Inhaltsverzeichnis - IBM
Inhaltsverzeichnis - IBM
Inhaltsverzeichnis - IBM
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>IBM</strong> Österreich Internationale Büromaschinen Gesellschaft m.b.H. A-1020 Wien, Obere Donaustraße 95<br />
Telefon (01) 211 45-0*<br />
Telefax (01) 216 08 86<br />
Sitz: Wien<br />
Firmenbuchnummer FN 80000 y<br />
<strong>IBM</strong> Infrastructure Security Services<br />
Firmenbuchgericht HG Wien<br />
DVR: 0003824<br />
Managed Network Security Services<br />
Leistungsbeschreibung<br />
Stand:<br />
<strong>Inhaltsverzeichnis</strong><br />
1. Managed Network Security Services....................................................................................................................2<br />
2. Begriffserklärungen ...............................................................................................................................................2<br />
3. Managed Network Security Services – Foundational Features .........................................................................3<br />
3.1 MSS-Portal ..............................................................................................................................................................3<br />
3.2 Ansprechpartner für die Managed Network Security Services ..........................................................................5<br />
3.3 Erstellung von Sicherheitsberichten....................................................................................................................7<br />
3.4 <strong>IBM</strong> X-Force Threat Analysis.................................................................................................................................7<br />
3.5 Implementierung und Aktivierung ........................................................................................................................8<br />
3.6 Implementierung und Aktivierung des Protokollmanagements und der Alarmausgabe...............................15<br />
3.7 Erneute Implementierung und Aktivierung........................................................................................................19<br />
3.8 Erfassung von Sicherheitsereignissen und -protokollen .................................................................................19<br />
4. Managed Network Security Services – Common Features ..............................................................................20<br />
4.1 Automatisierte Analyse .......................................................................................................................................20<br />
4.2 Überwachung und Benachrichtigung durch Bedrohungsanalysten ...............................................................21<br />
4.3 Richtlinienmanagement.......................................................................................................................................23<br />
4.4 VPN-Unterstützung (Virtual Private Network)....................................................................................................25<br />
4.5 Überwachung des Status und der Verfügbarkeit der Managed Agents ..........................................................26<br />
4.6 Management von Agenten...................................................................................................................................27<br />
4.7 Content-Sicherheit ...............................................................................................................................................28<br />
5. Managed Network Security Services – Optionale Features .............................................................................29<br />
5.1 Bereitstellung von Sicherheitsereignissen und -protokollen...........................................................................29<br />
5.2 Cold Standby ........................................................................................................................................................29<br />
5.3 Warm Standby ......................................................................................................................................................30<br />
5.4 Management von virtuellen Instanzen................................................................................................................31<br />
5.5 Hochverfügbarkeit................................................................................................................................................31<br />
5.6 Aggregator am Kundenstandort .........................................................................................................................33<br />
5.7 Integration des Ticketsystems............................................................................................................................35<br />
5.8 Optionaler Out-of-Band-Zugriff für das Protokollmanagement........................................................................35<br />
6. Service-Level-Agreements ..................................................................................................................................36<br />
6.1 SLA-Verfügbarkeit................................................................................................................................................36<br />
6.2 SLA-Gutschriften..................................................................................................................................................38<br />
6.3 Änderung der SLAs im Simulationsmodus .......................................................................................................39<br />
6.4 Intellectual Property Services Components ......................................................................................................39<br />
* * *<br />
Z126-5942-AT-2 04-2013 Seite 1 von 41 Z126-5942-WW-2 04-2013
<strong>IBM</strong> Managed Network Security Services<br />
Zusätzlich zu den nachstehend aufgeführten Bedingungen enthält diese Leistungsbeschreibung die<br />
„Allgemeinen Bedingungen für <strong>IBM</strong> Managed Security Services“ (nachfolgend „Allgemeine Bedingungen“<br />
genannt), die unter http://www-935.ibm.com/services/at/gts/html/contracts_landing.html zu finden sind<br />
und durch Bezugnahme Bestandteil dieser Leistungsbeschreibung werden.<br />
1. Managed Network Security Services<br />
Gegenstand der Leistung der <strong>IBM</strong> Infrastructure Security Services – Managed Network Security Services<br />
(nachfolgend „MNSS“ oder „Services“ genannt) ist die Überwachung (mit Alarmausgabe) und das<br />
Management von Technologien für die Netzwerksicherheit (nachfolgend „Agenten“ oder „Managed<br />
Agents“ genannt) auf einer Vielzahl verschiedener Plattformen und Technologien. Diese Agenten dürfen<br />
nicht zu anderen Zwecken eingesetzt werden, während sie im Rahmen dieser Services von <strong>IBM</strong><br />
betrieben werden.<br />
Die hierin beschriebenen Merkmale der Services sind von der Verfügbarkeit und Unterstützbarkeit der<br />
genutzten Produkte und Produktmerkmale abhängig. Auch bei unterstützten Produkten werden<br />
möglicherweise nicht alle Produktmerkmale unterstützt. Informationen zu unterstützten Merkmalen sind<br />
auf Anfrage von <strong>IBM</strong> erhältlich. Zu den Produkten gehören sowohl von <strong>IBM</strong> als auch nicht von <strong>IBM</strong><br />
bereitgestellte Hardware, Software und Firmware.<br />
Die Services werden von einem Netz aus <strong>IBM</strong> Security Operations Centers (SOCs) weltweit aus erbracht,<br />
die während 24 Stunden pro Tag an 7 Tagen die Woche für den Kunden erreichbar sind. Die<br />
Komponenten dieser Service-Features werden in diesem Dokument als „Foundational“, „Common“ und<br />
„Optional“ Features kategorisiert.<br />
Der <strong>IBM</strong> X-Force Hosted Threat Analysis Service ist ein Security-Intelligence-Service, der individuell<br />
angepasste Informationen zu einer Vielzahl von Sicherheitsbedrohungen bereitstellt, die sich auf die<br />
Sicherheit des Netzwerks des Kunden auswirken könnten.<br />
2. Begriffserklärungen<br />
Alert Condition (AlertCon) ist eine von <strong>IBM</strong> entwickelte globale Risikomessgröße, die proprietäre<br />
Methoden nutzt. Die AlertCon-Alarmstufe (nachfolgend „AlertCon-Level“ genannt) basiert auf einer<br />
Vielzahl verschiedener Faktoren, darunter der Anzahl und dem Schweregrad bekannter Schwachstellen,<br />
Exploits, die diese Schwachstellen ausnutzen, der allgemeinen Verfügbarkeit solcher Exploits, der<br />
Aktivität sich massenhaft verbreitender Würmer und der Aktivität globaler Sicherheitsbedrohungen. Die<br />
vier AlertCon-Levels sind im <strong>IBM</strong> MSS-Kundenportal (<strong>IBM</strong> Managed Security Services) (nachfolgend<br />
„Portal“ genannt) beschrieben.<br />
Antispam ist dafür ausgelegt, die Menge an Spam-E-Mail, die an die Mailboxen der Benutzer gesendet<br />
wird, zu minimieren.<br />
Antivirus ist dafür ausgelegt, viele Arten von Dateiübertragungen (z. B. Webseiten, E-Mail-Verkehr und<br />
FTP-Übertragungen (File Transfer Protocol)) im Hinblick auf Würmer, Viren und weitere Formen von<br />
Malware zu überwachen.<br />
Autorisierter Ansprechpartner für die Sicherheit ist ein Entscheidungsträger, der für alle betrieblichen<br />
Aspekte im Zusammenhang mit dem/den MNSS-Feature/s verantwortlich ist.<br />
Benannter Ansprechpartner für die Services ist ein Entscheidungsträger, der für bestimmte<br />
betriebliche Aspekte im Zusammenhang mit jedem <strong>IBM</strong> MNSS-Feature, dem/den Agenten des jeweiligen<br />
Features oder einer Gruppe von Agenten verantwortlich ist.<br />
Schulungsmaterial beinhaltet u. a. Handbücher, Anweisungen für Schulungsleiter, Literatur,<br />
Methodiken, Bilder, Richtlinien und Verfahren zu elektronischen Kursen und Fallstudien sowie weitere<br />
schulungsbezogene Komponenten, die von oder für <strong>IBM</strong> erstellt wurden. Soweit zutreffend, beinhaltet<br />
das Schulungsmaterial auch Handbücher für die Schulungsteilnehmer, Übungsdokumente, Handbücher<br />
und Präsentationen, die von <strong>IBM</strong> bereitgestellt werden.<br />
Firewall ist ein Gerät für die Netzwerksicherheit, das dafür konzipiert ist, unbefugten Zugriff zu verhindern<br />
und berechtigte Datenübertragungen zuzulassen, basierend auf einer Konfiguration von Regeln für das<br />
Zulassen, Ablehnen, Verschlüsseln, Entschlüsseln oder Weiterleiten von Daten in Übereinstimmung mit<br />
der Sicherheitsrichtlinie des Serviceempfängers.<br />
Z126-5942-AT-2 04-2013 Seite 2 von 41 Z126-5942-WW-2 04-2013
<strong>IBM</strong> MSS-Portal (Managed Security Services) („Portal“ genannt) ist ein Portal, das Zugriff auf eine<br />
Umgebung (und zugehörige Tools) für die Überwachung und das Management des Sicherheitsstatus<br />
bietet. Das Portal vereint Technologie- und Servicedaten von mehreren Anbietern und aus<br />
unterschiedlichen Ländern in einer einheitlichen webbasierten Oberfläche.<br />
Intrusion Detection and Prevention System (IDPS) ist ein Gerät oder eine Softwareanwendung für die<br />
Netzwerksicherheit, das/die Verfahren zur Erkennung und Vermeidung unbefugter Zugriffe nutzt, um<br />
Netzwerkaktivitäten im Hinblick auf schädliches oder unerwünschtes Verhalten zu überwachen. Diese<br />
Überwachung kann mögliche Sicherheitsverstöße in Echtzeit erkennen und in einigen Fällen abwehren.<br />
MSS-Agent oder Agent ist ein neues oder vorhandenes Gerät, für das die <strong>IBM</strong> Managed Security<br />
Services genutzt werden. MSS-Agenten dürfen nicht zu anderen Zwecken eingesetzt werden, während<br />
sie im Rahmen dieser Services von <strong>IBM</strong> betrieben werden.<br />
MSS-Portalbenutzer sind Benutzer des MSS-Portals mit unterschiedlichen Berechtigungen für das MSS-<br />
Portal. MSS-Portalbenutzer können eingeschränkten, regulären oder administrativen Zugriff auf alle<br />
MSS-Agenten oder nur auf einen Teil der MSS-Agenten erhalten. Die Ansichten im MSS-Portal und die<br />
Berechtigungen, die den Portalbenutzern zur Verfügung stehen, werden vom autorisierten<br />
Ansprechpartner für die Sicherheit festgelegt.<br />
Aggregator am Kundenstandort (Onsite Aggregator, OA) ist ein erforderliches Gerät, das am<br />
Kundenstandort implementiert und von <strong>IBM</strong> MSS gegen Zahlung einer zusätzlichen Gebühr betrieben<br />
und überwacht wird. Der OA übernimmt die Zusammenfassung, das Parsing und die Normalisierung von<br />
textbasierten Protokollen zu Systemaktivitäten in unbekannten Formaten, komprimiert und verschlüsselt<br />
Sicherheitsereignisse und Protokolldaten und überträgt die Sicherheitsereignisse und Protokolldaten an<br />
die <strong>IBM</strong> MSS-Infrastruktur.<br />
Universal Log Agent (ULA) ist eine schlanke Anwendung für die Protokollerfassung, die auf einem oder<br />
mehreren berechtigten Agenten ausgeführt wird. Der ULA erfasst textbasierte Protokolle lokal auf dem<br />
Agenten, komprimiert und verschlüsselt sie und leitet sie sicher an den Aggregator am Kundenstandort<br />
(OA) oder direkt an die <strong>IBM</strong> MSS-Infrastruktur weiter.<br />
UTM-System (Unified Threat Management) ist ein neues oder vorhandenes Gerät, für das die <strong>IBM</strong><br />
Managed Network Security Services genutzt werden. Dieses Gerät enthält unter anderem die folgende<br />
Funktionalität: Firewall, IDPS, Webfilter, Antivirus, Antispam und VPN-Konnektivität.<br />
Virtual Private Networks (VPNs) nutzen öffentliche Telekommunikationsnetze für die verschlüsselte<br />
Übertragung privater Daten. Die meisten VPN-Implementierungen verwenden das Internet als öffentliche<br />
Infrastruktur und eine Vielzahl verschiedener spezialisierter Protokolle zur Unterstützung der Übertragung<br />
privater Daten.<br />
Webfilter sind dafür ausgelegt, anstößige Webinhalte zu blockieren, Gefahren aus dem Internet zu<br />
entschärfen und das Webnutzungsverhalten von Mitarbeitern hinter dem/den Agenten zu steuern.<br />
3. Managed Network Security Services – Foundational Features<br />
Foundational Features werden mit jedem Agenten bereitgestellt, der Teil der Managed Network Security<br />
Services ist. Sie sind nicht optional. Es können unterschiedliche Stufen des Features bereitgestellt<br />
werden. Diese Features sind jedoch im Leistungsumfang aller Managed Network Security Services<br />
enthalten.<br />
3.1 MSS-Portal<br />
Das MSS-Portal bietet Zugriff auf eine Umgebung (und zugehörige Tools) für die Überwachung und das<br />
Management des Sicherheitsstatus. Das Portal vereint Technologie- und Servicedaten von mehreren<br />
Anbietern und aus mehreren Ländern in einer einheitlichen webbasierten Oberfläche.<br />
Das Portal kann auch zur Bereitstellung des Schulungsmaterials verwendet werden. Sämtliches<br />
Schulungsmaterial wird lizenziert, nicht verkauft, und verbleibt ausschließlich im Eigentum von <strong>IBM</strong>. <strong>IBM</strong><br />
erteilt dem Kunden ein Nutzungsrecht gemäß den im Portal aufgeführten Bedingungen. Das<br />
Schulungsmaterial wird „as is“, ohne jegliche Gewährleistung oder Haftung bereitgestellt, sei sie<br />
ausdrücklich oder stillschweigend, einschließlich, jedoch nicht beschränkt auf die Gewährleistung für die<br />
Handelsüblichkeit, die Verwendbarkeit für einen bestimmten Zweck und die Nichtverletzung von<br />
Eigentums- und Schutzrechten.<br />
Z126-5942-AT-2 04-2013 Seite 3 von 41 Z126-5942-WW-2 04-2013
3.1.1 Leistungsumfang<br />
<strong>IBM</strong> wird<br />
a. dem Kunden während 24 Stunden pro Tag an 7 Tagen die Woche Zugriff auf das MSS-Portal<br />
gewähren. Das MSS-Portal bietet Folgendes:<br />
(1) Mehrere Ebenen des Zugriffs für MSS-Portalbenutzer, die auf einen <strong>IBM</strong> Managed Security<br />
Service, einen MSS-Agenten oder eine Gruppe von Agenten angewandt werden können;<br />
(2) Informationen über und Warnung bei Sicherheitsbedrohungen;<br />
(3) Details zur Konfiguration und Richtlinie des/der MSS-Agenten, soweit zutreffend<br />
(4) Informationen über Sicherheitsverstöße und/oder Servicetickets;<br />
(5) Möglichkeit der Initiierung und Aktualisierung von Tickets und Workflows;<br />
(6) Möglichkeit der Interaktion mit einem SOC-Analysten;<br />
(7) Dashboard für die Erstellung von Berichten auf der Basis von Vorlagen;<br />
(8) Zugriff auf Protokolle und Ereignisse des/der MSS-Agenten, soweit zutreffend;<br />
(9) Berechtigung zum Download von Protokolldaten, sofern zutreffend;<br />
(10) Zugriff auf das Schulungsmaterial gemäß den im MSS-Portal aufgeführten Bedingungen; und<br />
(11) soweit zutreffend:<br />
(a)<br />
(b)<br />
Möglichkeit, unbekannte textbasierte Protokolle zu Systemaktivitäten zu parsen und zu<br />
normalisieren; und<br />
Möglichkeit, benutzerdefinierte Korrelationsregeln zu erstellen;<br />
b. die Verfügbarkeit des MSS-Portals gemäß den Kennzahlen sicherstellen, die im Abschnitt „Service-<br />
Level-Agreements“, „Verfügbarkeit des Portals“ dieser Leistungsbeschreibung angegeben sind; und<br />
c. einen Benutzernamen, ein Kennwort, eine URL und entsprechende Berechtigungen für den Zugriff<br />
auf das MSS-Portal bereitstellen.<br />
3.1.2 Verantwortlichkeiten des Kunden<br />
Der Kunde wird<br />
a. das MSS-Portal nutzen, um tägliche Aktivitäten im Rahmen des Betriebs durchzuführen;<br />
b. sicherstellen, dass die Mitarbeiter des Kunden, die im Namen des Kunden auf das MSS-Portal<br />
zugreifen, die im Portal veröffentlichten Nutzungsbedingungen einhalten, einschließlich der<br />
Bedingungen im Zusammenhang mit dem Schulungsmaterial;<br />
c. seine Zugangsdaten für die Anmeldung am MSS-Portal angemessen schützen (das bedeutet unter<br />
anderem, sie gegenüber Unbefugten nicht offenzulegen);<br />
d. <strong>IBM</strong> umgehend benachrichtigen, wenn er den Verdacht hat, dass seine Zugangsdaten<br />
kompromittiert wurden;<br />
e. <strong>IBM</strong> in Bezug auf alle Verluste entschädigen und schadlos halten, die <strong>IBM</strong> durch den Kunden oder<br />
Dritte dadurch entstehen, dass<br />
(1) der Kunde seine Zugangsdaten nicht angemessen schützt; und<br />
(2) – sofern das Protokollmanagement und die Alarmausgabe Bestandteil des Servicevertrags<br />
des Kunden sind –<br />
(a)<br />
(b)<br />
der Kunde reguläre Ausdrücke beim Parsing und bei der Normalisierung von Ereignisund<br />
Protokolldaten nicht korrekt verwendet; und<br />
der Kunde benutzerdefinierte Korrelationsregeln nicht korrekt verwendet;<br />
f. – sofern das Protokollmanagement und die Alarmausgabe Bestandteil des Servicevertrags des<br />
Kunden sind –<br />
(1) die Verantwortung für das Parsing und die Normalisierung unbekannter Protokollformate im<br />
Portal übernehmen;<br />
(2) die alleinige Verantwortung für den Test und die Verifizierung der Leistung von Protokoll-<br />
Parsern und benutzerdefinierten Korrelationsregeln übernehmen;<br />
Z126-5942-AT-2 04-2013 Seite 4 von 41 Z126-5942-WW-2 04-2013
(3) Protokoll-Parser und benutzerdefinierte Korrelationsregeln über das Portal aktivieren und<br />
deaktivieren; und<br />
(4) bestätigen, dass<br />
(a)<br />
(b)<br />
(c)<br />
die Leistung des Aggregators am Kundenstandort (OA) und die rechtzeitige<br />
Bereitstellung von Protokolldaten durch nicht korrekt geschriebene oder ineffiziente<br />
Protokoll-Parser beeinträchtigt werden können;<br />
<strong>IBM</strong> nicht für die Protokoll-Parser oder benutzerdefinierten Korrelationsregeln<br />
verantwortlich ist, die im Portal konfiguriert und gespeichert werden; und<br />
Konfigurationsunterstützung für das Parsing unbekannter Protokollformate nicht im<br />
Leistungsumfang der Services enthalten ist.<br />
3.2 Ansprechpartner für die Managed Network Security Services<br />
Der Kunde kann zwischen mehreren Ebenen des Zugriffs auf das SOC und das MSS-Portal wählen.<br />
Dadurch kann er verschiedenen Rollen in seinem Unternehmen unterschiedliche Zugriffsrechte<br />
zuweisen. Verfügbar sind autorisierte Ansprechpartner für die Sicherheit, benannte Ansprechpartner für<br />
die Services und MSS-Portalbenutzer.<br />
3.2.1 Autorisierte Ansprechpartner für die Sicherheit<br />
<strong>IBM</strong> wird<br />
a. dem Kunden die Erstellung von bis zu drei autorisierten Ansprechpartnern für die Sicherheit<br />
ermöglichen;<br />
b. jedem autorisierten Ansprechpartner für die Sicherheit Folgendes bereitstellen:<br />
(1) administrative MSS-Portalberechtigungen für den/die MSS-Agenten des Kunden, sofern<br />
zutreffend;<br />
(2) die Berechtigung zur Erstellung von benannten Ansprechpartnern für die Services und MSS-<br />
Portalbenutzern; und<br />
(3) die Berechtigung zur Delegation der Verantwortung an die benannten Ansprechpartner für die<br />
Services;<br />
c. sich mit den autorisierten Ansprechpartnern für die Sicherheit über Aspekte bezüglich der<br />
Unterstützung und Benachrichtigung im Zusammenhang mit den MSS-Features austauschen; und<br />
d. die Identität der autorisierten Ansprechpartner für die Sicherheit mittels einer<br />
Authentifizierungsmethode überprüfen, die ein vorab ausgetauschtes Abfragekennwort oder eine<br />
vorab ausgetauschte Abfragekennziffer verwendet.<br />
Der Kunde wird<br />
a. <strong>IBM</strong> Kontaktinformationen zu jedem autorisierten Ansprechpartner für die Sicherheit bereitstellen.<br />
Die autorisierten Ansprechpartner für die Sicherheit sind für Folgendes verantwortlich:<br />
(1) Authentifizierung bei den SOCs mittels eines vorab ausgetauschten Abfragekennworts;<br />
(2) Pflege von Informationen zur Benachrichtigungsreihenfolge und von Kontaktinformationen zu<br />
Ansprechpartnern des Kunden sowie Übergabe dieser Informationen an <strong>IBM</strong>;<br />
(3) Erstellung der benannten Ansprechpartner für die Services und Delegation von<br />
Verantwortlichkeiten und Rechten an diese Ansprechpartner, sofern angebracht; und<br />
(4) Erstellung von Portalbenutzern;<br />
b. sicherstellen, dass mindestens ein autorisierter Ansprechpartner für die Sicherheit während<br />
24 Stunden pro Tag an 7 Tagen die Woche erreichbar ist;<br />
c. <strong>IBM</strong> innerhalb von drei Kalendertagen über Änderungen an den Kontaktinformationen zu<br />
Ansprechpartnern des Kunden informieren; und<br />
d. bestätigen, dass nicht mehr als drei autorisierte Ansprechpartner für die Sicherheit erlaubt sind,<br />
unabhängig von der vereinbarten Anzahl an <strong>IBM</strong> Services oder MSS-Agenten.<br />
Z126-5942-AT-2 04-2013 Seite 5 von 41 Z126-5942-WW-2 04-2013
3.2.2 Benannte Ansprechpartner für die Services<br />
<strong>IBM</strong> wird<br />
a. die Identität der benannten Ansprechpartner für die Services mittels einer<br />
Authentifizierungsmethode überprüfen, die ein vorab ausgetauschtes Abfragekennwort verwendet;<br />
und<br />
b. sich mit den benannten Ansprechpartnern für die Services nur über die betrieblichen Aspekte<br />
austauschen, für die sie verantwortlich sind.<br />
Der Kunde wird<br />
a. <strong>IBM</strong> Kontaktinformationen zu jedem benannten Ansprechpartner für die Services und Informationen<br />
zu dessen Zuständigkeit bereitstellen. Die benannten Ansprechpartner für die Services sind für die<br />
Authentifizierung bei den SOCs mittels einer Kennphrase verantwortlich; und<br />
b. bestätigen, dass ein benannter Ansprechpartner für die Services möglicherweise während<br />
24 Stunden pro Tag an 7 Tagen die Woche erreichbar sein muss, abhängig von seinem<br />
Zuständigkeitsbereich (z. B. wenn der Ausfall eines Firewall-Agenten in seinen<br />
Zuständigkeitsbereich fällt).<br />
3.2.3 MSS-Portalbenutzer<br />
<strong>IBM</strong> wird<br />
a. mehrere Ebenen des Zugriffs auf das MSS-Portal bereitstellen, wie nachstehend beschrieben:<br />
(1) Funktionen für administrative Benutzer, einschließlich folgender Möglichkeiten:<br />
(a)<br />
(b)<br />
(c)<br />
(d)<br />
(e)<br />
(f)<br />
(g)<br />
(h)<br />
(i)<br />
(j)<br />
(k)<br />
(l)<br />
Erstellung von Portalbenutzern;<br />
Erstellung und Bearbeitung von kundenspezifischen Agentengruppen;<br />
Übermittlung von Anforderungen einer Richtlinienänderung für einen Managed Agent<br />
oder eine Gruppe von Agenten an die SOCs;<br />
Übermittlung von Serviceanforderungen an die SOCs;<br />
„Live Chat“ mit einem SOC-Analysten in Bezug auf bestimmte Vorfälle oder Tickets, die<br />
im Rahmen der Services erstellt wurden;<br />
Erstellung interner Tickets im Zusammenhang mit den Services und Zuordnung dieser<br />
Tickets zu den Portalbenutzern;<br />
Abfrage, Anzeige und Aktualisierung von Tickets im Zusammenhang mit den Services;<br />
Anzeige und Bearbeitung von Agentendetails;<br />
Anzeige von Agentenrichtlinien, soweit zutreffend;<br />
Erstellung und Bearbeitung von Beobachtungslisten (Watch Lists) zu Schwachstellen;<br />
Überwachung von Ereignissen in Echtzeit, soweit zutreffend;<br />
Abfrage von Sicherheitsereignis- und Protokolldaten;<br />
(m) Planung von Downloads von Sicherheitsereignis- und Protokolldaten;<br />
(n)<br />
(o)<br />
Planung und Ausführung von Berichten; und<br />
soweit zutreffend:<br />
(i)<br />
(ii)<br />
(iii)<br />
Parsing und Normalisierung unbekannter textbasierter Protokolle zu<br />
Systemaktivitäten von Betriebssystemen und Anwendungen;<br />
Aktivierung/Deaktivierung der Richtlinienregeln für Alarmbenachrichtigungen der<br />
AI-Analyse-Engine (AI = Automated Intelligence); und<br />
Erstellung von benutzerdefinierten Korrelationsregeln;<br />
(2) Funktionen für reguläre Benutzer, einschließlich aller Rechte eines administrativen Benutzers<br />
für die Agenten, für die der Benutzer zuständig ist, mit Ausnahme der Möglichkeit zur<br />
Erstellung von Portalbenutzern; und<br />
(3) Funktionen für eingeschränkte Benutzer, einschließlich aller Rechte eines regulären<br />
Benutzers für die Agenten, für die der Benutzer zuständig ist, mit Ausnahme folgender<br />
Möglichkeiten:<br />
Z126-5942-AT-2 04-2013 Seite 6 von 41 Z126-5942-WW-2 04-2013
(a)<br />
(b)<br />
(c)<br />
Erstellung und Übermittlung von Anforderungen einer Richtlinienänderung;<br />
Aktualisierung von Tickets; und<br />
Bearbeitung von Agentendetails;<br />
b. dem Kunden die Berechtigung erteilen, Zugriffsebenen auf einen MSS-Agenten oder auf Gruppen<br />
von MSS-Agenten anzuwenden;<br />
c. MSS-Portalbenutzer mittels eines statischen Kennworts authentifizieren; und<br />
d. MSS-Portalbenutzer mittels vom Kunden bereitgestellter Tokens für die Zwei-Faktor-<br />
Authentifizierung (RSA SecureID) authentifizieren.<br />
Der Kunde wird<br />
a. zustimmen, dass die Portalbenutzer das Portal zur Durchführung täglicher Aktivitäten im Rahmen<br />
des Betriebs nutzen werden;<br />
b. die Verantwortung für die Bereitstellung der von <strong>IBM</strong> unterstützten RSA SecureID-Tokens<br />
übernehmen (sofern zutreffend); und<br />
c. bestätigen, dass die SOCs nur mit den autorisierten Ansprechpartnern für die Sicherheit und den<br />
benannten Ansprechpartnern für die Services kommunizieren werden.<br />
3.3 Erstellung von Sicherheitsberichten<br />
Über das Portal erhält der Kunde Zugriff auf Informationen zu den Services und auf Berichtsfunktionen<br />
mit individuell anpassbaren Anzeigen der Aktivität auf Unternehmens-, Arbeitsgruppen- und<br />
Agentenebene. Das Portal bietet dem Kunden zudem die Möglichkeit, die Erstellung individuell<br />
angepasster Berichte zu planen.<br />
3.3.1 Leistungsumfang<br />
<strong>IBM</strong> wird dem Kunden Zugriff auf die Berichtsfunktionen im Portal gewähren, die relevante Informationen<br />
zu dem MNSS-Agenten, der Bestandteil der Services ist, bereitstellen. Dazu zählen einzelne oder alle der<br />
folgenden Informationen (soweit zutreffend):<br />
a. Anzahl der aufgerufenen und eingehaltenen SLAs;<br />
b. Anzahl, Art und Zusammenfassung von Serviceanforderungen/-tickets;<br />
c. Anzahl, Priorität und Status der festgestellten Sicherheitsverstöße;<br />
d. Auflistung und Zusammenfassung von Sicherheitsverstößen;<br />
e. Berichte von MNSS-Agenten;<br />
f. Ereigniskorrelation und -analyse<br />
g. Systemprotokolle<br />
h. Firewall-Berichte, die eine Zusammenfassung, eine Datenverkehrsanalyse, die Protokollnutzung,<br />
die Ziel-IP und die Nutzung von Regeln dokumentieren;<br />
i. Berichte zur Erfüllung der Audit-Voraussetzungen der Payment Card Industry (PCI), die<br />
Systemereignisse auf ausgewählten Geräten mit bestimmten PCI-Anforderungen in Verbindung<br />
setzen;<br />
j. Erweiterte Analyse- und Compliance-Berichte.<br />
3.3.2 Verantwortlichkeiten des Kunden<br />
Der Kunde wird<br />
a. Berichte zu den Managed Security Services über das MSS-Portal erstellen;<br />
b. die Verantwortung für die Planung von Berichten übernehmen (sofern gewünscht); und<br />
c. bestätigen, dass im Rahmen der Services keine Unterstützung durch einen PCI Qualified Security<br />
Assessor (QSA) bereitgestellt wird, der Kunde diese Unterstützung jedoch im Rahmen eines<br />
gesonderten Vertrags bei <strong>IBM</strong> beauftragen kann (soweit zutreffend).<br />
3.4 <strong>IBM</strong> X-Force Threat Analysis<br />
Informationen zu Sicherheitsbedrohungen werden vom <strong>IBM</strong> X-Force Threat Analysis Center<br />
bereitgestellt, das eine Risikostufe („AlertCon“ genannt) zu Sicherheitsbedrohungen aus dem Internet<br />
Z126-5942-AT-2 04-2013 Seite 7 von 41 Z126-5942-WW-2 04-2013
veröffentlicht. Der AlertCon-Level beschreibt die progressiven Alarmstufen aktueller Gefahren aus dem<br />
Internet. Falls dieser Level auf AlertCon 3 angehoben wird – diese Stufe steht für gezielte Angriffe, die<br />
unverzügliche Abwehrmaßnahmen erfordern –, wird <strong>IBM</strong> dem Kunden Echtzeitzugriff auf <strong>IBM</strong><br />
Informationen oder Anweisungen zur globalen Lage bereitstellen. Über das MSS-Portal kann der Kunde<br />
eine Beobachtungsliste (Watch List) zu Schwachstellen mit individuell angepassten Informationen zu<br />
Sicherheitsbedrohungen erstellen. Darüber hinaus kann jeder MSS-Portalbenutzer auf Anforderung pro<br />
Arbeitstag eine Bewertung der Internetsicherheit per E-Mail erhalten. Diese Bewertung enthält eine<br />
Analyse der aktuellen bekannten Sicherheitsbedrohungen aus dem Internet, Echtzeitmessdaten zu<br />
Internet-Ports sowie individuell angepasste Warnungen, Empfehlungen und Sicherheitsnachrichten.<br />
Anmerkung: Der Zugriff des Kunden auf die Informationen zu Sicherheitsbedrohungen, die über das<br />
Portal bereitgestellt werden, und die Nutzung dieser Informationen durch den Kunden (einschließlich der<br />
täglichen Bewertung der Internetsicherheit per E-Mail) unterliegen den im Portal angegebenen<br />
Nutzungsbedingungen. Im Fall von Widersprüchen zwischen den im Portal angegebenen<br />
Nutzungsbedingungen und den Bedingungen des Vertrags haben die im Portal angegebenen<br />
Nutzungsbedingungen Vorrang. Zusätzlich zu den im Portal angegebenen Nutzungsbedingungen gelten<br />
für die Nutzung von Informationen in Links oder Webseiten und Ressourcen Dritter durch den Kunden die<br />
in diesen Links oder Webseiten und Ressourcen Dritter veröffentlichten Nutzungsbedingungen.<br />
3.4.1 Leistungsumfang<br />
<strong>IBM</strong> wird<br />
a. dem Kunden Zugriff auf den X-Force Hosted Threat Analysis Service über das MSS-Portal<br />
gewähren;<br />
b. Informationen über die Sicherheit im MSS-Portal anzeigen, sobald sie verfügbar sind;<br />
c. über das MSS-Portal Informationen zu Sicherheitsbedrohungen bereitstellen, die auf eine vom<br />
Kunden definierte Beobachtungsliste zu Schwachstellen abgestimmt sind, sofern vom Kunden<br />
entsprechend konfiguriert;<br />
d. an jedem Arbeitstag eine Bewertung der Internetsicherheit per E-Mail bereitstellen, sofern vom<br />
Kunden abonniert und entsprechend konfiguriert;<br />
e. einen AlertCon-Level zu Sicherheitsbedrohungen aus dem Internet über das MSS-Portal<br />
veröffentlichen;<br />
f. einen Internet-Notfall ausrufen, wenn der tägliche AlertCon-Level AlertCon 3 erreicht;<br />
g. MSS-Portalfunktionen zur Erstellung und Pflege einer Beobachtungsliste zu Schwachstellen<br />
bereitstellen;<br />
h. zusätzliche Informationen über Warnungen, Empfehlungen oder weitere wichtige<br />
Sicherheitsaspekte bereitstellen, sofern <strong>IBM</strong> dies für notwendig hält; und<br />
i. dem Kunden Zugriff auf den Threat Insight Quarterly (Threat IQ) Report über das MSS-Portal<br />
bereitstellen.<br />
3.4.2 Verantwortlichkeiten des Kunden<br />
Der Kunde wird das MSS-Portal verwenden, um<br />
a. die tägliche Bewertung der Internetsicherheit per E-Mail zu abonnieren, sofern gewünscht;<br />
b. eine Beobachtungsliste zu Schwachstellen zu erstellen, sofern gewünscht;<br />
c. auf den Threat IQ Report zuzugreifen; und<br />
d. die Lizenzvereinbarung einzuhalten und die im Rahmen der Services erhaltenen Informationen<br />
nicht an Personen ohne gültige Lizenz weiterzugeben.<br />
3.5 Implementierung und Aktivierung<br />
Während der Implementierung und Aktivierung wird <strong>IBM</strong> in Zusammenarbeit mit dem Kunden einen<br />
neuen Agenten implementieren oder mit dem Management eines vorhandenen Agenten beginnen.<br />
Anmerkung: Die Aktivitäten im Rahmen der Implementierung und Aktivierung werden einmal während der<br />
Erbringung der Leistungen durchgeführt. Wenn der Kunde seinen Agenten während der Laufzeit des<br />
Servicevertrags austauscht, aufrüstet oder an einen anderen Standort verlegt, kann <strong>IBM</strong> verlangen, dass<br />
dieser Agent erneut implementiert und aktiviert wird (nachfolgend „erneute Implementierung“ genannt).<br />
Solche erneuten Implementierungen werden gegen Zahlung einer im jeweils geltenden Bestellschein<br />
Z126-5942-AT-2 04-2013 Seite 8 von 41 Z126-5942-WW-2 04-2013
(nachfolgend „Bestellschein“ genannt) angegebenen zusätzlichen Gebühr durchgeführt. Die Gebühren für<br />
eine erneute Implementierung sind nur für einen Austausch, ein Upgrade oder eine Verlegung von<br />
Hardware an einen anderen Standort, initiiert vom Kunden, fällig. Sie sind nicht auf Defekte von Agenten<br />
anwendbar, die zu einer Rücksendung der Agenten führen. Für die Log and Alert Services kann der<br />
Kunde Leistungen für die physische Installation und Konfiguration im Rahmen eines gesonderten<br />
Vertrags bei <strong>IBM</strong> beauftragen.<br />
3.5.1 Leistungsumfang<br />
Aktivität 1 – Projektauftakt<br />
Zweck dieser Aktivität ist die Durchführung einer Besprechung zum Projektauftakt. <strong>IBM</strong> wird dem Kunden<br />
eine Begrüßungsmail zusenden und eine maximal einstündige Besprechung zum Projektauftakt mit bis<br />
zu drei Mitarbeitern des Kunden durchführen, um<br />
a. den Beauftragten des Kunden dem für die Implementierung zuständigen <strong>IBM</strong> Spezialisten<br />
vorzustellen;<br />
b. die Verantwortlichkeiten jeder Vertragspartei zu prüfen;<br />
c. die Erwartungen an den Zeitplan festzulegen; und<br />
d. mit der Analyse der Anforderungen und der Umgebung des Kunden zu beginnen.<br />
Beendigung der Leistungen:<br />
Die <strong>IBM</strong> Verpflichtungen im Rahmen dieser Aktivität sind erfüllt, wenn die Besprechung zum<br />
Projektauftakt durchgeführt wurde.<br />
Zu liefernde Materialien:<br />
●<br />
Keine<br />
Aktivität 2 – Voraussetzungen für den Netzwerkzugriff<br />
Zweck dieser Aktivität ist die Festlegung der Voraussetzungen für den Netzwerkzugriff.<br />
<strong>IBM</strong> wird<br />
a. dem Kunden ein Dokument zu den Voraussetzungen für den Netzwerkzugriff („Network Access<br />
Requirements“ genannt) übergeben, das detailliert beschreibt,<br />
(1) wie <strong>IBM</strong> eine Remote-Verbindung zum Netzwerk des Kunden herstellen wird; und<br />
(2) welche technischen Voraussetzungen für diese Remote-Verbindung erforderlich sind;<br />
Anmerkung: <strong>IBM</strong> kann das Dokument „Network Access Requirements“ während der Erbringung der<br />
Services ändern, sofern <strong>IBM</strong> dies für angebracht hält.<br />
b. eine Verbindung zum Netzwerk des Kunden über das Internet mittels <strong>IBM</strong><br />
Standardzugriffsmethoden herstellen; und<br />
c. sofern angebracht, ein Site-to-Site-VPN für die Verbindung zum Netzwerk des Kunden einsetzen.<br />
Dieses VPN kann von <strong>IBM</strong> gegen Zahlung einer im Bestellschein angegebenen zusätzlichen<br />
Gebühr bereitgestellt werden.<br />
Beendigung der Leistungen:<br />
Die <strong>IBM</strong> Verpflichtungen im Rahmen dieser Aktivität sind erfüllt, wenn das Dokument „Network Access<br />
Requirements“ an den Beauftragten des Kunden übergeben wurde.<br />
Zu liefernde Materialien:<br />
●<br />
Dokument „Network Access Requirements“<br />
Aktivität 3 – Prüfung<br />
Zweck dieser Aktivität ist die Durchführung einer Prüfung der aktuellen Umgebung sowie der<br />
geschäftlichen und technischen Ziele des Kunden, um den Kunden bei der Ausarbeitung der<br />
erforderlichen Sicherheitsstrategie für alle anwendbaren Managed Network Security Services zu<br />
unterstützen.<br />
Aufgabe 1 – Erfassung von Daten<br />
<strong>IBM</strong> wird<br />
Z126-5942-AT-2 04-2013 Seite 9 von 41 Z126-5942-WW-2 04-2013
a. dem Beauftragten des Kunden ein Formular zur Datenerfassung übergeben, auf dem der Kunde<br />
folgende Informationen dokumentieren wird:<br />
(1) Namen, Kontaktinformationen, Aufgabenbereiche und Verantwortlichkeiten der Mitglieder des<br />
Projektteams;<br />
(2) Besondere länder- und standortspezifische Anforderungen;<br />
(3) Vorhandene Netzwerkinfrastruktur des Kunden;<br />
(4) Kritische Server;<br />
(5) Anzahl und Art der Endbenutzer; und<br />
(6) Wichtige Einflussfaktoren und/oder Abhängigkeiten, die die Erbringung der Leistungen oder<br />
die vereinbarten Fristen beeinflussen könnten.<br />
Aufgabe 2 – Prüfung der Umgebung<br />
<strong>IBM</strong> wird<br />
a. die im Formular zur Datenerfassung angegebenen Informationen verwenden, um die vorhandene<br />
Umgebung des Kunden zu prüfen;<br />
b. eine optimale Agentenkonfiguration bestimmen;<br />
c. sofern zutreffend, Folgendes bereitstellen:<br />
(1) Empfehlungen zur Anpassung der Richtlinie eines Agenten; oder<br />
(2) Empfehlungen zur Anpassung der Anordnung des Netzwerks, um die Sicherheit im Rahmen<br />
der Managed Network Security Services zu verbessern (soweit zutreffend);<br />
d. festlegen, ob die Datenerfassung auf den Agenten unter Verwendung des Universal Log Agent<br />
(ULA) oder mittels SYSLOG implementiert wird (soweit zutreffend).<br />
Aufgabe 3 – Prüfung des vorhandenen Agenten<br />
Diese Aufgabe wird im Rahmen der Managed Network Security Services durchgeführt. <strong>IBM</strong> wird die im<br />
Folgenden beschriebenen Leistungen erbringen, soweit zutreffend.<br />
<strong>IBM</strong> wird<br />
a. den Agenten per Fernanalyse prüfen, um zu verifizieren, dass er den <strong>IBM</strong> Spezifikationen<br />
entspricht;<br />
b. Anwendungs- und Benutzeraccounts ermitteln, die gelöscht oder hinzugefügt werden sollen, sofern<br />
zutreffend; und<br />
c. bei Agenten, die den <strong>IBM</strong> Spezifikationen nicht entsprechen,<br />
(1) die Agentensoftware ermitteln, die ein Upgrade erfordert, und/oder<br />
(2) die Agentenhardware ermitteln, die ein Upgrade erfordert, damit sie den Kompatibilitätslisten<br />
der jeweiligen Hersteller entspricht.<br />
Beendigung der Leistungen:<br />
Die <strong>IBM</strong> Verpflichtungen im Rahmen dieser Aktivität sind erfüllt, wenn <strong>IBM</strong> die Umgebung des Kunden<br />
und den vorhandenen Agenten des Kunden (sofern zutreffend) geprüft hat.<br />
Zu liefernde Materialien:<br />
●<br />
Keine<br />
Aktivität 4 – Out-of-Band-Zugriff<br />
Out-of-Band-Zugriff ist erforderlich, um die SOCs zu unterstützen, falls die Verbindung zu einem Agenten<br />
unterbrochen wird. Im Fall solcher Verbindungsprobleme kann sich der SOC-Analyst in das Out-of-Band-<br />
Gerät einwählen, um zu verifizieren, dass der Agent korrekt funktioniert, und versuchen, die Ursache des<br />
Ausfalls zu bestimmen, bevor das Problem an den Kunden eskaliert wird.<br />
<strong>IBM</strong> wird<br />
a. den Kunden per Telefon und E-Mail dabei unterstützen, Dokumente des jeweiligen Herstellers zu<br />
finden, die eine genaue Beschreibung der Verfahren für die physische Installation und der<br />
Verkabelung enthalten;<br />
b. das Out-of-Band-Gerät für den Zugriff auf die Managed Agents konfigurieren; oder<br />
Z126-5942-AT-2 04-2013 Seite 10 von 41 Z126-5942-WW-2 04-2013
c. mit dem Kunden zusammenarbeiten, um eine von <strong>IBM</strong> genehmigte vorhandene Out-of-Band-<br />
Lösung zu nutzen.<br />
Anmerkung: Zum Zweck der Klarstellung wird darauf hingewiesen, dass <strong>IBM</strong> auf den erforderlichen Outof-Band-Zugriff<br />
verzichten kann, falls die interne Sicherheitsrichtlinie des Kunden die Verwendung eines<br />
Out-of-Band-Geräts verbietet. Dies kann jedoch die Fähigkeit von <strong>IBM</strong> zur effektiven Erbringung der<br />
Services deutlich beeinträchtigen.<br />
Beendigung der Leistungen:<br />
Die <strong>IBM</strong> Verpflichtungen im Rahmen dieser Aktivität sind erfüllt, wenn eine der folgenden Bedingungen<br />
zuerst eintritt:<br />
●<br />
●<br />
<strong>IBM</strong> hat das Out-of-Band-Gerät für den Zugriff auf den Managed Agent konfiguriert; oder<br />
<strong>IBM</strong> hat sich auf Wunsch des Kunden damit einverstanden erklärt, auf den erforderlichen Out-of-<br />
Band-Zugriff zu verzichten.<br />
Zu liefernde Materialien:<br />
●<br />
Keine<br />
Aktivität 5 – Implementierung<br />
Zweck dieser Aktivität ist die Implementierung des/der Agenten für die Managed Network Security<br />
Services. <strong>IBM</strong> wird die im Folgenden beschriebenen Services erbringen, soweit zutreffend.<br />
Aufgabe 1 – Konfiguration des Agenten<br />
<strong>IBM</strong> wird<br />
a. den Agenten per Fernanalyse prüfen, um zu verifizieren, dass er den <strong>IBM</strong> Spezifikationen<br />
entspricht;<br />
b. Agentensoftware, -hardware und/oder -inhalte ermitteln, die nicht mit den aktuellen von <strong>IBM</strong><br />
unterstützten Versionen übereinstimmen;<br />
c. sofern angebracht, Hardware-Upgrades ermitteln, die erforderlich sind, um die Kompatibilitätslisten<br />
der jeweiligen Hersteller zu unterstützen;<br />
d. den Agenten per Fernzugriff konfigurieren. Dies schließt die Festlegung der Richtlinie, die<br />
Absicherung des Betriebssystems und die Registrierung des Agenten in der <strong>IBM</strong> MSS-Infrastruktur<br />
ein;<br />
e. telefonische Unterstützung bereitstellen und den Kunden darüber informieren, wo Dokumente des<br />
Herstellers zu finden sind, um den Kunden bei der Konfiguration des Agenten mit einer öffentlichen<br />
IP-Adresse und zugehörigen Einstellungen zu unterstützen. Diese Unterstützung muss im Voraus<br />
geplant werden, um sicherzustellen, dass ein <strong>IBM</strong> Spezialist für die Implementierung zur Verfügung<br />
steht;<br />
f. die Agentenrichtlinie anpassen, um die Zahl von Fehlalarmen zu reduzieren (sofern zutreffend); und<br />
g. auf Wunsch des Kunden die Konfiguration und Richtlinie auf dem vorhandenen Agenten ausführen.<br />
Aufgabe 2 – Installation des Agenten<br />
<strong>IBM</strong> wird<br />
a. den Kunden per Telefon und/oder E-Mail dabei unterstützen, Dokumente des jeweiligen Herstellers<br />
zu finden, die eine genaue Beschreibung der Verfahren für die physische Installation und der<br />
Verkabelung enthalten. Diese Unterstützung muss im Voraus geplant werden, um sicherzustellen,<br />
dass ein <strong>IBM</strong> Spezialist für die Implementierung zur Verfügung steht;<br />
b. Empfehlungen zur Anpassung der Anordnung des Netzwerks zur Verbesserung der Sicherheit<br />
abgeben (sofern zutreffend);<br />
c. den Agenten per Fernzugriff konfigurieren. Dies schließt die Registrierung des Agenten in der <strong>IBM</strong><br />
MSS-Infrastruktur ein; und<br />
d. die Agentenrichtlinie anpassen, um die Zahl von Fehlalarmen zu reduzieren (sofern zutreffend).<br />
Anmerkung: Der Kunde kann Leistungen für die physische Installation im Rahmen eines gesonderten<br />
Vertrags bei <strong>IBM</strong> beauftragen.<br />
Z126-5942-AT-2 04-2013 Seite 11 von 41 Z126-5942-WW-2 04-2013
Beendigung der Leistungen:<br />
Die <strong>IBM</strong> Verpflichtungen im Rahmen dieser Aktivität sind erfüllt, wenn der Agent in der <strong>IBM</strong> MSS-<br />
Infrastruktur registriert ist.<br />
Zu liefernde Materialien:<br />
●<br />
Keine<br />
Aktivität 6 – Test und Verifizierung<br />
Zweck dieser Aktivität ist der Test und die Verifizierung der Services.<br />
<strong>IBM</strong> wird<br />
a. die Verbindung des Agenten oder OA zu der <strong>IBM</strong> MSS-Infrastruktur verifizieren;<br />
b. abschließende Funktionstests der Services durchführen;<br />
c. die Übermittlung von Protokolldaten von dem Agenten an die <strong>IBM</strong> MSS-Infrastruktur verifizieren;<br />
d. die Verfügbarkeit und Funktionalität des Agenten im Portal verifizieren;<br />
e. Qualitätssicherungstests des Agenten durchführen; und<br />
f. bis zu zehn Mitarbeitern des Kunden die wichtigsten Funktionen des Portals im Rahmen einer<br />
maximal einstündigen Remote-Demonstration vorstellen.<br />
Beendigung der Leistungen:<br />
Die <strong>IBM</strong> Verpflichtungen im Rahmen dieser Aktivität sind erfüllt, wenn <strong>IBM</strong> die Verfügbarkeit und<br />
Funktionalität des Agenten im Portal verifiziert hat.<br />
Zu liefernde Materialien:<br />
●<br />
Keine<br />
Aktivität 7 – Aktivierung der Services<br />
Zweck dieser Aktivität ist die Aktivierung der Services.<br />
<strong>IBM</strong> wird<br />
a. das Management und die Unterstützung des Agenten übernehmen;<br />
b. den Agenten im Rahmen der Managed Network Security Services auf „active“ einstellen (soweit<br />
zutreffend); und<br />
c. die Verantwortung für das fortlaufende Management und die kontinuierliche Unterstützung des<br />
Agenten an die SOCs übertragen.<br />
Beendigung der Leistungen:<br />
Die <strong>IBM</strong> Verpflichtungen im Rahmen dieser Aktivität sind erfüllt, wenn der Agent auf „active“ eingestellt<br />
wurde. Bei den Log & Alert Services sind die <strong>IBM</strong> Verpflichtungen im Rahmen dieser Aktivität erfüllt,<br />
wenn das SOC die Verantwortung für die Unterstützung der Services übernommen hat.<br />
Zu liefernde Materialien:<br />
●<br />
Keine<br />
3.5.2 Verantwortlichkeiten des Kunden<br />
Aktivität 1 – Projektauftakt<br />
Der Kunde wird<br />
a. an der Besprechung zum Projektauftakt teilnehmen; und<br />
b. die Verantwortlichkeiten jeder Vertragspartei prüfen.<br />
Aktivität 2 – Voraussetzungen für den Netzwerkzugriff<br />
Der Kunde wird<br />
a. das <strong>IBM</strong> Dokument „Network Access Requirements“ prüfen und während der Implementierung und<br />
der gesamten Vertragslaufzeit befolgen; und<br />
b. die alleinige Verantwortung für alle Gebühren übernehmen, die dadurch entstehen, dass <strong>IBM</strong> ein<br />
Site-to-Site-VPN für die Verbindung zum Netzwerk des Kunden nutzt.<br />
Z126-5942-AT-2 04-2013 Seite 12 von 41 Z126-5942-WW-2 04-2013
Aktivität 3 – Prüfung<br />
Aufgabe 1 – Erfassung von Daten<br />
Der Kunde wird<br />
a. alle Fragebogen und/oder Formulare zur Datenerfassung ausfüllen und innerhalb von fünf Tagen<br />
nach Erhalt an <strong>IBM</strong> zurückgeben;<br />
b. Informationen, Daten, Zustimmungen, Entscheidungen und Genehmigungen, die <strong>IBM</strong> zur<br />
Implementierung der Services benötigt, innerhalb von zwei Arbeitstagen nach Anforderung durch<br />
<strong>IBM</strong> beschaffen und bereitstellen;<br />
c. mit <strong>IBM</strong> zusammenarbeiten, um die Netzwerkumgebung des Kunden sorgfältig zu prüfen;<br />
d. für den Fall, dass <strong>IBM</strong> Kontakt zum Kunden aufnehmen muss, Ansprechpartner im Unternehmen<br />
des Kunden nennen und eine Benachrichtigungsreihenfolge in seinem Unternehmen angeben; und<br />
e. <strong>IBM</strong> innerhalb von drei Kalendertagen über Änderungen an den Kontaktinformationen zu den<br />
Ansprechpartnern des Kunden informieren.<br />
Aufgabe 2 – Prüfung der Umgebung<br />
Diese Aufgabe wird der Kunde im Rahmen der Managed Network Security Services durchführen (soweit<br />
zutreffend).<br />
Der Kunde wird<br />
a. sicherstellen, dass gültige Lizenz-, Support- und Wartungsverträge für die Agenten vorliegen;<br />
b. alle von <strong>IBM</strong> angeforderten Änderungen an der Anordnung des Netzwerks des Kunden zur<br />
Verbesserung der Sicherheit durchführen;<br />
c. bestätigen, dass der Schutz durch Agenten, die im passiven Modus eingesetzt werden, deutlich<br />
abgeschwächt sein wird; und<br />
d. bestätigen, dass die Umstellung auf eine Inline-Implementierung zu einem späteren Zeitpunkt im<br />
Voraus angekündigt werden muss.<br />
Aufgabe 3 – Prüfung des vorhandenen Agenten<br />
Diese Aufgabe wird der Kunde im Rahmen der Managed Network Security Services durchführen (soweit<br />
zutreffend).<br />
Der Kunde wird<br />
a. sicherstellen, dass der vorhandene Agent den <strong>IBM</strong> Spezifikationen entspricht;<br />
b. die von <strong>IBM</strong> angegebenen Anwendungen und Benutzeraccounts entfernen oder hinzufügen; und<br />
c. auf Anforderung von <strong>IBM</strong><br />
(1) die von <strong>IBM</strong> angegebene Agentensoftware aufrüsten; und<br />
(2) die von <strong>IBM</strong> angegebene Agentenhardware aufrüsten.<br />
Aktivität 4 – Out-of-Band-Zugriff<br />
Der Kunde wird<br />
a. beim Einsatz neuer Out-of-Band-Lösungen<br />
(1) ein von <strong>IBM</strong> unterstütztes Out-of-Band-Gerät erwerben;<br />
(2) das Out-of-Band-Gerät physisch installieren und mit dem Agenten verbinden;<br />
(3) eine dedizierte analoge Telefonleitung für den Zugriff bereitstellen;<br />
(4) das Out-of-Band-Gerät physisch an die dedizierte Telefonleitung anschließen und die<br />
Verbindung aufrechterhalten;<br />
(5) die Verantwortung für alle Gebühren im Zusammenhang mit dem Out-of-Band-Gerät und der<br />
Telefonleitung übernehmen; und<br />
(6) die Verantwortung für alle Gebühren im Zusammenhang mit dem fortlaufenden Management<br />
der Out-of-Band-Lösung übernehmen;<br />
b. beim Einsatz vorhandener Out-of-Band-Lösungen<br />
Z126-5942-AT-2 04-2013 Seite 13 von 41 Z126-5942-WW-2 04-2013
(1) sicherstellen, dass die Lösung <strong>IBM</strong> keinen Zugriff auf nicht von <strong>IBM</strong> betriebene Geräte<br />
ermöglicht;<br />
(2) sicherstellen, dass die Lösung keine Installation spezifischer Software erfordert;<br />
(3) <strong>IBM</strong> detaillierte Anweisungen für den Zugriff auf die Managed Agents bereitstellen; und<br />
(4) die Verantwortung für alle Aspekte im Zusammenhang mit dem Management der Out-of-<br />
Band-Lösung übernehmen;<br />
c. bestätigen, dass vorhandene Out-of-Band-Lösungen von <strong>IBM</strong> genehmigt werden müssen;<br />
d. sicherstellen, dass gültige Support- und Wartungsverträge für das Out-of-Band-Gerät vorliegen<br />
(sofern erforderlich); und<br />
e. bestätigen – falls der Kunde sich für eine Nutzung der Services ohne den erforderlichen Out-of-<br />
Band-Zugriff entscheidet oder der Out-of-Band-Zugriff <strong>IBM</strong> aus irgendeinem Grund nicht zur<br />
Verfügung steht –, dass<br />
(1) <strong>IBM</strong> der Verpflichtungen im Rahmen aller SLAs enthoben wird, die direkt von der<br />
Verfügbarkeit dieses Zugriffs beeinflusst werden;<br />
(2) <strong>IBM</strong> möglicherweise mehr Zeit für die Fehlersuche/-behebung und/oder Wartung der Geräte<br />
des Kunden benötigt; und<br />
(3) der Kunde verpflichtet ist, <strong>IBM</strong> vor Ort bei der Konfiguration, Problemlösung,<br />
Geräteaktualisierung, Fehlersuche/-behebung und/oder jeder anderen Aufgabe zu<br />
unterstützen, die üblicherweise mittels Out-of-Band-Zugriff durchgeführt wird.<br />
Aktivität 5 – Implementierung<br />
Diese Aktivität wird der Kunde im Rahmen der Managed Network Security Services durchführen (soweit<br />
zutreffend).<br />
Aufgabe 1 – Konfiguration des Agenten<br />
Der Kunde wird<br />
a. ein Update der Agentensoftware oder -inhalte auf die neueste von <strong>IBM</strong> unterstützte Version<br />
durchführen (d. h. Datenträger physisch laden, sofern zutreffend);<br />
b. ein Update der Hardware durchführen, um die Kompatibilitätslisten der jeweiligen Hersteller zu<br />
unterstützen (sofern zutreffend);<br />
c. die Agentenrichtlinie anpassen, wie von <strong>IBM</strong> angefordert;<br />
d. den Agenten mit einer öffentlichen IP-Adresse und zugehörigen Einstellungen konfigurieren; und<br />
e. <strong>IBM</strong> bei der Ausführung der Konfiguration und Richtlinie des vorhandenen Agenten unterstützen<br />
(sofern zutreffend).<br />
Aufgabe 2 – Installation des Agenten<br />
Der Kunde wird<br />
a. in Zusammenarbeit mit <strong>IBM</strong> Dokumente der Hersteller suchen, die eine genaue Beschreibung der<br />
Verfahren für die physische Installation und der Verkabelung enthalten. Der Kunde wird diese<br />
Unterstützung im Voraus planen, um sicherzustellen, dass ein <strong>IBM</strong> Spezialist für die<br />
Implementierung zur Verfügung steht;<br />
b. die Verantwortung für die physische Verkabelung und Installation des/der Agenten übernehmen;<br />
c. die von <strong>IBM</strong> angegebenen Anpassungen an der Anordnung des Netzwerks zur Verbesserung der<br />
Sicherheit durchführen; und<br />
d. bestätigen, dass die Agenten laut Empfehlung von <strong>IBM</strong> „inline“ und innerhalb der Firewall des<br />
Kunden implementiert werden sollten.<br />
Aktivität 6 – Test und Verifizierung<br />
Der Kunde wird<br />
a. die Verantwortung für die Erarbeitung aller spezifischen Testpläne der abschließenden<br />
Funktionstests des Kunden übernehmen;<br />
b. die Verantwortung für die Durchführung der abschließenden Funktionstests der Anwendungen und<br />
Netzwerkverbindungen des Kunden übernehmen; und<br />
Z126-5942-AT-2 04-2013 Seite 14 von 41 Z126-5942-WW-2 04-2013
c. bestätigen, dass zusätzliche abschließende Funktionstests, die der Kunde durchführt oder nicht<br />
durchführt, <strong>IBM</strong> nicht daran hindern, den Agenten in den SOCs auf „active“ einzustellen, um die<br />
kontinuierliche Unterstützung und das fortlaufende Management durch die SOCs zu aktivieren.<br />
Aktivität 7 – Aktivierung der Services<br />
Diese Aktivität erfordert keine weiteren Verantwortlichkeiten des Kunden.<br />
3.6 Implementierung und Aktivierung des Protokollmanagements und der Alarmausgabe<br />
Während der Implementierung und Aktivierung des Protokollmanagements und der Alarmausgabe wird<br />
<strong>IBM</strong> in Zusammenarbeit mit dem Kunden einen neuen Agenten implementieren oder mit dem<br />
Management eines vorhandenen Agenten beginnen.<br />
Aktivität 1 – Implementierung des Aggregators am Kundenstandort<br />
Zweck dieser Aktivität ist die Konfiguration des Aggregators am Kundenstandort („Onsite Aggregator“<br />
oder „OA“ genannt).<br />
Der OA ist ein vom Kunden bereitgestelltes erforderliches Gerät, das am Kundenstandort implementiert<br />
und von <strong>IBM</strong> MSS gegen Zahlung einer im Bestellschein angegebenen zusätzlichen Gebühr betrieben<br />
und überwacht wird.<br />
Die Basisfunktionen des OA sind nachstehend beschrieben:<br />
a. Kompilierung oder anderweitige Zusammenfassung der Sicherheitsereignisse und Protokolldaten;<br />
b. Parsing und Normalisierung von textbasierten Protokollen zu Systemaktivitäten in unbekannten<br />
Formaten, die an die <strong>IBM</strong> MSS-Infrastruktur übermittelt werden sollen;<br />
c. Komprimierung und Verschlüsselung der Sicherheitsereignisse und Protokolldaten; und<br />
d. Übertragung der Sicherheitsereignisse und Protokolldaten an die <strong>IBM</strong> MSS-Infrastruktur.<br />
Die Kernfunktionen des OA sind nachstehend beschrieben:<br />
a. Durchführung des lokalen Spoolings, indem die Ereignisse lokal in die Warteschlange gestellt<br />
werden, wenn keine Verbindung zur <strong>IBM</strong> MSS-Infrastruktur verfügbar ist;<br />
b. Durchführung der unidirektionalen Protokollübertragung. Die OA-Kommunikation wird über<br />
abgehende SSL/TCP-443-Verbindungen ausgeführt;<br />
c. Durchführung der Nachrichtendrosselung bei entsprechender Konfiguration. Dadurch wird die Zahl<br />
der vom OA zur <strong>IBM</strong> MSS-Infrastruktur übertragenen Nachrichten pro Sekunde eingeschränkt, um<br />
Bandbreite zu sparen; und<br />
d. Bereitstellung von Übertragungszeitfenstern bei entsprechender Konfiguration. Die<br />
Übertragungszeitfenster aktivieren/deaktivieren die Ereignisübertragung an die <strong>IBM</strong> MSS-<br />
Infrastruktur während des vom Kunden im Portal angegebenen Zeitrahmens.<br />
<strong>IBM</strong> empfiehlt nachdrücklich die Verwendung des Out-of-Band-Zugriffs auf den OA, wie im Abschnitt<br />
„Out-of-Band-Zugriff“ dieser Leistungsbeschreibung beschrieben.<br />
Aufgabe 1 – Konfiguration des OA<br />
<strong>IBM</strong> wird<br />
a. den Kunden per Telefon und E-Mail dabei unterstützen, Dokumente des jeweiligen Herstellers zu<br />
finden, die eine genaue Beschreibung der Installations- und Konfigurationsverfahren für das OA-<br />
Betriebssystem und die von <strong>IBM</strong> bereitgestellte OA-Software enthalten. Diese Unterstützung muss<br />
im Voraus geplant werden, um sicherzustellen, dass ein <strong>IBM</strong> Spezialist für die Implementierung zur<br />
Verfügung steht;<br />
b. dem Kunden Hardwarespezifikationen für die OA-Plattform bereitstellen;<br />
c. dem Kunden OA-Software und Konfigurationseinstellungen bereitstellen;<br />
d. den Kunden per Telefon und E-Mail bei der Installation der von <strong>IBM</strong> bereitgestellten OA-Software<br />
auf der vom Kunden bereitgestellten Hardwareplattform unterstützen. Diese Unterstützung muss im<br />
Voraus geplant werden, um sicherzustellen, dass ein <strong>IBM</strong> Spezialist für die Implementierung zur<br />
Verfügung steht;<br />
e. auf Wunsch des Kunden und gegen Zahlung einer im Bestellschein angegebenen zusätzlichen<br />
Gebühr Leistungen für die Softwareinstallation erbringen; und<br />
Z126-5942-AT-2 04-2013 Seite 15 von 41 Z126-5942-WW-2 04-2013
f. beim Einsatz vorhandener Plattformen<br />
(1) vorhandene Hardwarekonfigurationen prüfen, um sicherzustellen, dass sie den <strong>IBM</strong><br />
Spezifikationen entsprechen; und<br />
(2) erforderliche Hardware-Upgrades ermitteln, die vom Kunden bereitzustellen und zu<br />
installieren sind.<br />
Aufgabe 2 – Installation des OA<br />
<strong>IBM</strong> wird<br />
a. den Kunden per Telefon und E-Mail dabei unterstützen, Dokumente des jeweiligen Herstellers zu<br />
finden, die eine genaue Beschreibung der Verfahren für die physische Installation und der<br />
Verkabelung des OA enthalten. Diese Unterstützung muss im Voraus geplant werden, um<br />
sicherzustellen, dass ein <strong>IBM</strong> Spezialist für die Implementierung zur Verfügung steht;<br />
b. den OA per Fernzugriff konfigurieren. Dabei wird <strong>IBM</strong> den OA in der <strong>IBM</strong> MSS-Infrastruktur<br />
registrieren und den Prozess für die Übernahme der Implementierung und des Managements des<br />
OA initiieren; und<br />
c. bestätigen, dass die <strong>IBM</strong> MSS-Infrastruktur Daten vom OA empfängt.<br />
Beendigung der Leistungen:<br />
Die <strong>IBM</strong> Verpflichtungen im Rahmen dieser Aktivität sind erfüllt, wenn der OA installiert und konfiguriert<br />
ist und <strong>IBM</strong> bestätigt hat, dass die <strong>IBM</strong> MSS-Infrastruktur Daten vom OA empfängt.<br />
Zu liefernde Materialien:<br />
●<br />
Keine<br />
Aktivität 2 – Implementierung des Universal Log Agent (ULA)<br />
Der ULA ist eine schlanke Anwendung für die Protokollerfassung, die auf einem Agenten ausgeführt wird,<br />
für den die Services genutzt werden. Der ULA erfasst textbasierte Protokolle lokal auf dem Agenten und<br />
leitet sie sicher an den OA weiter. Der OA leitet die Protokolle anschließend sicher an die <strong>IBM</strong> MSS-<br />
Infrastruktur weiter, damit sie erfasst, langfristig aufbewahrt und im Portal angezeigt werden können.<br />
Die Basisfunktionen des ULA sind nachstehend beschrieben:<br />
a. Lokale Erfassung von Ereignissen/Protokollen auf dem Agenten;<br />
b. Komprimierung der Ereignisse/Protokolldaten;<br />
c. Verschlüsselung der Ereignisse/Protokolldaten; und<br />
d. Sichere Übertragung der Ereignisse/Protokolle an den OA.<br />
Die Kernfunktionen des ULA sind nachstehend beschrieben:<br />
a. Erfassung von generischen Daten aus Textdateien;<br />
b. Erfassung von Ereignisprotokollen;<br />
c. Erfassung von Systeminformationen, die Folgendes beinhalten können:<br />
(1) Betriebssystemversion;<br />
(2) Hauptspeicher;<br />
(3) CPU;<br />
(4) Lokale Benutzeraccounts;<br />
(5) Details zu Netzwerkschnittstellen;<br />
(6) Aktive Prozesse; und<br />
(7) Offene Netzwerkanschlüsse;<br />
d. Durchführung der unidirektionalen Protokollübertragung. Die ULA-Kommunikation wird über<br />
abgehende SSL/TCP-443-Verbindungen ausgeführt;<br />
e. Durchführung der Nachrichtendrosselung bei entsprechender Konfiguration. Dadurch wird die Zahl<br />
der vom ULA zum OA übertragenen Nachrichten pro Sekunde eingeschränkt, um Bandbreite zu<br />
sparen; und<br />
Z126-5942-AT-2 04-2013 Seite 16 von 41 Z126-5942-WW-2 04-2013
f. Bereitstellung von Übertragungszeitfenstern bei entsprechender Konfiguration. Die<br />
Übertragungszeitfenster aktivieren/deaktivieren die Ereignisübertragung an die <strong>IBM</strong> MSS-<br />
Infrastruktur während des vom Kunden im Portal angegebenen Zeitrahmens.<br />
Aufgabe 1 – Vorbereitung des Agenten<br />
<strong>IBM</strong> wird dem Kunden eine Liste von Agenten bereitstellen, die die Installation des ULA erfordern.<br />
Aufgabe 2 – Installation des ULA<br />
<strong>IBM</strong> wird<br />
a. den ULA zum Download über das Portal bereitstellen; und<br />
b. dem Kunden über das Portal Zugriff auf das Installationshandbuch zur Installation des ULA für das<br />
Protokollmanagement gewähren.<br />
Aufgabe 3 – Konfiguration des ULA<br />
<strong>IBM</strong> wird dem Kunden Anweisungen zur Anmeldung am Portal und zur Konfiguration des Agenten<br />
bereitstellen.<br />
Beendigung der Leistungen:<br />
Die <strong>IBM</strong> Verpflichtungen im Rahmen dieser Aktivität sind erfüllt, wenn <strong>IBM</strong> dem Kunden eine Liste der<br />
Agenten, die die Installation des ULA erfordern, übergeben hat.<br />
Zu liefernde Materialien:<br />
●<br />
Keine<br />
Aktivität 3 – Implementierung der Protokollerfassung ohne ULA<br />
Im Rahmen dieser Aktivität wird <strong>IBM</strong> die Protokollerfassung über SYSLOG-Datenströme ermöglichen,<br />
wenn die Installation des ULA auf einem Agenten technisch nicht durchführbar oder nicht angebracht ist.<br />
<strong>IBM</strong> wird<br />
a. dem Kunden eine Liste von Agenten bereitstellen, die die Protokollerfassung mittels SYSLOG<br />
erfordern; und<br />
b. die IP-Adresse des OA bereitstellen, an den der SYSLOG-Datenstrom weitergeleitet werden soll.<br />
Beendigung der Leistungen:<br />
Die <strong>IBM</strong> Verpflichtungen im Rahmen dieser Aktivität sind erfüllt, wenn dem Beauftragten des Kunden die<br />
IP-Adresse des OA, an den der SYSLOG-Datenstrom weitergeleitet werden soll, bereitgestellt wurde.<br />
Zu liefernde Materialien:<br />
●<br />
Keine<br />
Aktivität 4 – Aktivierung des Protokollmanagements und der Alarmausgabe<br />
Zweck dieser Aktivität ist die Aktivierung des Protokollmanagements und der Alarmausgabe.<br />
<strong>IBM</strong> wird<br />
a. die Verantwortung für die Unterstützung des Agenten übernehmen; und<br />
b. die Verantwortung für die kontinuierliche Unterstützung des Agenten an die SOCs übertragen.<br />
Beendigung der Leistungen:<br />
Die <strong>IBM</strong> Verpflichtungen im Rahmen dieser Aktivität sind erfüllt, wenn der Agent auf „active“ eingestellt<br />
wurde. Bei den Log & Alert Services sind die <strong>IBM</strong> Verpflichtungen im Rahmen dieser Aktivität erfüllt,<br />
wenn das SOC die Verantwortung für die Unterstützung der Services übernommen hat.<br />
Zu liefernde Materialien:<br />
●<br />
Keine<br />
3.6.2 Verantwortlichkeiten des Kunden<br />
Aktivität 1 – Implementierung des Aggregators am Kundenstandort<br />
Aufgabe 1 – Konfiguration des OA<br />
Der Kunde wird<br />
Z126-5942-AT-2 04-2013 Seite 17 von 41 Z126-5942-WW-2 04-2013
a. <strong>IBM</strong> eine externe IP-Adresse für den OA bereitstellen;<br />
b. die Hardware für die OA-Plattform bereitstellen, basierend auf den Empfehlungen und<br />
Anforderungen von <strong>IBM</strong>;<br />
c. sicherstellen, dass gültige Lizenz-, Support- und Wartungsverträge für die Hardware vorliegen, auf<br />
der der OA installiert ist;<br />
d. die von <strong>IBM</strong> bereitgestellte OA-Software nach Anleitung von <strong>IBM</strong> auf der vom Kunden<br />
bereitgestellten Hardware installieren;<br />
e. eine externe IP-Adresse und die zugehörigen Einstellungen auf dem OA konfigurieren;<br />
f. <strong>IBM</strong> die IP-Adresse des OA, den Hostnamen, die Maschinenplattform, die Anwendungsversion und<br />
die Zeitzone des Agenten bereitstellen; und<br />
g. beim Einsatz vorhandener Plattformen die von <strong>IBM</strong> geforderten Hardware-Upgrades beschaffen<br />
und installieren.<br />
Aufgabe 2 – Installation des OA<br />
Der Kunde wird<br />
a. die Verantwortung für die physische Installation und Verkabelung des OA übernehmen; und<br />
b. die Unterstützung mit einem <strong>IBM</strong> Spezialisten für die Implementierung planen.<br />
Aktivität 2 – Implementierung des Universal Log Agent (ULA)<br />
Aufgabe 1 – Vorbereitung des Agenten<br />
Der Kunde wird<br />
a. die von seinem Unternehmen gewünschten Prüfungen der Betriebssysteme oder Anwendungen,<br />
die überwacht werden sollen, auf System-, Sicherheits- und Anwendungsebene aktivieren; und<br />
b. die Verbindung zwischen dem Agenten und dem OA verifizieren.<br />
Aufgabe 2 – Installation des ULA<br />
Der Kunde wird<br />
a. die ULA-Software vom Portal downloaden;<br />
b. den ULA auf dem/den Agenten installieren, für den/die die Services genutzt werden; und<br />
c. bestätigen, dass er die alleinige Verantwortung für alle Aufgaben im Zusammenhang mit der<br />
Installation des ULA trägt.<br />
Aufgabe 3 – Konfiguration des ULA<br />
Der Kunde wird<br />
a. sich innerhalb von drei Arbeitstagen nach der Installation und Konfiguration des ULA am Portal<br />
anmelden und bestätigen, dass der Agent verfügbar ist und Protokolle empfängt;<br />
b. den ULA mit entsprechenden Konfigurationseinstellungen (darunter Service-Level, Standort,<br />
Plattform, Betriebssystem und Zeitzone) konfigurieren;<br />
c. die ULA-Konfigurationseinstellungen (darunter Service-Level, Standort, Plattform, Betriebssystem<br />
und Zeitzone) innerhalb von drei Tagen nach jeder künftigen Modifizierung des Geräts<br />
aktualisieren;<br />
d. die ULA-Richtlinie ändern (sofern gewünscht); und<br />
e. bestätigen, dass er die alleinige Verantwortung für alle Aufgaben im Zusammenhang mit der<br />
Konfiguration des ULA trägt.<br />
Aktivität 3 – Implementierung der Protokollerfassung ohne ULA<br />
Der Kunde wird<br />
a. den Agenten unter Anleitung von <strong>IBM</strong> dafür konfigurieren, SYSLOG-Datenströme an den OA zu<br />
übertragen;<br />
b. sich innerhalb von drei Arbeitstagen am Portal anmelden und bestätigen, dass der Agent verfügbar<br />
ist und Protokolle empfängt; und<br />
Z126-5942-AT-2 04-2013 Seite 18 von 41 Z126-5942-WW-2 04-2013
c. bestätigen, dass er die alleinige Verantwortung für alle Aufgaben im Zusammenhang mit der<br />
SYSLOG-Installation trägt.<br />
Aktivität 4 – Test und Verifizierung des Protokollmanagements und der Alarmausgabe<br />
Der Kunde wird<br />
a. die Verantwortung für die Erarbeitung aller spezifischen Testpläne der abschließenden<br />
Funktionstests des Kunden übernehmen;<br />
b. die Verantwortung für die Durchführung der abschließenden Funktionstests der Anwendungen und<br />
Netzwerkverbindungen des Kunden übernehmen;<br />
c. verifizieren, dass die Protokolle jedes Agenten im Portal verfügbar sind;<br />
d. die ULA-Konfigurationseinstellungen (darunter Service-Level, Standort, Plattform, Betriebssystem<br />
und Zeitzone) innerhalb von drei Tagen nach jeder künftigen Modifizierung des Geräts<br />
aktualisieren; und<br />
e. bestätigen, dass zusätzliche abschließende Funktionstests, die der Kunde durchführt oder nicht<br />
durchführt, <strong>IBM</strong> nicht daran hindern, den Agenten in den SOCs auf „active“ einzustellen, um die<br />
kontinuierliche Unterstützung und das fortlaufende Management durch die SOCs zu aktivieren.<br />
Aktivität 5 – Out-of-Band-Zugriff für die Protokollerfassung<br />
Der Kunde wird die Verantwortung für die gesamte Remote-Konfiguration und Fehlersuche/-behebung im<br />
Zusammenhang mit dem Out-of-Band-Zugriff übernehmen, falls sich der Kunde gegen die<br />
Implementierung einer Out-of-Band-Lösung entscheidet oder die Out-of-Band-Lösung aus irgendeinem<br />
Grund nicht verfügbar ist.<br />
3.7 Erneute Implementierung und Aktivierung<br />
Während der erneuten Implementierung und Aktivierung wird <strong>IBM</strong> in Zusammenarbeit mit dem Kunden<br />
einen MSS-Agenten austauschen, aufrüsten oder an einen anderen Standort verlegen.<br />
Anmerkung: Die Aktivitäten im Rahmen der erneuten Implementierung und Aktivierung werden einmalig<br />
durchgeführt. Wenn der Kunde seinen MSS-Agenten während der Laufzeit des Servicevertrags<br />
austauscht, aufrüstet oder an einen anderen Standort verlegt, kann <strong>IBM</strong> verlangen, dass dieser MSS-<br />
Agent erneut implementiert wird. Eine solche erneute Implementierung und Aktivierung wird gegen<br />
Zahlung einer zusätzlichen Gebühr mittels einer Änderungsanforderung durchgeführt. Die Gebühren für<br />
eine erneute Implementierung und Aktivierung sind nur für einen Austausch, ein Upgrade oder eine<br />
Verlegung von Hardware an einen anderen Standort, initiiert vom Kunden, fällig. Sie sind nicht auf<br />
Defekte von MSS-Agenten anwendbar, die zu einer Rücksendung der Agenten führen.<br />
Im Rahmen der erneuten Implementierung und Aktivierung wird <strong>IBM</strong> die unter „Leistungsumfang“ in der<br />
Ziffer „Implementierung und Aktivierung“ dieses Dokuments beschriebenen Aktivitäten durchführen.<br />
Im Rahmen der erneuten Implementierung und Aktivierung wird der Kunde die unter<br />
„Verantwortlichkeiten des Kunden“ in der Ziffer „Implementierung und Aktivierung“ dieses Dokuments<br />
beschriebenen Aktivitäten durchführen und bestätigen.<br />
Anmerkung: Für die Log and Alert Services kann der Kunde Leistungen für die physische Installation und<br />
Konfiguration im Rahmen eines gesonderten Vertrags bei <strong>IBM</strong> beauftragen.<br />
3.8 Erfassung von Sicherheitsereignissen und -protokollen<br />
<strong>IBM</strong> nutzt das X-Force Protection System, um Protokolle zu erfassen, zu organisieren und zu speichern.<br />
Protokolle können im Portal für die Dauer des im Bestellschein angegebenen Aufbewahrungszeitraums<br />
angezeigt werden. Nach Ablauf dieser Frist werden die Daten permanent gelöscht.<br />
3.8.1 Leistungsumfang<br />
<strong>IBM</strong> wird<br />
a. die von dem/den Agenten erzeugten Protokolle eindeutig identifizieren, erfassen und speichern,<br />
sobald sie die <strong>IBM</strong> MSS-Infrastruktur erreichen;<br />
b. sofern unterstützt, kundenspezifische Parser oder Standard-Parser verwenden, um Protokolle zum<br />
Zweck ihrer Anzeige und Aufbewahrung zu normalisieren;<br />
c. Protokolle über das Portal für die Dauer des im Bestellschein angegebenen<br />
Aufbewahrungszeitraums speichern und anzeigen;<br />
Z126-5942-AT-2 04-2013 Seite 19 von 41 Z126-5942-WW-2 04-2013
d. Protokolle unwiderruflich löschen, wobei die FIFO-Methode (First In, First Out) angewandt wird,<br />
(1) wenn der im Bestellschein angegebene Aufbewahrungszeitraum abgelaufen ist; oder<br />
(2) wenn die Protokolldaten das Alter von sieben Jahren überschreiten;<br />
Ungeachtet der vom Kunden festgelegten Aufbewahrungsfristen wird <strong>IBM</strong> Protokolldaten nicht<br />
länger als sieben Jahre aufbewahren. Überschreitet der Kunde die Aufbewahrungsdauer von<br />
sieben Jahren an irgendeinem Zeitpunkt während der Vertragslaufzeit, wird <strong>IBM</strong> die Protokolle<br />
mittels der FIFO-Methode löschen.<br />
e. sofern <strong>IBM</strong> dies für angebracht hält, ein Site-to-Site-VPN empfehlen, das zur Verschlüsselung des<br />
Datenverkehrs verwendet wird, der nicht nativ durch den/die Agenten verschlüsselt wird.<br />
3.8.2 Verantwortlichkeiten des Kunden<br />
Der Kunde wird<br />
a. das Portal verwenden, um Protokolldaten zu prüfen;<br />
b. das Portal verwenden, um sich eigenverantwortlich über den verfügbaren Speicherplatz für<br />
Protokolldaten zu informieren; und<br />
c. bestätigen, dass<br />
(1) <strong>IBM</strong> die Protokolle für die Dauer des im Bestellschein angegebenen Aufbewahrungszeitraums<br />
speichern wird;<br />
(2) <strong>IBM</strong> seiner Verpflichtung enthoben wird, die Protokolldaten des Kunden aufzubewahren, wenn<br />
die Services aus irgendeinem Grund gekündigt werden;<br />
(3) alle Protokolldaten mittels der vereinbarten Methode an die <strong>IBM</strong> MSS-Infrastruktur übertragen<br />
werden;<br />
(4) Protokoll- und Ereignisdaten, die über das Internet übertragen werden, nicht verschlüsselt<br />
werden, falls der Kunde kein von <strong>IBM</strong> empfohlenes Site-to-Site-VPN für Agenten nutzt, die<br />
keine nativen Verschlüsselungsalgorithmen bereitstellen;<br />
(5) <strong>IBM</strong> nur Protokolle aufbewahrt, die erfolgreich an die <strong>IBM</strong> MSS-Infrastruktur übertragen<br />
werden;<br />
(6) <strong>IBM</strong> nicht garantiert, dass die Protokolle in einem nationalen oder internationalen<br />
Rechtssystem als Beweis verwendet werden können. Die Zulässigkeit von Beweisen basiert<br />
auf den beteiligten Technologien und der Fähigkeit des Kunden, die korrekte<br />
Datenverarbeitung und Beweiskette für jeden präsentierten Datensatz nachzuweisen;<br />
(7) die vom Kunden festgelegten Aufbewahrungsfristen sieben Jahre nicht überschreiten werden,<br />
da <strong>IBM</strong> Protokolldaten nicht länger als sieben Jahre aufbewahren wird, und <strong>IBM</strong> Protokolle<br />
mittels der FIFO-Methode löschen wird, wenn die Protokolle das Alter von sieben Jahren<br />
überschreiten, ungeachtet der vom Kunden angegebenen Aufbewahrungsfristen; und<br />
(8) <strong>IBM</strong> die durch den Service erfassten Protokolle verwenden kann, um a) Trends und b) reale<br />
oder potenzielle Bedrohungen zu ermitteln. <strong>IBM</strong> kann diese Daten kompilieren oder auf<br />
andere Weise mit den Daten anderer Kunden kombinieren, solange dabei sichergestellt wird,<br />
dass die Daten in keiner Weise dem Kunden zugeordnet werden können.<br />
4. Managed Network Security Services – Common Features<br />
Common Features bieten dem Kunden die Möglichkeit, nach Gerät (soweit zutreffend) den notwendigen<br />
Zeitrahmen für die Einleitung von Maßnahmen, die Eskalation, die Implementierung oder Updates im<br />
Zusammenhang mit dem Service zu definieren. Die verschiedenen auswählbaren Zeitrahmen bieten<br />
mehrere Serviceoptionen, die – jeweils nach Gerät – im Vertrag des Kunden festgelegt werden. Für die<br />
verschiedenen Service-Levels für das Feature kann ein SLA im Zusammenhang mit dem Feature gelten.<br />
4.1 Automatisierte Analyse<br />
Die automatisierte Analyse wird im Rahmen der Managed Network Security Services durchgeführt, es sei<br />
denn, die Secure Web Gateway Management Services sind Bestandteil des Servicevertrags. Agenten<br />
können eine große Zahl von Alarmmeldungen als Reaktion auf die Sicherheitsbedingungen erzeugen, für<br />
deren Erkennung sie konfiguriert sind. Das tatsächliche Sicherheitsrisiko einer bestimmten festgestellten<br />
Z126-5942-AT-2 04-2013 Seite 20 von 41 Z126-5942-WW-2 04-2013
Bedingung ist jedoch nicht immer klar, und es ist nicht zweckmäßig, alle Daten, die schädlich sein<br />
könnten, standardmäßig zu blockieren.<br />
<strong>IBM</strong> hat proprietäre Analyse-Engines entwickelt, die Teil des X-Force Protection System sind. Die<br />
erfassten Protokolle werden zur Korrelation und Alarmausgabe an die Analyse-Engines übermittelt.<br />
Die Analyse-Engines führen die folgenden Basisfunktionen aus:<br />
●<br />
●<br />
●<br />
●<br />
Korrelation von Echtzeit- und Langzeitprotokollen;<br />
Nutzung statistischer und regelbasierter Analyseverfahren;<br />
Nutzung unformatierter, normalisierter und konsolidierter Daten; und<br />
Bearbeitung der von Anwendungen und Betriebssystemen erzeugten Protokolle.<br />
Die Alarmbenachrichtigungen des X-Force Protection System werden dem Kunden über das MSS-Portal<br />
zur Verfügung gestellt. <strong>IBM</strong> wird dem Kunden eine stündliche Alarmbenachrichtigung des X-Force<br />
Protection System per E-Mail zusenden, in der die Alarmbenachrichtigungen zusammengefasst sind,<br />
sofern der Kunde diese Option im Portal ausgewählt hat.<br />
Die automatisierte Analyse und die anschließend vom X-Force Protection System erzeugten<br />
Alarmbenachrichtigungen sind nur auf den von <strong>IBM</strong> angegebenen Plattformen verfügbar.<br />
4.1.1 Leistungsumfang<br />
<strong>IBM</strong> wird<br />
a. die erfassten Protokolldaten an die Analyse-Engines des X-Force Protection System zur Korrelation<br />
und Alarmausgabe übertragen;<br />
b. – sofern das Protokollmanagement und die Alarmausgabe Bestandteil des Servicevertrags des<br />
Kunden sind – die benutzerdefinierten Korrelationsregeln verwenden, die für die Analyse und<br />
Alarmausgabe aktiviert werden;<br />
c. die von den Analyse-Engines des X-Force Protection System erzeugten maßgeblichen<br />
Alarmbenachrichtigungen im MSS-Portal anzeigen, sobald sie verfügbar sind; und<br />
d. sofern vom Kunden entsprechend konfiguriert, die Alarmbenachrichtigung des X-Force Protection<br />
System innerhalb der Fristen bereitstellen, die im Abschnitt „Service-Level-Agreements“,<br />
„Alarmbenachrichtigung bei Sicherheitsverstößen“ dieser Leistungsbeschreibung angegeben sind.<br />
4.1.2 Verantwortlichkeiten des Kunden<br />
Der Kunde wird<br />
a. die Verantwortung dafür übernehmen, die maßgeblichen Regeln der Analyse-Engines über das<br />
MSS-Portal zu aktivieren/zu deaktivieren;<br />
b. die Verantwortung dafür übernehmen, die Alarmbenachrichtigung des X-Force Protection System<br />
über das MSS-Portal auszuwählen; und<br />
c. bestätigen, dass<br />
(1) das Portal zur Überwachung und Prüfung der von den Analyse-Engines des X-Force<br />
Protection System erzeugten Alarmbenachrichtigungen verwendet werden kann; und<br />
(2) eine automatisierte Analyse nur auf den von <strong>IBM</strong> angegebenen Plattformen oder für die<br />
Protokolle, die der Kunde unter Verwendung des kundenspezifischen Protokoll-Parsers<br />
normalisiert, verfügbar ist (soweit zutreffend).<br />
4.2 Überwachung und Benachrichtigung durch Bedrohungsanalysten<br />
Die Überwachung und Benachrichtigung durch Bedrohungsanalysten wird im Rahmen der Managed<br />
Network Security Services durchgeführt, es sei denn, die Secure Web Gateway Management Services<br />
und Firewall Management Services sind Bestandteil des Servicevertrags. <strong>IBM</strong> MSS-Sicherheitsanalysten<br />
werden die vom X-Force Protection System erzeugten Alarmbenachrichtigungen überwachen und<br />
analysieren, die das Ergebnis der automatisierten Analyse von unterstützten Protokolldaten sind. Ob eine<br />
Alarmbenachrichtigung als Sicherheitsverstoß gewertet wird, liegt im alleinigen Ermessen von <strong>IBM</strong>.<br />
Alarmbenachrichtigungen werden klassifiziert, priorisiert und eskaliert, wie es <strong>IBM</strong> für angemessen hält.<br />
Alarmbenachrichtigungen, die nicht als unkritisch ausgeschlossen werden können, werden als<br />
Sicherheitsverstoß klassifiziert.<br />
Sicherheitsverstöße werden nach den drei folgenden Prioritäten unterteilt:<br />
Z126-5942-AT-2 04-2013 Seite 21 von 41 Z126-5942-WW-2 04-2013
● Sicherheitsverstöße der Priorität 1<br />
Untersuchungen, die zu einer Klassifizierung hoher Priorität (d. h. Priorität 1) führen, erfordern<br />
umgehende Abwehrmaßnahmen.<br />
● Sicherheitsverstöße der Priorität 2<br />
Untersuchungen, die zu einer Klassifizierung mittlerer Priorität (d. h. Priorität 2) führen, erfordern<br />
Maßnahmen innerhalb von 12 bis 24 Stunden nach Meldung des Sicherheitsverstoßes.<br />
● Sicherheitsverstöße der Priorität 3<br />
Untersuchungen, die zu einer Klassifizierung geringer Priorität (d. h. Priorität 3) führen, erfordern<br />
Maßnahmen innerhalb von einem bis sieben Tagen nach Meldung des Sicherheitsverstoßes.<br />
4.2.1 Leistungsumfang<br />
<strong>IBM</strong> wird<br />
a. den Kunden auffordern, eine Modifizierung der Konfiguration des Agenten vorzunehmen, falls die<br />
aktuelle Richtlinie das SOC an der zufriedenstellenden Verarbeitung von Protokolldaten hindert und<br />
das Gerät nicht vom <strong>IBM</strong> MSS SOC betrieben wird;<br />
b. den Kunden am Anfang und am Ende des Zeitfensters für die Ereignisüberwachung und<br />
Benachrichtigung per E-Mail darüber informieren, dass die Überwachung begonnen/beendet wurde;<br />
c. Alarmbenachrichtigungen untersuchen und analysieren;<br />
d. sofern möglich, falsch-positive Alarmmeldungen und unkritische Auslöser ausschließen und als<br />
„kommentierte Sicherheitsverstöße“ klassifizieren;<br />
e. Alarmbenachrichtigungen, die nicht als unkritische Auslöser ausgeschlossen werden können,<br />
identifizieren und als Sicherheitsverstoß klassifizieren. In diesem Fall wird <strong>IBM</strong><br />
(1) die SLA-Timer starten; und<br />
(2) dem Sicherheitsverstoß hohe, mittlere oder geringe Priorität zuteilen;<br />
f. Sicherheitsverstöße innerhalb der Frist und mittels der Kommunikationsmethode (z. B. E-Mail oder<br />
Telefon), die im Abschnitt „Service-Level-Agreements“, „Benachrichtigung bei Sicherheitsverstößen“<br />
dieser Leistungsbeschreibung angegeben sind, über die vom Kunden angegebene<br />
Standardbenachrichtigungsreihenfolge an einen autorisierten Ansprechpartner für die Sicherheit<br />
oder einen benannten Ansprechpartner für die Services eskalieren, basierend auf bewährten<br />
Verfahren (Best Practices) von <strong>IBM</strong> für Benachrichtigungen bei Sicherheitsvorfällen;<br />
g. Abhilfe-/Gegenmaßnahmen empfehlen, sofern zutreffend;<br />
h. Details zu Sicherheitsverstößen und kommentierten Sicherheitsverstößen im <strong>IBM</strong> Ticketsystem<br />
dokumentieren; und<br />
i. Sicherheitsverstöße und kommentierte Sicherheitsverstöße im Portal auflisten.<br />
4.2.2 Verantwortlichkeiten des Kunden<br />
Der Kunde wird<br />
a. das MSS-Portal nutzen, um die Ereignisüberwachung und Benachrichtigung zu planen;<br />
b. die von <strong>IBM</strong> MSS angeforderten Richtlinienänderungen an dem Agenten vor dem nächsten<br />
Überwachungszeitraum durchführen, sofern das Gerät nicht von <strong>IBM</strong> betrieben wird;<br />
c. das MSS-Portal nutzen, um Protokolle und Ereignisse zu untersuchen, die nicht als unmittelbare<br />
Sicherheitsbedrohungen eingestuft wurden;<br />
d. <strong>IBM</strong> eine aktuelle, detaillierte Dokumentation zur Umgebung des Kunden bereitstellen;<br />
e. <strong>IBM</strong> innerhalb von drei Kalendertagen über Änderungen an der Umgebung des Kunden informieren;<br />
f. <strong>IBM</strong> die folgenden Informationen bereitstellen und auf dem aktuellen Stand halten (über das MSS-<br />
Portal):<br />
(1) Informationen zu kritischen Servern (z. B. Name, Plattform, Betriebssystem, IP-Adresse und<br />
Netzwerksegmenttyp);<br />
(2) Informationen zu überwachten Netzwerken;<br />
(3) Informationen zu Geräten, die die Netzadressumsetzung (NAT) verwenden (z. B. Name,<br />
Plattform, Betriebssystem und Netzwerksegmenttyp);<br />
Z126-5942-AT-2 04-2013 Seite 22 von 41 Z126-5942-WW-2 04-2013
(4) Informationen zu Proxy-Servern; und<br />
(5) Informationen zu autorisierten Prüfprogrammen;<br />
g. eine lineare Benachrichtigungsreihenfolge, einschließlich Telefonnummern und E-Mail-Adressen<br />
der Ansprechpartner, bereitstellen und auf dem aktuellen Stand halten;<br />
h. <strong>IBM</strong> über das MSS-Portal innerhalb von drei Kalendertagen über eine Änderung an den<br />
Kontaktinformationen der Ansprechpartner des Kunden informieren;<br />
i. E-Mail-Aliasnamen bereitstellen, sofern notwendig, um die Benachrichtigung zu vereinfachen;<br />
j. sicherstellen, dass ein autorisierter Ansprechpartner für die Sicherheit oder ein benannter<br />
Ansprechpartner für die Services, der in der Benachrichtigungsreihenfolge aufgelistet ist, während<br />
24 Stunden pro Tag an 7 Tagen die Woche erreichbar ist;<br />
k. sich Details zu Sicherheitsverstößen und kommentierten Sicherheitsverstößen über das MSS-Portal<br />
ansehen;<br />
l. gemeinsam mit <strong>IBM</strong> an der Optimierung des Überwachungsservice arbeiten;<br />
m. Feedback zu Sicherheitsverstößen und kommentierten Sicherheitsverstößen über das MSS-Portal<br />
abgeben; und<br />
n. bestätigen, dass<br />
(1) der Kunde die alleinige Verantwortung für alle Reaktionen auf Sicherheitsverstöße und<br />
entsprechende Abhilfemaßnahmen trägt, sobald <strong>IBM</strong> einen Sicherheitsverstoß eskaliert hat;<br />
(2) nicht alle Untersuchungen von Alarmbenachrichtigungen zur Feststellung eines<br />
Sicherheitsverstoßes führen werden;<br />
(3) die Überwachung von Alarmbenachrichtigungen und Benachrichtigung nur<br />
Alarmbenachrichtigungen betrifft, die das Ergebnis der automatisierten Analyse durch die<br />
maßgeblichen Agenten sind;<br />
(4) fehlendes Feedback des Kunden dazu führen kann, dass einer anhaltenden oder wiederholt<br />
auftretenden Aktivität eine geringere Priorität zugeteilt wird; und<br />
(5) das SLA für die Benachrichtigung bei Sicherheitsverstößen, das im Abschnitt „Service-Level-<br />
Agreements“ dieser Leistungsbeschreibung angegeben ist, unwirksam ist, falls der Kunde die<br />
angeforderten Richtlinienänderungen nicht vor dem nächsten Überwachungszeitraum<br />
durchführt.<br />
4.3 Richtlinienmanagement<br />
Das Richtlinienmanagement wird im Rahmen der Managed Network Security Services durchgeführt. <strong>IBM</strong><br />
definiert eine einzelne Änderung der regelbasierten Agentenrichtlinie/-konfiguration als autorisierte<br />
Anforderung zum Hinzufügen oder Ändern einer einzigen Regel in einem einzigen Kontext mit höchstens<br />
fünf Objekten pro Anforderung. Eine Änderungsanforderung, die das Hinzufügen von sechs oder mehr<br />
Objekten oder die Bearbeitung von zwei oder mehr Regeln erfordert, wird als zwei oder mehr<br />
Anforderungen gewertet. Bezieht sich die Änderungsanforderung auf Änderungen außerhalb der<br />
regelbasierten Agentenrichtlinie, wird jede eingereichte Anforderung als einzelne Änderung betrachtet.<br />
<strong>IBM</strong> wird die im Folgenden beschriebenen Leistungen erbringen, soweit zutreffend.<br />
Der Kunde kann den Managed Agent mit einer einzigen globalen Richtlinie konfigurieren, die für alle<br />
Agenten gilt.<br />
4.3.1 Leistungsumfang<br />
<strong>IBM</strong> wird<br />
a. die von autorisierten Ansprechpartnern für die Sicherheit oder benannten Ansprechpartnern für die<br />
Services über das MSS-Portal eingereichten Anforderungen einer Richtlinienänderung bis zu der<br />
angegebenen Anzahl an Änderungen pro Monat, die der Kunde ausgewählt hat, akzeptieren;<br />
b. die über das MSS-Portal eingereichten Anforderungen einer Richtlinienänderung innerhalb der<br />
Fristen bestätigen, die im Abschnitt „Service-Level-Agreements“, „Bestätigung der Anforderung<br />
einer Richtlinienänderung“ dieser Leistungsbeschreibung angegeben sind;<br />
c. die eingereichten Anforderungen einer Richtlinienänderung prüfen, um zu verifizieren, dass der<br />
Kunde darin alle erforderlichen Informationen angegeben hat;<br />
Z126-5942-AT-2 04-2013 Seite 23 von 41 Z126-5942-WW-2 04-2013
d. sofern notwendig, den Antragsteller darüber informieren, dass zusätzliche Informationen benötigt<br />
werden. Solange diese Informationen nicht zur Verfügung stehen, werden die SLA-Timer<br />
angehalten;<br />
e. die Konfiguration der Richtlinienänderung, wie vom Kunden angefordert, vorbereiten und prüfen;<br />
f. angeforderte Richtlinienänderungen innerhalb der Frist implementieren, die im Bestellschein unter<br />
„Implementierungszeit“ angegeben und vom Kunden beim Einreichen der Änderungsanforderung<br />
über das MSS-Portal ausgewählt wird. Die verschiedenen Implementierungszeiten sind im<br />
Abschnitt „Implementierung einer angeforderten Richtlinienänderung“ dieser Leistungsbeschreibung<br />
angegeben;<br />
g. Details der Anforderung einer Richtlinienänderung im <strong>IBM</strong> MSS-Ticketsystem dokumentieren;<br />
h. Tickets zu Anforderungen einer Richtlinienänderung im Portal anzeigen;<br />
i. nicht in Anspruch genommene Anforderungen einer Richtlinienänderung vom jeweils aktuellen<br />
Monat in den Folgemonat übernehmen. In den Folgemonat übernommene Anforderungen einer<br />
Richtlinienänderung können bis zum letzten Tag des Folgemonats in Anspruch genommen werden.<br />
Danach verfallen die nicht in Anspruch genommenen Anforderungen einer Richtlinienänderung;<br />
j. auf Wunsch des Kunden und gegen Zahlung einer zusätzlichen Gebühr (und abhängig von der<br />
Verfügbarkeit von <strong>IBM</strong> Ressourcen) zusätzliche Richtlinienänderungen durchführen, deren<br />
maximale Anzahl im Bestellschein angegeben ist;<br />
k. die Konfiguration des Managed Agent täglich sichern;<br />
l. 14 Konfigurationssicherungen aufbewahren;<br />
m. die aktuelle Konfiguration des Agenten im MSS-Portal anzeigen (soweit zutreffend); und<br />
n. auf vierteljährlicher Basis nach schriftlicher Anforderung durch den Kunden<br />
(1) die Richtlinieneinstellungen des Kunden prüfen, um ihre Richtigkeit zu verifizieren; und<br />
(2) in Zusammenarbeit mit dem Kunden die von <strong>IBM</strong> betriebenen Agenten prüfen und<br />
Änderungen an der Strategie zum Schutz des Netzwerks empfehlen.<br />
4.3.2 Verantwortlichkeiten des Kunden<br />
Der Kunde wird<br />
a. sicherstellen, dass alle Anforderungen einer Richtlinienänderung von einem autorisierten<br />
Ansprechpartner für die Sicherheit oder einem benannten Ansprechpartner für die Services über<br />
das Portal gemäß den oben angegebenen Verfahren eingereicht werden;<br />
b. die Verantwortung für die Bereitstellung ausreichender Informationen zu jeder angeforderten<br />
Richtlinienänderung übernehmen, um <strong>IBM</strong> die erfolgreiche Durchführung dieser Änderung zu<br />
ermöglichen;<br />
c. die Verantwortung dafür übernehmen, <strong>IBM</strong> zu benachrichtigen, wenn der Kunde die Durchführung<br />
einer vierteljährlichen Richtlinienüberprüfung durch <strong>IBM</strong> wünscht;<br />
d. die alleinige Verantwortung für die Sicherheitsstrategie des Kunden übernehmen, einschließlich der<br />
Verfahren für die Reaktion auf Sicherheitsverstöße;<br />
e. bestätigen, dass<br />
(1) alle Richtlinienänderungen von <strong>IBM</strong> und nicht vom Kunden durchgeführt werden;<br />
(2) die Implementierung von Richtlinienänderungen, die nach Ermessen von <strong>IBM</strong> nachteilige<br />
Auswirkungen auf die Fähigkeit der Agenten zum Schutz der Netzwerkumgebung haben, zu<br />
einer Aussetzung der anwendbaren SLAs führen wird;<br />
(3) nicht in Anspruch genommene Änderungen nach Ende eines Kalendermonats auf<br />
Anforderung des Kunden für weitere 30 Tage in Anspruch genommen werden können. Nach<br />
diesem Zeitraum von 30 Tagen sind die Änderungen nicht mehr verfügbar. Nicht in Anspruch<br />
genommene Richtlinienänderungen, die in den Folgemonat übernommen wurden, werden vor<br />
den Richtlinienänderungen des neuen Monats bearbeitet;<br />
(4) die Anforderung einer Richtlinienänderung im Notfall eindeutig als solche identifizieren, wenn<br />
sie im Portal eingereicht wird; und<br />
Z126-5942-AT-2 04-2013 Seite 24 von 41 Z126-5942-WW-2 04-2013
(5) das SOC telefonisch kontaktieren, nachdem eine Anforderung einer Richtlinienänderung im<br />
Notfall über das MSS-Portal eingereicht wurde, um die Anforderung in den Status eines<br />
Notfalls hochzustufen.<br />
4.4 VPN-Unterstützung (Virtual Private Network)<br />
<strong>IBM</strong> wird mittels einer oder mehrerer der folgenden Methoden die vom Kunden gewünschten VPN-<br />
Features des/der FW- und UTM-Agenten aktivieren:<br />
a. Site-to-Site-VPNs zwischen zwei von <strong>IBM</strong> betriebenen VPN-fähigen Agenten oder zwischen einem<br />
von <strong>IBM</strong> betriebenen Agenten und einem nicht von <strong>IBM</strong> betriebenen VPN-fähigen Gerät;<br />
b. Client-to-Site-VPNs durch ein Modell, bei dem <strong>IBM</strong> die Konfiguration festlegt und dem Kunden die<br />
Administration der Client-to-Site-VPN-Benutzer ermöglicht; oder<br />
c. SSL-VPNs (Secure Sockets Layer) durch ein Modell, bei dem <strong>IBM</strong> die Konfiguration festlegt und<br />
dem Kunden die Administration der SSL-VPN-Benutzer ermöglicht.<br />
Anmerkung: Die Unterstützung für Client-to-Site- und SSL-VPNs ist nur auf den von <strong>IBM</strong> angegebenen<br />
Plattformen verfügbar.<br />
4.4.2 Leistungsumfang<br />
<strong>IBM</strong> wird<br />
a. bis zu zwei Site-to-Site-VPNs während der Implementierung und Aktivierung jedes Firewall- oder<br />
UTM-Agenten konfigurieren;<br />
b. Unterstützung für statische und dynamische Authentifizierungsmethoden der VPN-Konfiguration<br />
bereitstellen;<br />
c. bis zu fünf Client-to-Site-VPN-Benutzer einrichten und testen;<br />
d. bis zu fünf SSL-VPN-Benutzer einrichten und testen;<br />
e. dem Kunden entsprechende Zugriffsrechte für die Administration seiner Client-to-Site- oder SSL-<br />
VPN-Benutzer bereitstellen; und<br />
f. eine Demonstration der Administration von Client-to-Site- oder SSL-VPN-Benutzern für den Kunden<br />
durchführen (sofern zutreffend).<br />
4.4.3 Verantwortlichkeiten des Kunden<br />
Der Kunde wird<br />
a. <strong>IBM</strong> alle erforderlichen Informationen für die Aktivierung der vom Kunden gewünschten VPN-<br />
Features bereitstellen;<br />
b. die alleinige Verantwortung für die Erstellung und Administration aller Client-to-Site- und SSL-VPN-<br />
Benutzer nach der anfänglichen Aktivierung durch <strong>IBM</strong> übernehmen; und<br />
c. bestätigen, dass<br />
(1) jedes Site-to-Site-VPN, das der Kunde nach der Implementierung und Aktivierung des/der<br />
Firewall- oder UTM-Agenten anfordert, zum Kontingent der Richtlinienänderungen des<br />
laufenden Monats gerechnet wird;<br />
(2) der Kunde die alleinige Verantwortung für die Beschaffung aller erforderlichen Anwendungen<br />
für die Client-to-Site- oder SSL-VPN-Administration beim Hersteller des/der Firewall- oder<br />
UTM-Agenten und für alle damit verbundenen Kosten trägt;<br />
(3) der Kunde die alleinige Verantwortung für die Implementierung, den Test, die Unterstützung<br />
und die Wartung aller erforderlichen Anwendungen für die Client-to-Site- oder SSL-VPN-<br />
Administration, die beim Hersteller des/der Firewall- oder UTM-Agenten beauftragt werden,<br />
und für alle damit verbundenen Kosten trägt;<br />
(4) alle Client-to-Site-VPN-Lösungen in Bezug auf die Managed Network Security Services von<br />
<strong>IBM</strong> genehmigt werden müssen; und<br />
(5) die zertifikatbasierte Authentifizierung derzeit im Rahmen der VPN-Konfiguration nicht<br />
unterstützt wird.<br />
Z126-5942-AT-2 04-2013 Seite 25 von 41 Z126-5942-WW-2 04-2013
4.5 Überwachung des Status und der Verfügbarkeit der Managed Agents<br />
<strong>IBM</strong> wird den Status und die Verfügbarkeit der Managed Agents überwachen. Diese Überwachung soll<br />
dazu beitragen, die Verfügbarkeit und Betriebszeiten der Agenten zu erhöhen. <strong>IBM</strong> wird die im Folgenden<br />
beschriebenen Leistungen erbringen, soweit zutreffend.<br />
4.5.1 Leistungsumfang<br />
Aktivität 1 – Überwachung<br />
Zweck dieser Aktivität ist die Überwachung des Status und der Leistung der Agenten. <strong>IBM</strong> MSS wird zur<br />
Durchführung dieser Aktivität entweder die agentenbasierte oder die agentenlose Überwachung<br />
einsetzen.<br />
Agentenbasierte Überwachung<br />
Sofern technisch machbar, wird <strong>IBM</strong> auf in Frage kommenden Agenten Software installieren, um den<br />
Systemstatus und die Systemleistung zu überwachen und Messdaten an die SOCs zu melden.<br />
<strong>IBM</strong> wird<br />
a. bei in Frage kommenden Plattformen Überwachungssoftware auf den Agenten installieren;<br />
b. Alarmbenachrichtigungen überwachen und entsprechend reagieren. Dazu zählen<br />
Alarmbenachrichtigungen in Bezug auf folgende Aspekte:<br />
(1) Festplattenkapazität;<br />
(2) CPU-Auslastung;<br />
(3) Speicherauslastung; und<br />
(4) Prozessverfügbarkeit;<br />
c. auf die von der Überwachungssoftware erzeugten Alarmbenachrichtigungen reagieren.<br />
Agentenlose Überwachung<br />
Wenn die Installation der Überwachungssoftware technisch nicht durchführbar ist, wird <strong>IBM</strong> den<br />
Datenstrom von den Agenten überwachen und/oder administrative Schnittstellen auf den Agenten<br />
abfragen.<br />
<strong>IBM</strong> wird<br />
a. die administrativen Schnittstellen der Agenten überwachen; und/oder<br />
b. den von den Agenten erzeugten Ereignisstrom überwachen; und<br />
c. zusätzliche zeitbasierte Prüfungen initiieren, wenn ein Managed Agent nicht mehr erreichbar ist.<br />
Aktivität 2 – Fehlersuche/-behebung<br />
Zweck dieser Aktivität ist die Durchführung von Recherchen und Untersuchungen, falls die Agenten nicht<br />
die erwartete Leistung erbringen oder ein potenzielles Problem mit dem ordnungsgemäßen Betrieb der<br />
Agenten festgestellt wird.<br />
<strong>IBM</strong> wird<br />
a. im Fall eines Problems mit der Leistung eines Agenten oder eines potenziellen Problems mit dem<br />
ordnungsgemäßen Betrieb eines Agenten ein Trouble-Ticket erstellen;<br />
b. mit der Recherche und Untersuchung des dokumentierten Problems beginnen;<br />
c. die Konfiguration und Funktionalität des Agenten im Hinblick auf potenzielle Probleme untersuchen,<br />
falls der Agent als mögliche Ursache eines netzwerkbezogenen Problems identifiziert wird; und<br />
d. den Agentenstatus und Ausfalltickets im Portal anzeigen.<br />
Aktivität 3 – Benachrichtigung<br />
Zweck dieser Aktivität ist die Benachrichtigung des Kunden, wenn der Agent über In-Band-<br />
Standardmethoden nicht mehr erreichbar ist.<br />
<strong>IBM</strong> wird<br />
a. den Kunden benachrichtigen, wenn der Agent über In-Band-Standardmethoden nicht mehr<br />
erreichbar ist. Diese Benachrichtigung erfolgt telefonisch über ein zuvor festgelegtes Verfahren und<br />
Z126-5942-AT-2 04-2013 Seite 26 von 41 Z126-5942-WW-2 04-2013
innerhalb der Frist, die im Abschnitt „Service-Level-Agreements“, „Proaktive Systemüberwachung“<br />
dieser Leistungsbeschreibung angegeben ist;<br />
b. nach Initiierung der telefonischen Benachrichtigung mit der Untersuchung von Problemen im<br />
Zusammenhang mit der Konfiguration oder Funktionalität des Agenten beginnen; und<br />
c. den Agentenstatus und Ausfalltickets im Portal anzeigen.<br />
4.5.2 Verantwortlichkeiten des Kunden<br />
Aktivität 1 – Überwachung<br />
Der Kunde wird<br />
a. <strong>IBM</strong> die Installation der Überwachungssoftware auf allen Managed Agents erlauben, sofern <strong>IBM</strong><br />
diese Installation für technisch machbar hält; oder<br />
b. <strong>IBM</strong> die Überwachung der administrativen Schnittstellen und des Ereignisstroms der Managed<br />
Agents erlauben, wenn die Installation der Überwachungssoftware auf diesen Agenten technisch<br />
nicht machbar ist.<br />
Aktivität 2 – Fehlersuche/-behebung<br />
Der Kunde wird<br />
a. an Besprechungen zur Fehlersuche/-behebung mit <strong>IBM</strong> teilnehmen (sofern erforderlich);<br />
b. die Verantwortung für die gesamte Remote-Konfiguration und Fehlersuche/-behebung übernehmen,<br />
falls der Kunde sich gegen die Implementierung einer Out-of-Band-Lösung entschieden hat oder die<br />
Out-of-Band-Lösung aus irgendeinem Grund nicht verfügbar ist; und<br />
c. bestätigen, dass <strong>IBM</strong> keine weitere Fehlersuche/-behebung durchführen wird, wenn der Managed<br />
Agent als Ursache eines gegebenen Problems ausgeschlossen wurde.<br />
Aktivität 3 – Benachrichtigung<br />
Der Kunde wird<br />
a. <strong>IBM</strong> Informationen zu seiner Benachrichtigungsreihenfolge und Kontaktinformationen zu seinen<br />
Ansprechpartnern bereitstellen;<br />
b. <strong>IBM</strong> innerhalb von drei Kalendertagen über Änderungen an den Kontaktinformationen zu<br />
Ansprechpartnern des Kunden informieren; und<br />
c. sicherstellen, dass ein autorisierter Ansprechpartner für die Sicherheit oder ein für Agentenausfälle<br />
zuständiger benannter Ansprechpartner für die Services während 24 Stunden pro Tag an 7 Tagen<br />
die Woche erreichbar ist.<br />
4.6 Management von Agenten<br />
Das Management von Agenten wird von <strong>IBM</strong> im Rahmen der Managed Network Security Services<br />
durchgeführt. Anwendungs- und Sicherheitsupdates für Agenten sind äußerst wichtig für ein<br />
Unternehmen. <strong>IBM</strong> nutzt einen herstellerunabhängigen Ansatz für das Management von Agenten. <strong>IBM</strong><br />
wird die im Folgenden beschriebenen Leistungen erbringen, soweit zutreffend.<br />
4.6.1 Leistungsumfang<br />
<strong>IBM</strong> wird<br />
a. als alleiniger Anbieter des Softwaremanagements für die Agenten fungieren;<br />
b. den Systemstatus beobachten;<br />
c. Updates von Sicherheitsinhalten innerhalb der Frist, die im Abschnitt „Service-Level-Agreements“,<br />
„Proaktives Update von Sicherheitsinhalten“ dieser Leistungsbeschreibung angegeben ist, auf den<br />
Agenten installieren (soweit zutreffend), sobald die Updates vom jeweiligen Hersteller allgemein<br />
verfügbar sind;<br />
d. Software-Updates installieren, um die Leistung zu verbessern, zusätzliche Funktionalität zu<br />
ermöglichen oder ein Anwendungsproblem zu lösen. <strong>IBM</strong> übernimmt keine Verantwortung und gibt<br />
keine Gewährleistung für Patches, Updates oder Sicherheitsinhalte, die vom jeweiligen Hersteller<br />
bereitgestellt werden;<br />
Z126-5942-AT-2 04-2013 Seite 27 von 41 Z126-5942-WW-2 04-2013
e. vor Updates von Agenten, die möglicherweise Plattformausfallzeiten oder Unterstützung durch den<br />
Kunden erfordern, ein Wartungszeitfenster ankündigen; und<br />
f. in der Mitteilung zu diesem Wartungszeitfenster die voraussichtlichen Folgen einer planmäßigen<br />
Wartung und die spezifischen Anforderungen des Kunden eindeutig angeben.<br />
4.6.2 Verantwortlichkeiten des Kunden<br />
Der Kunde wird<br />
a. die von <strong>IBM</strong> angegebenen Hardware-Upgrades durchführen, um die aktuelle Software und<br />
Firmware zu unterstützen;<br />
b. Updates von Agenten in Zusammenarbeit mit <strong>IBM</strong> durchführen (sofern erforderlich);<br />
c. die Verantwortung für alle Gebühren im Zusammenhang mit Hardware-Upgrades übernehmen;<br />
d. sicherstellen, dass gültige Lizenz-, Support- und Wartungsverträge vorliegen, die direkt mit dem<br />
jeweiligen Anbieter geschlossen wurden;<br />
e. sicherstellen, dass entsprechende Zustimmungen der vom Kunden gewählten Anbieter vorliegen,<br />
die es <strong>IBM</strong> ermöglichen, Support und Wartung im Rahmen bestehender Verträge im Namen des<br />
Kunden zu nutzen. Wenn diese Vereinbarungen nicht vorliegen, ist <strong>IBM</strong> nicht in der Lage, den<br />
Anbieter direkt zu kontaktieren, um Supportprobleme zu lösen; und<br />
f. bestätigen, dass<br />
(1) alle Updates per Internet übertragen und eingespielt werden;<br />
(2) Leistungen und/oder SLAs von <strong>IBM</strong> ausgesetzt werden können, wenn die Zustimmung der<br />
Anbieter zu irgendeinem Zeitpunkt während der Vertragslaufzeit nicht eingeholt oder<br />
zurückgezogen wird;<br />
(3) die Nichtdurchführung der von <strong>IBM</strong> geforderten Software-Upgrades zu einer Aussetzung der<br />
Serviceerbringung und/oder der SLAs führen kann; und<br />
(4) die Nichtdurchführung der von <strong>IBM</strong> geforderten Hardware-Upgrades zu einer Aussetzung der<br />
Serviceerbringung und/oder der SLAs führen kann.<br />
4.7 Content-Sicherheit<br />
Der/die Agent/en kann/können auf Anforderung des Kunden auf den von <strong>IBM</strong> angegebenen Plattformen<br />
dafür konfiguriert werden, eine Lösung für die Content-Sicherheit (z. B. eine Webfilter-, IDPS-, Antispamoder<br />
Antivirus-Lösung) zu unterstützen.<br />
4.7.1 Interne Content-Sicherheit – Leistungsumfang<br />
<strong>IBM</strong> wird<br />
a. den Agenten dafür konfigurieren, eine interne Lösung für die Content-Sicherheit auf einer von <strong>IBM</strong><br />
angegebenen Plattform zu unterstützen;<br />
b. die spezifische Richtlinie des Kunden für die Content-Sicherheit zum Filtern von Webinhalten<br />
während der Implementierung und Aktivierung des Agenten konfigurieren. Diese Richtlinie<br />
beinhaltet Folgendes:<br />
(1) Kategorielisten – Auswahl an Kategorien von Inhalten, die blockiert werden sollen;<br />
(2) Weiße Listen (Ziel) – bestimmte Sites, die auch dann nicht blockiert werden sollen, wenn sie<br />
sich innerhalb einer Kategorie gesperrter Inhalte befinden;<br />
(3) Schwarze Listen (Ziel) – bestimmte Sites, die auch dann blockiert werden sollen, wenn sie<br />
sich innerhalb einer Kategorie zulässiger Inhalte befinden; und<br />
(4) Weiße Liste (Quelle) – bestimmte IP-Adressen, die aus der Filterung von Inhalten<br />
ausgenommen werden sollen;<br />
c. die spezifische Antispam-Richtlinie des Kunden während der Implementierung und Aktivierung des<br />
Agenten konfigurieren. Diese Richtlinie beinhaltet Folgendes:<br />
(1) Weiße Listen – bestimmte E-Mail-Adressen und/oder Domänen, die immer zugelassen<br />
werden sollen; und<br />
(2) Schwarze Listen – bestimmte E-Mail-Adressen und/oder Domänen, die blockiert werden<br />
sollen;<br />
Z126-5942-AT-2 04-2013 Seite 28 von 41 Z126-5942-WW-2 04-2013
d. Antivirus-Unterstützung während der Implementierung und Aktivierung des Agenten aktivieren;<br />
e. Updates der Content-Sicherheit einspielen, wie im Abschnitt „Management von Agenten“ dieser<br />
Leistungsbeschreibung beschrieben; und<br />
f. Änderungen an der Richtlinie für die Content-Sicherheit akzeptieren und umsetzen, wie im<br />
Abschnitt „Richtlinienmanagement“ dieser Leistungsbeschreibung beschrieben.<br />
4.7.2 Interne Content-Sicherheit – Verantwortlichkeiten des Kunden<br />
Der Kunde wird<br />
a. die Verantwortung für die Bereitstellung ausreichender Informationen zu jeder angeforderten<br />
Richtlinienänderung übernehmen, um <strong>IBM</strong> die erfolgreiche Durchführung dieser Änderung zu<br />
ermöglichen; und<br />
b. bestätigen, dass<br />
(1) der Kunde für die Beschaffung, Unterstützung, Lizenzierung und Wartung der Lösung für die<br />
Content-Sicherheit und für alle damit verbundenen Gebühren verantwortlich ist; und<br />
(2) alle Änderungen an der Richtlinie für die Content-Sicherheit, die nach der Implementierung<br />
und Aktivierung des Agenten angefordert werden, zum Kontingent der Richtlinienänderungen<br />
des laufenden Monats gerechnet werden.<br />
5. Managed Network Security Services – Optionale Features<br />
Die vom Kunden ausgewählten optionalen Services und die dafür anfallenden zusätzlichen Gebühren<br />
werden im Bestellschein angegeben.<br />
5.1 Bereitstellung von Sicherheitsereignissen und -protokollen<br />
Auf Wunsch des Kunden wird <strong>IBM</strong> Protokoll- und Ereignisdaten aus der <strong>IBM</strong> MSS-Infrastruktur abrufen<br />
und zum Download von einem sicheren <strong>IBM</strong> Server bereitstellen. In Fällen, in denen die Menge der<br />
Protokoll- und Ereignisdaten nach Angaben von <strong>IBM</strong> zu groß ist, um per Download bereitgestellt zu<br />
werden, wird <strong>IBM</strong> die Daten auf verschlüsselten Datenträgern speichern und an einen vom Kunden<br />
angegebenen Standort seiner Wahl liefern. <strong>IBM</strong> wird von Fall zu Fall entscheiden, ob die Bereitstellung<br />
per Download machbar ist oder nicht.<br />
5.1.1 Leistungsumfang<br />
Auf Wunsch des Kunden und gegen Zahlung einer im Bestellschein angegebenen zusätzlichen Gebühr<br />
wird <strong>IBM</strong><br />
a. die angegebenen Daten aus der <strong>IBM</strong> MSS-Infrastruktur abrufen und dem Kunden zum Download<br />
auf einem sicheren <strong>IBM</strong> Server bereitstellen, sofern vom Kunden über das Portal angefordert; und<br />
b. den Kunden über zusätzliche Gebühren für sämtlichen Zeit- und Materialaufwand informieren, der<br />
für das Abrufen und Vorbereiten der Daten anfällt.<br />
5.1.2 Verantwortlichkeiten des Kunden<br />
Der Kunde wird<br />
a. die Bereitstellung von Sicherheitsereignis- und Protokolldaten über das Portal anfordern;<br />
b. die gewünschten Daten von einem sicheren <strong>IBM</strong> Server downloaden;<br />
c. bestätigen, dass die Daten möglicherweise auf verschlüsselten Datenträgern gespeichert und an<br />
einen vom Kunden angegebenen Standort seiner Wahl geliefert werden müssen, wenn die Menge<br />
der angeforderten Daten zu groß für einen Download ist; und<br />
d. die Verantwortung für alle Gebühren auf Zeit- und Materialbasis und für alle Versandkosten (sofern<br />
zutreffend) im Zusammenhang mit der Bereitstellung von Protokolldaten übernehmen.<br />
5.2 Cold Standby<br />
Cold Standby ist eine optionale Servicekomponente für Managed Network Security Services. Cold<br />
Standby ist eine Disaster-Recovery-Methode, bei der ein zusätzlicher Agent als Ersatz für den Fall eines<br />
Hardware- und/oder Softwareausfalls beim primären Agenten zur Verfügung steht. Cold-Standby-<br />
Agenten sind nicht eingeschaltet oder betriebsbereit und enthalten keine aktive Konfiguration, Richtlinie<br />
oder Content-Updates.<br />
Z126-5942-AT-2 04-2013 Seite 29 von 41 Z126-5942-WW-2 04-2013
5.2.1 Leistungsumfang<br />
Auf Wunsch des Kunden und ohne Aufpreis wird <strong>IBM</strong> die im Folgenden beschriebenen Leistungen<br />
erbringen, soweit zutreffend.<br />
<strong>IBM</strong> wird<br />
a. bei einem Ausfall des primären Agenten den Cold-Standby-Agenten in Zusammenarbeit mit dem<br />
Kunden in den Produktionsbetrieb überführen und auf „active“ einstellen;<br />
b. bei einem Ausfall des primären Agenten die erforderlichen Content-Updates auf dem Cold-Standby-<br />
Agenten einspielen; und<br />
c. bei einem Ausfall des primären Agenten die aktive aktuelle Konfiguration auf dem Cold-Standby-<br />
Agenten einspielen.<br />
5.2.2 Verantwortlichkeiten des Kunden<br />
Der Kunde wird<br />
a. einen sekundären Agenten bereitstellen, der als Cold-Standby-Agent fungieren wird;<br />
b. sicherstellen, dass gültige Lizenz-, Support- und Wartungsverträge für den Cold-Standby-Agenten<br />
vorliegen;<br />
c. bei einem Ausfall des primären Agenten den Cold-Standby-Agenten in Zusammenarbeit mit <strong>IBM</strong> in<br />
den Produktionsbetrieb überführen und auf „active“ einstellen; und<br />
d. bestätigen, dass<br />
5.3 Warm Standby<br />
(1) Cold-Standby-Agenten nicht von <strong>IBM</strong> betrieben und gewartet werden, es sei denn, ihr Status<br />
wird in „active“ geändert;<br />
(2) Konfigurationsänderungen an Cold-Standby-Agenten vorgenommen werden müssen, um<br />
deren Status in „active“ zu ändern; und<br />
(3) Cold-Standby-Agenten keinen Datenverkehr zu den SOCs erzeugen dürfen, es sei denn, der<br />
primäre Agent ist ausgefallen und der Cold-Standby-Agent wurde in den Produktionsbetrieb<br />
überführt und auf „active“ eingestellt.<br />
Warm Standby ist eine optionale Servicekomponente für Managed Network Security Services. Warm<br />
Standby ist eine Methode der Redundanz, die Ausfallzeiten aufgrund von Hardware- und/oder<br />
Softwareausfällen bei Agenten reduzieren kann. Im Rahmen der Option „Warm Standby“ wird <strong>IBM</strong> einen<br />
einzelnen Ersatzagenten für den Kunden betreiben und auf dem aktuellen Stand halten. Bei einem<br />
Ausfall des primären Agenten des Kunden steht der Ersatz- bzw. Warm-Standby-Agent zur Verfügung,<br />
um die Services schneller wiederherzustellen. Ein Standby-Agent darf keinen Datenverkehr zu den SOCs<br />
erzeugen, es sei denn, er wird in den Produktionsbetrieb überführt und auf „active“ eingestellt.<br />
<strong>IBM</strong> empfiehlt nachdrücklich die Verwendung des Out-of-Band-Zugriffs auf den Warm-Standby-Agenten,<br />
wie im Abschnitt „Out-of-Band-Zugriff“ dieser Leistungsbeschreibung beschrieben.<br />
5.3.1 Leistungsumfang<br />
Auf Wunsch des Kunden und gegen Zahlung einer im Bestellschein angegebenen zusätzlichen Gebühr<br />
wird <strong>IBM</strong> die im Folgenden beschriebenen Leistungen erbringen, soweit zutreffend.<br />
<strong>IBM</strong> wird<br />
a. den ordnungsgemäßen Betrieb und die Verfügbarkeit des Warm-Standby-Agenten sicherstellen,<br />
wie im Abschnitt „Überwachung des Status und der Verfügbarkeit der Managed Agents“ dieser<br />
Leistungsbeschreibung beschrieben;<br />
b. Content-Updates auf dem Warm-Standby-Agenten einspielen, wie im Abschnitt „Management von<br />
Agenten“ dieser Leistungsbeschreibung beschrieben; und<br />
c. bei einem Ausfall des primären Agenten den Status des Warm-Standby-Agenten in „active“ ändern.<br />
5.3.2 Verantwortlichkeiten des Kunden<br />
Der Kunde wird<br />
a. sicherstellen, dass gültige Lizenz-, Support- und Wartungsverträge für alle Warm-Standby-<br />
Plattformen vorliegen;<br />
Z126-5942-AT-2 04-2013 Seite 30 von 41 Z126-5942-WW-2 04-2013
. die Verantwortung für alle Gebühren im Zusammenhang mit dem fortlaufenden Management des<br />
Warm-Standby-Agenten übernehmen;<br />
c. sekundäre IP-Adressen bereitstellen;<br />
d. die Verantwortlichkeiten des Kunden erfüllen, die im Abschnitt „Überwachung des Status und der<br />
Verfügbarkeit der Managed Agents“ dieser Leistungsbeschreibung beschrieben sind;<br />
e. die Verantwortlichkeiten des Kunden erfüllen, die im Abschnitt „Management von Agenten“ dieser<br />
Leistungsbeschreibung definiert sind;<br />
f. bestätigen, dass<br />
(1) Richtlinienänderungen, die am primären Agenten vorgenommen wurden, nicht auf dem<br />
Warm-Standby-Agenten widergespiegelt werden; und<br />
(2) Standby-Agenten keinen Datenverkehr zu den SOCs erzeugen dürfen, es sei denn, sie<br />
wurden in den Produktionsbetrieb überführt und auf „active“ eingestellt;<br />
g. die Verantwortung für die gesamte Remote-Konfiguration und Fehlersuche/-behebung übernehmen,<br />
falls sich der Kunde gegen die Implementierung einer Out-of-Band-Lösung entscheidet oder die<br />
Out-of-Band-Lösung aus irgendeinem Grund nicht verfügbar ist.<br />
5.4 Management von virtuellen Instanzen<br />
Dieser Service beinhaltet das Management virtueller Instanzen von Geräten für die Netzwerksicherheit.<br />
Die virtuelle Firewall-Technologie ist ein spezialisiertes Firewall-Feature, das mehrere logische Firewall-<br />
„Kontexte“ für mehrere Netzwerke auf einem einzelnen System bereitstellt. Virtuelle Firewall-Kontexte, die<br />
als Teil einer virtualisierten Plattform ausgeführt werden, beschränken sich auf Firewall- und VPN-<br />
Funktionalität, die durch die jeweilige Plattform ermöglicht wird. Alle weiteren Features werden nicht<br />
unterstützt, sofern nicht in diesem Dokument ausdrücklich anders angegeben. Die ursprüngliche Plattform<br />
und die virtuelle Firewall-Instanz werden durch die für ein Firewall-Gerät angegebenen Management-<br />
Services unterstützt. Zusätzliche virtuelle Firewall-Instanzen sind jedoch Gegenstand der spezifischen<br />
Aktivitäten, die in den folgenden Abschnitten zu virtuellen Instanzen beschrieben sind. Jeder virtuelle<br />
Kontext wird durch die im Bestellschein angegebene Anzahl an virtuellen Instanzen bestimmt.<br />
Bei virtuellen Firewalls, die im Transportmodus ausgeführt werden, setzt <strong>IBM</strong> voraus, dass jedem<br />
virtuellen Kontext der Ebene 2 eine IP-Adresse der Ebene 3 zugeordnet wird, um <strong>IBM</strong> das effektive<br />
Management und die effektive Überwachung der einzelnen Kontexte zu ermöglichen.<br />
5.4.1 Leistungsumfang<br />
<strong>IBM</strong> wird<br />
a. in Zusammenarbeit mit dem Kunden eine optimale Firewall-Konfiguration auf der Basis der<br />
Netzwerk- und Firewall-Konfiguration des Kunden sowie der aktivsten weltweiten<br />
Sicherheitsbedrohungen (die vom <strong>IBM</strong> SOC ermittelt werden) bestimmen;<br />
b. Änderungen an der Konfiguration wie im Bestellschein angegeben innerhalb der angegebenen<br />
Implementierungszeit durchführen; und<br />
c. Ereignisse und Protokolle erfassen und archivieren, wie in dieser Leistungsbeschreibung<br />
angegeben und soweit für die von der virtuellen Instanz empfangenen Protokolle und Ereignisse<br />
angebracht.<br />
5.4.2 Verantwortlichkeiten des Kunden<br />
Der Kunde wird<br />
a. anzeigen, welche/r virtuelle/n Kontext/e bei der Durchführung einer angeforderten<br />
Richtlinienänderung betroffen ist/sind;<br />
b. ein von <strong>IBM</strong> unterstütztes Out-of-Band-Gerät implementieren und eine dedizierte analoge<br />
Telefonleitung für den Zugriff bereitstellen; und<br />
c. das Gerät und die Telefonleitung beschaffen und die Kosten für deren Beschaffung und<br />
fortlaufenden Betrieb übernehmen.<br />
5.5 Hochverfügbarkeit<br />
Hochverfügbarkeit ist eine optionale Servicekomponente für Managed Network Security Services. Um<br />
Schutz vor Hardware- und/oder Softwareausfällen und hohe Verfügbarkeit zu erreichen, können zwei<br />
Z126-5942-AT-2 04-2013 Seite 31 von 41 Z126-5942-WW-2 04-2013
Managed Agents konfiguriert und implementiert werden, von denen einer voll einsatzfähig ist und der<br />
andere als Ersatz bereitgehalten wird und erst bei einem Ausfall des ersten Agenten zum Einsatz kommt.<br />
Einige Agenten können auch in einem Cluster konfiguriert werden, in dem mehrere Agenten die Netzlast<br />
gemeinsam verarbeiten.<br />
Aktiv/Passiv-Implementierungen<br />
In dieser Konfiguration wird ein zweiter Agent konfiguriert, der bereit für den Einsatz im Netzwerk ist, falls<br />
es bei dem primären Agenten zu einem kritischen Hardware- oder Softwareausfall kommt. Die<br />
Verarbeitung wird in diesem Szenario automatisch und sofort an den zweiten Agenten übertragen.<br />
Aktiv/Aktiv-Implementierungen<br />
In einem Aktiv/Aktiv-Cluster werden zwei oder mehr Agenten zur gleichzeitigen Verarbeitung des<br />
Datenverkehrs im Netzwerk eingesetzt. In dieser Konfiguration verarbeitet jeder Agent einen Teil der<br />
Netzwerkpakete, gesteuert von einem Algorithmus für den Lastausgleich. Beim Ausfall eines Agenten<br />
wird der gesamte Datenverkehr von dem/den übrigen Agenten übernommen, bis der ausgefallene Agent<br />
wiederhergestellt ist.<br />
<strong>IBM</strong> empfiehlt nachdrücklich die Verwendung des Out-of-Band-Zugriffs auf alle Agenten in der<br />
Hochverfügbarkeitskonfiguration, wie im Abschnitt „Out-of-Band-Zugriff“ dieser Leistungsbeschreibung<br />
beschrieben.<br />
5.5.1 Leistungsumfang<br />
Auf Wunsch des Kunden und gegen Zahlung einer im Bestellschein angegebenen zusätzlichen Gebühr<br />
wird <strong>IBM</strong> die im Folgenden beschriebenen Leistungen erbringen, soweit zutreffend.<br />
<strong>IBM</strong> wird<br />
a. einen sekundären Agenten konfigurieren, entweder in einer Aktiv/Passiv- oder Aktiv/Aktiv-<br />
Konfiguration, wie vom Kunden angegeben;<br />
b. – wenn entweder Firewall, UTM, Secure Web Gateway oder IDPS Management Services<br />
Bestandteil des Servicevertrags des Kunden sind – Aktiv/Aktiv-Konfigurationen konfigurieren, die<br />
drei oder mehr Agenten (Cluster) im Unicast-Modus verwenden (Unicast-Modus bedeutet, dass ein<br />
einzelner Absender und ein einzelner Empfänger über ein Netzwerk miteinander kommunizieren);<br />
Anmerkung: <strong>IBM</strong> unterstützt keine Aktiv/Aktiv-Konfigurationen im Multicast-Modus.<br />
c. die Hochverfügbarkeitslösung betreiben und überwachen;<br />
d. den ordnungsgemäßen Betrieb und die Verfügbarkeit des sekundären Agenten sicherstellen, wie im<br />
Abschnitt „Überwachung des Status und der Verfügbarkeit der Managed Agents“ dieser<br />
Leistungsbeschreibung beschrieben;<br />
e. Content-Updates auf dem/den sekundären Agenten einspielen, wie im Abschnitt „Management von<br />
Agenten“ dieser Leistungsbeschreibung beschrieben; und<br />
f. die Richtlinie des sekundären Agenten aktualisieren, wie im Abschnitt „Richtlinienmanagement“<br />
dieser Leistungsbeschreibung beschrieben.<br />
5.5.2 Verantwortlichkeiten des Kunden<br />
Der Kunde wird<br />
a. einen sekundären Agenten bereitstellen;<br />
b. alle erforderlichen Änderungen an der Softwarelizenzierung vornehmen;<br />
c. sekundäre IP-Adressen bereitstellen;<br />
d. die Verantwortung für alle Gebühren im Zusammenhang mit dem fortlaufenden Management des<br />
sekundären Agenten übernehmen;<br />
e. die Verantwortlichkeiten des Kunden erfüllen, die in den folgenden Abschnitten dieser<br />
Leistungsbeschreibung definiert sind:<br />
(1) „Überwachung des Status und der Verfügbarkeit der Managed Agents“;<br />
(2) „Management von Agenten“;<br />
(3) „Richtlinienmanagement“;<br />
f. die Verantwortung für die gesamte Remote-Konfiguration und Fehlersuche/-behebung übernehmen,<br />
falls sich der Kunde gegen die Implementierung einer Out-of-Band-Lösung auf dem primären und<br />
Z126-5942-AT-2 04-2013 Seite 32 von 41 Z126-5942-WW-2 04-2013
sekundären Agenten entscheidet oder die Out-of-Band-Lösung aus irgendeinem Grund nicht<br />
verfügbar ist; und<br />
g. bestätigen, dass<br />
(1) die Services keine nicht integrierten Hochverfügbarkeitslösungen unterstützen; und<br />
(2) <strong>IBM</strong> Aktiv/Aktiv-Konfigurationen, die drei oder mehr Agenten nutzen, nur im Unicast-Modus<br />
unterstützt.<br />
5.6 Aggregator am Kundenstandort<br />
Der Aggregator am Kundenstandort ist eine optionale Servicekomponente für Managed Network Security<br />
Services. Der Aggregator am Kundenstandort (nachfolgend „Onsite Aggregator“ oder „OA“ genannt) ist<br />
ein vom Kunden bereitgestelltes Gerät, das am Kundenstandort implementiert wird. Der Zweck des OA<br />
besteht darin, die Erfassung von Protokolldaten zu zentralisieren, wenn der Kunde die <strong>IBM</strong> Managed<br />
Security Services für mehrere Agenten nutzt, und diese Daten sicher an die <strong>IBM</strong> MSS-Infrastruktur zu<br />
übertragen, in der sie weiter verarbeitet und aufbewahrt werden.<br />
Die Basisfunktionen des OA sind nachstehend beschrieben:<br />
a. Erfassung von Protokolldaten;<br />
b. Komprimierung der Protokolldaten;<br />
c. Verschlüsselung der Protokolldaten; und<br />
d. Übertragung der Protokolldaten an die <strong>IBM</strong> MSS-Infrastruktur.<br />
Die Kernfunktionen des OA sind nachstehend beschrieben:<br />
a. Lokales Einstellen von Protokollen in die Warteschlange, wenn keine Verbindung zur <strong>IBM</strong> MSS-<br />
Infrastruktur verfügbar ist;<br />
b. Durchführung der unidirektionalen Protokollübertragung. Die OA-Kommunikation wird über<br />
abgehende SSL/TCP-443-Verbindungen ausgeführt;<br />
c. Durchführung der Nachrichtendrosselung bei entsprechender Konfiguration. Dadurch wird die Zahl<br />
der vom OA zur <strong>IBM</strong> MSS-Infrastruktur übertragenen Protokolle pro Sekunde eingeschränkt, um<br />
Bandbreite zu sparen; und<br />
d. Bereitstellung von Übertragungszeitfenstern bei entsprechender Konfiguration. Die<br />
Übertragungszeitfenster aktivieren/deaktivieren die Ereignisübertragung an die <strong>IBM</strong> MSS-<br />
Infrastruktur während des angegebenen Zeitrahmens.<br />
<strong>IBM</strong> empfiehlt nachdrücklich die Verwendung des Out-of-Band-Zugriffs auf den OA, wie im Abschnitt<br />
„Out-of-Band-Zugriff“ dieser Leistungsbeschreibung beschrieben.<br />
5.6.1 Leistungsumfang<br />
Auf Wunsch des Kunden und gegen Zahlung einer im Bestellschein angegebenen zusätzlichen Gebühr<br />
wird <strong>IBM</strong> die im Folgenden beschriebenen Leistungen erbringen, soweit zutreffend.<br />
Aktivität 1 – Konfiguration<br />
Zweck dieser Aktivität ist die Konfiguration des OA.<br />
<strong>IBM</strong> wird<br />
a. den Kunden per Telefon und E-Mail dabei unterstützen, Dokumente des jeweiligen Herstellers zu<br />
finden, die eine genaue Beschreibung der Installations- und Konfigurationsverfahren für das OA-<br />
Betriebssystem und die von <strong>IBM</strong> bereitgestellte OA-Software enthalten. Diese Unterstützung muss<br />
im Voraus geplant werden, um sicherzustellen, dass ein <strong>IBM</strong> Spezialist für die Implementierung zur<br />
Verfügung steht;<br />
b. dem Kunden Hardwarespezifikationen für die OA-Plattform bereitstellen;<br />
c. dem Kunden OA-Software und Konfigurationseinstellungen bereitstellen;<br />
d. den Kunden per Telefon und E-Mail bei der Installation der von <strong>IBM</strong> bereitgestellten OA-Software<br />
auf der vom Kunden bereitgestellten Hardwareplattform unterstützen. Diese Unterstützung muss im<br />
Voraus geplant werden, um sicherzustellen, dass ein <strong>IBM</strong> Spezialist für die Implementierung zur<br />
Verfügung steht;<br />
Z126-5942-AT-2 04-2013 Seite 33 von 41 Z126-5942-WW-2 04-2013
e. auf Wunsch des Kunden und gegen Zahlung einer im Bestellschein angegebenen zusätzlichen<br />
Gebühr Leistungen für die Softwareinstallation erbringen; und<br />
f. beim Einsatz vorhandener Plattformen<br />
(1) vorhandene Hardwarekonfigurationen prüfen, um sicherzustellen, dass sie den <strong>IBM</strong><br />
Spezifikationen entsprechen; und<br />
(2) erforderliche Hardware-Upgrades ermitteln, die vom Kunden bereitzustellen und zu<br />
installieren sind.<br />
Wird der OA auf einer virtuellen Plattform installiert, trägt <strong>IBM</strong> die alleinige Verantwortung für das<br />
Management der virtuellen Maschine des OA. Für das Management der Virtualisierungsinfrastruktur ist<br />
<strong>IBM</strong> nicht verantwortlich.<br />
Wird ein OA auf einer virtuellen Maschine ausgeführt, wird aus dem vereinbarten Service-Level (SLA) für<br />
die proaktive Systemüberwachung ein lediglich angestrebter Service-Level (Service Level Objective,<br />
SLO) und die im Abschnitt „SLA-Gutschriften“ dieser Leistungsbeschreibung angegebene<br />
Gutschriftenregelung wird unwirksam.<br />
Aktivität 2 – Installation<br />
Zweck dieser Aktivität ist die Installation des OA.<br />
<strong>IBM</strong> wird<br />
a. den Kunden per Telefon und E-Mail dabei unterstützen, Dokumente des jeweiligen Herstellers zu<br />
finden, die eine genaue Beschreibung der Verfahren für die physische Installation und der<br />
Verkabelung des OA enthalten. Diese Unterstützung muss im Voraus geplant werden, um<br />
sicherzustellen, dass ein <strong>IBM</strong> Spezialist für die Implementierung zur Verfügung steht;<br />
Anmerkung: Der Kunde kann Leistungen für die physische Verkabelung und Installation im Rahmen<br />
eines gesonderten Vertrags bei <strong>IBM</strong> beauftragen.<br />
b. den OA per Fernzugriff konfigurieren. Dabei wird <strong>IBM</strong> den OA in der <strong>IBM</strong> MSS-Infrastruktur<br />
registrieren und den Prozess für die Übernahme der Implementierung und des Managements des<br />
OA initiieren; und<br />
c. bestätigen, dass die <strong>IBM</strong> MSS-Infrastruktur Daten vom OA empfängt.<br />
Aktivität 3 – Fortlaufendes Management und kontinuierliche Unterstützung<br />
Zweck dieser Aktivität ist das fortlaufende Management und die kontinuierliche Unterstützung des OA.<br />
<strong>IBM</strong> wird<br />
a. den OA in den SOCs auf „active“ einstellen, um die kontinuierliche Unterstützung und das<br />
fortlaufende Management durch die SOCs zu aktivieren;<br />
b. den ordnungsgemäßen Betrieb und die Verfügbarkeit des OA sicherstellen, wie im Abschnitt<br />
„Überwachung des Status und der Verfügbarkeit der Managed Agents“ dieser<br />
Leistungsbeschreibung beschrieben;<br />
c. Software-Updates auf dem OA einspielen, wie im Abschnitt „Management von Agenten“ dieser<br />
Leistungsbeschreibung beschrieben; und<br />
d. die Verantwortung für das Management und die Überwachung des OA für die Dauer der<br />
Vertragslaufzeit und jeder Verlängerungslaufzeit übernehmen.<br />
5.6.2 Verantwortlichkeiten des Kunden<br />
Aktivität 1 – Konfiguration<br />
Der Kunde wird<br />
a. <strong>IBM</strong> eine externe (im Internet routebare) IP-Adresse für den OA bereitstellen;<br />
b. die Hardware für die OA-Plattform bereitstellen, basierend auf den Empfehlungen und<br />
Anforderungen von <strong>IBM</strong>;<br />
c. die von <strong>IBM</strong> bereitgestellte OA-Software nach Anleitung von <strong>IBM</strong> auf der vom Kunden<br />
bereitgestellten Hardware installieren;<br />
d. eine externe IP-Adresse und die zugehörige Einstellung auf dem OA konfigurieren;<br />
Z126-5942-AT-2 04-2013 Seite 34 von 41 Z126-5942-WW-2 04-2013
e. <strong>IBM</strong> die IP-Adresse des OA, den Hostnamen, die Maschinenplattform, die Anwendungsversion und<br />
die Zeitzone des Agenten bereitstellen; und<br />
f. beim Einsatz vorhandener Plattformen die von <strong>IBM</strong> geforderten Hardware-Upgrades beschaffen<br />
und installieren.<br />
Aktivität 2 – Installation<br />
Der Kunde wird<br />
a. die Verantwortung für die physische Installation und Verkabelung des OA übernehmen; und<br />
b. die Unterstützung mit einem <strong>IBM</strong> Spezialisten für die Implementierung planen.<br />
Aktivität 3 – Fortlaufendes Management und kontinuierliche Unterstützung<br />
Der Kunde wird<br />
a. die Verantwortung für die Beschaffung und Installation der erforderlichen Hardware-Upgrades für<br />
die OA-Plattform für die Dauer der Vertragslaufzeit übernehmen;<br />
b. die Verantwortlichkeiten des Kunden erfüllen, die im Abschnitt „Überwachung des Status und der<br />
Verfügbarkeit der Managed Agents“ dieser Leistungsbeschreibung beschrieben sind;<br />
c. die Verantwortlichkeiten des Kunden erfüllen, die im Abschnitt „Management von Agenten“ dieser<br />
Leistungsbeschreibung beschrieben sind;<br />
d. beim Einsatz von virtuellen Instanzen im Rahmen dieses Service die alleinige Verantwortung für<br />
das Management der Virtualisierungsinfrastruktur übernehmen, sofern der OA auf einer virtuellen<br />
Maschine (VM) ausgeführt wird;<br />
e. beim Einsatz von virtuellen Instanzen im Rahmen dieses Service zustimmen, dass im Fall der<br />
Durchführung von Wartungsmaßnahmen auf dem virtualisierten Server, die den Betrieb des VM-<br />
Image des OA beeinträchtigen könnten, ein Ticket erstellt werden muss, um <strong>IBM</strong> zu<br />
benachrichtigen und ein Konfigurationszeitfenster zu planen, falls der OA sicher heruntergefahren<br />
werden muss; und<br />
f. beim Einsatz von virtuellen Instanzen im Rahmen dieses Service ausreichende dedizierte<br />
Ressourcen für die virtuelle Maschine des OA bereitstellen, um die von <strong>IBM</strong> angegebenen<br />
Mindestvoraussetzungen zu erfüllen.<br />
5.7 Integration des Ticketsystems<br />
Wenn der Kunde ein vorhandenes Trouble-Ticket- und Incident-Management-System nutzen möchte, um<br />
seine Investitionen zu schützen, wird <strong>IBM</strong> eine Anwendungsprogrammierschnittstelle (API) bereitstellen,<br />
die die individuell angepasste Integration mit externen Ticketsystemen erlaubt.<br />
5.7.1 Leistungsumfang<br />
Auf Wunsch des Kunden und gegen Zahlung einer im Bestellschein angegebenen zusätzlichen Gebühr<br />
wird <strong>IBM</strong> eine API bereitstellen, um die individuell angepasste Integration mit externen Ticketsystemen zu<br />
ermöglichen.<br />
5.7.2 Verantwortlichkeiten des Kunden<br />
Der Kunde wird<br />
a. die Verantwortung für alle zusätzlichen Gebühren im Zusammenhang mit der API für die<br />
Ticketintegration übernehmen;<br />
b. das API-Paket nutzen, um die Ticketintegration zu ermöglichen;<br />
c. die Verantwortung für alle technischen und entwicklungsspezifischen Probleme im Zusammenhang<br />
mit der Ticketintegration übernehmen; und<br />
d. bestätigen, dass <strong>IBM</strong> keine Unterstützung oder Beratung für die Integration des Ticketsystems des<br />
Kunden bereitstellen wird.<br />
5.8 Optionaler Out-of-Band-Zugriff für das Protokollmanagement<br />
Der Out-of-Band-Zugriff für das Protokollmanagement ist eine optionale Servicekomponente für Managed<br />
Network Security Services. Er unterstützt die SOCs, falls die Verbindung zu einem Agenten unterbrochen<br />
wird. Im Fall solcher Verbindungsprobleme kann sich der SOC-Analyst in das Out-of-Band-Gerät<br />
Z126-5942-AT-2 04-2013 Seite 35 von 41 Z126-5942-WW-2 04-2013
einwählen, um zu verifizieren, dass der Agent korrekt funktioniert, und versuchen, die Ursache des<br />
Ausfalls zu bestimmen, bevor das Problem an den Kunden eskaliert wird.<br />
5.8.1 Leistungsumfang<br />
Auf Wunsch des Kunden und gegen Zahlung einer im Bestellschein angegebenen zusätzlichen Gebühr<br />
wird <strong>IBM</strong> die im Folgenden beschriebenen Leistungen erbringen, soweit zutreffend.<br />
<strong>IBM</strong> wird<br />
a. den Kunden per Telefon und E-Mail dabei unterstützen, Dokumente des jeweiligen Herstellers zu<br />
finden, die eine genaue Beschreibung der Verfahren für die physische Installation und der<br />
Verkabelung enthalten;<br />
b. das Out-of-Band-Gerät für den Zugriff auf die Managed Agents konfigurieren; oder<br />
c. mit dem Kunden zusammenarbeiten, um eine von <strong>IBM</strong> genehmigte vorhandene Out-of-Band-<br />
Lösung zu nutzen.<br />
Anmerkung: Zum Zweck der Klarstellung wird darauf hingewiesen, dass <strong>IBM</strong> auf den erforderlichen Outof-Band-Zugriff<br />
verzichten kann, falls die interne Sicherheitsrichtlinie des Kunden die Verwendung eines<br />
Out-of-Band-Geräts verbietet. Dies kann jedoch die Fähigkeit von <strong>IBM</strong> zur effektiven Erbringung der<br />
Services deutlich beeinträchtigen.<br />
Beendigung der Leistungen:<br />
Die <strong>IBM</strong> Verpflichtungen im Rahmen dieser Aktivität sind erfüllt, wenn eine der folgenden Bedingungen<br />
zuerst eintritt:<br />
●<br />
●<br />
<strong>IBM</strong> hat das Out-of-Band-Gerät für den Zugriff auf den Managed Agent konfiguriert; oder<br />
<strong>IBM</strong> hat sich auf Wunsch des Kunden damit einverstanden erklärt, auf den erforderlichen Out-of-<br />
Band-Zugriff zu verzichten.<br />
Zu liefernde Materialien:<br />
●<br />
Keine<br />
5.8.2 Verantwortlichkeiten des Kunden<br />
Diese Aktivität erfordert keine weiteren Verantwortlichkeiten des Kunden.<br />
6. Service-Level-Agreements<br />
<strong>IBM</strong> Service-Level-Agreements (SLAs) legen Reaktionszeiten und Gegenmaßnahmen bei bestimmten<br />
Ereignissen, die sich aus den Services ergeben, fest. Die SLAs werden wirksam, wenn der<br />
Implementierungsprozess abgeschlossen ist und die Unterstützung und das Management des Agenten<br />
erfolgreich an die SOCs übertragen wurden. SLA-Gutschriften sind unter der Voraussetzung verfügbar,<br />
dass der Kunde seine in dieser Leistungsbeschreibung und allen zugehörigen Vertragsdokumenten<br />
definierten Verpflichtungen erfüllt.<br />
6.1 SLA-Verfügbarkeit<br />
Die im Folgenden beschriebenen SLA-Standardwerte beinhalten die erfassten Kennzahlen für die<br />
Erbringung der Services. Sofern nicht nachstehend ausdrücklich anders angegeben, gelten keinerlei<br />
Gewährleistungen für die im Rahmen dieser Leistungsbeschreibung erbrachten Services. Der einzige<br />
Anspruch des Kunden auf Kompensation bei Nichteinhaltung der vereinbarten SLA-Standardwerte ist im<br />
Abschnitt „SLA-Gutschriften“ dieser Leistungsbeschreibung angegeben.<br />
a. Alarmbenachrichtigung bei Sicherheitsverstößen – Hat der Kunde die Alarmbenachrichtigung des<br />
X-Force Protection System im Portal konfiguriert und wurde ein Alarm erzeugt, wird <strong>IBM</strong> dem<br />
benannten Ansprechpartner für die Services eine stündliche Benachrichtigung per E-Mail zusenden,<br />
in der Alarmbenachrichtigungen des X-Force Protection System zusammengefasst sind. Dieses<br />
SLA gilt nur für das erste Senden der Alarmbenachrichtigung des X-Force Protection System, nicht<br />
für die bestätigte Übermittlung an den/die Endempfänger.<br />
Zum Zweck der Klarstellung wird darauf hingewiesen, dass nur dann eine E-Mail-Benachrichtigung<br />
gesendet wird, wenn ein Alarm während der vorhergehenden Stunde erzeugt wurde.<br />
b. Erkennung von Sicherheitsverstößen – <strong>IBM</strong> wird alle Ereignisse, bei denen es sich nach Ermessen<br />
von <strong>IBM</strong> um Sicherheitsverstöße der Priorität 1, 2 und 3 handelt, identifizieren, basierend auf den<br />
von den IDPS-Agenten an die SOCs übermittelten Ereignisdaten (soweit zutreffend).<br />
Z126-5942-AT-2 04-2013 Seite 36 von 41 Z126-5942-WW-2 04-2013
(1) Sicherheitsverstöße der Priorität 1: Ereignisse mit hohem Risiko, die gravierenden Schaden<br />
an den Systemen oder Umgebungen des Kunden anrichten können und umgehende<br />
Gegenmaßnahmen erfordern. Beispiele von Sicherheitsverstößen der Priorität 1 sind<br />
Gefährdungen von Systemen oder Daten, Wurminfektionen bzw. die Verbreitung von<br />
Würmern und massive Denial-of-Service-Attacken.<br />
(2) Sicherheitsverstöße der Priorität 2: Ereignisse mit geringerem Risiko, die sich auf die Systeme<br />
oder Umgebungen des Kunden auswirken können und Maßnahmen innerhalb von 12 bis<br />
24 Stunden nach ihrer Meldung erfordern. Beispiele von Sicherheitsverstößen der Priorität 2<br />
sind unbefugte lokale Suchaktivitäten und gezielte Angriffe auf bestimmte Server oder<br />
Workstations.<br />
(3) Sicherheitsverstöße der Priorität 3: Ereignisse mit geringem Risiko, die sich auf die Systeme<br />
oder Umgebungen des Kunden auswirken können. Diese Kategorie umfasst Aktivitäten in<br />
einem Netzwerk oder auf einem Server, die innerhalb von ein bis sieben Tagen näher<br />
untersucht werden sollten, aber möglicherweise keine unmittelbaren Maßnahmen erfordern.<br />
Zu dieser Kategorie gehören die Erkennungssuche, Scripts zur Informationsbeschaffung und<br />
weitere Ausspähungsversuche.<br />
Anmerkung: Ob ein Sicherheitsereignis als Sicherheitsverstoß gewertet wird, liegt im alleinigen<br />
Ermessen von <strong>IBM</strong>.<br />
c. Benachrichtigung bei Sicherheitsverstößen (es sei denn, die Firewall Management Services oder<br />
SWG Management Services sind Bestandteil des Servicevertrags) – <strong>IBM</strong> wird die Benachrichtigung<br />
bei Sicherheitsverstößen innerhalb der ausgewählten Frist für die Reaktion auf Sicherheitsverstöße<br />
initiieren. Der autorisierte Ansprechpartner des Kunden für die Sicherheit oder der benannte<br />
Ansprechpartner für die Services wird bei Sicherheitsverstößen der Priorität 1 per Telefon und bei<br />
Sicherheitsverstößen der Priorität 2 und 3 per E-Mail benachrichtigt. Bei einem Sicherheitsverstoß<br />
der Priorität 1 wird <strong>IBM</strong> so lange versuchen, den autorisierten Ansprechpartner für die Sicherheit<br />
oder den benannten Ansprechpartner für die Services zu kontaktieren, bis <strong>IBM</strong> den<br />
Ansprechpartner erreicht hat oder keiner der genannten Ansprechpartner mehr übrig ist, der<br />
kontaktiert werden könnte.<br />
Betriebsaktivitäten im Zusammenhang mit Sicherheitsverstößen und daraufhin eingeleiteten<br />
Maßnahmen werden im <strong>IBM</strong> Trouble-Ticket-System dokumentiert und mit einer Zeitmarke<br />
versehen. Diese Dokumentation und Zeitmarke werden als alleinige maßgebliche<br />
Informationsquelle zu Zwecken dieses SLA verwendet.<br />
Das anwendbare SLA für die Reaktion auf Sicherheitsverstöße basiert auf den im Bestellschein<br />
angegebenen Optionen.<br />
d. Bestätigung der Anforderung einer Richtlinienänderung – Wenn zutreffend, wird <strong>IBM</strong> den Erhalt<br />
einer vom Kunden übermittelten Anforderung einer Richtlinienänderung innerhalb der im<br />
Bestellschein angegebenen Frist für die Bestätigung der Anforderung einer Richtlinienänderung<br />
bestätigen. Dieses SLA ist nur für Anforderungen einer Richtlinienänderung verfügbar, die durch<br />
einen autorisierten Ansprechpartner für die Sicherheit oder einen benannten Ansprechpartner für<br />
die Services gemäß den im Portal dokumentierten Verfahren eingereicht wurden.<br />
e. Implementierung einer angeforderten Richtlinienänderung – Wenn zutreffend, wird <strong>IBM</strong> eine vom<br />
Kunden angeforderte Richtlinienänderung innerhalb der ausgewählten und im Bestellschein<br />
angegebenen Implementierungszeit implementieren, es sei denn, die Anforderung wurde in den<br />
Status „hold“ versetzt, da die vom Kunden bereitgestellten Informationen für die Implementierung<br />
der angeforderten Richtlinienänderung nicht ausreichen. Dieses SLA ist nur für Anforderungen einer<br />
Richtlinienänderung verfügbar, die durch einen autorisierten Ansprechpartner für die Sicherheit oder<br />
einen benannten Ansprechpartner für die Services gemäß den im Portal dokumentierten Verfahren<br />
eingereicht wurden. Es gilt nicht für Anforderungen einer Richtlinienänderung, die die monatlich<br />
zulässige Zahl übersteigen.<br />
Das anwendbare SLA für die Implementierung einer angeforderten Richtlinienänderung basiert auf<br />
den im Bestellschein angegebenen Optionen für die Implementierungszeit.<br />
f. Proaktive Systemüberwachung – <strong>IBM</strong> wird den Kunden innerhalb der angegebenen Reaktionszeit<br />
benachrichtigen, nachdem <strong>IBM</strong> festgestellt hat, dass der Agent des Kunden über In-Band-<br />
Standardverbindungen nicht erreichbar ist. Das anwendbare SLA für die Reaktionszeit basiert auf<br />
den im Bestellschein angegebenen Optionen für die Reaktionszeit.<br />
Z126-5942-AT-2 04-2013 Seite 37 von 41 Z126-5942-WW-2 04-2013
g. Proaktives Update von Sicherheitsinhalten – Wenn zutreffend, wird <strong>IBM</strong> innerhalb der im<br />
Bestellschein angegebenen Frist mit dem Einspielen neuer Updates von Sicherheitsinhalten oder<br />
Geräten beginnen, nachdem die folgenden Bedingungen nacheinander eingetreten sind:<br />
(1) Das Update wurde vom jeweiligen Hersteller veröffentlicht und allgemein verfügbar gemacht;<br />
(2) <strong>IBM</strong> hat einen Testzeitraum erfolgreich mit positiven Ergebnissen abgeschlossen; und<br />
(3) eine Bestätigung (sofern erforderlich) des Kunden ist eingegangen, mit der der Kunde<br />
zustimmt, das Update innerhalb der im Bestellschein angegebenen Frist einzuspielen, es sei<br />
denn, beide Parteien vereinbaren, das Update zu einem späteren Zeitpunkt einzuspielen. Das<br />
vereinbarte Update wird in Übereinstimmung mit den vom Kunden angegebenen<br />
Anforderungen bezüglich eines Änderungszeitfensters eingespielt und erfordert<br />
möglicherweise eine Bestätigung, bevor es eingespielt wird. Das anwendbare SLA für<br />
Updates von Agenten basiert auf den im Bestellschein angegebenen Optionen für die Frist<br />
zum Einspielen von Updates für Agenten.<br />
Nachfolgend genannte Service-Level-Ziele werden lediglich angestrebt. Im Falle des Nichterreichens<br />
dieser Service-Level-Ziele wird <strong>IBM</strong> in Abstimmung mit dem Kunden Maßnahmen zur Verbesserung der<br />
Verfügbarkeit der Services bzw. der Erreichbarkeit des Portals einleiten. Ein Anspruch auf Erteilung einer<br />
Service-Level-Gutschrift besteht nicht.<br />
a. Verfügbarkeit der Services – <strong>IBM</strong> wird eine angestrebte Serviceverfügbarkeit von 100 % für die<br />
SOCs bieten.<br />
b. Verfügbarkeit des Portals – <strong>IBM</strong> wird eine angestrebte Erreichbarkeit des Portals von 99,9 %<br />
außerhalb der im Abschnitt „Geplante und im Notfall durchgeführte Portalwartung“ in den<br />
Allgemeinen Bedingungen für <strong>IBM</strong> Managed Security Services angegebenen Zeiten bieten.<br />
6.2 SLA-Gutschriften<br />
a. Service-Level-Gutschrift bei Nichteinhaltung des SLAs für die Erkennung von Sicherheitsverstößen<br />
– Falls <strong>IBM</strong> dieses SLA in einem bestimmten Kalendermonat nicht einhält, wird eine Service-Level-<br />
Gutschrift erteilt, wie nachfolgend angegeben.<br />
(1) Sicherheitsverstöße der Priorität 1: Wird ein Sicherheitsereignis nicht als Sicherheitsverstoß<br />
erkannt, erhält der Kunde eine Gutschrift in Höhe der Servicegebühr für einen Monat für den<br />
ersten Agenten, der das Ereignis gemeldet hat.<br />
(2) Sicherheitsverstöße der Priorität 2: Wird ein Sicherheitsereignis nicht als Sicherheitsverstoß<br />
erkannt, erhält der Kunde eine Gutschrift in Höhe der anteiligen Servicegebühr für eine Woche<br />
für den ersten Agenten, der das Ereignis gemeldet hat.<br />
(3) Sicherheitsverstöße der Priorität 3: Wird ein Sicherheitsereignis nicht als Sicherheitsverstoß<br />
erkannt, erhält der Kunde eine Gutschrift in Höhe der anteiligen Servicegebühr für einen Tag<br />
für den ersten Agenten, der das Ereignis gemeldet hat.<br />
b. Service-Level-Gutschriften bei Nichteinhaltung folgender SLAs: Alarmbenachrichtigung bei<br />
Sicherheitsverstößen, Bestätigung der Anforderung einer Richtlinienänderung, Implementierung<br />
einer angeforderten Richtlinienänderung, proaktive Systemüberwachung, proaktives Update von<br />
Sicherheitsinhalten – Falls <strong>IBM</strong> eines dieser SLAs nicht einhält, wird <strong>IBM</strong> dem Kunden eine Service-<br />
Level-Gutschrift in Höhe von 1/30 der monatlichen Überwachungsgebühr für den betroffenen<br />
Agenten und, sofern zutreffend, für die Plattform, bei dem/der das jeweilige SLA nicht erfüllt wurde,<br />
als pauschalierten Schadensersatz gutschreiben. Mit Zahlung bzw. Verrechnung der Service-Level-<br />
Gutschrift sind alle Ansprüche aus der Nichteinhaltung vereinbarter SLAs abschließend abgegolten.<br />
Zusammenfassung der SLAs und SLA-Gutschriften<br />
Service-Level-Agreements<br />
Erkennung von Sicherheitsverstößen<br />
Implementierung einer angeforderten<br />
Richtlinienänderung<br />
SLA-Gutschriften<br />
Gutschrift in Höhe der (anteiligen) Servicegebühr für einen<br />
Monat, eine Woche oder einen Tag für den ersten Agenten, der<br />
das Ereignis gemeldet hat, wie oben angegeben<br />
Gutschrift auf der Basis der monatlichen Gebühr für die<br />
Implementierung einer Richtlinienänderung, bei der das geltende<br />
Z126-5942-AT-2 04-2013 Seite 38 von 41 Z126-5942-WW-2 04-2013
SLA nicht erfüllt wurde<br />
Bestätigung der Anforderung einer<br />
Richtlinienänderung<br />
Alarmbenachrichtigung bei<br />
Sicherheitsverstößen<br />
Benachrichtigung bei Sicherheitsverstößen<br />
Service-Level-Gutschrift, 1/30 der monatlichen Gebühr für den<br />
betroffenen Agenten<br />
Proaktive Systemüberwachung<br />
Proaktives Update von Sicherheitsinhalten<br />
6.3 Änderung der SLAs im Simulationsmodus<br />
Der Kunde hat die Möglichkeit, die <strong>IBM</strong> Security Network Intrusion Prevention System Appliance im<br />
Simulationsmodus auszuführen, um die virtuelle Blockierung anzuzeigen und Angriffe abzuwehren. Wenn<br />
eine Appliance im Simulationsmodus ausgeführt wird, kann der Kunde eine vollständige Liste der für sein<br />
Netzwerk spezifischen simulierten abgewehrten Angriffe über das Portal anzeigen.<br />
Der Kunde kann den Simulationsmodus jederzeit mittels einer der folgenden Methoden aktivieren und<br />
deaktivieren:<br />
a. Vor der Implementierung – Anforderung einer Richtlinienänderung (schriftlich oder per E-Mail) beim<br />
zuständigen <strong>IBM</strong> Spezialisten für die Implementierung;<br />
b. Nach der Implementierung – Anforderung des Beginns oder Endes des Simulationsmodus über ein<br />
Serviceticket oder eine Anforderung einer Richtlinienänderung innerhalb des Portals.<br />
Während des Simulationsmodus werden alle aktiven Blockierfunktionen deaktiviert, wodurch die aktive<br />
Blockierung durch das Gerät unterbunden wird, und das SLA für die Verhinderung von<br />
Sicherheitsverstößen, das im Abschnitt „SLA-Verfügbarkeit“ dieser Leistungsbeschreibung beschrieben<br />
ist, verliert seine Gültigkeit. Alle weiteren SLAs und Gutschriftenregelungen bleiben in Kraft und sind der<br />
einzige Anspruch des Kunden auf Entschädigung bei Nichteinhaltung der geltenden SLAs, wie unten<br />
beschrieben, vorausgesetzt, dass keine Gutschrift für das SLA zur Verhinderung von<br />
Sicherheitsverstößen erteilt wird, wie oben angegeben.<br />
Zusammenfassung der SLAs und SLA-Gutschriften im Simulationsmodus<br />
Service-Level-Agreements<br />
Einleitung einer Gegenmaßnahme bei unbefugtem<br />
Zugriff<br />
Erkennung von Sicherheitsverstößen<br />
Alarmbenachrichtigung bei Sicherheitsverstößen<br />
Benachrichtigung bei Sicherheitsverstößen<br />
SLA-Gutschriften<br />
Service-Level-Gutschrift in Höhe der monatlichen<br />
Überwachungsgebühr für einen Monat für den<br />
betroffenen Agenten<br />
Gutschrift in Höhe der (anteiligen) Servicegebühr für<br />
einen Monat, eine Woche oder einen Tag für den<br />
ersten Agenten, der das Ereignis gemeldet hat, wie<br />
oben angegeben<br />
Service-Level-Gutschrift, 1/30 der monatlichen<br />
Überwachungsgebühr für den betroffenen Agenten<br />
6.4 Intellectual Property Services Components<br />
IPSC-Definition<br />
Intellectual Property Services Components („IPSCs“) sind vorbestehende proprietäre Schriftwerke von<br />
<strong>IBM</strong> oder Dritten oder andere Schriftwerke (wie z. B. Programme, Programmlisten, Programmiertools,<br />
Dokumentation, Berichte, Zeichnungen und vergleichbare Werke), die <strong>IBM</strong> dem Kunden lizenziert oder<br />
die <strong>IBM</strong> bei der Bereitstellung von Services verwenden kann. IPSCs sind keine Produkte oder Materialien<br />
Z126-5942-AT-2 04-2013 Seite 39 von 41 Z126-5942-WW-2 04-2013
gemäß der Definition dieser Begriffe in der <strong>IBM</strong> Rahmenvereinbarung. Ansonsten gelten für IPSCs die<br />
Bedingungen der <strong>IBM</strong> Rahmenvereinbarung. Die Ziffer „Haftung“ wird für IPSCs allerdings so ausgelegt,<br />
als wäre eine IPSC ein „Produkt“. Dies gilt nur im Zusammenhang mit dieser Ziffer ohne Verweis auf<br />
andere Ziffern. <strong>IBM</strong> oder Dritte verfügen über sämtliche Eigentums- und Nutzungsrechte (einschließlich<br />
des Urheberrechts) an den IPSCs. Die IPSCs werden lediglich lizenziert, nicht verkauft. Soweit keine<br />
anders lautenden gesetzlichen Regelungen unabdingbar vorgesehen sind, stellt <strong>IBM</strong> die IPSCs ohne<br />
Schadensersatz oder Gewährleistungen zur Verfügung.<br />
IPSC-Lizenzerteilung<br />
In Übereinstimmung mit den nachstehend genannten IPSC-Sonderbedingungen erteilt <strong>IBM</strong> dem Kunden<br />
ein widerrufliches, nicht ausschließliches, abgegoltenes Recht, die folgende IPSC ausschließlich<br />
innerhalb seines Unternehmens zu nutzen:<br />
●<br />
Universal Log Agent<br />
IPSC-Sonderbedingungen<br />
a. <strong>IBM</strong> kann diese Lizenz kündigen, wenn der Kunde gegen eine der Bedingungen dieser<br />
Leistungsbeschreibung verstößt.<br />
b. Der Kunde verpflichtet sich, nach Ablauf oder Kündigung dieser Lizenz den Universal Log Agent<br />
nicht weiter zu nutzen, alle Kopien davon zu vernichten und <strong>IBM</strong> Belege für die Vernichtung<br />
bereitzustellen.<br />
Mit Erhalt des Universal Log Agent erklärt sich der Kunde mit den folgenden Nutzungsbedingungen<br />
einverstanden:<br />
Während der Laufzeit der <strong>IBM</strong> Managed Security Services gewährt <strong>IBM</strong> dem Kunden ein begrenztes,<br />
nicht ausschließliches, nicht übertragbares Recht, den Universal Log Agent ausschließlich in seinem<br />
Unternehmen zu nutzen. Soweit nicht hierin anders angegeben, gelten die Bedingungen des Vertrags<br />
über Managed Security Services zwischen dem Kunden und <strong>IBM</strong> für die Bereitstellung jedes Universal<br />
Log Agent durch <strong>IBM</strong> und dessen Nutzung durch den Kunden. Das Eigentum oder Eigentumsrecht am<br />
Universal Log Agent geht nicht an den Kunden über. Die Rechte des Kunden unterliegen zu jeder Zeit<br />
dem Urheberrecht und weiteren gewerblichen Schutzrechten von <strong>IBM</strong>. Sämtliche Rechte und<br />
Eigentumsrechte an dem Universal Log Agent und an allen davon abgeleiteten Werken verbleiben bei<br />
<strong>IBM</strong>. Der Universal Log Agent wird „as is“, ohne jegliche Gewährleistung oder Haftung, sei sie<br />
ausdrücklich oder stillschweigend, bereitgestellt, einschließlich der Gewährleistung für die<br />
Handelsüblichkeit, die Verwendbarkeit für einen bestimmten Zweck und die Nichtverletzung von<br />
Eigentums- und Schutzrechten.<br />
Der Universal Log Agent darf nicht 1) verwendet, kopiert, modifiziert oder verteilt werden, sofern nicht<br />
ausdrücklich hierin angegeben, 2) umgewandelt (reverse assembled, reverse compiled) oder anderweitig<br />
umgesetzt werden, sofern nicht ausdrücklich laut Gesetz zulässig, 3) in Unterlizenz vergeben, vermietet<br />
oder verleast werden oder 4) zu gewerblichen Zwecken, darunter zur gewerblichen Forschung, Beratung<br />
oder Führung eines Unternehmens, verwendet werden. Der Kunde darf keine abgeleiteten Werke auf der<br />
Basis des Universal Log Agent erstellen und keinerlei Hinweise entfernen, die im Universal Log Agent<br />
enthalten sind. Der Kunde darf den Universal Log Agent nicht für den Entwurf, die Entwicklung oder den<br />
Test von Softwareanwendungen zu gewerblichen Zwecken verwenden. Der Kunde darf anderen nicht<br />
erlauben, seine Kennwörter für den Zugriff auf nicht allgemein zugängliche <strong>IBM</strong> Websites oder für die<br />
Nutzung des Universal Log Agent zu jeglichen Zwecken zu verwenden.<br />
Der Universal Log Agent wird von <strong>IBM</strong> als vertrauliche Information eingestuft, und der Kunde wird solche<br />
vertraulichen Informationen (nachfolgend „Informationen“ genannt) sicher und vertraulich behandeln. Der<br />
Kunde wird zur Vermeidung einer Offenlegung der Informationen dieselbe Sorgfalt und Verschwiegenheit<br />
anwenden wie bei eigenen vertraulichen Informationen, deren Offenlegung er nicht wünscht. Während<br />
der Laufzeit der Services darf der Kunde die Informationen nur gegenüber (1) eigenen Mitarbeitern, die<br />
Kenntnis davon haben sollten, und (2) sonstigen Dritten mit vorheriger schriftlicher Zustimmung von <strong>IBM</strong><br />
offenlegen. Vor einer solchen Offenlegung der Informationen muss der Kunde eine entsprechende<br />
schriftliche Vereinbarung mit seinen Mitarbeitern und sonstigen Dritten, die zum Erhalt solcher<br />
Informationen berechtigt sind, treffen, mit der sich diese zur vertraulichen Behandlung der Informationen<br />
gemäß diesen Nutzungsbedingungen verpflichten. Der Kunde darf solche Informationen nur zu dem<br />
Zweck, zu dem sie offengelegt wurden, oder auf andere Weise zum Vorteil von <strong>IBM</strong> nutzen. Die<br />
Verpflichtung des Kunden zur Vertraulichkeit bezüglich des Universal Log Agent oder darin enthaltener<br />
Informationen im Sinne dieser Nutzungsbedingungen gilt nicht, wenn der Universal Log Agent oder darin<br />
Z126-5942-AT-2 04-2013 Seite 40 von 41 Z126-5942-WW-2 04-2013
enthaltene Informationen (1) öffentlich zugänglich sind oder ohne Verschulden des Kunden öffentlich<br />
zugänglich werden oder (2) unabhängig vom Kunden entwickelt werden.<br />
Z126-5942-AT-2 04-2013 Seite 41 von 41 Z126-5942-WW-2 04-2013