erfolgreiche Durchführung dieser Änderung zu
ermöglichen;
c. die Verantwortung dafür übernehmen, IBM zu benachrichtigen, wenn der Kunde die Durchführung
einer vierteljährlichen Richtlinienüberprüfung durch IBM wünscht;
d. die alleinige Verantwortung für die Sicherheitsstrategie des Kunden übernehmen, einschließlich der
Verfahren für die Reaktion auf Sicherheitsverstöße;
e. bestätigen, dass
(1) alle Richtlinienänderungen von IBM und nicht vom Kunden durchgeführt werden;
(2) die Implementierung von Richtlinienänderungen, die nach Ermessen von IBM nachteilige
Auswirkungen auf die Fähigkeit der Agenten zum Schutz der Netzwerkumgebung haben, zu
einer Aussetzung der anwendbaren SLAs führen wird;
(3) nicht in Anspruch genommene Änderungen nach Ende eines Kalendermonats auf
Anforderung des Kunden für weitere 30 Tage in Anspruch genommen werden können. Nach
diesem Zeitraum von 30 Tagen sind die Änderungen nicht mehr verfügbar. Nicht in Anspruch
genommene Richtlinienänderungen, die in den Folgemonat übernommen wurden, werden vor
den Richtlinienänderungen des neuen Monats bearbeitet;
(4) die Anforderung einer Richtlinienänderung im Notfall eindeutig als solche identifizieren, wenn
sie im Portal eingereicht wird; und
Z126-5942-AT-2 04-2013 Seite 24 von 41 Z126-5942-WW-2 04-2013

(5) das SOC telefonisch kontaktieren, nachdem eine Anforderung einer Richtlinienänderung im
Notfall über das MSS-Portal eingereicht wurde, um die Anforderung in den Status eines
Notfalls hochzustufen.
4.4 VPN-Unterstützung (Virtual Private Network)
IBM wird mittels einer oder mehrerer der folgenden Methoden die vom Kunden gewünschten VPN-
Features des/der FW- und UTM-Agenten aktivieren:
a. Site-to-Site-VPNs zwischen zwei von IBM betriebenen VPN-fähigen Agenten oder zwischen einem
von IBM betriebenen Agenten und einem nicht von IBM betriebenen VPN-fähigen Gerät;
b. Client-to-Site-VPNs durch ein Modell, bei dem IBM die Konfiguration festlegt und dem Kunden die
Administration der Client-to-Site-VPN-Benutzer ermöglicht; oder
c. SSL-VPNs (Secure Sockets Layer) durch ein Modell, bei dem IBM die Konfiguration festlegt und
dem Kunden die Administration der SSL-VPN-Benutzer ermöglicht.
Anmerkung: Die Unterstützung für Client-to-Site- und SSL-VPNs ist nur auf den von IBM angegebenen
Plattformen verfügbar.
4.4.2 Leistungsumfang
IBM wird
a. bis zu zwei Site-to-Site-VPNs während der Implementierung und Aktivierung jedes Firewall- oder
UTM-Agenten konfigurieren;
b. Unterstützung für statische und dynamische Authentifizierungsmethoden der VPN-Konfiguration
bereitstellen;
c. bis zu fünf Client-to-Site-VPN-Benutzer einrichten und testen;
d. bis zu fünf SSL-VPN-Benutzer einrichten und testen;
e. dem Kunden entsprechende Zugriffsrechte für die Administration seiner Client-to-Site- oder SSL-
VPN-Benutzer bereitstellen; und
f. eine Demonstration der Administration von Client-to-Site- oder SSL-VPN-Benutzern für den Kunden
durchführen (sofern zutreffend).
4.4.3 Verantwortlichkeiten des Kunden
Der Kunde wird
a. IBM alle erforderlichen Informationen für die Aktivierung der vom Kunden gewünschten VPN-
Features bereitstellen;
b. die alleinige Verantwortung für die Erstellung und Administration aller Client-to-Site- und SSL-VPN-
Benutzer nach der anfänglichen Aktivierung durch IBM übernehmen; und
c. bestätigen, dass
(1) jedes Site-to-Site-VPN, das der Kunde nach der Implementierung und Aktivierung des/der
Firewall- oder UTM-Agenten anfordert, zum Kontingent der Richtlinienänderungen des
laufenden Monats gerechnet wird;
(2) der Kunde die alleinige Verantwortung für die Beschaffung aller erforderlichen Anwendungen
für die Client-to-Site- oder SSL-VPN-Administration beim Hersteller des/der Firewall- oder
UTM-Agenten und für alle damit verbundenen Kosten trägt;
(3) der Kunde die alleinige Verantwortung für die Implementierung, den Test, die Unterstützung
und die Wartung aller erforderlichen Anwendungen für die Client-to-Site- oder SSL-VPN-
Administration, die beim Hersteller des/der Firewall- oder UTM-Agenten beauftragt werden,
und für alle damit verbundenen Kosten trägt;
(4) alle Client-to-Site-VPN-Lösungen in Bezug auf die Managed Network Security Services von
IBM genehmigt werden müssen; und
(5) die zertifikatbasierte Authentifizierung derzeit im Rahmen der VPN-Konfiguration nicht
unterstützt wird.
Z126-5942-AT-2 04-2013 Seite 25 von 41 Z126-5942-WW-2 04-2013

4.5 Überwachung des Status und der Verfügbarkeit der Managed Agents
IBM wird den Status und die Verfügbarkeit der Managed Agents überwachen. Diese Überwachung soll
dazu beitragen, die Verfügbarkeit und Betriebszeiten der Agenten zu erhöhen. IBM wird die im Folgenden
beschriebenen Leistungen erbringen, soweit zutreffend.
4.5.1 Leistungsumfang
Aktivität 1 – Überwachung
Zweck dieser Aktivität ist die Überwachung des Status und der Leistung der Agenten. IBM MSS wird zur
Durchführung dieser Aktivität entweder die agentenbasierte oder die agentenlose Überwachung
einsetzen.
Agentenbasierte Überwachung
Sofern technisch machbar, wird IBM auf in Frage kommenden Agenten Software installieren, um den
Systemstatus und die Systemleistung zu überwachen und Messdaten an die SOCs zu melden.
IBM wird
a. bei in Frage kommenden Plattformen Überwachungssoftware auf den Agenten installieren;
b. Alarmbenachrichtigungen überwachen und entsprechend reagieren. Dazu zählen
Alarmbenachrichtigungen in Bezug auf folgende Aspekte:
(1) Festplattenkapazität;
(2) CPU-Auslastung;
(3) Speicherauslastung; und
(4) Prozessverfügbarkeit;
c. auf die von der Überwachungssoftware erzeugten Alarmbenachrichtigungen reagieren.
Agentenlose Überwachung
Wenn die Installation der Überwachungssoftware technisch nicht durchführbar ist, wird IBM den
Datenstrom von den Agenten überwachen und/oder administrative Schnittstellen auf den Agenten
abfragen.
IBM wird
a. die administrativen Schnittstellen der Agenten überwachen; und/oder
b. den von den Agenten erzeugten Ereignisstrom überwachen; und
c. zusätzliche zeitbasierte Prüfungen initiieren, wenn ein Managed Agent nicht mehr erreichbar ist.
Aktivität 2 – Fehlersuche/-behebung
Zweck dieser Aktivität ist die Durchführung von Recherchen und Untersuchungen, falls die Agenten nicht
die erwartete Leistung erbringen oder ein potenzielles Problem mit dem ordnungsgemäßen Betrieb der
Agenten festgestellt wird.
IBM wird
a. im Fall eines Problems mit der Leistung eines Agenten oder eines potenziellen Problems mit dem
ordnungsgemäßen Betrieb eines Agenten ein Trouble-Ticket erstellen;
b. mit der Recherche und Untersuchung des dokumentierten Problems beginnen;
c. die Konfiguration und Funktionalität des Agenten im Hinblick auf potenzielle Probleme untersuchen,
falls der Agent als mögliche Ursache eines netzwerkbezogenen Problems identifiziert wird; und
d. den Agentenstatus und Ausfalltickets im Portal anzeigen.
Aktivität 3 – Benachrichtigung
Zweck dieser Aktivität ist die Benachrichtigung des Kunden, wenn der Agent über In-Band-
Standardmethoden nicht mehr erreichbar ist.
IBM wird
a. den Kunden benachrichtigen, wenn der Agent über In-Band-Standardmethoden nicht mehr
erreichbar ist. Diese Benachrichtigung erfolgt telefonisch über ein zuvor festgelegtes Verfahren und
Z126-5942-AT-2 04-2013 Seite 26 von 41 Z126-5942-WW-2 04-2013

innerhalb der Frist, die im Abschnitt „Service-Level-Agreements“, „Proaktive Systemüberwachung“
dieser Leistungsbeschreibung angegeben ist;
b. nach Initiierung der telefonischen Benachrichtigung mit der Untersuchung von Problemen im
Zusammenhang mit der Konfiguration oder Funktionalität des Agenten beginnen; und
c. den Agentenstatus und Ausfalltickets im Portal anzeigen.
4.5.2 Verantwortlichkeiten des Kunden
Aktivität 1 – Überwachung
Der Kunde wird
a. IBM die Installation der Überwachungssoftware auf allen Managed Agents erlauben, sofern IBM
diese Installation für technisch machbar hält; oder
b. IBM die Überwachung der administrativen Schnittstellen und des Ereignisstroms der Managed
Agents erlauben, wenn die Installation der Überwachungssoftware auf diesen Agenten technisch
nicht machbar ist.
Aktivität 2 – Fehlersuche/-behebung
Der Kunde wird
a. an Besprechungen zur Fehlersuche/-behebung mit IBM teilnehmen (sofern erforderlich);
b. die Verantwortung für die gesamte Remote-Konfiguration und Fehlersuche/-behebung übernehmen,
falls der Kunde sich gegen die Implementierung einer Out-of-Band-Lösung entschieden hat oder die
Out-of-Band-Lösung aus irgendeinem Grund nicht verfügbar ist; und
c. bestätigen, dass IBM keine weitere Fehlersuche/-behebung durchführen wird, wenn der Managed
Agent als Ursache eines gegebenen Problems ausgeschlossen wurde.
Aktivität 3 – Benachrichtigung
Der Kunde wird
a. IBM Informationen zu seiner Benachrichtigungsreihenfolge und Kontaktinformationen zu seinen
Ansprechpartnern bereitstellen;
b. IBM innerhalb von drei Kalendertagen über Änderungen an den Kontaktinformationen zu
Ansprechpartnern des Kunden informieren; und
c. sicherstellen, dass ein autorisierter Ansprechpartner für die Sicherheit oder ein für Agentenausfälle
zuständiger benannter Ansprechpartner für die Services während 24 Stunden pro Tag an 7 Tagen
die Woche erreichbar ist.
4.6 Management von Agenten
Das Management von Agenten wird von IBM im Rahmen der Managed Network Security Services
durchgeführt. Anwendungs- und Sicherheitsupdates für Agenten sind äußerst wichtig für ein
Unternehmen. IBM nutzt einen herstellerunabhängigen Ansatz für das Management von Agenten. IBM
wird die im Folgenden beschriebenen Leistungen erbringen, soweit zutreffend.
4.6.1 Leistungsumfang
IBM wird
a. als alleiniger Anbieter des Softwaremanagements für die Agenten fungieren;
b. den Systemstatus beobachten;
c. Updates von Sicherheitsinhalten innerhalb der Frist, die im Abschnitt „Service-Level-Agreements“,
„Proaktives Update von Sicherheitsinhalten“ dieser Leistungsbeschreibung angegeben ist, auf den
Agenten installieren (soweit zutreffend), sobald die Updates vom jeweiligen Hersteller allgemein
verfügbar sind;
d. Software-Updates installieren, um die Leistung zu verbessern, zusätzliche Funktionalität zu
ermöglichen oder ein Anwendungsproblem zu lösen. IBM übernimmt keine Verantwortung und gibt
keine Gewährleistung für Patches, Updates oder Sicherheitsinhalte, die vom jeweiligen Hersteller
bereitgestellt werden;
Z126-5942-AT-2 04-2013 Seite 27 von 41 Z126-5942-WW-2 04-2013

e. vor Updates von Agenten, die möglicherweise Plattformausfallzeiten oder Unterstützung durch den
Kunden erfordern, ein Wartungszeitfenster ankündigen; und
f. in der Mitteilung zu diesem Wartungszeitfenster die voraussichtlichen Folgen einer planmäßigen
Wartung und die spezifischen Anforderungen des Kunden eindeutig angeben.
4.6.2 Verantwortlichkeiten des Kunden
Der Kunde wird
a. die von IBM angegebenen Hardware-Upgrades durchführen, um die aktuelle Software und
Firmware zu unterstützen;
b. Updates von Agenten in Zusammenarbeit mit IBM durchführen (sofern erforderlich);
c. die Verantwortung für alle Gebühren im Zusammenhang mit Hardware-Upgrades übernehmen;
d. sicherstellen, dass gültige Lizenz-, Support- und Wartungsverträge vorliegen, die direkt mit dem
jeweiligen Anbieter geschlossen wurden;
e. sicherstellen, dass entsprechende Zustimmungen der vom Kunden gewählten Anbieter vorliegen,
die es IBM ermöglichen, Support und Wartung im Rahmen bestehender Verträge im Namen des
Kunden zu nutzen. Wenn diese Vereinbarungen nicht vorliegen, ist IBM nicht in der Lage, den
Anbieter direkt zu kontaktieren, um Supportprobleme zu lösen; und
f. bestätigen, dass
(1) alle Updates per Internet übertragen und eingespielt werden;
(2) Leistungen und/oder SLAs von IBM ausgesetzt werden können, wenn die Zustimmung der
Anbieter zu irgendeinem Zeitpunkt während der Vertragslaufzeit nicht eingeholt oder
zurückgezogen wird;
(3) die Nichtdurchführung der von IBM geforderten Software-Upgrades zu einer Aussetzung der
Serviceerbringung und/oder der SLAs führen kann; und
(4) die Nichtdurchführung der von IBM geforderten Hardware-Upgrades zu einer Aussetzung der
Serviceerbringung und/oder der SLAs führen kann.
4.7 Content-Sicherheit
Der/die Agent/en kann/können auf Anforderung des Kunden auf den von IBM angegebenen Plattformen
dafür konfiguriert werden, eine Lösung für die Content-Sicherheit (z. B. eine Webfilter-, IDPS-, Antispamoder
Antivirus-Lösung) zu unterstützen.
4.7.1 Interne Content-Sicherheit – Leistungsumfang
IBM wird
a. den Agenten dafür konfigurieren, eine interne Lösung für die Content-Sicherheit auf einer von IBM
angegebenen Plattform zu unterstützen;
b. die spezifische Richtlinie des Kunden für die Content-Sicherheit zum Filtern von Webinhalten
während der Implementierung und Aktivierung des Agenten konfigurieren. Diese Richtlinie
beinhaltet Folgendes:
(1) Kategorielisten – Auswahl an Kategorien von Inhalten, die blockiert werden sollen;
(2) Weiße Listen (Ziel) – bestimmte Sites, die auch dann nicht blockiert werden sollen, wenn sie
sich innerhalb einer Kategorie gesperrter Inhalte befinden;
(3) Schwarze Listen (Ziel) – bestimmte Sites, die auch dann blockiert werden sollen, wenn sie
sich innerhalb einer Kategorie zulässiger Inhalte befinden; und
(4) Weiße Liste (Quelle) – bestimmte IP-Adressen, die aus der Filterung von Inhalten
ausgenommen werden sollen;
c. die spezifische Antispam-Richtlinie des Kunden während der Implementierung und Aktivierung des
Agenten konfigurieren. Diese Richtlinie beinhaltet Folgendes:
(1) Weiße Listen – bestimmte E-Mail-Adressen und/oder Domänen, die immer zugelassen
werden sollen; und
(2) Schwarze Listen – bestimmte E-Mail-Adressen und/oder Domänen, die blockiert werden
sollen;
Z126-5942-AT-2 04-2013 Seite 28 von 41 Z126-5942-WW-2 04-2013

d. Antivirus-Unterstützung während der Implementierung und Aktivierung des Agenten aktivieren;
e. Updates der Content-Sicherheit einspielen, wie im Abschnitt „Management von Agenten“ dieser
Leistungsbeschreibung beschrieben; und
f. Änderungen an der Richtlinie für die Content-Sicherheit akzeptieren und umsetzen, wie im
Abschnitt „Richtlinienmanagement“ dieser Leistungsbeschreibung beschrieben.
4.7.2 Interne Content-Sicherheit – Verantwortlichkeiten des Kunden
Der Kunde wird
a. die Verantwortung für die Bereitstellung ausreichender Informationen zu jeder angeforderten
Richtlinienänderung übernehmen, um IBM die erfolgreiche Durchführung dieser Änderung zu
ermöglichen; und
b. bestätigen, dass
(1) der Kunde für die Beschaffung, Unterstützung, Lizenzierung und Wartung der Lösung für die
Content-Sicherheit und für alle damit verbundenen Gebühren verantwortlich ist; und
(2) alle Änderungen an der Richtlinie für die Content-Sicherheit, die nach der Implementierung
und Aktivierung des Agenten angefordert werden, zum Kontingent der Richtlinienänderungen
des laufenden Monats gerechnet werden.
5. Managed Network Security Services – Optionale Features
Die vom Kunden ausgewählten optionalen Services und die dafür anfallenden zusätzlichen Gebühren
werden im Bestellschein angegeben.
5.1 Bereitstellung von Sicherheitsereignissen und -protokollen
Auf Wunsch des Kunden wird IBM Protokoll- und Ereignisdaten aus der IBM MSS-Infrastruktur abrufen
und zum Download von einem sicheren IBM Server bereitstellen. In Fällen, in denen die Menge der
Protokoll- und Ereignisdaten nach Angaben von IBM zu groß ist, um per Download bereitgestellt zu
werden, wird IBM die Daten auf verschlüsselten Datenträgern speichern und an einen vom Kunden
angegebenen Standort seiner Wahl liefern. IBM wird von Fall zu Fall entscheiden, ob die Bereitstellung
per Download machbar ist oder nicht.
5.1.1 Leistungsumfang
Auf Wunsch des Kunden und gegen Zahlung einer im Bestellschein angegebenen zusätzlichen Gebühr
wird IBM
a. die angegebenen Daten aus der IBM MSS-Infrastruktur abrufen und dem Kunden zum Download
auf einem sicheren IBM Server bereitstellen, sofern vom Kunden über das Portal angefordert; und
b. den Kunden über zusätzliche Gebühren für sämtlichen Zeit- und Materialaufwand informieren, der
für das Abrufen und Vorbereiten der Daten anfällt.
5.1.2 Verantwortlichkeiten des Kunden
Der Kunde wird
a. die Bereitstellung von Sicherheitsereignis- und Protokolldaten über das Portal anfordern;
b. die gewünschten Daten von einem sicheren IBM Server downloaden;
c. bestätigen, dass die Daten möglicherweise auf verschlüsselten Datenträgern gespeichert und an
einen vom Kunden angegebenen Standort seiner Wahl geliefert werden müssen, wenn die Menge
der angeforderten Daten zu groß für einen Download ist; und
d. die Verantwortung für alle Gebühren auf Zeit- und Materialbasis und für alle Versandkosten (sofern
zutreffend) im Zusammenhang mit der Bereitstellung von Protokolldaten übernehmen.
5.2 Cold Standby
Cold Standby ist eine optionale Servicekomponente für Managed Network Security Services. Cold
Standby ist eine Disaster-Recovery-Methode, bei der ein zusätzlicher Agent als Ersatz für den Fall eines
Hardware- und/oder Softwareausfalls beim primären Agenten zur Verfügung steht. Cold-Standby-
Agenten sind nicht eingeschaltet oder betriebsbereit und enthalten keine aktive Konfiguration, Richtlinie
oder Content-Updates.
Z126-5942-AT-2 04-2013 Seite 29 von 41 Z126-5942-WW-2 04-2013

5.2.1 Leistungsumfang
Auf Wunsch des Kunden und ohne Aufpreis wird IBM die im Folgenden beschriebenen Leistungen
erbringen, soweit zutreffend.
IBM wird
a. bei einem Ausfall des primären Agenten den Cold-Standby-Agenten in Zusammenarbeit mit dem
Kunden in den Produktionsbetrieb überführen und auf „active“ einstellen;
b. bei einem Ausfall des primären Agenten die erforderlichen Content-Updates auf dem Cold-Standby-
Agenten einspielen; und
c. bei einem Ausfall des primären Agenten die aktive aktuelle Konfiguration auf dem Cold-Standby-
Agenten einspielen.
5.2.2 Verantwortlichkeiten des Kunden
Der Kunde wird
a. einen sekundären Agenten bereitstellen, der als Cold-Standby-Agent fungieren wird;
b. sicherstellen, dass gültige Lizenz-, Support- und Wartungsverträge für den Cold-Standby-Agenten
vorliegen;
c. bei einem Ausfall des primären Agenten den Cold-Standby-Agenten in Zusammenarbeit mit IBM in
den Produktionsbetrieb überführen und auf „active“ einstellen; und
d. bestätigen, dass
5.3 Warm Standby
(1) Cold-Standby-Agenten nicht von IBM betrieben und gewartet werden, es sei denn, ihr Status
wird in „active“ geändert;
(2) Konfigurationsänderungen an Cold-Standby-Agenten vorgenommen werden müssen, um
deren Status in „active“ zu ändern; und
(3) Cold-Standby-Agenten keinen Datenverkehr zu den SOCs erzeugen dürfen, es sei denn, der
primäre Agent ist ausgefallen und der Cold-Standby-Agent wurde in den Produktionsbetrieb
überführt und auf „active“ eingestellt.
Warm Standby ist eine optionale Servicekomponente für Managed Network Security Services. Warm
Standby ist eine Methode der Redundanz, die Ausfallzeiten aufgrund von Hardware- und/oder
Softwareausfällen bei Agenten reduzieren kann. Im Rahmen der Option „Warm Standby“ wird IBM einen
einzelnen Ersatzagenten für den Kunden betreiben und auf dem aktuellen Stand halten. Bei einem
Ausfall des primären Agenten des Kunden steht der Ersatz- bzw. Warm-Standby-Agent zur Verfügung,
um die Services schneller wiederherzustellen. Ein Standby-Agent darf keinen Datenverkehr zu den SOCs
erzeugen, es sei denn, er wird in den Produktionsbetrieb überführt und auf „active“ eingestellt.
IBM empfiehlt nachdrücklich die Verwendung des Out-of-Band-Zugriffs auf den Warm-Standby-Agenten,
wie im Abschnitt „Out-of-Band-Zugriff“ dieser Leistungsbeschreibung beschrieben.
5.3.1 Leistungsumfang
Auf Wunsch des Kunden und gegen Zahlung einer im Bestellschein angegebenen zusätzlichen Gebühr
wird IBM die im Folgenden beschriebenen Leistungen erbringen, soweit zutreffend.
IBM wird
a. den ordnungsgemäßen Betrieb und die Verfügbarkeit des Warm-Standby-Agenten sicherstellen,
wie im Abschnitt „Überwachung des Status und der Verfügbarkeit der Managed Agents“ dieser
Leistungsbeschreibung beschrieben;
b. Content-Updates auf dem Warm-Standby-Agenten einspielen, wie im Abschnitt „Management von
Agenten“ dieser Leistungsbeschreibung beschrieben; und
c. bei einem Ausfall des primären Agenten den Status des Warm-Standby-Agenten in „active“ ändern.
5.3.2 Verantwortlichkeiten des Kunden
Der Kunde wird
a. sicherstellen, dass gültige Lizenz-, Support- und Wartungsverträge für alle Warm-Standby-
Plattformen vorliegen;
Z126-5942-AT-2 04-2013 Seite 30 von 41 Z126-5942-WW-2 04-2013

. die Verantwortung für alle Gebühren im Zusammenhang mit dem fortlaufenden Management des
Warm-Standby-Agenten übernehmen;
c. sekundäre IP-Adressen bereitstellen;
d. die Verantwortlichkeiten des Kunden erfüllen, die im Abschnitt „Überwachung des Status und der
Verfügbarkeit der Managed Agents“ dieser Leistungsbeschreibung beschrieben sind;
e. die Verantwortlichkeiten des Kunden erfüllen, die im Abschnitt „Management von Agenten“ dieser
Leistungsbeschreibung definiert sind;
f. bestätigen, dass
(1) Richtlinienänderungen, die am primären Agenten vorgenommen wurden, nicht auf dem
Warm-Standby-Agenten widergespiegelt werden; und
(2) Standby-Agenten keinen Datenverkehr zu den SOCs erzeugen dürfen, es sei denn, sie
wurden in den Produktionsbetrieb überführt und auf „active“ eingestellt;
g. die Verantwortung für die gesamte Remote-Konfiguration und Fehlersuche/-behebung übernehmen,
falls sich der Kunde gegen die Implementierung einer Out-of-Band-Lösung entscheidet oder die
Out-of-Band-Lösung aus irgendeinem Grund nicht verfügbar ist.
5.4 Management von virtuellen Instanzen
Dieser Service beinhaltet das Management virtueller Instanzen von Geräten für die Netzwerksicherheit.
Die virtuelle Firewall-Technologie ist ein spezialisiertes Firewall-Feature, das mehrere logische Firewall-
„Kontexte“ für mehrere Netzwerke auf einem einzelnen System bereitstellt. Virtuelle Firewall-Kontexte, die
als Teil einer virtualisierten Plattform ausgeführt werden, beschränken sich auf Firewall- und VPN-
Funktionalität, die durch die jeweilige Plattform ermöglicht wird. Alle weiteren Features werden nicht
unterstützt, sofern nicht in diesem Dokument ausdrücklich anders angegeben. Die ursprüngliche Plattform
und die virtuelle Firewall-Instanz werden durch die für ein Firewall-Gerät angegebenen Management-
Services unterstützt. Zusätzliche virtuelle Firewall-Instanzen sind jedoch Gegenstand der spezifischen
Aktivitäten, die in den folgenden Abschnitten zu virtuellen Instanzen beschrieben sind. Jeder virtuelle
Kontext wird durch die im Bestellschein angegebene Anzahl an virtuellen Instanzen bestimmt.
Bei virtuellen Firewalls, die im Transportmodus ausgeführt werden, setzt IBM voraus, dass jedem
virtuellen Kontext der Ebene 2 eine IP-Adresse der Ebene 3 zugeordnet wird, um IBM das effektive
Management und die effektive Überwachung der einzelnen Kontexte zu ermöglichen.
5.4.1 Leistungsumfang
IBM wird
a. in Zusammenarbeit mit dem Kunden eine optimale Firewall-Konfiguration auf der Basis der
Netzwerk- und Firewall-Konfiguration des Kunden sowie der aktivsten weltweiten
Sicherheitsbedrohungen (die vom IBM SOC ermittelt werden) bestimmen;
b. Änderungen an der Konfiguration wie im Bestellschein angegeben innerhalb der angegebenen
Implementierungszeit durchführen; und
c. Ereignisse und Protokolle erfassen und archivieren, wie in dieser Leistungsbeschreibung
angegeben und soweit für die von der virtuellen Instanz empfangenen Protokolle und Ereignisse
angebracht.
5.4.2 Verantwortlichkeiten des Kunden
Der Kunde wird
a. anzeigen, welche/r virtuelle/n Kontext/e bei der Durchführung einer angeforderten
Richtlinienänderung betroffen ist/sind;
b. ein von IBM unterstütztes Out-of-Band-Gerät implementieren und eine dedizierte analoge
Telefonleitung für den Zugriff bereitstellen; und
c. das Gerät und die Telefonleitung beschaffen und die Kosten für deren Beschaffung und
fortlaufenden Betrieb übernehmen.
5.5 Hochverfügbarkeit
Hochverfügbarkeit ist eine optionale Servicekomponente für Managed Network Security Services. Um
Schutz vor Hardware- und/oder Softwareausfällen und hohe Verfügbarkeit zu erreichen, können zwei
Z126-5942-AT-2 04-2013 Seite 31 von 41 Z126-5942-WW-2 04-2013

Managed Agents konfiguriert und implementiert werden, von denen einer voll einsatzfähig ist und der
andere als Ersatz bereitgehalten wird und erst bei einem Ausfall des ersten Agenten zum Einsatz kommt.
Einige Agenten können auch in einem Cluster konfiguriert werden, in dem mehrere Agenten die Netzlast
gemeinsam verarbeiten.
Aktiv/Passiv-Implementierungen
In dieser Konfiguration wird ein zweiter Agent konfiguriert, der bereit für den Einsatz im Netzwerk ist, falls
es bei dem primären Agenten zu einem kritischen Hardware- oder Softwareausfall kommt. Die
Verarbeitung wird in diesem Szenario automatisch und sofort an den zweiten Agenten übertragen.
Aktiv/Aktiv-Implementierungen
In einem Aktiv/Aktiv-Cluster werden zwei oder mehr Agenten zur gleichzeitigen Verarbeitung des
Datenverkehrs im Netzwerk eingesetzt. In dieser Konfiguration verarbeitet jeder Agent einen Teil der
Netzwerkpakete, gesteuert von einem Algorithmus für den Lastausgleich. Beim Ausfall eines Agenten
wird der gesamte Datenverkehr von dem/den übrigen Agenten übernommen, bis der ausgefallene Agent
wiederhergestellt ist.
IBM empfiehlt nachdrücklich die Verwendung des Out-of-Band-Zugriffs auf alle Agenten in der
Hochverfügbarkeitskonfiguration, wie im Abschnitt „Out-of-Band-Zugriff“ dieser Leistungsbeschreibung
beschrieben.
5.5.1 Leistungsumfang
Auf Wunsch des Kunden und gegen Zahlung einer im Bestellschein angegebenen zusätzlichen Gebühr
wird IBM die im Folgenden beschriebenen Leistungen erbringen, soweit zutreffend.
IBM wird
a. einen sekundären Agenten konfigurieren, entweder in einer Aktiv/Passiv- oder Aktiv/Aktiv-
Konfiguration, wie vom Kunden angegeben;
b. – wenn entweder Firewall, UTM, Secure Web Gateway oder IDPS Management Services
Bestandteil des Servicevertrags des Kunden sind – Aktiv/Aktiv-Konfigurationen konfigurieren, die
drei oder mehr Agenten (Cluster) im Unicast-Modus verwenden (Unicast-Modus bedeutet, dass ein
einzelner Absender und ein einzelner Empfänger über ein Netzwerk miteinander kommunizieren);
Anmerkung: IBM unterstützt keine Aktiv/Aktiv-Konfigurationen im Multicast-Modus.
c. die Hochverfügbarkeitslösung betreiben und überwachen;
d. den ordnungsgemäßen Betrieb und die Verfügbarkeit des sekundären Agenten sicherstellen, wie im
Abschnitt „Überwachung des Status und der Verfügbarkeit der Managed Agents“ dieser
Leistungsbeschreibung beschrieben;
e. Content-Updates auf dem/den sekundären Agenten einspielen, wie im Abschnitt „Management von
Agenten“ dieser Leistungsbeschreibung beschrieben; und
f. die Richtlinie des sekundären Agenten aktualisieren, wie im Abschnitt „Richtlinienmanagement“
dieser Leistungsbeschreibung beschrieben.
5.5.2 Verantwortlichkeiten des Kunden
Der Kunde wird
a. einen sekundären Agenten bereitstellen;
b. alle erforderlichen Änderungen an der Softwarelizenzierung vornehmen;
c. sekundäre IP-Adressen bereitstellen;
d. die Verantwortung für alle Gebühren im Zusammenhang mit dem fortlaufenden Management des
sekundären Agenten übernehmen;
e. die Verantwortlichkeiten des Kunden erfüllen, die in den folgenden Abschnitten dieser
Leistungsbeschreibung definiert sind:
(1) „Überwachung des Status und der Verfügbarkeit der Managed Agents“;
(2) „Management von Agenten“;
(3) „Richtlinienmanagement“;
f. die Verantwortung für die gesamte Remote-Konfiguration und Fehlersuche/-behebung übernehmen,
falls sich der Kunde gegen die Implementierung einer Out-of-Band-Lösung auf dem primären und
Z126-5942-AT-2 04-2013 Seite 32 von 41 Z126-5942-WW-2 04-2013

sekundären Agenten entscheidet oder die Out-of-Band-Lösung aus irgendeinem Grund nicht
verfügbar ist; und
g. bestätigen, dass
(1) die Services keine nicht integrierten Hochverfügbarkeitslösungen unterstützen; und
(2) IBM Aktiv/Aktiv-Konfigurationen, die drei oder mehr Agenten nutzen, nur im Unicast-Modus
unterstützt.
5.6 Aggregator am Kundenstandort
Der Aggregator am Kundenstandort ist eine optionale Servicekomponente für Managed Network Security
Services. Der Aggregator am Kundenstandort (nachfolgend „Onsite Aggregator“ oder „OA“ genannt) ist
ein vom Kunden bereitgestelltes Gerät, das am Kundenstandort implementiert wird. Der Zweck des OA
besteht darin, die Erfassung von Protokolldaten zu zentralisieren, wenn der Kunde die IBM Managed
Security Services für mehrere Agenten nutzt, und diese Daten sicher an die IBM MSS-Infrastruktur zu
übertragen, in der sie weiter verarbeitet und aufbewahrt werden.
Die Basisfunktionen des OA sind nachstehend beschrieben:
a. Erfassung von Protokolldaten;
b. Komprimierung der Protokolldaten;
c. Verschlüsselung der Protokolldaten; und
d. Übertragung der Protokolldaten an die IBM MSS-Infrastruktur.
Die Kernfunktionen des OA sind nachstehend beschrieben:
a. Lokales Einstellen von Protokollen in die Warteschlange, wenn keine Verbindung zur IBM MSS-
Infrastruktur verfügbar ist;
b. Durchführung der unidirektionalen Protokollübertragung. Die OA-Kommunikation wird über
abgehende SSL/TCP-443-Verbindungen ausgeführt;
c. Durchführung der Nachrichtendrosselung bei entsprechender Konfiguration. Dadurch wird die Zahl
der vom OA zur IBM MSS-Infrastruktur übertragenen Protokolle pro Sekunde eingeschränkt, um
Bandbreite zu sparen; und
d. Bereitstellung von Übertragungszeitfenstern bei entsprechender Konfiguration. Die
Übertragungszeitfenster aktivieren/deaktivieren die Ereignisübertragung an die IBM MSS-
Infrastruktur während des angegebenen Zeitrahmens.
IBM empfiehlt nachdrücklich die Verwendung des Out-of-Band-Zugriffs auf den OA, wie im Abschnitt
„Out-of-Band-Zugriff“ dieser Leistungsbeschreibung beschrieben.
5.6.1 Leistungsumfang
Auf Wunsch des Kunden und gegen Zahlung einer im Bestellschein angegebenen zusätzlichen Gebühr
wird IBM die im Folgenden beschriebenen Leistungen erbringen, soweit zutreffend.
Aktivität 1 – Konfiguration
Zweck dieser Aktivität ist die Konfiguration des OA.
IBM wird
a. den Kunden per Telefon und E-Mail dabei unterstützen, Dokumente des jeweiligen Herstellers zu
finden, die eine genaue Beschreibung der Installations- und Konfigurationsverfahren für das OA-
Betriebssystem und die von IBM bereitgestellte OA-Software enthalten. Diese Unterstützung muss
im Voraus geplant werden, um sicherzustellen, dass ein IBM Spezialist für die Implementierung zur
Verfügung steht;
b. dem Kunden Hardwarespezifikationen für die OA-Plattform bereitstellen;
c. dem Kunden OA-Software und Konfigurationseinstellungen bereitstellen;
d. den Kunden per Telefon und E-Mail bei der Installation der von IBM bereitgestellten OA-Software
auf der vom Kunden bereitgestellten Hardwareplattform unterstützen. Diese Unterstützung muss im
Voraus geplant werden, um sicherzustellen, dass ein IBM Spezialist für die Implementierung zur
Verfügung steht;
Z126-5942-AT-2 04-2013 Seite 33 von 41 Z126-5942-WW-2 04-2013

e. auf Wunsch des Kunden und gegen Zahlung einer im Bestellschein angegebenen zusätzlichen
Gebühr Leistungen für die Softwareinstallation erbringen; und
f. beim Einsatz vorhandener Plattformen
(1) vorhandene Hardwarekonfigurationen prüfen, um sicherzustellen, dass sie den IBM
Spezifikationen entsprechen; und
(2) erforderliche Hardware-Upgrades ermitteln, die vom Kunden bereitzustellen und zu
installieren sind.
Wird der OA auf einer virtuellen Plattform installiert, trägt IBM die alleinige Verantwortung für das
Management der virtuellen Maschine des OA. Für das Management der Virtualisierungsinfrastruktur ist
IBM nicht verantwortlich.
Wird ein OA auf einer virtuellen Maschine ausgeführt, wird aus dem vereinbarten Service-Level (SLA) für
die proaktive Systemüberwachung ein lediglich angestrebter Service-Level (Service Level Objective,
SLO) und die im Abschnitt „SLA-Gutschriften“ dieser Leistungsbeschreibung angegebene
Gutschriftenregelung wird unwirksam.
Aktivität 2 – Installation
Zweck dieser Aktivität ist die Installation des OA.
IBM wird
a. den Kunden per Telefon und E-Mail dabei unterstützen, Dokumente des jeweiligen Herstellers zu
finden, die eine genaue Beschreibung der Verfahren für die physische Installation und der
Verkabelung des OA enthalten. Diese Unterstützung muss im Voraus geplant werden, um
sicherzustellen, dass ein IBM Spezialist für die Implementierung zur Verfügung steht;
Anmerkung: Der Kunde kann Leistungen für die physische Verkabelung und Installation im Rahmen
eines gesonderten Vertrags bei IBM beauftragen.
b. den OA per Fernzugriff konfigurieren. Dabei wird IBM den OA in der IBM MSS-Infrastruktur
registrieren und den Prozess für die Übernahme der Implementierung und des Managements des
OA initiieren; und
c. bestätigen, dass die IBM MSS-Infrastruktur Daten vom OA empfängt.
Aktivität 3 – Fortlaufendes Management und kontinuierliche Unterstützung
Zweck dieser Aktivität ist das fortlaufende Management und die kontinuierliche Unterstützung des OA.
IBM wird
a. den OA in den SOCs auf „active“ einstellen, um die kontinuierliche Unterstützung und das
fortlaufende Management durch die SOCs zu aktivieren;
b. den ordnungsgemäßen Betrieb und die Verfügbarkeit des OA sicherstellen, wie im Abschnitt
„Überwachung des Status und der Verfügbarkeit der Managed Agents“ dieser
Leistungsbeschreibung beschrieben;
c. Software-Updates auf dem OA einspielen, wie im Abschnitt „Management von Agenten“ dieser
Leistungsbeschreibung beschrieben; und
d. die Verantwortung für das Management und die Überwachung des OA für die Dauer der
Vertragslaufzeit und jeder Verlängerungslaufzeit übernehmen.
5.6.2 Verantwortlichkeiten des Kunden
Aktivität 1 – Konfiguration
Der Kunde wird
a. IBM eine externe (im Internet routebare) IP-Adresse für den OA bereitstellen;
b. die Hardware für die OA-Plattform bereitstellen, basierend auf den Empfehlungen und
Anforderungen von IBM;
c. die von IBM bereitgestellte OA-Software nach Anleitung von IBM auf der vom Kunden
bereitgestellten Hardware installieren;
d. eine externe IP-Adresse und die zugehörige Einstellung auf dem OA konfigurieren;
Z126-5942-AT-2 04-2013 Seite 34 von 41 Z126-5942-WW-2 04-2013

e. IBM die IP-Adresse des OA, den Hostnamen, die Maschinenplattform, die Anwendungsversion und
die Zeitzone des Agenten bereitstellen; und
f. beim Einsatz vorhandener Plattformen die von IBM geforderten Hardware-Upgrades beschaffen
und installieren.
Aktivität 2 – Installation
Der Kunde wird
a. die Verantwortung für die physische Installation und Verkabelung des OA übernehmen; und
b. die Unterstützung mit einem IBM Spezialisten für die Implementierung planen.
Aktivität 3 – Fortlaufendes Management und kontinuierliche Unterstützung
Der Kunde wird
a. die Verantwortung für die Beschaffung und Installation der erforderlichen Hardware-Upgrades für
die OA-Plattform für die Dauer der Vertragslaufzeit übernehmen;
b. die Verantwortlichkeiten des Kunden erfüllen, die im Abschnitt „Überwachung des Status und der
Verfügbarkeit der Managed Agents“ dieser Leistungsbeschreibung beschrieben sind;
c. die Verantwortlichkeiten des Kunden erfüllen, die im Abschnitt „Management von Agenten“ dieser
Leistungsbeschreibung beschrieben sind;
d. beim Einsatz von virtuellen Instanzen im Rahmen dieses Service die alleinige Verantwortung für
das Management der Virtualisierungsinfrastruktur übernehmen, sofern der OA auf einer virtuellen
Maschine (VM) ausgeführt wird;
e. beim Einsatz von virtuellen Instanzen im Rahmen dieses Service zustimmen, dass im Fall der
Durchführung von Wartungsmaßnahmen auf dem virtualisierten Server, die den Betrieb des VM-
Image des OA beeinträchtigen könnten, ein Ticket erstellt werden muss, um IBM zu
benachrichtigen und ein Konfigurationszeitfenster zu planen, falls der OA sicher heruntergefahren
werden muss; und
f. beim Einsatz von virtuellen Instanzen im Rahmen dieses Service ausreichende dedizierte
Ressourcen für die virtuelle Maschine des OA bereitstellen, um die von IBM angegebenen
Mindestvoraussetzungen zu erfüllen.
5.7 Integration des Ticketsystems
Wenn der Kunde ein vorhandenes Trouble-Ticket- und Incident-Management-System nutzen möchte, um
seine Investitionen zu schützen, wird IBM eine Anwendungsprogrammierschnittstelle (API) bereitstellen,
die die individuell angepasste Integration mit externen Ticketsystemen erlaubt.
5.7.1 Leistungsumfang
Auf Wunsch des Kunden und gegen Zahlung einer im Bestellschein angegebenen zusätzlichen Gebühr
wird IBM eine API bereitstellen, um die individuell angepasste Integration mit externen Ticketsystemen zu
ermöglichen.
5.7.2 Verantwortlichkeiten des Kunden
Der Kunde wird
a. die Verantwortung für alle zusätzlichen Gebühren im Zusammenhang mit der API für die
Ticketintegration übernehmen;
b. das API-Paket nutzen, um die Ticketintegration zu ermöglichen;
c. die Verantwortung für alle technischen und entwicklungsspezifischen Probleme im Zusammenhang
mit der Ticketintegration übernehmen; und
d. bestätigen, dass IBM keine Unterstützung oder Beratung für die Integration des Ticketsystems des
Kunden bereitstellen wird.
5.8 Optionaler Out-of-Band-Zugriff für das Protokollmanagement
Der Out-of-Band-Zugriff für das Protokollmanagement ist eine optionale Servicekomponente für Managed
Network Security Services. Er unterstützt die SOCs, falls die Verbindung zu einem Agenten unterbrochen
wird. Im Fall solcher Verbindungsprobleme kann sich der SOC-Analyst in das Out-of-Band-Gerät
Z126-5942-AT-2 04-2013 Seite 35 von 41 Z126-5942-WW-2 04-2013

einwählen, um zu verifizieren, dass der Agent korrekt funktioniert, und versuchen, die Ursache des
Ausfalls zu bestimmen, bevor das Problem an den Kunden eskaliert wird.
5.8.1 Leistungsumfang
Auf Wunsch des Kunden und gegen Zahlung einer im Bestellschein angegebenen zusätzlichen Gebühr
wird IBM die im Folgenden beschriebenen Leistungen erbringen, soweit zutreffend.
IBM wird
a. den Kunden per Telefon und E-Mail dabei unterstützen, Dokumente des jeweiligen Herstellers zu
finden, die eine genaue Beschreibung der Verfahren für die physische Installation und der
Verkabelung enthalten;
b. das Out-of-Band-Gerät für den Zugriff auf die Managed Agents konfigurieren; oder
c. mit dem Kunden zusammenarbeiten, um eine von IBM genehmigte vorhandene Out-of-Band-
Lösung zu nutzen.
Anmerkung: Zum Zweck der Klarstellung wird darauf hingewiesen, dass IBM auf den erforderlichen Outof-Band-Zugriff
verzichten kann, falls die interne Sicherheitsrichtlinie des Kunden die Verwendung eines
Out-of-Band-Geräts verbietet. Dies kann jedoch die Fähigkeit von IBM zur effektiven Erbringung der
Services deutlich beeinträchtigen.
Beendigung der Leistungen:
Die IBM Verpflichtungen im Rahmen dieser Aktivität sind erfüllt, wenn eine der folgenden Bedingungen
zuerst eintritt:
●
●
IBM hat das Out-of-Band-Gerät für den Zugriff auf den Managed Agent konfiguriert; oder
IBM hat sich auf Wunsch des Kunden damit einverstanden erklärt, auf den erforderlichen Out-of-
Band-Zugriff zu verzichten.
Zu liefernde Materialien:
●
Keine
5.8.2 Verantwortlichkeiten des Kunden
Diese Aktivität erfordert keine weiteren Verantwortlichkeiten des Kunden.
6. Service-Level-Agreements
IBM Service-Level-Agreements (SLAs) legen Reaktionszeiten und Gegenmaßnahmen bei bestimmten
Ereignissen, die sich aus den Services ergeben, fest. Die SLAs werden wirksam, wenn der
Implementierungsprozess abgeschlossen ist und die Unterstützung und das Management des Agenten
erfolgreich an die SOCs übertragen wurden. SLA-Gutschriften sind unter der Voraussetzung verfügbar,
dass der Kunde seine in dieser Leistungsbeschreibung und allen zugehörigen Vertragsdokumenten
definierten Verpflichtungen erfüllt.
6.1 SLA-Verfügbarkeit
Die im Folgenden beschriebenen SLA-Standardwerte beinhalten die erfassten Kennzahlen für die
Erbringung der Services. Sofern nicht nachstehend ausdrücklich anders angegeben, gelten keinerlei
Gewährleistungen für die im Rahmen dieser Leistungsbeschreibung erbrachten Services. Der einzige
Anspruch des Kunden auf Kompensation bei Nichteinhaltung der vereinbarten SLA-Standardwerte ist im
Abschnitt „SLA-Gutschriften“ dieser Leistungsbeschreibung angegeben.
a. Alarmbenachrichtigung bei Sicherheitsverstößen – Hat der Kunde die Alarmbenachrichtigung des
X-Force Protection System im Portal konfiguriert und wurde ein Alarm erzeugt, wird IBM dem
benannten Ansprechpartner für die Services eine stündliche Benachrichtigung per E-Mail zusenden,
in der Alarmbenachrichtigungen des X-Force Protection System zusammengefasst sind. Dieses
SLA gilt nur für das erste Senden der Alarmbenachrichtigung des X-Force Protection System, nicht
für die bestätigte Übermittlung an den/die Endempfänger.
Zum Zweck der Klarstellung wird darauf hingewiesen, dass nur dann eine E-Mail-Benachrichtigung
gesendet wird, wenn ein Alarm während der vorhergehenden Stunde erzeugt wurde.
b. Erkennung von Sicherheitsverstößen – IBM wird alle Ereignisse, bei denen es sich nach Ermessen
von IBM um Sicherheitsverstöße der Priorität 1, 2 und 3 handelt, identifizieren, basierend auf den
von den IDPS-Agenten an die SOCs übermittelten Ereignisdaten (soweit zutreffend).
Z126-5942-AT-2 04-2013 Seite 36 von 41 Z126-5942-WW-2 04-2013

(1) Sicherheitsverstöße der Priorität 1: Ereignisse mit hohem Risiko, die gravierenden Schaden
an den Systemen oder Umgebungen des Kunden anrichten können und umgehende
Gegenmaßnahmen erfordern. Beispiele von Sicherheitsverstößen der Priorität 1 sind
Gefährdungen von Systemen oder Daten, Wurminfektionen bzw. die Verbreitung von
Würmern und massive Denial-of-Service-Attacken.
(2) Sicherheitsverstöße der Priorität 2: Ereignisse mit geringerem Risiko, die sich auf die Systeme
oder Umgebungen des Kunden auswirken können und Maßnahmen innerhalb von 12 bis
24 Stunden nach ihrer Meldung erfordern. Beispiele von Sicherheitsverstößen der Priorität 2
sind unbefugte lokale Suchaktivitäten und gezielte Angriffe auf bestimmte Server oder
Workstations.
(3) Sicherheitsverstöße der Priorität 3: Ereignisse mit geringem Risiko, die sich auf die Systeme
oder Umgebungen des Kunden auswirken können. Diese Kategorie umfasst Aktivitäten in
einem Netzwerk oder auf einem Server, die innerhalb von ein bis sieben Tagen näher
untersucht werden sollten, aber möglicherweise keine unmittelbaren Maßnahmen erfordern.
Zu dieser Kategorie gehören die Erkennungssuche, Scripts zur Informationsbeschaffung und
weitere Ausspähungsversuche.
Anmerkung: Ob ein Sicherheitsereignis als Sicherheitsverstoß gewertet wird, liegt im alleinigen
Ermessen von IBM.
c. Benachrichtigung bei Sicherheitsverstößen (es sei denn, die Firewall Management Services oder
SWG Management Services sind Bestandteil des Servicevertrags) – IBM wird die Benachrichtigung
bei Sicherheitsverstößen innerhalb der ausgewählten Frist für die Reaktion auf Sicherheitsverstöße
initiieren. Der autorisierte Ansprechpartner des Kunden für die Sicherheit oder der benannte
Ansprechpartner für die Services wird bei Sicherheitsverstößen der Priorität 1 per Telefon und bei
Sicherheitsverstößen der Priorität 2 und 3 per E-Mail benachrichtigt. Bei einem Sicherheitsverstoß
der Priorität 1 wird IBM so lange versuchen, den autorisierten Ansprechpartner für die Sicherheit
oder den benannten Ansprechpartner für die Services zu kontaktieren, bis IBM den
Ansprechpartner erreicht hat oder keiner der genannten Ansprechpartner mehr übrig ist, der
kontaktiert werden könnte.
Betriebsaktivitäten im Zusammenhang mit Sicherheitsverstößen und daraufhin eingeleiteten
Maßnahmen werden im IBM Trouble-Ticket-System dokumentiert und mit einer Zeitmarke
versehen. Diese Dokumentation und Zeitmarke werden als alleinige maßgebliche
Informationsquelle zu Zwecken dieses SLA verwendet.
Das anwendbare SLA für die Reaktion auf Sicherheitsverstöße basiert auf den im Bestellschein
angegebenen Optionen.
d. Bestätigung der Anforderung einer Richtlinienänderung – Wenn zutreffend, wird IBM den Erhalt
einer vom Kunden übermittelten Anforderung einer Richtlinienänderung innerhalb der im
Bestellschein angegebenen Frist für die Bestätigung der Anforderung einer Richtlinienänderung
bestätigen. Dieses SLA ist nur für Anforderungen einer Richtlinienänderung verfügbar, die durch
einen autorisierten Ansprechpartner für die Sicherheit oder einen benannten Ansprechpartner für
die Services gemäß den im Portal dokumentierten Verfahren eingereicht wurden.
e. Implementierung einer angeforderten Richtlinienänderung – Wenn zutreffend, wird IBM eine vom
Kunden angeforderte Richtlinienänderung innerhalb der ausgewählten und im Bestellschein
angegebenen Implementierungszeit implementieren, es sei denn, die Anforderung wurde in den
Status „hold“ versetzt, da die vom Kunden bereitgestellten Informationen für die Implementierung
der angeforderten Richtlinienänderung nicht ausreichen. Dieses SLA ist nur für Anforderungen einer
Richtlinienänderung verfügbar, die durch einen autorisierten Ansprechpartner für die Sicherheit oder
einen benannten Ansprechpartner für die Services gemäß den im Portal dokumentierten Verfahren
eingereicht wurden. Es gilt nicht für Anforderungen einer Richtlinienänderung, die die monatlich
zulässige Zahl übersteigen.
Das anwendbare SLA für die Implementierung einer angeforderten Richtlinienänderung basiert auf
den im Bestellschein angegebenen Optionen für die Implementierungszeit.
f. Proaktive Systemüberwachung – IBM wird den Kunden innerhalb der angegebenen Reaktionszeit
benachrichtigen, nachdem IBM festgestellt hat, dass der Agent des Kunden über In-Band-
Standardverbindungen nicht erreichbar ist. Das anwendbare SLA für die Reaktionszeit basiert auf
den im Bestellschein angegebenen Optionen für die Reaktionszeit.
Z126-5942-AT-2 04-2013 Seite 37 von 41 Z126-5942-WW-2 04-2013

g. Proaktives Update von Sicherheitsinhalten – Wenn zutreffend, wird IBM innerhalb der im
Bestellschein angegebenen Frist mit dem Einspielen neuer Updates von Sicherheitsinhalten oder
Geräten beginnen, nachdem die folgenden Bedingungen nacheinander eingetreten sind:
(1) Das Update wurde vom jeweiligen Hersteller veröffentlicht und allgemein verfügbar gemacht;
(2) IBM hat einen Testzeitraum erfolgreich mit positiven Ergebnissen abgeschlossen; und
(3) eine Bestätigung (sofern erforderlich) des Kunden ist eingegangen, mit der der Kunde
zustimmt, das Update innerhalb der im Bestellschein angegebenen Frist einzuspielen, es sei
denn, beide Parteien vereinbaren, das Update zu einem späteren Zeitpunkt einzuspielen. Das
vereinbarte Update wird in Übereinstimmung mit den vom Kunden angegebenen
Anforderungen bezüglich eines Änderungszeitfensters eingespielt und erfordert
möglicherweise eine Bestätigung, bevor es eingespielt wird. Das anwendbare SLA für
Updates von Agenten basiert auf den im Bestellschein angegebenen Optionen für die Frist
zum Einspielen von Updates für Agenten.
Nachfolgend genannte Service-Level-Ziele werden lediglich angestrebt. Im Falle des Nichterreichens
dieser Service-Level-Ziele wird IBM in Abstimmung mit dem Kunden Maßnahmen zur Verbesserung der
Verfügbarkeit der Services bzw. der Erreichbarkeit des Portals einleiten. Ein Anspruch auf Erteilung einer
Service-Level-Gutschrift besteht nicht.
a. Verfügbarkeit der Services – IBM wird eine angestrebte Serviceverfügbarkeit von 100 % für die
SOCs bieten.
b. Verfügbarkeit des Portals – IBM wird eine angestrebte Erreichbarkeit des Portals von 99,9 %
außerhalb der im Abschnitt „Geplante und im Notfall durchgeführte Portalwartung“ in den
Allgemeinen Bedingungen für IBM Managed Security Services angegebenen Zeiten bieten.
6.2 SLA-Gutschriften
a. Service-Level-Gutschrift bei Nichteinhaltung des SLAs für die Erkennung von Sicherheitsverstößen
– Falls IBM dieses SLA in einem bestimmten Kalendermonat nicht einhält, wird eine Service-Level-
Gutschrift erteilt, wie nachfolgend angegeben.
(1) Sicherheitsverstöße der Priorität 1: Wird ein Sicherheitsereignis nicht als Sicherheitsverstoß
erkannt, erhält der Kunde eine Gutschrift in Höhe der Servicegebühr für einen Monat für den
ersten Agenten, der das Ereignis gemeldet hat.
(2) Sicherheitsverstöße der Priorität 2: Wird ein Sicherheitsereignis nicht als Sicherheitsverstoß
erkannt, erhält der Kunde eine Gutschrift in Höhe der anteiligen Servicegebühr für eine Woche
für den ersten Agenten, der das Ereignis gemeldet hat.
(3) Sicherheitsverstöße der Priorität 3: Wird ein Sicherheitsereignis nicht als Sicherheitsverstoß
erkannt, erhält der Kunde eine Gutschrift in Höhe der anteiligen Servicegebühr für einen Tag
für den ersten Agenten, der das Ereignis gemeldet hat.
b. Service-Level-Gutschriften bei Nichteinhaltung folgender SLAs: Alarmbenachrichtigung bei
Sicherheitsverstößen, Bestätigung der Anforderung einer Richtlinienänderung, Implementierung
einer angeforderten Richtlinienänderung, proaktive Systemüberwachung, proaktives Update von
Sicherheitsinhalten – Falls IBM eines dieser SLAs nicht einhält, wird IBM dem Kunden eine Service-
Level-Gutschrift in Höhe von 1/30 der monatlichen Überwachungsgebühr für den betroffenen
Agenten und, sofern zutreffend, für die Plattform, bei dem/der das jeweilige SLA nicht erfüllt wurde,
als pauschalierten Schadensersatz gutschreiben. Mit Zahlung bzw. Verrechnung der Service-Level-
Gutschrift sind alle Ansprüche aus der Nichteinhaltung vereinbarter SLAs abschließend abgegolten.
Zusammenfassung der SLAs und SLA-Gutschriften
Service-Level-Agreements
Erkennung von Sicherheitsverstößen
Implementierung einer angeforderten
Richtlinienänderung
SLA-Gutschriften
Gutschrift in Höhe der (anteiligen) Servicegebühr für einen
Monat, eine Woche oder einen Tag für den ersten Agenten, der
das Ereignis gemeldet hat, wie oben angegeben
Gutschrift auf der Basis der monatlichen Gebühr für die
Implementierung einer Richtlinienänderung, bei der das geltende
Z126-5942-AT-2 04-2013 Seite 38 von 41 Z126-5942-WW-2 04-2013

SLA nicht erfüllt wurde
Bestätigung der Anforderung einer
Richtlinienänderung
Alarmbenachrichtigung bei
Sicherheitsverstößen
Benachrichtigung bei Sicherheitsverstößen
Service-Level-Gutschrift, 1/30 der monatlichen Gebühr für den
betroffenen Agenten
Proaktive Systemüberwachung
Proaktives Update von Sicherheitsinhalten
6.3 Änderung der SLAs im Simulationsmodus
Der Kunde hat die Möglichkeit, die IBM Security Network Intrusion Prevention System Appliance im
Simulationsmodus auszuführen, um die virtuelle Blockierung anzuzeigen und Angriffe abzuwehren. Wenn
eine Appliance im Simulationsmodus ausgeführt wird, kann der Kunde eine vollständige Liste der für sein
Netzwerk spezifischen simulierten abgewehrten Angriffe über das Portal anzeigen.
Der Kunde kann den Simulationsmodus jederzeit mittels einer der folgenden Methoden aktivieren und
deaktivieren:
a. Vor der Implementierung – Anforderung einer Richtlinienänderung (schriftlich oder per E-Mail) beim
zuständigen IBM Spezialisten für die Implementierung;
b. Nach der Implementierung – Anforderung des Beginns oder Endes des Simulationsmodus über ein
Serviceticket oder eine Anforderung einer Richtlinienänderung innerhalb des Portals.
Während des Simulationsmodus werden alle aktiven Blockierfunktionen deaktiviert, wodurch die aktive
Blockierung durch das Gerät unterbunden wird, und das SLA für die Verhinderung von
Sicherheitsverstößen, das im Abschnitt „SLA-Verfügbarkeit“ dieser Leistungsbeschreibung beschrieben
ist, verliert seine Gültigkeit. Alle weiteren SLAs und Gutschriftenregelungen bleiben in Kraft und sind der
einzige Anspruch des Kunden auf Entschädigung bei Nichteinhaltung der geltenden SLAs, wie unten
beschrieben, vorausgesetzt, dass keine Gutschrift für das SLA zur Verhinderung von
Sicherheitsverstößen erteilt wird, wie oben angegeben.
Zusammenfassung der SLAs und SLA-Gutschriften im Simulationsmodus
Service-Level-Agreements
Einleitung einer Gegenmaßnahme bei unbefugtem
Zugriff
Erkennung von Sicherheitsverstößen
Alarmbenachrichtigung bei Sicherheitsverstößen
Benachrichtigung bei Sicherheitsverstößen
SLA-Gutschriften
Service-Level-Gutschrift in Höhe der monatlichen
Überwachungsgebühr für einen Monat für den
betroffenen Agenten
Gutschrift in Höhe der (anteiligen) Servicegebühr für
einen Monat, eine Woche oder einen Tag für den
ersten Agenten, der das Ereignis gemeldet hat, wie
oben angegeben
Service-Level-Gutschrift, 1/30 der monatlichen
Überwachungsgebühr für den betroffenen Agenten
6.4 Intellectual Property Services Components
IPSC-Definition
Intellectual Property Services Components („IPSCs“) sind vorbestehende proprietäre Schriftwerke von
IBM oder Dritten oder andere Schriftwerke (wie z. B. Programme, Programmlisten, Programmiertools,
Dokumentation, Berichte, Zeichnungen und vergleichbare Werke), die IBM dem Kunden lizenziert oder
die IBM bei der Bereitstellung von Services verwenden kann. IPSCs sind keine Produkte oder Materialien
Z126-5942-AT-2 04-2013 Seite 39 von 41 Z126-5942-WW-2 04-2013

gemäß der Definition dieser Begriffe in der IBM Rahmenvereinbarung. Ansonsten gelten für IPSCs die
Bedingungen der IBM Rahmenvereinbarung. Die Ziffer „Haftung“ wird für IPSCs allerdings so ausgelegt,
als wäre eine IPSC ein „Produkt“. Dies gilt nur im Zusammenhang mit dieser Ziffer ohne Verweis auf
andere Ziffern. IBM oder Dritte verfügen über sämtliche Eigentums- und Nutzungsrechte (einschließlich
des Urheberrechts) an den IPSCs. Die IPSCs werden lediglich lizenziert, nicht verkauft. Soweit keine
anders lautenden gesetzlichen Regelungen unabdingbar vorgesehen sind, stellt IBM die IPSCs ohne
Schadensersatz oder Gewährleistungen zur Verfügung.
IPSC-Lizenzerteilung
In Übereinstimmung mit den nachstehend genannten IPSC-Sonderbedingungen erteilt IBM dem Kunden
ein widerrufliches, nicht ausschließliches, abgegoltenes Recht, die folgende IPSC ausschließlich
innerhalb seines Unternehmens zu nutzen:
●
Universal Log Agent
IPSC-Sonderbedingungen
a. IBM kann diese Lizenz kündigen, wenn der Kunde gegen eine der Bedingungen dieser
Leistungsbeschreibung verstößt.
b. Der Kunde verpflichtet sich, nach Ablauf oder Kündigung dieser Lizenz den Universal Log Agent
nicht weiter zu nutzen, alle Kopien davon zu vernichten und IBM Belege für die Vernichtung
bereitzustellen.
Mit Erhalt des Universal Log Agent erklärt sich der Kunde mit den folgenden Nutzungsbedingungen
einverstanden:
Während der Laufzeit der IBM Managed Security Services gewährt IBM dem Kunden ein begrenztes,
nicht ausschließliches, nicht übertragbares Recht, den Universal Log Agent ausschließlich in seinem
Unternehmen zu nutzen. Soweit nicht hierin anders angegeben, gelten die Bedingungen des Vertrags
über Managed Security Services zwischen dem Kunden und IBM für die Bereitstellung jedes Universal
Log Agent durch IBM und dessen Nutzung durch den Kunden. Das Eigentum oder Eigentumsrecht am
Universal Log Agent geht nicht an den Kunden über. Die Rechte des Kunden unterliegen zu jeder Zeit
dem Urheberrecht und weiteren gewerblichen Schutzrechten von IBM. Sämtliche Rechte und
Eigentumsrechte an dem Universal Log Agent und an allen davon abgeleiteten Werken verbleiben bei
IBM. Der Universal Log Agent wird „as is“, ohne jegliche Gewährleistung oder Haftung, sei sie
ausdrücklich oder stillschweigend, bereitgestellt, einschließlich der Gewährleistung für die
Handelsüblichkeit, die Verwendbarkeit für einen bestimmten Zweck und die Nichtverletzung von
Eigentums- und Schutzrechten.
Der Universal Log Agent darf nicht 1) verwendet, kopiert, modifiziert oder verteilt werden, sofern nicht
ausdrücklich hierin angegeben, 2) umgewandelt (reverse assembled, reverse compiled) oder anderweitig
umgesetzt werden, sofern nicht ausdrücklich laut Gesetz zulässig, 3) in Unterlizenz vergeben, vermietet
oder verleast werden oder 4) zu gewerblichen Zwecken, darunter zur gewerblichen Forschung, Beratung
oder Führung eines Unternehmens, verwendet werden. Der Kunde darf keine abgeleiteten Werke auf der
Basis des Universal Log Agent erstellen und keinerlei Hinweise entfernen, die im Universal Log Agent
enthalten sind. Der Kunde darf den Universal Log Agent nicht für den Entwurf, die Entwicklung oder den
Test von Softwareanwendungen zu gewerblichen Zwecken verwenden. Der Kunde darf anderen nicht
erlauben, seine Kennwörter für den Zugriff auf nicht allgemein zugängliche IBM Websites oder für die
Nutzung des Universal Log Agent zu jeglichen Zwecken zu verwenden.
Der Universal Log Agent wird von IBM als vertrauliche Information eingestuft, und der Kunde wird solche
vertraulichen Informationen (nachfolgend „Informationen“ genannt) sicher und vertraulich behandeln. Der
Kunde wird zur Vermeidung einer Offenlegung der Informationen dieselbe Sorgfalt und Verschwiegenheit
anwenden wie bei eigenen vertraulichen Informationen, deren Offenlegung er nicht wünscht. Während
der Laufzeit der Services darf der Kunde die Informationen nur gegenüber (1) eigenen Mitarbeitern, die
Kenntnis davon haben sollten, und (2) sonstigen Dritten mit vorheriger schriftlicher Zustimmung von IBM
offenlegen. Vor einer solchen Offenlegung der Informationen muss der Kunde eine entsprechende
schriftliche Vereinbarung mit seinen Mitarbeitern und sonstigen Dritten, die zum Erhalt solcher
Informationen berechtigt sind, treffen, mit der sich diese zur vertraulichen Behandlung der Informationen
gemäß diesen Nutzungsbedingungen verpflichten. Der Kunde darf solche Informationen nur zu dem
Zweck, zu dem sie offengelegt wurden, oder auf andere Weise zum Vorteil von IBM nutzen. Die
Verpflichtung des Kunden zur Vertraulichkeit bezüglich des Universal Log Agent oder darin enthaltener
Informationen im Sinne dieser Nutzungsbedingungen gilt nicht, wenn der Universal Log Agent oder darin
Z126-5942-AT-2 04-2013 Seite 40 von 41 Z126-5942-WW-2 04-2013

enthaltene Informationen (1) öffentlich zugänglich sind oder ohne Verschulden des Kunden öffentlich
zugänglich werden oder (2) unabhängig vom Kunden entwickelt werden.
Z126-5942-AT-2 04-2013 Seite 41 von 41 Z126-5942-WW-2 04-2013