WAF-REL-100 – Reliability Debt Register & Quarterly Review

Pillar: Reliability | Severity: Medium | Kategorie: Reliability Governance | Automatisierbar: Niedrig–Mittel

Beschreibung

Alle bekannten Reliability-Risiken und deferred Reliability-Improvements MÜSSEN in einem versionierten Reliability Debt Register erfasst werden. Jeder Eintrag MUSS Owner, Severity (P1–P4), geschätzten Aufwand, Business-Risiko und Zieldatum enthalten. Das Register MUSS quartalsweise von Engineering-Leadership reviewed werden. P1-Einträge MÜSSEN innerhalb eines Sprints adressiert werden.

Rationale

Reliability-Schulden akkumulieren still und werden ohne Tracking unsichtbar. Das Reliability Debt Register macht bekannte Risiken für alle Stakeholder transparent. Quarterly Reviews stellen sicher, dass Einträge nicht dauerhaft aufgeschoben werden. Das Register dient auch als Compliance-Evidenz für strukturiertes Risikomanagement.

Bedrohungskontext

Risiko	Beschreibung
Unsichtbare Risiken	Bekannte SPOFs nicht dokumentiert; niemand prioritisiert sie; bis sie einen Incident verursachen.
Endlose Deferral	Reliability-Verbesserungen werden quartalweise verschoben ohne formalen Track.
Audit-Finding	Compliance-Audit findet kein strukturiertes Risk-Management-Dokument.
Hoher Toil	Unremediierter Reliability Debt erzeugt wiederkehrenden manuellen Aufwand.

Risiko

Beschreibung

Unsichtbare Risiken

Bekannte SPOFs nicht dokumentiert; niemand prioritisiert sie; bis sie einen Incident verursachen.

Endlose Deferral

Reliability-Verbesserungen werden quartalweise verschoben ohne formalen Track.

Audit-Finding

Compliance-Audit findet kein strukturiertes Risk-Management-Dokument.

Hoher Toil

Unremediierter Reliability Debt erzeugt wiederkehrenden manuellen Aufwand.

Anforderung

Reliability Debt Register: versioniert (Git), pro Workload oder zentral
Einträge: Beschreibung, Workload, Priorität P1–P4, Owner, Aufwand, Risiko, Zieldatum
P1 (Critical): Adressierung innerhalb eines Sprints (< 2 Wochen)
P2 (High): Adressierung im aktuellen Quartal
Quarterly Review: Protokolliert, mit Engineering-Leadership, Closures und neue Einträge
Abgeschlossene Einträge: als resolved markiert (nicht gelöscht)

Implementierungsanleitung

Register-Format wählen: YAML-Datei im Repository oder zentrales Governance-Dokument
Erstbefüllung: Post-Mortem-Actions, bekannte SPOFs, TODO-Kommentare im Code als Einträge
Priorität-Framework: P1 = Sicherheitsrisiko/Datenverlust, P2 = SLO-Risiko, P3 = Roadmap, P4 = Nice-to-have
Owner zuweisen: Default Owner = Team Lead; kein Eintrag ohne Owner
Review-Kalender: Quarterly Architecture Review enthält festes Agenda-Item "Reliability Debt"
Debt-Ratio tracken: (offene P1+P2 Einträge) / Gesamteinträge als Metrik

Reifegrad-Abstufung

Level	Bezeichnung	Kriterien
1	Kein Tracking	Reliability-Schulden nicht dokumentiert; nur durch Incidents sichtbar.
2	Ad-hoc Notizen	Einige Punkte im Ticketsystem; keine formale Priorisierung.
3	Formales Register + Quarterly Review	Versioniertes Register; alle Einträge mit Owner und Zieldatum; quarterly Review protokolliert.
4	Integriert in Architecture Governance	Einträge mit ADRs verlinkt; neue Arch-Entscheidungen gegen Register geprüft.
5	Automatisierte Erkennung	Reliability-Risiken automatisch erkannt (WAF++ Scanner, Config Rules); Debt-Ratio < 10%.

Level

Bezeichnung

Kriterien

Kein Tracking

Reliability-Schulden nicht dokumentiert; nur durch Incidents sichtbar.

Ad-hoc Notizen

Einige Punkte im Ticketsystem; keine formale Priorisierung.

Formales Register + Quarterly Review

Versioniertes Register; alle Einträge mit Owner und Zieldatum; quarterly Review protokolliert.

Integriert in Architecture Governance

Einträge mit ADRs verlinkt; neue Arch-Entscheidungen gegen Register geprüft.

Automatisierte Erkennung

Reliability-Risiken automatisch erkannt (WAF++ Scanner, Config Rules); Debt-Ratio < 10%.

Terraform Checks

waf-rel-100.tf.aws.config-conformance-pack

Prüft: AWS Config Conformance Pack für Reliability Compliance Tracking konfiguriert.

Compliant Non-Compliant

Compliant	Non-Compliant
`resource "aws_config_conformance_pack" "reliability" { name = "reliability-pack" template_body = <<-EOT Resources: RDSMultiAZ: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-multi-az-support Source: Owner: AWS SourceIdentifier: RDS_MULTI_AZ_SUPPORT EOT }`	`# Kein AWS Config Conformance Pack – # Reliability Compliance nicht # automatisch getrackt # WAF-REL-100 Violation`

resource "aws_config_conformance_pack"
    "reliability" {
  name = "reliability-pack"

  template_body = <<-EOT
    Resources:
      RDSMultiAZ:
        Type: AWS::Config::ConfigRule
        Properties:
          ConfigRuleName:
            rds-multi-az-support
          Source:
            Owner: AWS
            SourceIdentifier:
              RDS_MULTI_AZ_SUPPORT
  EOT
}

# Kein AWS Config Conformance Pack –
# Reliability Compliance nicht
# automatisch getrackt
# WAF-REL-100 Violation

Remediation: aws_config_conformance_pack mit Reliability-bezogenen Config Rules konfigurieren: RDS Multi-AZ, Backup Retention, etc.

Evidenz

Typ	Pflicht	Beschreibung
Governance	✅ Pflicht	Versioniertes Reliability Debt Register: alle Einträge mit Owner, Priorität, Zieldatum.
Process	✅ Pflicht	Quarterly Review Protokolle: Registerdurchsicht, Abschlüsse, neue Einträge, Unterschrift.
Governance	Optional	Reliability Debt Trend-Diagramm: P1/P2 Backlog über 4 Quartale.
Process	Optional	Engineering Roadmap mit Reliability Debt Remediation Items.

Typ

Pflicht

Beschreibung

Governance

✅ Pflicht

Versioniertes Reliability Debt Register: alle Einträge mit Owner, Priorität, Zieldatum.

Process

✅ Pflicht

Quarterly Review Protokolle: Registerdurchsicht, Abschlüsse, neue Einträge, Unterschrift.

Governance

Optional

Reliability Debt Trend-Diagramm: P1/P2 Backlog über 4 Quartale.

Process

Optional

Engineering Roadmap mit Reliability Debt Remediation Items.

Regulatorisches Mapping

Framework	Controls
ISO/IEC 27001:2022	A.5.15 – Threat intelligence; A.5.16 – Threat classification; A.5.24 – Information security incident management; A.5.25 – Assessment and decision on information security events; A.5.26 – Response to information security incidents
ITIL 4	SVS – Service value system; DP – Design principle; OV – Operation value chain
AWS Well-Architected Framework	Reliability Pillar – Prepare; Reliability Pillar – Deploy; Reliability Pillar – Monitor
SRE Book (Google)	Chapter 4 – Service Level Objectives; Chapter 5 – Eliminating toil; Chapter 6 – Monitoring
CNCF Cloud Native Security	SLSA – Supply chain Levels for Software Artifacts; SBOM – Software Bill of Materials
BSI C5:2022	SIM-01 – Security incident management; SIM-02 – Security information and event management
GDPR	Art. 32 – Security of processing; Art. 33 – Breach notification; Art. 34 – Communication of breach
NIST SP 800-161	SR-1 – Supply chain risk management; SR-2 – Supplier agreements; SR-3 – Supply chain controls
DORA	Art. 9 – Protection and prevention; Art. 13 – ICT incident reporting; Art. 17 – Testing of ICT tools
COBIT 2019	DSS04.01.01 – Ensure service availability; DSS04.01.02 – Ensure service capacity
TISAX	Information security – Incident response
ANSSI SecNumCloud	Domain – Incident response; Domain – Business continuity
BIO	BIO – Incidentmanagement; BIO – Bedrijfscontinuïteit
ENS High	op.exp.7 – Gestión de incidentes; op.exp.8 – Gestión de la continuidad del negocio
UK NCSC CAF	D1 – Response and recovery planning; D2 – Lessons learned
CMMC 2.0	IR.L2-3.6.1 – Establish incident handling capability; IR.L2-3.6.2 – Track, document and report incidents
IRAP	ISM – Incident management; ISM – Business continuity
CCCS PBMM	IR-4 – Incident handling; IR-8 – Incident response plan
MAS TRM	Ch.10 – Security incident management; Ch.11 – Business continuity
ISMAP	Reliability and incident management
FISC	Operational measures – Incident response

Framework

Controls

ISO/IEC 27001:2022

A.5.15 – Threat intelligence; A.5.16 – Threat classification; A.5.24 – Information security incident management; A.5.25 – Assessment and decision on information security events; A.5.26 – Response to information security incidents

ITIL 4

SVS – Service value system; DP – Design principle; OV – Operation value chain

AWS Well-Architected Framework

Reliability Pillar – Prepare; Reliability Pillar – Deploy; Reliability Pillar – Monitor

SRE Book (Google)

Chapter 4 – Service Level Objectives; Chapter 5 – Eliminating toil; Chapter 6 – Monitoring

CNCF Cloud Native Security

SLSA – Supply chain Levels for Software Artifacts; SBOM – Software Bill of Materials

BSI C5:2022

SIM-01 – Security incident management; SIM-02 – Security information and event management

GDPR

Art. 32 – Security of processing; Art. 33 – Breach notification; Art. 34 – Communication of breach

NIST SP 800-161

SR-1 – Supply chain risk management; SR-2 – Supplier agreements; SR-3 – Supply chain controls

DORA

Art. 9 – Protection and prevention; Art. 13 – ICT incident reporting; Art. 17 – Testing of ICT tools

COBIT 2019

DSS04.01.01 – Ensure service availability; DSS04.01.02 – Ensure service capacity

TISAX

Information security – Incident response

ANSSI SecNumCloud

Domain – Incident response; Domain – Business continuity

BIO

BIO – Incidentmanagement; BIO – Bedrijfscontinuïteit

ENS High

op.exp.7 – Gestión de incidentes; op.exp.8 – Gestión de la continuidad del negocio

UK NCSC CAF

D1 – Response and recovery planning; D2 – Lessons learned

CMMC 2.0

IR.L2-3.6.1 – Establish incident handling capability; IR.L2-3.6.2 – Track, document and report incidents

IRAP

ISM – Incident management; ISM – Business continuity

CCCS PBMM

IR-4 – Incident handling; IR-8 – Incident response plan

MAS TRM

Ch.10 – Security incident management; Ch.11 – Business continuity

ISMAP

Reliability and incident management

FISC

Operational measures – Incident response

WAF-REL-100 – Reliability Debt Register & Quarterly Review

Beschreibung

Rationale

Bedrohungskontext

Anforderung

Implementierungsanleitung

Reifegrad-Abstufung

Terraform Checks

waf-rel-100.tf.aws.config-conformance-pack

Evidenz

Regulatorisches Mapping

Verwandte Controls