Zum Inhalt springen
FM-Connect Chat

Hallo! Ich bin Ihr FM-Connect Chat-Assistent. Wie kann ich Ihnen helfen?

FM-Solutionmaker: Gemeinsam Facility Management neu denken

CAFM-System: Cloud

Facility Management: FM-Software » Funktionen » Cloud

CAFM-System: Cloud

CAFM in der Cloud – Anforderungen

Das cloudbasierte CAFM-System ermöglicht den zentralen Betrieb, die sichere Datenhaltung und den standortunabhängigen Zugriff auf FM-Prozesse. Anwendungen, Daten und Schnittstellen lassen sich einheitlich verwalten und bedarfsgerecht skalieren. Standardisierte Sicherheitsmechanismen, regelmäßige Updates und hohe Verfügbarkeit unterstützen einen stabilen Betrieb. Die Cloud-Integration vereinfacht Zusammenarbeit, Systempflege und die Anbindung externer Dienste im Facility Management.

Cloud-Betrieb und Architektur für CAFM

Allgemeine Anforderungen an den Cloudbetrieb

  • Muss: Die Hosting-Infrastruktur des CAFM-Systems muss sich ausschließlich in Rechenzentren innerhalb Deutschlands oder der EU befinden, um volle DSGVO-Konformität zu gewährleisten. Abnahmeprüfung: Vorlage der Rechenzentrums-Standorte (z. B. durch Zertifikate oder Vertragspassus) als Nachweis, dass alle Daten im deutschen/EU-Rechtsraum gespeichert werden.

  • Muss: Der Cloud-Anbieter gilt als Auftragsverarbeiter und schließt mit dem Auftraggeber einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO ab. Dieser Vertrag muss alle vorgeschriebenen Punkte abdecken (u. a. Zweck und Dauer der Verarbeitung, Datenkategorien, Pflichten des Anbieters, technische-organisatorische Maßnahmen und Löschpflichten nach Vertragsende). Abnahmeprüfung: Prüfung des vorgelegten AVV auf vollständige Aufnahme aller Art. 28-Inhalte (inkl. Regelungen zu TOMs, Support bei Betroffenenrechten und Datenlöschung).

  • Soll: Das Rechenzentrum des Anbieters ist zertifiziert und erfüllt hohe Standards. Es sollte mindestens eine ISO/IEC 27001-Zertifizierung oder ein gleichwertiges Testat (z. B. BSI C5) vorliegen. Außerdem wird eine Verfügbarkeitsklasse 3 nach DIN EN 50600 (hochverfügbar, wartungsfrei ohne Betriebsunterbrechung) empfohlen. Eine entsprechende Notfallvorsorge (Notstromversorgung, Brandlöschung, redundante Infrastruktur) ist nachzuweisen. Abnahmeprüfung: Vorlage gültiger Zertifikate (z. B. ISO 27001, EN 50600-Konformitätsnachweis) sowie Beschreibung der Rechenzentrums-Redundanz und Notfallkonzepte.

  • Muss: Die Vertraglichen Vereinbarungen zum Cloudbetrieb entsprechen deutschem Recht. Insbesondere bestätigt der Anbieter die Einhaltung der DSGVO und des BDSG bei der Datenverarbeitung im Auftrag. Dies umfasst auch die Unterauftragsverhältnisse: Der Anbieter darf Subunternehmer (z. B. für Hosting oder Backup) nur mit Zustimmung des Auftraggebers einsetzen und muss diese transparent offenlegen. Abnahmeprüfung: Vertragliche Prüfung, ob eine Klausel zur Einhaltung der DSGVO/BDSG enthalten ist und eine Liste aller Sub-Auftragsverarbeiter mit Zustimmungsvorbehalt vorliegt.

  • Muss: Der Anbieter garantiert die vollständige DSGVO-Konformität der Cloud-Lösung. Alle Vorschriften der EU-DSGVO und des deutschen BDSG werden eingehalten, insbesondere bei der Verarbeitung personenbezogener Daten. Abnahmeprüfung: Schriftliche Compliance-Bestätigung des Anbieters und ggf. Vorlage von Datenschutz-Zertifikaten oder -Gutachten, die DSGVO-Konformität bescheinigen.

  • Muss: Es sind angemessene Technische und Organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO umzusetzen, um Vertraulichkeit, Integrität und Verfügbarkeit der Daten sicherzustellen. Dazu zählen insbesondere Verschlüsselung aller Daten bei der Übertragung und Speicherung (Transport Encryption & Data at Rest), Zugriffskontrollmechanismen und starke Authentifizierung (z. B. Zwei-Faktor-Authentifizierung für Administratoren), sowie Maßnahmen zur Verfügbarkeitsgewährleistung (z. B. Backups und Disaster Recovery). Abnahmeprüfung: Einsicht in das Sicherheitskonzept/TOM-Dokumentation des Anbieters (Nachweis von Ende-zu-Ende-Verschlüsselung, Einsatz von MFA, Backup-Konzept etc.) und stichprobenartige Prüfung der implementierten Maßnahmen (z. B. TLS-Test, Konfigurationsnachweise).

  • Muss: Ein Rollen- und Rechtekonzept ist umzusetzen, das sicherstellt, dass Benutzer nur entsprechend ihrer Berechtigungen auf Daten zugreifen können. Das Prinzip der minimalen Rechtevergabe (Least Privilege) muss eingehalten werden. Abnahmeprüfung: Prüfung des Berechtigungskonzepts (Dokumentation der Rollen mit zugehörigen Rechten) sowie Test im System durch Anlage von Testnutzerrollen und Verifizierung, dass unautorisierte Zugriffe unterbunden sind.

  • Muss: Jeglicher Zugriff durch Dritte, inklusive Support-Personal des Anbieters, darf nur nach ausdrücklicher Genehmigung und unter Kontrolle erfolgen. Der Anbieter stellt sicher, dass Administratorzugriffe protokolliert und autorisiert sind. Protokollierung: Das System muss alle sicherheitsrelevanten Zugriffe und Änderungen an Daten in einem Audit-Log erfassen (wer hat wann welche Aktion durchgeführt). Abnahmeprüfung: Vorlage des Protokollierungskonzepts und Live-Demonstration des Audit-Logs im System (Überprüfung, dass z.B. administrative Zugriffe vollständig und unveränderbar protokolliert werden).

  • Muss: Es ist ein Lösch- und Aufbewahrungskonzept umzusetzen. Nicht mehr benötigte personenbezogene Daten sind gemäß DSGVO fristgerecht zu löschen. Der Anbieter muss definierte Aufbewahrungsfristen einhalten und nach deren Ablauf Daten zuverlässig entfernen. Spätestens zum Vertragsende werden alle Kundendaten nach Art. 28 DSGVO gelöscht oder dem Kunden ausgehändigt. Abnahmeprüfung: Einsicht in das Löschkonzept (inkl. Fristenplan) und vertragliche Regelung zur Datenlöschung. Zusätzlich Überprüfung durch einen Test: z. B. schriftliche Bestätigung der Datenlöschung nach einer definierten Aufbewahrungsfrist oder am Vertragsende.

  • Soll: Der Anbieter unterstützt den Auftraggeber bei der Einhaltung von Betroffenenrechten (Art. 15-20 DSGVO). Insbesondere müssen Auskunftsersuchen, Berichtigungen, Löschungen und Datenportabilität (Datenherausgabe in gängigem Format) technisch unterstützt werden. Abnahmeprüfung: Vertragsprüfung (AVV-Klauseln zur Unterstützung bei Betroffenenanfragen) und Funktionstest, ob z. B. ein vollständiger Export der personenbezogenen Daten in einem maschinenlesbaren Format möglich ist.

Informationssicherheit

  • Muss: Der Cloud-Betreiber muss ein Informationssicherheits-Management nach anerkannten Standards nachweisen. Akzeptiert werden z. B. eine Zertifizierung nach ISO/IEC 27001 oder ein Prüfungsnachweis auf Basis von BSI IT-Grundschutz. Idealerweise liegt ein BSI C5-Testat für den Cloud-Dienst vor. Abnahmeprüfung: Vorlage aktueller Zertifikate (ISO 27001, BSI-Grundschutz-Zertifikat oder C5-Testat) und Prüfen der Gültigkeit sowie des Geltungsbereichs (Scope) der Zertifizierung.

  • Soll: Die physische Sicherheit der Rechenzentren entspricht gängigen Standards (z. B. DIN EN 50600 Schutzklassen für Zutrittsschutz, Brandmelde- und Löschanlagen etc.). Der Anbieter gewährleistet Schutz vor physischen Bedrohungen und unbefugtem Zutritt. Abnahmeprüfung: Einsicht in Sicherheitszertifikate des Rechenzentrums (z. B. TÜV-Berichte nach EN 50600) oder Vor-Ort-Audit-Berichte, die Zutrittskontrollen und bauliche Schutzmaßnahmen bestätigen.

  • Muss: Der Anbieter trifft umfangreiche Vorkehrungen zur Abwehr von Cyberangriffen. Dazu gehören mindestens aktuelle Firewall-Systeme, Intrusion-Detection/Prevention-Systeme, DDoS-Schutz und regelmäßige Sicherheitsaudits der Cloud-Plattform. Abnahmeprüfung: Vorlage eines Sicherheitskonzepts oder Penetrationstest-Berichts, aus dem diese Maßnahmen hervorgehen. Optional: unabhängiger Pentest durch Auftraggeber oder ein Audit während der Betriebsphase zur Verifizierung.

  • Muss: Es existiert ein Patch- und Schwachstellenmanagement: Sicherheitsupdates für die Plattform, Server und Anwendungssoftware werden zeitnah eingespielt, sobald sie verfügbar sind. Bekannt gewordene Schwachstellen (z. B. aus CVE-Meldungen) werden innerhalb definierter Fristen beseitigt. Abnahmeprüfung: Einsicht in den Prozess für Patch-Management (Policy) und Überprüfung an Beispielen (z. B. Reaktionszeit auf kritische Sicherheitsupdates in der Vergangenheit).

  • Soll: Der Anbieter führt regelmäßig Sicherheitsaudits und Tests durch, darunter Schwachstellen-Scans und Penetrationstests durch unabhängige Stellen. Ergebnisse kritischer Prüfungen werden dem Auftraggeber auf Anfrage zur Verfügung gestellt. Abnahmeprüfung: Vorlage der Zusammenfassung des letzten Penetrationstests oder Sicherheitsaudit-Berichts (kritische Findings können geschwärzt sein) sowie Überprüfung, dass ein Prozess zur Nachverfolgung von Befunden existiert.

  • Muss: Ein aktuelles Backup- und Recovery-Konzept ist vorhanden. Alle produktiven Daten werden regelmäßig gesichert (mind. täglich oder gemäß SLA-Vorgabe) und es ist eine geografisch getrennte Datensicherungsstrategie implementiert. Es sind klare RTO/RPO definiert (Wiederanlauf- und Datenverlustzeiten), und regelmäßige Wiederherstellungstests werden durchgeführt. Abnahmeprüfung: Prüfung des Backup-Konzepts (Dokumentation der Frequenz, Offsite-Speicherung, RTO/RPO-Werte) sowie Nachweis eines erfolgreichen Wiederherstellungstests (Protokoll oder Test-Durchführung im Rahmen der Abnahme).

Betriebsbezogene Anforderungen

  • Muss: Der Cloud-Service muss eine hohe Verfügbarkeit aufweisen. Gefordert wird eine jährliche Systemverfügbarkeit von z. B. 99 % oder höher, gemessen nach vereinbarten SLA-Regeln. Etwaige Wartungsfenster sind vertraglich festzulegen und zeitlich zu begrenzen (z. B. außerhalb der Kernarbeitszeiten). Abnahmeprüfung: Überprüfung des SLA-Dokuments auf die zugesicherte Verfügbarkeitskennzahl und Regelungen zu Wartungsfenstern; im Betrieb Einsicht in Verfügbarkeitsberichte bzw. Monitoring-Dashboards.

  • Muss: Der Anbieter verpflichtet sich zu definierten Service Level Agreements (SLAs) bezüglich Reaktionszeiten und Behebungszeiten bei Störungen. Beispielsweise ist festzulegen, innerhalb welcher Zeit eine kritische Störung bearbeitet und behoben wird. Abnahmeprüfung: Bewertung der SLA-Vereinbarungen (Support- und Incident-Management-Prozesse) und ggf. Simulation eines Supportfalls zur Überprüfung der Reaktionszeit.

  • Soll: Es erfolgt ein kontinuierliches Monitoring der Systemressourcen und -leistungen (CPU, Speicher, Netzwerk, Anwendung) durch den Anbieter. Abweichungen oder Ausfälle werden automatisch erkannt und gemeldet. Dem Kunden sollen bei Bedarf Monitoring-Berichte oder Zugriffsrechte auf Dashboards zur Verfügung stehen. Abnahmeprüfung: Sichtung der Monitoring-Konzept-Dokumentation und ggf. Demonstration des Monitoring-Tools mit Live-Metriken des Systems.

  • Soll: Das System ist skalierbar ausgelegt. Der Cloud-Dienst kann Lastspitzen (z. B. erhöhte Nutzerzahlen oder Datenmengen) flexibel abfangen, ohne Leistungseinbußen. Eine automatische Skalierung oder einfache manuelle Skalierung der Ressourcen ist vorgesehen. Abnahmeprüfung: Technische Beschreibung der Skalierungsmechanismen (Auto-Scaling-Konfiguration oder Ähnliches) und Test durch Simulation einer Laststeigerung (Review der Systemreaktion oder vorhandener Stresstest-Berichte).

  • Soll: Bei einem Multi-Tenant-Betrieb (öffentliche Cloud/SaaS) muss eine strikte Mandantentrennung gewährleistet sein. Daten und Konfigurationen eines Kunden dürfen für andere Mandanten weder einsehbar noch zugreifbar sein. Abnahmeprüfung: Einsicht in die Architektur (z. B. Mandanten-ID-Konzept in der Datenbank) und Versuch, mit einem Tenant-Account auf Daten eines anderen Mandanten zuzugreifen (dies muss scheitern).

  • Soll: Updates und Wartungen am CAFM-System erfolgen im laufenden Betrieb oder in definierten Wartungsfenstern, ohne die Verfügbarkeit wesentlich zu beeinträchtigen. Der Anbieter muss Updates möglichst downtime-frei deployen oder Ausfallzeiten auf ein Minimum reduzieren. Wartungsarbeiten sind rechtzeitig vorab anzukündigen. Abnahmeprüfung: Überprüfung des Update-Prozesses (Dokumentation der Deployment-Prozeduren, z. B. Blue-Green-Deployments) sowie Review von Referenzen/Berichten, wie Updates in der Vergangenheit durchgeführt wurden (Dauer und Ankündigung von Downtimes).

Schnittstellen, Integration und Datenportabilität

  • Soll: Das CAFM-System bietet standardisierte Schnittstellen (APIs) für den Datenaustausch mit Dritt-Systemen (z. B. REST/JSON-basierte Web-APIs). Die API-Dokumentation muss offen gelegt werden. Datenintegration in andere Systeme (wie ERP, IoT, etc.) soll durch unterstützte Standards (z. B. IFC, OPC, o. ä.) erleichtert werden. Abnahmeprüfung: Einsicht in die API-Dokumentation und ggf. Durchführen eines Prototypenaufrufs gegen die API, um die Konformität mit der Dokumentation und den Standard zu verifizieren.

  • Muss: Datenübertragungen von und zum Cloud-System müssen stets über sichere, verschlüsselte Protokolle erfolgen (z. B. HTTPS/TLS für APIs, SFTP für Dateitransfers). Es dürfen keine unverschlüsselten Verbindungen eingesetzt werden, insbesondere nicht über öffentliche Netze. Abnahmeprüfung: Technische Überprüfung der Schnittstellen (z. B. Versuch eines API-Calls via HTTP – muss vom System abgelehnt/umgeleitet werden; Überprüfung der TLS-Konfiguration auf starke Verschlüsselung).

  • Soll: Es sind Import- und Export-Schnittstellen vorzusehen, um Datenmigration und -integration zu erleichtern. Der Anbieter stellt Tools oder Funktionen bereit, mit denen der Kunde bei Bedarf Massendatenimporte (z. B. initiale Datenübernahme) und -exporte durchführen kann. Abnahmeprüfung: Review der verfügbaren Import/Export-Funktionen (z. B. Vorführung eines CSV/XML-Exports von Objektdaten) und Überprüfung, ob diese den Anforderungen (Datenumfang, Formate) genügen.

  • Muss: Der Anbieter verpflichtet sich zur Datenportabilität und -rückgabe bei Vertragsende. Alle kundenrelevanten Daten sind dem Auftraggeber auf Verlangen und spätestens nach Vertragsende in einem gängigen, maschinenlesbaren Format zur Verfügung zu stellen. Dabei sind die Daten vollständig und in einem strukturierten Format (z. B. SQL-Dump, CSV/XML-Exporte inkl. Dateianhänge) bereitzustellen. Anschließend müssen alle Daten beim Anbieter gelöscht werden. Abnahmeprüfung: Überprüfung der Vertragsklauseln zur Datenrückgabe (Exit-Regelung) und ggf. Test eines vollständigen Datenexports während der Vertragslaufzeit. Zusätzlich verlangt der Auftraggeber am Ende des Vertrags eine schriftliche Bestätigung der Datenlöschung oder ein Löschprotokoll.

  • Kann: Auf Wunsch unterstützt der Anbieter eine schrittweise Übergabe (Transition) der Daten an einen Nachfolgedienstleister oder zurück an den Auftraggeber, um einen nahtlosen Übergang zu ermöglichen. Dies kann z. B. durch Parallelbetrieb in einer Hybrid-Cloud-Phase oder durch Unterstützung beim Datenumzug erfolgen. Abnahmeprüfung: Vertragsprüfung auf optionale Transition-Services und gegebenenfalls Bewertung eines angebotenen Migrationsplans.

Formale Bewertung der Anforderungen

Alle oben genannten Anforderungen sind mit einer Priorität als Muss-, Soll- oder Kann-Kriterium gekennzeichnet. Muss-Kriterien sind zwingend und führen bei Nichterfüllung zum Ausschluss des Angebots. Soll-Kriterien sind erwünscht und fließen mit definierter Gewichtung in die Bewertungsmatrix ein, während Kann-Kriterien optionale Zusatzmerkmale darstellen, die positiv in die Bewertung einbezogen werden können.

Zu jeder Anforderung ist außerdem eine Abnahmeprüfung definiert. Diese beschreibt, wie die Erfüllung der jeweiligen Anforderung praktisch überprüft und nachgewiesen wird. Beispiele hierfür sind etwa die Vorlage von Sicherheitszertifikaten (z. B. ISO 27001) als Nachweis für implementierte Standards, ein Test des Audit-Logging im System als Nachweis der Protokollierungs-Funktion oder die Einsicht in Verträge/Dokumente zum Hosting-Standort als Beleg für die Standortanforderung. Durch diese prüf- und bewertbaren Abnahmekriterien wird sichergestellt, dass jede Forderung im Rahmen der Ausschreibung sowie bei der Endabnahme des Systems objektiv verifizierbar ist. Alle Nachweise und Testergebnisse sind vom Anbieter zu erbringen und vom Auftraggeber abzunehmen, um die erfolgreiche Erfüllung der Anforderungen gerichtsfest zu dokumentieren.