Schedule 2S

Transcription

Schedule 2S

Anlage 2s
Zusätzliche Geschäftsbedingungen für Sicherheitsservices
1. Beschreibung des Security Service (Sicherheitsservice)
Diese Anlage beschreibt die zusätzlichen Geschäftsbedingungen für die folgenden Interoute Services:
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
Fehlermanagement-Kategorien im Bereich Sicherheitsservices ..................................................... 3
DDoS Mitigation Service ................................................................................................................ 4
E-Mail-Filterungs-Services (nicht Hardware-basiert) ...................................................................... 7
Services zur Filterung von Web-Inhalten (nicht Hardware-basiert) ................................................ 9
Firewall Service ............................................................................................................................ 10
Roaming IPsec/SSL Access Services .............................................................................................. 13
Roaming iPASS Service................................................................................................................. 14
DMZ Service................................................................................................................................. 15
Managed Two Factor-Authentifizierungsservice .......................................................................... 15
Service zur Filterung von Web-Inhalten (Hardware-basiert) ........................................................ 17
IPS Service ................................................................................................................................... 18
Der Kunde kann diese Services als Ergänzung bestehender Services erwerben. Die für Sicherheitsservices
anfallenden Gebühren sind im entsprechenden Auftrag benannt.
2. Definitionen
Begriffe, auf die im Verlauf dieser Anlage verwiesen wird, haben folgende Bedeutungen:
„Zwei-Faktor-Authentifizierung (2FA)“ bezeichnet die Leistungen und Services;
„2AP- oder 2FA-Administrationsportal“ bezeichnet ein Internet-Portal, das dem Administrator per InternetBrowser die Durchführung administrativer Funktionen ermöglicht; dies umfasst, jedoch nicht ausschließlich, die
Zuweisung von Geräten an Endanwender und deren Abmeldung;
„Administrator“ bezeichnet jegliche durch den Kunden benannte Person zur Verwendung des 2APs sowie zur
Bereitstellung und Unterstützung von Endanwendern und kundeneigenen Geräten;
„A-PoP oder Authentifizierungs-Zugangspunkt“ bezeichnet den zugewiesenen Bereich im Interoute-Netzwerk, der
mit dem Authentifizierungsknoten des Kunden kommuniziert;
„Authentifizierungsknoten“ bezeichnet jede Art von Kundenausrüstung, die für den Empfang von
Zugangsanträgen durch Endanwender sowie für deren Weiterleitung (zusammen mit
Authentifizierungsnachweisen des Endanwenders) an das 2FA konfiguriert ist, um dort überprüft zu werden;
„Authentifizierungsservice“ bezeichnet einen Internet-basierten Service zur Bestätigung der durch den
Authentifizierungsknoten übermittelten Endanwender-Nachweise;
„Black Holing“ bezeichnet das Verwerfen sämtlicher für eine IP-Adresse bestimmten Daten, um eine
Beeinträchtigung des Datenflusses an andere IP-Adressen zu vermeiden;
„Kritische Störung“ ist eine Störung, die auf Kundenseite zu einer ernsthaften Beeinträchtigung des Onlinebetriebs
führt;
„Kunde“ ist die Drittpartei, die den Service direkt durch Interoute erwirbt;
„Token-Pool des Kunden“ bezeichnet den Bestand an Geräten auf Kundenseite, die der Administrator
Endanwendern zum Zweck der Authentifizierung zuweisen kann;
„Kundenservice-Handbuch“ bezeichnet das Handbuch, das Interoute zum Zeitpunkt der Service-Aktivierung und Übergabe an den Kunden aushändigt. Das Kundenservice-Handbuch bietet eine ausführliche Beschreibung der
durch Interoute angewandten Methoden zur Unterstützung von Service und Kunden;
„Leistung“ bezeichnet Hardware-, Software-Geräte;
Anlage 2S – Zusätzliche Geschäftsbedingungen - v4.6 – 16.12.2013
Seite 1 von 22
Anlage 2s
„Gerät(e)“ bezeichnet Hardware- und Software-Geräte;
„DDoS bzw. Distributed Denial of Service“ bezeichnet eine Form des elektronischen Angriffs unter Einbeziehung
mehrerer Computer, bei dem wiederholte Host-Anfragen fälschlichen Datenverkehr generieren und so den Host
für legitime Benutzer unzugänglich machen;
„Endanwender“ bezeichnet Personen, die mit Hilfe der Zugangsdaten des Kunden den Interoute-Service nutzen;
„Ereignis-Protokoll“ bezeichnet eine Protokoll- bzw. Log-Datei, die zum Zweck der späteren Analyse Informationen
zu verschiedenen Ereignissen aufzeichnet;
„Störung“ bezeichnet einen Vorfall, der zu einer vollständigen oder teilweisen Einschränkung der Nutzbarkeit des
Service führt;
„Firewall Policy“ bezeichnet das an Interoute übermittelte Dokument mit Angaben zu dem für den Kunden
erforderlichen und durch Interoute im Firewall-Service zu implementierenden Regeln;
„Firewall-Service“ bezeichnet eine Zusatzfunktion des beauftragten IP VPN-, Internet- oder Hosting-Service
bestehend aus einem innerhalb des Kern-IP-Knoten von Interoute angesiedelten Internetzugangs und Managed
Firewalls;
„Hardware-Geräte“ bezeichnet Hardware-Token welche u.U. Firmware einbetten (wie z.B. ein SchlüsselanhängerToken);
„The Hub“ bezeichnet Interoutes Online-Webportal (https://hub.interoute.com), ein Dienstportal, über das
Interoute-Kunden Angaben zum erworbenen Interoute-Produkt einsehen können.
„IP-Adresse“ bezeichnet die Identifikationsnummer eines ans Internet angeschlossenen Computers. Jeder
Computer muss über eine eindeutige IP-Adresse verfügen. IP-Adressen bestehen aus vier Zahlensätzen, die durch
Punkte getrennt sind: z.B. 123.345.63.2;
„IP-Kunden“ bezeichnet Kunden, die einen Internet-, VPN-, Hosting-, Managed- oder Unmanaged (nicht
verwalteten) CPE- oder einen beliebigen anderen Service erwerben, der das IP-Verfahren (IP Protocol suite) als
Übertragungsmechanismus verwendet;
„IPS-Appliance” steht für physische oder virtuelle Geräte, Systeme, Verkabelung und Anlagen, die durch Interoute
zum Zweck der Bereitstellung des Managed IPS Service für den Kunden bereitgehalten werden;
„IPS Erkennungs-Engine“ steht für eine Funktion des IPS Service, die auf der als Teil des IP-Service erworbenen IPSAppliance angeordnet ist;
„IPS-Policy“ steht für das durch den Kunden an Interoute übermittelte Dokument mit Angaben zu dem durch
Interoute im IPS-Service zu implementierenden Regeln;
„IPS Service“ steht für einen Service gegen Fremdeindringen (Intrusion Prevention Service ) zur Bereitstellung und
zum Betrieb von IPS Appliance und IPS Erkennungs-Engines sowie jegliche verbundene lizenzierte Software und
Implementierung der IPS-Policys des Kunden innerhalb einer Colocation-Anlage oder eines Standorts von
Interoute;
„MAE“ steht für “Metropolitan Area Exchange”;
„Managed CPE Firewall“ steht für eine Zusatzfunktion des beauftragten Internet Access Service bestehend aus
Internetzugang und Managed Firewall Service;
„Managed Firewall Equipment“ steht für Ausrüstungsgegenstände, Systeme, Verkabelung und Anlagen, die durch
Interoute zum Zweck der Bereitstellung des Managed Firewall Service für den Kunden bereitgehalten werden.
„Managed Firewall Service“ steht für die als Option bestehende Funktion des Internet Service zur Bereitstellung
und zum Betrieb der Managed Firewall Ausrüstung und des Service einschließlich verbundener lizenzierter
Software und der Implementierung der Firewall-Policy des Kunden innerhalb einer Interoute Colocation-Anlange
bzw. eines Standorts;
Seite 2 von 22
Anlage 2s
„Managed Object“ (Betreutes Objekt) bezeichnet ein kundenspezifisches, für Interoutes DDoS Protection Service
konfiguriertes Profil mit Angabe der durch den Service zu schützenden IP-Adressen bzw. autonomen
Systemnummern.
„MAP oder MAS Administrations-Portal“ bezeichnet ein Internet-Portal, das dem Administrator per Web-Browser
die Durchführung administrativer Funktionen ermöglicht; dies umfasst, jedoch nicht ausschließlich, die Zuweisung
von Geräten an Endanwender und deren Abmeldung;
„MAS oder Managed Authentifizierungs-Service“ bezeichnet die Leistungen und Services;
„NAP“ steht für Network Access Point (Netzwerkzugangspunkt);
„Nicht kritische Anforderung“ ist eine Anforderung, z.B. im Sinne der Anforderung von Informationen ohne
direkte oder signifikante Auswirkung auf den Online-Betrieb des Kunden;
„Geheime Angaben“ steht für Kennwörter, persönliche ID-Nummern, Frage-Antwortkombinationen oder sonstige
vertraulich zu behandelnde Informationen, die von beiden Parteien zur Identifizierung des Endanwenders genutzt
werden können oder dazu dienen, anderen Personen als dem Endanwender den 2FA-Zugriff zu verwehren;
„Geschützte Elemente“ steht für Geräte und geheime Angaben;
„Software“ bezeichnet (i) Softwaregeräte und/oder (ii) sämtliche sonstige durch Interoute gegenüber dem
Kunden bereitgestellte Software;
„Software-Geräte“ bezeichnet auf herkömmlicher Hardware (PC, Mobiltelefon oder digitaler PA) installierte
Software-Token, und
„Arbeitszeit“ steht für 9.00 Uhr bis 17.00 Uhr MEZ an einem Werktag;
Alle anderen genannten Begriffe sind in Anlage 1 oder den entsprechenden zusätzlichen Geschäftsbestimmungen
näher beschrieben.
3.
Fehlermanagement-Kategorien im Bereich Sicherheitsservices
Sicherheitsvorfälle/anfragen werden gemäß folgender Matrix klassifiziert:
Kategorie
Definition
Störungen mit Auswirkungen auf den Betrieb:
Kritisch

Totalausfall eines ungeschützten/stabilen Service, wenn das Haupt- und Sicherungssystem
nicht funktioniert (mit Auswirkung auf den Betrieb).

Schwerwiegender Leistungsabfall eines ungeschützten/geschützten/stabilen Service,
wodurch Service nicht mehr verwendbar ist.

Verbindungs- oder Plattformausfall.
HINWEIS: Vollständiger Zugang zum Zweck intrusiver Tests wird durch Kunden gebilligt bzw.
gewährt.
Leistungsabfallstörungen:
Schwerwiegend

Leistungsabfall, Service aber nutzbar.

Geschützter/stabiler Service läuft auf Sicherungssystem; keine Auswirkung auf die Leistung.

Teilweiser Serviceausfall (d. h. keine Anrufe in ein Land möglich).

Erstanschlüsse.
HINWEIS: Vor der Durchführung intrusiver Tests ist die Erlaubnis des Kunden einzuholen.
Standard

Planmäßige Tests
Seite 3 von 22
Anlage 2s

Ausfall einzelner Nummern.

Schwellenalarm ohne Beeinträchtigung des Service (Hosting Services).

Änderungsaufträge
Tabelle – Definitionen:

Mit Auswirkung auf den Betrieb (Service Affecting – SA) – Eine Störung mit Auswirkung auf den Betrieb
bezeichnet jegliche(n) durch den Kunden oder Interoute angezeigte Störung, Reparatur oder Zustand, der
den/die entsprechenden Service(s) beeinträchtigt. Es ist zu beachten, dass die für die Störungsbehebung
nötige Zeit bei vollständigen Netzwerkausfällen möglicherweise von Drittanbietern abhängt; entsprechend
sind die Wiederherstellungszeiten der Service-/Netzwerkanbieter zu beachten. Interoute verpflichtet sich zu
vollständiger Kooperation bei der Behebung solcher Störungen.

Leistungsabfallstörungen (DA, Degradation Faults) bezeichnen Störungen, die eine Verminderung des
normalen täglichen Traffic-Volumens verursachen, d.h. ein gehäuftes Auftreten von „Paketverlusten“ bzw.
übermäßiger „Latenz“. Diese Störungen werden als „Störungen ohne Auswirkungen auf den Betrieb“ definiert.

Ohne Auswirkungen auf den Betrieb (Non-Service Affecting, NSA) – Störung ohne Auswirkung auf den Betrieb
bezeichnet Probleme, Reparaturen oder Zustände ohne Unterbrechung des Live-Datenverkehrs des Kunden.
NSA-Störungen außerhalb der regulären Arbeitszeit können zur Störungsbehebung auf den nächsten
Arbeitstag verschoben werden, sofern beide Parteien zustimmen.

SLA-Parameter - Die vereinbarten Service-Levels werden für den Kunden und Interoute in den Servicebezogenen „Zusätzlichen Vertragsbedingungen“ festgehalten. Sämtliche Service-Level-Überprüfungen
beziehen sich auf die in den Zusätzlichen Vertragsbedingungen definierten Kriterien. Die Fehlerbehebungszeit
(Target Time to Repair, TTR) ist im entsprechenden Abschnitt der Zusätzlichen Vertragsbedingungen des
jeweiligen Service beschrieben.
Interoute behält sich das Recht vor, direkte Maßnahmen zur Behebung von Problemen und Fehlern abzulehnen,
sofern der Kunde es versäumt, die im Kundenservice Handbuch beschriebenen Fehlermanagement- und
Eskalationsverfahren zu befolgen.
4.
a.
b.
DDoS Mitigation Service
Für den Fall, dass der Kunde in einem entsprechenden Auftrag die DDoS Mitigation als erforderlich anzeigt
oder Interoute den Kunden über das Erfordernis der DDoS Mitigation für den/die durch den Kunden
erworbenen Service(s) informiert hat, gelten die folgenden Geschäftsbestimmungen. Interoutes DDoS
Mitigation Service bietet Kunden die Möglichkeit, sich gegen DDoS-Angriffe zu schützen.
Serviceerbringung
Der DDoS Mitigation Service umfasst die Reinigung des Datenverkehrs auf dem Weg zur Website des Kunden –
und beinhaltet:
I.
II.
III.
c.
d.
Installation und Wartung des Service auf dem entsprechenden Equipment;
Konfiguration einer Gruppe vorgegebener Überwachungsparameter durch Interoute;
Überwachung der vereinbarten Parameter und Statusinformationen mit Hilfe des Ereignisprotokolls
(Event Log).
Überwachung und Erkennung – Es liegt in der Verantwortung des Kunden, unzulässigen oder ungewöhnlichen
Datenverkehr zu überwachen und zu erkennen. Wird fehlerhafter Datenverkehr erkannt, hat der Kunde
Interoute umgehend darüber zu informieren und zur Aktivierung des DDoS Mitigation Service aufzufordern.
Nach dieser Aufforderung wird Interoute zusammen mit dem Kunden mögliche DDoS-Angriffe identifizieren.
Reinigung und Schadenminderung - Sobald Interoute über einen Angriff informiert ist, wird der für die IPAdresse oder autonome Systemnummer bestimmte Datenverkehr zum Zweck der Überprüfung an Interoutes
DDoS Mitigations-Infrastruktur umgeleitet. Umgeleiteter Datenverkehr unterliegt mehreren Ebenen an
statistischer Analyse, aktiver Verifizierung und Anomalie-Erkennung, um böswillige Störquellen identifizieren,
unzulässiges Verhalten aufdecken und Datenpakete, die den Ansprüchen eines normalen
Datenverkehrsmusters nicht entsprechen, verwerfen zu können. Während der Reinigung des Datenverkehrs
Seite 4 von 22
Anlage 2s
e.
f.
g.
h.
ist von einer erhöhten Latenz auszugehen, und Interoutes standardmäßige Service-Performance -Levels
(Service-Levels) gelten in diese Zeitraum nicht.
Interoute unternimmt während eines Angriffs angemessene Anstrengungen, dass legitimer Datenverkehr
möglichst normal empfangen und das Benutzererlebnis der Website nach Möglichkeit nicht beeinträchtigt
wird. Im Fall eines Angriffs werden durch Interoute Gegenmaßnahmen ergriffen, sodass Betriebsstörungen auf
ein Mindestmaß reduziert werden können. Maßnahmen wie „Black Holing“ werden durch Interoute nur dann
angewandt, wenn alle anderen Maßnahmen durch Interoute als erfolglos bzw. als ohne Aussicht auf Erfolg
eingestuft werden.
Wenn der Kunde eine nicht kritische Anfrage zur Neukonfiguration der DDoS-Parameter anzeigt, unternimmt
Interoute angemessene Anstrengungen zur Neukonfigurierung der Service-Parameter, um mit möglichst
wenig Bearbeitungsaufwand und Datenverkehrsstörungen ein Höchstmaß an DDoS Mitigation zu erzielen.
Interoute überwacht die durch Interoute zur Service-Erbringung verwandten Geräte (mittels ICMP und SNMP)
und wird diese über geschützte Verbindungen konfigurieren.
Der DDoS Mitigation Service bietet Folgendes nicht und stellt dies auch nicht in Aussicht:
i.
Load-Balancing von Datenverkehr oder der Funktionalität eines beliebigen Service
einschließlich hier beschriebener Sicherheitsservices;
ii.
Direkten Zugang zu Mitarbeitern der Netzwerksicherheit oder Technik von Interoute. Jeder
Erstkontakt durch den Kunden muss zunächst über Interoutes Kundenservicecenter
erfolgen;
iii.
Archivierung und Aufbewahrung von Log-Dateien nach Ablauf von (30) Tagen;
iv.
Störungsbearbeitung, -Forensik und –Untersuchungen;
v.
Vorbereitung eines Rechtsstreits, Unterstützung von PR-Angelegenheiten;
vi.
Sicherheitsberatungs-Services (z. B. Entwurf von Sicherheitsrichtlinien, Sicherheitsaudits,
Penetration-Tests, Notfall-/Desaster-Wiederherstellungsplanung etc.);
vii.
Erstellung von Sicherheitsberichten und -analysen;
viii.
Kontinuierliche Filterung bzw. Reinigung von Datenverkehr.
i. Anforderungen für die Servicebereitstellung
Für die Servicebereitstellung gelten die folgenden Anforderungen:
i.
Es besteht für den Kunden kein Zugang zur Ausrüstung oder Software, die für den Service
erforderlich ist;
ii.
Die IP-Adressen, IP-Adressbereiche oder autonomen Systemnummern, für die der DDoS
Protection Service aktiviert werden soll, sind durch den Kunden in einem durch Interoute
bereitgestellten Formular zu benennen;
iii.
Der Kunde hat Interoute Kontaktdaten für die Abteilungen und/oder Personen zu benennen,
die im Fall eines DDoS-Angriffs durch Interoute kontaktiert werden sollen.
j. Keine Gewährleistung
Der Service ist dafür konzipiert, Kunden und deren Endanwender gegen DDoS-Angriffe zu schützen. Interoute
gewährleistet jedoch nicht, dass diese Art von Angriffen in jedem Fall abgewehrt werden können. Interoute
behält sich das Recht vor, nach Bedarf für jeglichen Kunden-Traffic ein so genanntes „Black Holing“ anzuwenden,
um das Interoute-Netzwerk oder den Datenverkehr anderer Kunden zu schützen.
Interoutes DDoS Mitigation unterstützt maximal einen Datendurchsatz von 20Gbps („Maximaler Durchsatz“). Ist
der maximale Durchsatz überschritten, wird weiterer Datenverkehr durch Interoutes DDoS Mitigation Service
uneingeschränkt verworfen.
Seite 5 von 22
Anlage 2s
k.
Service-Levels
i. Verfügbarkeit
Interoute unternimmt angemessene Anstrengungen, um eine Verfügbarkeit des DDoS Mitigation
Service für den Kunden während 99% des monatlichen Überprüfungszeitraums („ServiceVerfügbarkeit“) sicherzustellen.
Die prozentuale Service-Verfügbarkeit wird für einen monatlichen Überprüfungszeitraum gemäß
folgender Formel berechnet:
P=
(H-U)
H
X 100
Hierbei gilt:
P ist die prozentuale Verfügbarkeit;
U ist die Gesamtanzahl an Minuten im monatlichen Überprüfungszeitraum,
während dessen der Service nicht verfügbar war;
H ist die Gesamtanzahl an Minuten im entsprechenden monatlichen Überprüfungszeitraum;
Sofern die Service-Verfügbarkeit während eines beliebigen monatlichen Überprüfungszeitraums
unter diesen Wert fällt, stehen dem Kunden Servicegutschriften in folgendem Umfang zu:
Dauer der Nicht-Verfügbarkeit unterhalb der
Zielvorgabe
Servicegutschriften als Prozentanteil
regelmäßigen Monatsgebühr
≤ 0,25% unterhalb der Zielvorgabe
5%
10%
15%
20%
25%
> 3,5% unterhalb der Zielvorgabe
30%
der
Interoute unternimmt angemessene Anstrengungen, um die folgenden Service-Levels zu erfüllen:
ii. Reaktionszeiten:
Reaktionszeit:
Dauer bis zur Problemlösung
Kritisch
1 Stunde
4 Stunden
Schwerwiegend
4 Stunden
24 Stunden
Standard
24 Stunden
96 Stunden
Reaktionszeiten für bestimmte Produkte
Aktivierung der Innerhalb von 1 Stunde nach Eingabe eines
DDoS Mitigation Fehlertickets durch den Kunden bei
Interoute
i. Ist es für den Kunden erforderlich, dass zum Zweck der Service-Erbringung Arbeiten
außerhalb der regulären Arbeitszeit erfolgen, oder für den Fall, dass der Kunde
Unterstützung bei nicht kritischen Anforderungen benötigt, die über die zugewiesene Anzahl
Seite 6 von 22
Anlage 2s
pro Kalendermonat hinausgehen, behält sich Interoute das Recht vor, hierfür eine Gebühr zu
erheben, die sich am Kostensatz für professionelle Services orientiert.
ii. Kann Interoute zum Zeitpunkt einer Störungsmeldung diese nicht zur Zufriedenheit des
Kunden beheben, wird Interoute den Kunden zur Bereitstellung einer
Kontakttelefonnummer auffordern, um den Kunden über Fortschritte bei der
Fehlerbehebung informieren zu können.
iii. Interoute wird hierbei Folgendes leisten:
I.
Telefonische Beratung;
II.
Durchführung von Tests und Diagnosen in Bezug auf den Service;
III.
Behebung der Störung innerhalb der vereinbarten Zeitfrist (siehe obige
Tabelle).
iv. Wenn Interoute auf eine angezeigte Störung reagiert und diese bearbeitet und sich die
Störung im Nachhinein als nicht Service-bezogen erweist, wird Interoute diese Arbeiten
gemäß den geltenden Gebührensätzen in Rechnung stellen.
iii. Service-Änderungen
 Werden für den Kunden nach der Installation des DDoS Mitigation Service Änderungen an
dessen Konfiguration oder Betrieb erforderlich, muss der Kunde Interoute entweder
telefonisch, per Fax, E-Mail oder über das Interoute-Portal kontaktieren. Konfigurations- und
Serviceänderungen können u. U. – je nach Einstufung der Änderung – kostenlos erfolgen. Die
folgende Tabelle bietet eine Übersicht über sämtliche DDoS Mitigation Service-Änderungen
und zeigt an, ob diese im Einzelnen kostenpflichtig (Bedeutende Änderungen) oder im
Serviceumfang enthalten sind (Geringfügige Änderungen):
Art der Änderung
Hinzufügen eines betreuten Objekts (Managed
Object)
Änderung eines betreuten Objekts (Managed
Object)
Bedeutende
Änderung
Geringfügige
Änderung


Während des ersten vollen Kalendermonats nach der Servicebereitstellung ist der Kunde berechtigt,
bestimmte, d. h. nach Ermessen Interoutes angemessene, Änderungen zu verlangen. Diese sind
durch eine einmalige Gebühr abgedeckt.
Beantragt der Kunde gegenüber Interoute eine geringfügige Änderung des IPS Service – und fügt
sämtliche relevanten Informationen bei –, wird sich Interoute bemühen, alle geringfügigen
Änderungen innerhalb von einem (1) Werktag ab Übermittlung des Antrags abzuschließen.
Standardmäßig gilt, dass DDoS-Kunden pro Kalendermonat kostenlos bis zu drei (3) geringfügige
Änderungen beantragen können. Beantragt der Kunde während eines Monats mehr als drei (3)
geringfügige Änderungen, behält sich Interoute das Recht vor, hierfür eine einmalige Gebühr zu
erheben.
5.
E-Mail-Filterungs-Services (nicht Hardware-basiert)
a.
b.
Hat der Kunde im Auftrag die Erfordernisse von Interoute‘s E-Mail-Service und/oder dem Service zur
Filterung von Web-Inhalten angegeben, gelten die folgenden Geschäftsbedingungen. Diese Services
werden für Kunden durch Interoute-Drittanbieter erbracht. Der E-Mail-Filterungs-Service umfasst einen
Schutz gegen Viren, Malware und SPAM.
Die Geschäftsbedingungen für den E-Mail Service finden sich unter: www.interoute.com/legal.
Abgesehen von diesen Geschäftsbedingungen bietet Interoute einen Erstsupport für die IT-Abteilung auf
Kundenseite. Dieser umfasst: Anruf-Protokollierung und grundlegende technische Fehlerbehebung.
Seite 7 von 22
Anlage 2s
c.
d.
i.
Interoute bestimmt nach eigenem Ermessen Art und Umfang des Erstsupports. Alle sonstigen
Supportleistungen werden durch Interoutes Drittanbieter erbracht. Interoute haftet in Bezug auf diese
Services nur in dem im Vertrag beschriebenen Ausmaß.
Interoute behält sich das Recht vor, Drittanbieter für diesen Service mit einer Bekanntgabefrist von
dreißig (30) Tagen gegenüber dem Kunden zu ändern, sofern hierdurch keine wesentliche
Verschlechterung der Service-Qualität und -Funktionalität eintritt.
Service-Levels
Verfügbarkeit
Interoute unternimmt angemessene Anstrengungen, um eine Verfügbarkeit des E-MailFilterungsservice für den Kunden während 99% des monatlichen Überprüfungszeitraums („ServiceVerfügbarkeit“) sicherzustellen.
Die prozentuale Service-Verfügbarkeit wird für einen Monatlichen Überprüfungszeitraum gemäß
folgender Formel berechnet:
P=
(H-U)
H
X 100
Hierbei gilt:
U ist die Gesamtanzahl an Minuten während eines monatlichen Überprüfungszeitraums, in
dem der Service nicht verfügbar war;
H ist die Gesamtanzahl an Minuten im entsprechenden monatlichen Überprüfungszeitraum
Sofern die Service-Verfügbarkeit während eines beliebigen monatlichen Überprüfungszeitraums
unter diesen Wert fällt, stehen dem Kunden Servicegutschriften in folgendem Umfang zu:
Dauer
der
Nicht-Verfügbarkeit
unterhalb der Zielvorgabe
Servicegutschriften als Prozentanteil
regelmäßigen Monatsgebühr:
5%
10%
15%
20%
25%
> 3,5% unterhalb der Zielvorgabe
30%
der
iv. Reaktionszeiten:
Interoute unternimmt angemessene Anstrengungen, um auf Anfragen innerhalb des folgenden
Zeitrahmens und im Einklang mit Punkt b oben zu reagieren:
Reaktionszeit
Kritisch
4 Stunden
24 Stunden
Schwerwiegend
24 Stunden
96 Stunden
Standard
24 Stunden
96 Stunden
Seite 8 von 22
Anlage 2s
pro Kalendermonat hinausgehen, behält sich Interoute das Recht vor, hierfür eine
angemessene Gebühr zu erheben, die sich nach dem Kostensatz für professionelle Services
richtet.
Kunden beheben, wird Interoute den Kunden zur Bereitstellung einer Telefonnummer
auffordern, um den Kunden über Fortschritte bei der Fehlerbehebung informieren zu
können.
I.
Interoute bietet telefonische Beratung;
II.
Durchführung von Tests und Diagnosen in Bezug auf den Service;
III.
Behebung der Störung innerhalb der vereinbarten Zeitfrist (siehe obige
Tabelle).
iii. Wenn Interoute auf eine angezeigte Störung reagiert und diese bearbeitet und sich die
v. Service-Änderungen
Werden für den Kunden nach der Installation des E-Mail-Filterungsservice Änderungen an dessen
Konfiguration oder Betrieb erforderlich, muss der Kunde Interoute entweder telefonisch, per Fax, EMail oder über das Interoute-Portal kontaktieren. Konfigurations- und Serviceänderungen können u. U.
– je nach Einstufung der Änderung – kostenlos erfolgen. Die folgende Tabelle bietet eine Übersicht über
sämtliche E-Mail-Filterungsservice-Änderungen und zeigt an, ob diese im Einzelnen kostenpflichtig
(Bedeutende Änderungen) oder im Serviceangebot enthalten sind (Geringfügige Änderungen):
Art der Modifizierung
Bedeutende
Änderung
Hinzufügen von Benutzern zu KundenDomain(s) oder Entfernung der Benutzer

Hinzufügen von Domain(s) oder deren
Entfernung

Geringfügige
Änderung
Während des ersten vollen Kalendermonats nach der Servicebereitstellung ist der Kunde berechtigt,
bestimmte, d. h. nach Ermessen Interoutes angemessene, Änderungen zu verlangen. Diese sind durch
eine einmalige Gebühr abgedeckt.
Beantragt der Kunde gegenüber Interoute geringfügige Änderung des E-Mail-Filterungsservice – und
fügt sämtliche relevanten Informationen bei –, wird sich Interoute bemühen, alle geringfügigen
Änderungen innerhalb von einem (1) Arbeitstag ab Übermittlung des Antrags abzuschließen.
Standardmäßigt gilt, dass E-Mail-Filterungs-Kunden pro Kalendermonat kostenlos bis zu drei (3)
geringfügige Änderungen beantragen können. Beantragt der Kunde während eines Monats mehr als
drei (3) geringfügige Änderungen, behält sich Interoute das Recht vor, hierfür eine einmalige Gebühr
zu erheben.
vi. Ausschlüsse
i. Interoute haftet gegenüber dem Kunden nicht für die direkte Unterstützung von
Endanwendern des E-Mail-Filterungsservice;
6.
Services zur Filterung von Web-Inhalten (nicht Hardware-basiert)
a.
Hat der Kunde im Auftrag die Erfordernis von Interoutes nicht Hardware-basiertem Service zur Filterung
von Web-Inhalten angegeben, gelten die folgenden Geschäftsbedingungen. Diese Services werden für
Kunden durch Interoute-Drittanbieter erbracht. Der Service zur Filterung von Web-Inhalten beinhaltet
Seite 9 von 22
Anlage 2s
b.
c.
7.
die Internet-bezogene Viren, Spyware und URL-Filterung (gemäß den unten genannten
Geschäftsbedingungen).
Die Geschäftsbedingungen für den Service zur Filterung von Web-Inhalten finden sich unter:
www.interoute.com/legal. Zusätzlich zu den genannten Geschäftsbedingungen bietet Interoute einen
Erstsupport für die IT-Abteilung des Kunden, der Folgendes umfasst: Anruf-Protokollierung und
grundlegende technische Fehlerbehebung. Interoute bestimmt nach eigenem Ermessen Art und Umfang
des Erstsupports. Alle sonstigen Supportleistungen werden durch Interoutes Drittanbieter erbracht.
Interoute haftet in Bezug auf diese Services nur in dem im Vertrag beschriebenen Ausmaß.
Firewall Service
a.
Hat ein IP-Kunde im Auftrag die Erfordernis von Interoutes Firewall Service angegeben, gelten die folgenden
Geschäftsbedingungen.
b.
Der Firewall Service wird IP-Kunden zur Verfügung gestellt, die Zugang zum öffentlichen Internet über einen
zentralen Zugangspunkt benötigen. Der Service bietet kontrollierten und vermittelten Zugang zum
öffentlichen Internet mit Hilfe einer zentralen Verbindung zwischen Kunden-VPN und öffentlichem Internet.
Diese Funktion wird als Firewall bezeichnet. Der Firewall wird in einem der Interoute-Anlagen als zentrale
100Mb/s- oder 1 Gb/s-Verbindung bereitgestellt. Zu diesem Zweck wird Interoute ein zentral betreutes
Firewallgerät sowie Sicherheitsrichtlinien bereitstellen.
c.
Mit Erwerb des Firewall Service sichert der Kunde zu und gewährleistet, Firewallrichtlinien zu besitzen, diese
aufrecht zu erhalten, zu bewahren und Interoute über diese auf dem Laufenden zu halten und umgehend über
mögliche Änderungen zu informieren. Auf Anfrage hat der Kunde Interoute eine Ausfertigung der besagten
Firewall-Richtlinien auszuhändigen.
d.
Der Kunde bestätigt und erkennt an, dass Interoute für Sicherheitsverstöße und Ausfälle, die auf die FirewallRichtlinien des Kunden zurückzuführen sind, keine Verantwortung trägt und nicht haftet; Interoute ist zudem
nicht verpflichtet, die Firewall-Richtlinien des Kunden bereitzustellen, hierzu beratend tätig zu sein oder diese
zu befolgen.
e.
Mit Erwerb des Firewall Service bestätigt der Kunde, den Firewall Service selbst geprüft zu haben, um zu
gewährleisten, dass dieser gemäß den Firewall-Regeln den Anforderungen des Kunden entspricht. Interoute
gewährleistet nicht, dass der Firewall Service diesen Anforderungen entspricht, dass er in den besonderen
Umständen seiner Nutzung durch den Kunden verwendet werden kann oder dass eine Nutzung ohne
Unterbrechungen oder Fehler erfolgt.
f.
Die Parteien erkennen an, dass eine fehlerfreie Bereitstellung des Firewall Policy Service technisch unmöglich
ist. Interoute wird sich jedoch unbeschadet der Allgemeingültigkeit des Vorstehenden bemühen, die Services
in Übereinstimmung mit den entsprechenden, unten aufgeführten Service Levels zu erbringen. Interoute
bemüht sich, Wartungsarbeiten, Aktualisierungen, Abhilfemaßnahmen, Reparaturen oder den
Wiederanschluss von Kundenausrüstung sowie die Services gemäß den vorliegenden Vertragsbestimmungen
zu erbringen.
g.
Service-Levels
i.
Verfügbarkeit des Firewall Service
Art des Service zur Verbindung mit dem Interoute IPNetzwerk
Zielvorgabe der Standortverfügbarkeit
Firewall Service
99,95%
Die prozentuale Standort-Verfügbarkeit wird für einen monatlichen Überprüfungszeitraum gemäß folgender
Formel berechnet:
Seite 10 von 22
Anlage 2s
(H-U)
P=
H
X 100
Hierbei gilt:
U ist die Gesamtanzahl an Minuten während eines monatlichen Überprüfungszeitraums, in dem der
Service nicht verfügbar war;
Fällt die Standortverfügbarkeit während eines monatlichen Überprüfungszeitraums unter die entsprechende
Zielvorgabe der Standortverfügbarkeit, stehen dem Kunden folgende Servicegutschriften zu:
Die Serviceverfügbarkeit für jeden betreffenden
Standort während eines monatlichen
Überprüfungszeitraums unterschreitet
Zielvorgabe um
Servicegutschriften als Prozentsatz der
monatlichen Standortgebühr
Bis zu 1%
5%
Bis zu 2%
10%
Bis zu 3%
15%
Mehr als 3%
20%
Servicegutschriften sind die einzige und ausschließliche Ersatzleistung für jeglichen Klagegrund bezogen auf den
Ausfall des Firewall Service.
ii.
Reaktionszeiten:
Interoute unternimmt angemessene Anstrengungen, um innerhalb der folgenden Zeiten auf Anfragen
zu reagieren:
Reaktionszeit
Kritisch
1 Stunde
4 Stunden
Schwerwiegend
2 Stunden
8 Stunden
Standard
6 Stunden
24 Stunden
pro Kalendermonat hinausgehen, behält sich Interoute das Recht vor, hierfür eine
angemessene Gebühr nach dem Kostensatz für professionelle Services zu erheben.
Kunden beheben, wird Interoute den Kunden zur Bereitstellung einer Telefonnummer
auffordern, um den Kunden über Fortschritte bei der Fehlerbehebung informieren zu
können.
i. Interoute bietet telefonische Beratung;
ii. Durchführung von Tests und Diagnosen in Bezug auf den Service;
iii. Behebung der Störung innerhalb der vereinbarten Zeitfrist (siehe obige
Tabelle).
Seite 11 von 22
Anlage 2s
iii. Wenn Interoute auf eine angezeigte Störung reagiert und diese bearbeitet und sich die
iii.
Service-Änderungen
Werden für den Kunden nach der Installation des Firewall Service Änderungen an dessen
Konfiguration oder Betrieb erforderlich, muss der Kunde Interoute entweder telefonisch, per Fax, EMail oder über das Interoute-Portal kontaktieren. Konfigurations- und Serviceänderungen können u.
U. – je nach Einstufung der Änderung – kostenlos erfolgen. Die folgende Tabelle bietet eine Übersicht
über sämtliche Firewall-Service-Änderungen und zeigt an, ob diese im Einzelnen kostenpflichtig
(Bedeutende Änderungen) oder im Serviceangebot enthalten sind (Geringfügige Änderungen):
Bedeutende
Änderung
Geringfügige
Änderung
Hinzufügen/Löschen/Modifizierung bestimmter
Filterungsregel

Hinzufügen/Löschen/Modifizierung der PACKonfigurationsdatei

Hinzufügen/Löschen von Benutzern

Hinzufügen/Löschen einer IP-Adresse

Hinzufügen/Löschen/Modifizierung des Zonenprofils

Erstellen eines Angriffs-Protokolls (Attack Log)

Schutz der Zone

Wechsel der Zone zu lernen

Filterungsregel

Erkennungsregel

Hinzufügen/Ändern/Löschen von Firewall-Regeln für
bestehende Firewall-Kunden

Bereitstellung von Firewall Log-Dateien an Internet CentralKunden

Remote Access für Änderung der IP Adresse (pro Standort)

Periodisches Durchlaufen der gemeinsamen geheimen
Angaben für Remote Access-Anwender

Hinzufügen von „Network Address Translations“ (NAT)

Änderung der NAT

Entfernen der NAT

Während des ersten Kalendermonats nach der Servicebereitstellung ist der Kunde berechtigt,
bestimmte, d.h. nach Ermessen Interoutes angemessene, Änderungen zu verlangen. Diese sind durch
Beantragt der Kunde gegenüber Interoute geringfügige Änderung des Firewall Service – und fügt
Seite 12 von 22
Anlage 2s
Standardmäßig gilt, dass Firewall-Kunden pro Kalendermonat kostenlos bis zu drei (3) geringfügige
erheben.
8.
Roaming IPsec/SSL Access Services
a.
b.
c.
d.
i.
Hat ein IP-Kunde (bei gleichzeitigem Erwerb des Firewall Service) im Auftrag die Erfordernis eines
Roaming IPsec/SSL Access Service in Verbindung mit dem eigenen IPVPN Service angegeben, gelten die
folgenden Geschäftsbedingungen. Dieser Service wird Kunden bereitgestellt, deren Endanwender von
nicht festgelegten Standorten aus Zugang zu Unternehmensressourcen auf dem IPVPN Service
benötigen. Interoute kann die Remote Access-Funktion mit Hilfe eines IPsec Clients auf Mobilgeräten,
wie z. B. Notebooks, bereitstellen oder basierend auf SSL (Secure Socket Layer).
Die Geschäftsbedingungen für den Roaming IPsec/SSL Access Service finden sich unter:
www.interoute.com/legal. Zusätzlich zu den genannten Geschäftsbedingungen bietet Interoute einen
Support für die IT-Abteilung des Kunden Interoute haftet in Bezug auf diese Services nur in dem im
Vertrag beschriebenen Ausmaß.
Interoute behält sich das Recht vor, Drittanbieter für diesen Service unangekündigt gegenüber dem
Kunden zu ändern, sofern hierdurch keine wesentliche Verschlechterung der Service-Qualität und Funktionalität eintritt.
Service-Levels
Service-Änderungen
Werden für den Kunden nach der Übergabe des Roaming IPSec/SSL Service Änderungen an dessen
über sämtliche Änderungen des Roaming IPSec/SSL Service und zeigt an, ob diese im Einzelnen
kostenpflichtig (Bedeutende Änderungen) oder im Serviceangebot enthalten sind (Geringfügige
Änderungen):
Bedeutende
Änderung
Geringfügige
Änderung
Roaming IPSec Service
Hinzufügen/Entfernen von RemoteBenutzern

Bereitstellung eines Nutzungsberichts

Periodisches Durchlaufen der
gemeinsamen geheimen Angaben für
Remote Access-Benutzer

Anforderung von Token zur ZweiFaktor-Authentifizierung

Roaming SSL Service
Hinzufügen von SSLKonfigurationsdatei/Tunnelgruppe

Roaming SSL Service
Löschen der SSL-Tunnelgruppe

Roaming SSL Service

Roaming SSL Service
Anforderung von Token zur
Zweifachauthentifizierung

*Die maximale Anzahl an Benutzern ist abhängig von der Funktionalität der Firewall
Seite 13 von 22
Anlage 2s
Beantragt der Kunde gegenüber Interoute geringfügige Änderung des Roaming IPSec/SSL Service –
und fügt sämtliche relevanten Informationen bei –, wird sich Interoute bemühen, alle geringfügigen
Standardmäßig gilt, dass IPSec/SSL-Kunden pro Kalendermonat kostenlos bis zu drei (3) geringfügige
erheben.
9.
Roaming iPASS Service
a.
b.
c.
d.
i.
Hat ein IP-Kunde im Auftrag das Erfordernis von Interoutes Roaming iPASS Service angegeben, gelten die
folgenden Geschäftsbedingungen. Dieser Service wird Kunden bereitgestellt, deren Endanwender von
nicht festgelegten Standorten aus Zugang zum Internet benötigen.
Die Geschäftsbedingungen für den Roaming iPASS Service finden sich unter: www.interoute.com/legal.
Alle sonstigen Supportleistungen werden durch Interoutes Drittanbieter erbracht. Interoute haftet in
Bezug auf diese Services nur in dem im Vertrag beschriebenen Ausmaß.
Service-Levels
Service-Änderungen
Werden für den Kunden nach der Übergabe des Roaming iPASS Service Änderungen an dessen
über sämtliche Änderungen des Roaming iPASS Service und zeigt an, ob diese im Einzelnen
kostenpflichtig (Bedeutende Änderungen) oder im Serviceangebot enthalten sind (Geringfügige
Änderungen):
Bedeutende
Änderung
Geringfügige
Änderung

Beantragt der Kunde gegenüber Interoute geringfügige Änderung des Roaming iPASS Service – und
fügt sämtliche relevanten Informationen bei –, wird sich Interoute bemühen, alle geringfügigen
Standardmäßig gilt, dass iPASS-Kunden pro Kalendermonat kostenlos bis zu drei (3) geringfügige
erheben.
e.
Ausschlüsse
ii.
Interoute haftet gegenüber dem Kunden nicht für die direkte Unterstützung von Endanwendern des
iPASS Roaming Service;
Seite 14 von 22
Anlage 2s
10. DMZ Service
a.
Der DMZ Service bietet – im Fall der Bereitstellung eines Firewall Service durch Interoute – eine gesonderte,
auf einem Firewallgerät konfigurierte Sicherheitszone.
b.
Hat ein IP-Kunde im Auftrag das Erfordernis des DMZ Service angegeben, gelten die folgenden
c.
Der DMZ Service wird nur im Zusammenhang mit einem neuen oder bestehenden Firewall Service angeboten.
Der/die DMZ Service(s) ist/sind direkt mit dem entsprechenden Firewall Service verbunden bzw. hierauf
bezogen.
d.
Einzelne oder mehrere Vorfälle des DMZ Service können auf einen (1) Firewall Service bezogen sein.
e.
Servicegutschriften sind die einzige und ausschließliche Ersatzleistung für jeglichen Klageanspruch bezogen auf
den Ausfall des DMZ Service.
f.
Hat ein Internet Access-Kunde einen DMZ Service erworben, liegt es in der Verantwortung des Kunden,
sicherzustellen, dass die Firewall-Policy auch den DMZ Service in Betracht zieht und dass die gleichen für den
Kunden geltenden Anforderungen an die Implementierung, das Führen von Aufzeichnungen sowie
Sicherheitskontrollen auch bei Vorhandensein eines DMZ Service im Rahmen der Firewall-Policy gelten.
g.
Mit Erwerb des DMZ Service sichert der Kunde zu und gewährleistet, eine Firewall-Policy zu besitzen, diese
aufrecht zu erhalten, zu bewahren und Interoute über diese auf dem Laufenden zu halten und umgehend über
mögliche Änderungen zu informieren. Auf Anfrage hat der Kunde Interoute eine Ausfertigung der FirewallPolicy auszuhändigen.
h.
Der Kunde bestätigt und erkennt an, dass Interoute für Sicherheitsverstöße und Ausfälle, die auf die FirewallPolicy in Bezug auf den DMZ Service des Kunden zurückzuführen sind, keine Verantwortung trägt und nicht
haftet. Interoute ist zudem nicht verpflichtet, die Firewall-Policy des Kunden bereitzustellen, hierzu beratend
tätig zu sein oder diese zu befolgen.
i.
Die Parteien erkennen an, dass eine fehlerfreie Bereitstellung des DMZ Service technisch unmöglich ist.
Interoute wird sich jedoch unbeschadet der Allgemeingültigkeit des Vorstehenden bemühen, die Services in
Übereinstimmung mit den in Anlage 2S aufgeführten Service Levels zu erbringen.
j.
Service-Levels
i.
Verfügbarkeit
Der Interoute DMZ Service ist vollständig vom Interoute Firewall Service auf Kundenseite abhängig;
hieraus ergibt sich, dass die Serviceverfügbarkeit des Firewall Service ebenfalls für Interoutes DMZ
Service gilt.
i.
Reaktionszeiten:
hieraus ergibt sich, dass die Reaktionszeiten des Firewall Service ebenfalls für Interoutes DMZ Service
gilt.
ii.
Änderungen des DMZ Service
hieraus ergibt sich, dass Service-Änderungen des Firewall Service ebenfalls für Interoutes DMZ
Service gelten.
11. Managed Two Factor-Authentifizierungsservice
a.
Benötigen IP-Kunden zusätzliche Sicherheit für den externen Zugang (Remote Access) zu ihrem
Netzwerk bzw. zu eigenen Ressourcen (entweder als Ergänzung der Roaming IPsec/SSL Services oder als
unabhängiger Authentifizierungsservice auf eigener Ausrüstung oder eigenen Systemen) gelten die
folgenden Geschäftsbedingungen. Dieser zusätzliche, vollständig gemanagte Two FactorAuthentifizierungsservice verwendet Secure Tokens mit Zwei-Faktor-Authentifizierung (2FA) für den
Seite 15 von 22
Anlage 2s
Zugang zum Kundennetzwerk. Um Zugang zum Kundennetzwerk oder zu Ressourcen zu erhalten,
benötigen Endanwender einen Benutzernamen, ein Kennwort und (wenn zutreffend) ein Token.
b.
Die für den Managed Two Factor-Authentifizierungsservice maßgeblichen Endanwender-Anlagen gelten
ergänzend zu den Geschäftsbedingungen der vorliegenden Anlage 2S und sind unter folgender Adresse
einzusehen: www.interoute.com/legal. Über die in den Endanwender-Anlagen genannten
Geschäftsbedingungen hinaus bietet Interoute einen Erstsupport-Service für Kunden-Administratoren,
welcher die Anrufprotokollierung und eine grundlegende technische Fehlerbehebung umfasst. Interoute
bestimmt nach eigenem Ermessen Art und Umfang des Erstsupports. Interoute bietet den Erstsupport
von Montag bis Freitag, zwischen 8.00 Uhr und 18.00 Uhr mitteleuropäische Zeit (MEZ). Alle anderen
Supportleistungen werden durch Drittanbieter erbracht, die über den oben genannte URL zu ermitteln
sind. Interoute haftet in Bezug auf diese Services nur in dem im Vertrag beschriebenen Ausmaß.
c.
Interoute behält sich das Recht vor, Drittanbieter für diesen Service unangekündigt gegenüber dem
Kunden zu ändern, sofern hierdurch keine wesentliche Verschlechterung der Service-Qualität und Funktionalität eintritt.
d.
Optionale Managed Authentifizierungs-Services
i. Bereitstellung: Interoute wird dafür Sorge tragen, dass die Token für die Verwendung im
Rahmen des Managed Two Factor Authentifizierungs-Service initialisiert sind und zudem alle
Hardwaregeräte an eine einzelne Lieferadresse des Kunden zustellen, die im entsprechenden
Auftrag benannt ist. Es liegt in der Verantwortung des Kunden, Hardware-Token zu verteilen
oder Software an die passenden Endanwender zu übergeben.
ii. Kunden-Setup: Interoute bietet dem Kunden angemessene Hilfe bei der Einrichtung des
Authentifizierungsknoten einschließlich der Eingaben zum Authentifizierungsknoten in 2AP.
iii. Technischer Support: Interoute bietet dem Administrator während der Vertragslaufzeit
technischen Erstsupport in Bezug auf sämtliche Aspekte des Managed Two Factor
Authentifizierungs-Service. Interoute bietet keinen technischen Erstsupport an Endanwender.
iv. Der Klarheit halber sei darauf hingewiesen, dass Folgendes in der alleinigen Verantwortung des
Administrators liegt:
1. Die Verwaltung von Profilen, Zugriffsrechten und sonstigen Aspekten des Setups und
der Aufrechterhaltung von Endanwendern innerhalb des Systems;
2. Die Übermittlung von Informationen und Anweisungen an Endanwender zum Zweck
der Authentifizierung mittels des Managed Authentication Service;
3. Entsperrung, Neueinstellung und Neusynchronisierung von Geräten;
4. Diagnostizierung und Ersatz fehlerhafter und beschädigter bzw. nicht mehr
vorhandener Geräte;
5. Operatives Management des/der Authentifizierungsknoten.
6. Gewinnung von Nutzungsberichten über das Administrationsportal.
v. Software-Geräte werden dem Kunden direkt von Interoute‘s 2FA Partner auf einer "as is" Basis
zur Verfügung gestellt. Es ist die Verantwortung des Kunden, sich zu vergewissern, dass die
Software-Geräte in erforderlicher Weise und mit der Ausrüstung funktionieren, wie dies für den
Kunden erforderlich ist. Interoute leistet keinerlei Unterstützung im Hinblick auf Probleme, die
durch die Nutzung der Software-Geräte hervorgerufen werden und wird sich keinerlei Problem
annehmen welche direkt durch die Software-Geräte hervorgerufen werden. Sollten Probleme
auftreten, hat sich der Kunde an Interoute zu wenden. Interoute wird entsprechende
Kundenanfragen an die 2FA Partner weiterleiten.
vi. Die 2FA Partner bestätigt die Verwendung des Tokens auf den allgemein verfügbaren Versionen
der Betriebssysteme wie von Interoute angeraten.
Seite 16 von 22
Anlage 2s
vii. Interoute übernimmt keinerlei weitergehende Verantwortung und / oder Haftung gegenüber
dem Kunden in Bezug auf den Managed Authentifizierungs-Service.
e.
Service-Levels
i. Service-Änderungen Werden für den Kunden nach Übergabe des Managed Two Factor-
Authentifizierungs-Service Änderungen an dessen Konfiguration oder Betrieb erforderlich, muss
der Kunde Interoute entweder telefonisch, per Fax, E-Mail oder über das Interoute-Portal
kontaktieren. Konfigurations- und Serviceänderungen können u. U. – je nach Einstufung der
Änderung – kostenlos erfolgen. Die folgende Tabelle bietet eine Übersicht über sämtliche
Änderungen des Managed Two Factor-Authentifizierungs-Service und zeigt an, ob diese im
Einzelnen kostenpflichtig (Bedeutende Änderungen) oder im Serviceangebot enthalten sind
(Geringfügige Änderungen):
Bedeutende
Änderung
Anforderung zusätzlicher Token
(Hardware/Software)
Geringfügige
Änderung


Während des ersten Kalendermonats nach der Servicebereitstellung ist der Kunde
berechtigt, bestimmte, d. h. nach Ermessen Interoutes angemessene, Änderungen zu
verlangen. Diese sind durch eine einmalige Gebühr abgedeckt.
Beantragt der Kunde gegenüber Interoute geringfügige Änderung des Managed Two FactorAuthentifizierungs-Service – und fügt sämtliche relevanten Informationen bei –, wird sich
Interoute bemühen, alle geringfügigen Änderungen innerhalb von einem (1) Arbeitstag ab
Übermittlung des Antrags abzuschließen. Standardmäßig gilt, dass Managed Two FactorAuthentifizierungs-Service-Kunden pro Kalendermonat kostenlos bis zu drei (3) geringfügige
Änderungen beantragen können. Beantragt der Kunde während eines Monats mehr als drei
(3) geringfügige Änderungen, behält sich Interoute das Recht vor, hierfür eine einmalige
Gebühr zu erheben.
12. Service zur Filterung von Web-Inhalten (Hardware-basiert)
a.
b.
Hat ein IP-Kunde (bei gleichzeitigem Erwerb des Firewall Service) im Auftrag das Erfordernis eines Hardwarebasierten Web-Filterungsservice angegeben, gelten die folgenden Geschäftsbedingungen. Der Interoute
Service zur Filterung von Web-Inhalten ist ein Geräte-basierter Service für Unternehmenskunden, mit dessen
Hilfe die Richtlinien für den unternehmensinternen Internetzugang verwaltet werden können.
Die Formulierung von Richtlinien sowie die Entscheidung darüber, welche Internetinhalte von UnternehmensEndanwendern durch Internet Access eingesehen werden können, liegt in der Verantwortung des Kunden.
c.
Die mit dem Interoute Service zur Filterung von Web-Inhalten assoziierte Hardware ist kundenspezifisch und
ermöglicht
Kunden
die
Einrichtung
eigener
Geräterichtlinien
in
Übereinstimmung
mit
Unternehmensrichtlinien und persönlichen Erfordernissen.
d.
Der Interoute Service zur Filterung von Web-Inhalten muss zusammen mit dem Firewall Service bereitgestellt
und für die gleiche Colocation-Anlage von Interoute erworben werden, an der auch der Firewall Service
eingerichtet wurde.
e.
Dieser Managed Service umfasst tägliche Aktualisierungen der URL-Kategorisierungsdatenbank per täglichem
Upload auf die Geräte.
f.
Beim Ausfall der Hardware unternimmt Interoute angemessene Anstrengungen zu deren Ersatz und
Zustellung an den Kunden innerhalb eines Werktags. Auch wenn das Gerät bei einem Hardware-Ausfall
sämtlichen Datenverkehr blockiert, wird Interoute nach Aufforderung durch den Kunden – und sobald dies
praktisch möglich ist – eine Änderung vornehmen, um dem Kunden direkt über den Firewall Service
ungefilterten Zugang zum Internet zu ermöglichen.
Seite 17 von 22
Anlage 2s
g.
Interoute trägt keine Verantwortung für Regeln und/oder Richtlinien auf Kundenseite. Auch haftet Interoute
nicht in Bezug auf diese Regeln und/oder Richtlinien oder für deren Inhalte.
h.
Es liegt in der Verantwortung des Kunden, Interoute über Websites in Kenntnis zu setzen, die blockiert werden
sollen.
i.
Interoute unternimmt angemessene Anstrengungen, um Kundenanforderungen so schnell wie praktisch
möglich bereitzustellen.
j.
Service-Verfügbarkeit
i. Interoute unternimmt angemessene Anstrengungen, um zu gewährleisten, dass der Service zur
Filterung von Web-Inhalten zu 99,5% des monatlichen Überprüfungszeitraums verfügbar ist. Interoute
haftet gegenüber dem Kunden nicht in Bezug auf den Service zur Filterung von Web-Inhalten. Für
diesen Service gelten keine Servicegutschriften.
13. IPS Service
a.
Hat ein IP-Kunde im Auftrag das Erfordernis des IPS Service angegeben, gelten die folgenden
b.
Der IPS Service wird IP Kunden bereitgestellt, die sich gegen zerstörerische Angriffe auf ihre Infrastruktur
schützen wollen, sowohl von internen als auch externen Ausgangspunkten, je nach der durch den Kunden
verwendeten Implementierungstopologie. IPS identifiziert Angriffsmuster und wehrt – je nach den im System
angelegten oder durch die zugelassenen technischen Teams des Kunden angewandten Regelsätze – die
Angriffe ab, während legitimer Datenverkehr hiervon unberührt bleibt. IPS wird als Netzwerk-basierter Service
bereitgestellt, entweder in einem zentralisierten oder verteilten Modell. Interoute wird je nach den
Erfordernissen des Kunden ein angemessen skaliertes Gerät bereitstellen. In einer anfänglichen
Besprechungsphase mit dem Kunden wird sich Interoute über dessen angemessenen Erfordernisse
informieren und diese aufzeichnen.
c.
Mit Erwerb des IPS Service sichert der Kunde zu und gewährleistet, IPS-Richtlinien zu besitzen, diese aufrecht
zu erhalten und zu verwahren sowie Interoute über diese auf dem Laufenden zu halten und umgehend über
mögliche Änderungen zu informieren. Auf Anfrage hat der Kunde Interoute eine Ausfertigung der IPSRichtlinien auszuhändigen.
d.
Der Kunde bestätigt und erkennt an, dass Interoute für etwaige Sicherheitsverstöße oder Ausfälle, die auf die
IPS-Richtlinien des Kunden zurückgehen, weder verantwortlich ist noch haftet. Interoute stellt die IPSRichtlinien nicht bereit und übernimmt in deren Bezug keine überprüfende oder beratende Funktion.
e.
Mit Erwerb des IPS Service bestätigt der Kunde, den IPS Service auf seine Eignung hin selbst geprüft zu haben
und dass der durch Interoute bereitgestellte IPS Service den Anforderungen des Kunden entspricht. Interoute
gewährleistet nicht, dass der IPS Service diesen Anforderungen entspricht, dass er in den besonderen
Umständen seiner Nutzung durch den Kunden verwendet werden kann oder dass eine Nutzung ohne
Unterbrechungen erfolgt.
f.
Die Parteien erkennen an, dass eine fehlerfreie Bereitstellung des IPS Service technisch unmöglich ist.
Interoute wird sich jedoch unbeschadet der Allgemeingültigkeit des Vorstehenden bemühen, die Services in
Übereinstimmung mit den entsprechenden, unten aufgeführten Service Levels zu erbringen. Interoute ist
bemüht, Wartungsarbeiten, Aktualisierungen, Abhilfemaßnahmen und/oder Reparaturen gemäß den
vorliegenden Vertragsbestimmungen zu erbringen.
g.
Das Management des IPS Service erfolgt durch Interoute in Interoutes Netzwerk-Betriebscentern in Prag und
Genf. Der Austausch von kritischen Ereignisdaten (wie im Folgenden unter ‘l’ definiert) erfolgt an diesen
Standorten zwischen den Bestandteilen des IPS Service des Kunden und den Interoute Management
Systemen. Ferner werden Ereignisdaten – mit möglichen Transaktionsinformationen – auf kundendedizierten
Managementsystemen aufgezeichnet, die durch Interoute auf geschützter Interoute-Infrastruktur an
Standorten innerhalb des europäischen Interoute-Netzwerks implementiert werden.
Seite 18 von 22
Anlage 2s
h.
Serviceverfügbarkeit des IPS Service
Art des Service zur Verbindung mit dem Interoute IPNetzwerk
Zielvorgabe der Standortverfügbarkeit
IPS Service
99.95%
Die prozentuale Standortverfügbarkeit wird für einen monatlichen Überprüfungszeitraum gemäß folgender
Formel berechnet:
(H-U)
P=
H
X 100
Hierbei gilt:
U ist die Gesamtanzahl an Minuten im monatlichen Überprüfungszeitraum,
während dessen der Standort nicht verfügbar war;
Fällt die Standortverfügbarkeit während eines monatlichen Überprüfungszeitraums unter die entsprechende
Zielvorgabe der Standortverfügbarkeit, stehen dem Kunden folgende Servicegutschriften zu:
i.
Die Serviceverfügbarkeit für jeden betreffenden
Standort während eines monatlichen
Überprüfungszeitraums unterschreitet
Zielvorgabe um
Servicegutschriften als Prozentsatz der
monatlichen Standortgebühr:
bis zu 1%
5%
bis zu 2%
10%
bis zu 3%
15%
mehr als 3%
20%
Ausschlüsse für planmäßige Wartung
Für eine korrekte Funktion des IPS Service erachtet Interoute die folgenden Maßnahmen als erforderlich.
Zusätzlich zu den Ausschlüssen in Klausel 9 der Anlage 1, ist Interoute in Bezug auf den IPS Service nicht zur
Zahlung von Servicegutschriften gegenüber dem Kunden verpflichtet, sofern die Nicht-Einhaltung eines
Service Level durch einen der folgenden Gründe bedingt ist:
• Planmäßige Wartung:
• Wartung und Modifizierung des IPS;
• Back-up der IPS-Konfiguration und -Richtlinien;
• Signatur-Management und -Wartung samt stündlichem Download neuer Signaturen für den IPS;
• Plattform-Aktualisierungen samt monatlichem Patching und Versionsaktualisierungen.
j.
Support
Interoute bietet durchgängigen Support für den IPS Service und behält zu jeder Zeit die Kontrolle über
Konnektivität und Verwaltung des/der IPS-Geräts/e sowie der -Anwendung.
a.
Interoute unterstützt
i. Das IPS-Gerät gemäß Serviceverfügbarkeit (siehe Abschnitt oben);
Seite 19 von 22
Anlage 2s
ii. Das Management der auf dem/den Gerät(en) vorhandenen lizenzierten Software und
Anwendung einschließlich von Software-, Schwachstellen- und Signatur-Aktualisierungen;
iii. Die Bereitstellung von Management-Berichten gegenüber der durch den Kunden benannten
Kontaktperson;
iv. Die durch den Kunden benannte technische Abteilung und das Endanwender-Management
des Kunden.
k.
l.
Für Ressourcen- und Berichtszwecke wird dem Kunden der delegierte Zugang zu einem eigenen spezifischen
IPS-Managementsystem gewährt. Der Kunde trägt hierbei die Verantwortung für:
a.
Die Einhaltung der IPS-Richtlinien und des IPS-Geräts in Bezug auf den eigenen Service sowie die
möglichen Auswirkungen auf die eigene Geschäftstätigkeit und die der eigenen Endanwender sowie
b.
Die Bearbeitung sämtlicher Probleme und Störungen in Bezug auf die eigenen Endanwender
Ereignis-Klassifizierung
IPS-Ereignisse werden (wie unten definiert) nach Dringlichkeit eingestuft, d. h. je nach Art des Angriffs,
Zeitpunkt/Dauer, Bedrohungsgrad und Auswirkung;
Ereignis-Tabelle
Dringlichkeit
Gering
Mittel
Auswirkung:
Ereignis-Beschreibung
Durchgeführte Maßnahme
Unbekannt
Keine direkte Bedrohung; es
könnten jedoch Informationen zur
Art des beabsichtigten Eindringens
vorliegen.
Speicherung für eine begrenzte für
forensische Zwecke: im Kundenportal
einsehbar.
Derzeit nicht
anfällig
Potentiell
anfällig
Hoch
Anfällig
Ein an das Ziel übermitteltes
böswilliges Paket (ein angelehnter
Angriff bzw. intrusive Aufzählung)
ohne direkte Bedrohung des
Betriebs. Eine mittlere
Benachrichtigung ohne Auswirkung
auf Betrieb oder logische
Zugangskontrolle eines Systems.
Zielangriff, der eine echte
potentielle Gefahr darstellt und
Auswirkungen auf die
Verfügbarkeit bzw. Sicherheit von
Systemen samt Daten hätte, d. h.
Serviceunterbrechung, Verlust der
Datenintegrität oder Offenlegung
von Daten, Eindringen von
zerstörerischem/r Code oder
Software etc.
Bedeutsame Belege für
tatsächliche Kompromittierung des
Systems. Wiederholte als „hoch“
einzustufende Ereignisse aufgrund
unterstützender Nachweise (d. h.
entstellte Website,
Nichtverfügbarkeit des Systems
oder maximierter Bandbreite
/CPU).
Seite 20 von 22
Automatisierte Ereignisanalyse.
Trendanalyse und Bezug zu anderen
Ereignisse auf Kundenportal
verfügbar.
Ziel ist durch Kunden zu analysieren,
um Gefährdung als gegeben oder als
falsch-positiv zu bestätigen.
Eskalation an Kunden.
Anlage 2s
Die Zeit vom Ereignis bis zur Benachrichtigung definiert die maximale Zeit zwischen der Alarmmeldung auf der
IPS-Plattform, dessen Analyse sowie der Übermittlung der Informationen an den Kunden. Dies ist in der
folgenden Tabelle dargestellt:
Bedrohungsgrad
Zeit
Kommunikationsmediu
m
Von Alarm bis Reaktion
Hoch/anfällig
Beliebig
E-Mail-Nachricht
Kundenportal
30 Minuten
Hoch/potentiell
anfällig
Beliebig
Täglicher E-Mail-Bericht
Kundenportal
n. z.
Gering/mittel
Nicht anfällig/
unbekannt
Beliebig
Monatlicher Bericht
Kundenportal
n. z.
Es liegt in der Verantwortung des Kunden, Interoute in Bezug auf die Schnittstelle für diesen Service aktuelle
Kontaktinformationen bereitzustellen. Interoute nimmt keine Fehlermeldungen durch Endanwender
entgegen.
Interoute wird umgehend über einen Alarm informiert. Die IPS-Anwendung wird jedoch ebenfalls umgehend
Maßnahmen zur Blockierung des Datenverkehrs ergreifen, sofern sie hierfür konfiguriert wurde. Dies ist
abhängig von den IPS-Richtlinien, die in der Anforderungsphase der Installation durch den Kunden
bereitgestellt wurden.
m. Änderungen des IPS Service
Falls für den Kunden Änderungen an der Konfiguration oder dem Betrieb des IPS nötig werden,
nachdem dieser installiert wurde, hat der Kunde Interoute entweder telefonisch, per Fax, E-Mail oder
über das Interoute-Portal zu kontaktieren. Konfigurations- und Serviceänderungen können u. U. – je
nach Einstufung der Änderung – kostenlos erfolgen.
Die folgende Tabelle bietet eine Übersicht über sämtliche IPS-Service-Änderungen und zeigt an, ob
diese im Einzelnen kostenpflichtig (Bedeutende Änderungen) oder im Serviceangebot enthalten sind
(Geringfügige Änderungen):
Bedeutende
Änderung
Das Hinzufügen eines IPS-Geräts

Das Hinzufügen eines IPS Erkennungs-Engine

Das Hinzufügen eines IPS Managementsystems

Geringfügige
Änderung
Die Bereitstellung individueller Berichte

Änderungen der IPS-Richtlinien

Erhöhung der RNA-Benutzerlizenzen

bestimmte, d.h. nach Ermessen Interoutes angemessene, Änderungen zu verlangen. Diese sind durch
Beantragt der Kunde gegenüber Interoute eine geringfügige Änderung des IPS Service – und fügt
Änderungen innerhalb von einem (1) Werktag ab Übermittlung des Antrags abzuschließen.
Standardmäßig gilt, dass IPS-Kunden pro Kalendermonat kostenlos bis zu drei (3) geringfügige
Seite 21 von 22
Anlage 2s
erheben.
Allgemeine Ausschlüsse
i.
Zusätzlich zu den in der vorliegenden Anlage 2S genannten Ausschlüssen übernimmt Interoute
gegenüber dem Kunden keine Haftung für:
i. Die Leistung von Drittnetzwerken einschließlich Lokaler Zugangsleitungen, Traffix-ExchangePunkten einschließlich Internet-Netzwerken Dritter, durch Dritte bereitgestellte und unter
deren Kontrolle befindliche Transit- und Peering-Verbindungen sowie öffentliche und private
Exchange-Punkte wie z. B. NAP- und MAE-Punkte.
ii. Die Leistung von Drittparteisystemen einschließlich von Managementsystemen, Systemen
zur Service-Unterstützung sowie Betriebssystemen, die entweder durch eine Drittpartei, den
Kunden oder einen Endanwender des Kunden bereitgestellt werden.
Haftung
I. Servicegutschriften (sofern zutreffend) sind die einzige und ausschließliche Ersatzleistung für
Verstöße gegen die Zielvorgaben jeglicher Sicherheitsservices. Interoute haftet gegenüber dem Kunden
in keiner anderen Weise.
Seite 22 von 22

Schedule 2S

Transcription

Similar documents

IntuiKey Tastaturen der Serie KBD

Mobile Anwendungen - best practices in der TIME

TechData Microsoft Windows Small Business Server 2011 Standard

Windows Home Server

Transaktions-E-Mail- Administrationshandbuch

Novellierung der Beurteilungsrichtlinien der Polizei NRW (BRL Pol)

Constrained RESTful Environments - Chair of Network Architectures

Proxim zeigt erste WiMAX-Lösung - ARGE wireless