Bundesamt für Sicherheit in der Informationstechnik

B 1.10 Standardsoftware

Logo Standardsoftware

Beschreibung

Unter Standardsoftware wird Software verstanden, die auf dem Markt angeboten wird und im Allgemeinen über den Fachhandel, z. B. über Kataloge, erworben werden kann. Sie zeichnet sich dadurch aus, dass sie vom Anwender selbst installiert werden soll und dass nur geringer Aufwand für die anwenderspezifische Anpassung notwendig ist.

In diesem Baustein wird eine Vorgehensweise für den Umgang mit Standardsoftware unter Sicherheitsgesichtspunkten dargestellt. Dabei wird der gesamte Lebenszyklus von Standardsoftware betrachtet: Erstellung eines Anforderungskataloges, Vorauswahl eines geeigneten Produktes, Test, Freigabe, Installation, Lizenzverwaltung und Deinstallation.

Das Qualitätsmanagementsystem des Entwicklers der Standardsoftware fällt nicht in den Anwendungsbereich dieses Bausteins. Es wird vorausgesetzt, dass die Entwicklung der Software unter Beachtung gängiger Qualitätsstandards erfolgte.

Die beschriebene Vorgehensweise dient der Orientierung, um einen Sicherheitsprozess bezüglich Standardsoftware zu etablieren. Gegebenenfalls kann die hier aufgezeigte Vorgehensweise auch zum Vergleich mit einem bereits eingeführten Verfahren herangezogen werden.

Gefährdungslage

Für den IT-Grundschutz von "Standardsoftware" werden die folgenden typischen Gefährdungen betrachtet:

Höhere Gewalt

G 1.2 Ausfall von IT-Systemen

Organisatorische Mängel

G 2.1 Fehlende oder unzureichende Regelungen
G 2.2 Unzureichende Kenntnis über Regelungen
G 2.3 Fehlende, ungeeignete, inkompatible Betriebsmittel
G 2.7 Unerlaubte Ausübung von Rechten
G 2.26 Fehlendes oder unzureichendes Test- und Freigabeverfahren
G 2.27 Fehlende oder unzureichende Dokumentation
G 2.28 Verstöße gegen das Urheberrecht
G 2.29 Softwaretest mit Produktionsdaten
G 2.67 Ungeeignete Verwaltung von Zutritts-, Zugangs- und Zugriffsrechten

Menschliche Fehlhandlungen

G 3.2 Fahrlässige Zerstörung von Gerät oder Daten
G 3.3 Nichtbeachtung von Sicherheitsmaßnahmen
G 3.8 Fehlerhafte Nutzung von IT-Systemen
G 3.16 Fehlerhafte Administration von Zugangs- und Zugriffsrechten
G 3.17 Kein ordnungsgemäßer PC-Benutzerwechsel

Technisches Versagen

G 4.7 Defekte Datenträger
G 4.22 Software-Schwachstellen oder -Fehler

Vorsätzliche Handlungen

G 5.2 Manipulation an Informationen oder Software
G 5.9 Unberechtigte IT-Nutzung
G 5.21 Trojanische Pferde
G 5.23 Schadprogramme
G 5.43 Makro-Viren

Maßnahmenempfehlungen

Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Für Standardsoftware sind eine Reihe von Maßnahmen umzusetzen, beginnend mit der Planung des Einsatzes über die Beschaffung bis zu ihrer Außerbetriebnahme. Die Schritte, die dabei durchlaufen werden sollten, sowie die Maßnahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im folgenden aufgeführt.

Planung und Konzeption

Vor der Auswahl einer bestimmten Standardsoftware sollte ein Anforderungskatalog erstellt werden, anhand dessen ein Produkt nach objektiven und nachvollziehbaren Kriterien ausgewählt werden kann, so dass man ein gewisses Vertrauen haben kann, dass ein einigermaßen optimales Produkt zum Einsatz kommt. In dieser Phase sollten bei komplexeren Produkten auch die Verantwortlichen für deren Beschaffung und Einsatz festgelegt werden.

Beschaffung

Für die Beschaffung kann anhand der konkreten Vorgaben des Anforderungskatalogs geprüft werden, welches der am Markt vorhandenen Produkte die am besten geeignete Funktionalität aufweist.

Umsetzung

Durch Tests in angemessener Tiefe ist sicherzustellen, dass das ausgewählte Produkt über die in der Dokumentation angegebene Funktionalität auch tatsächlich verfügt. Sofern das Produkt auf breiter Basis einzusetzen ist, muss es in die vorhandenen Installationsverfahren eingebunden werden, und die Installation selbst ist zu dokumentieren. Eine Nutzung in der Fläche darf erst erfolgen, wenn das Produkt nach erfolgreichem Durchlaufen der Tests und nach Abschluss der Vorbereitungsarbeiten dafür freigegeben wurde.

Betrieb

Die Kontrolle der installierten Versionen und die Nachverfolgung der verfügbaren Lizenzen und deren Abgleich mit der installierten Anzahl der Produkte ist eine permanente Aufgabe während der Nutzung der Standardsoftware.

Aussonderung

Eine saubere Deinstallation von Standardsoftware erfordert häufig umfangreiche und komplexe Arbeiten, in einzelnen Fällen bis hin zur Neuinstallation von Rechnern.

Nachfolgend wird das Maßnahmenbündel für den Baustein "Standardsoftware" vorgestellt. Je nach Art und Umfang der jeweiligen Standardsoftware muss erwogen werden, ob einzelne Maßnahmen nur reduziert umgesetzt werden. Die Maßnahmen M 2.79 bis M 2.89 stellen in der angegebenen Reihenfolge eine umfassende Beschreibung dar, wie der Lebenszyklus von Standardsoftware gestaltet werden kann. Sie werden durch die anderen genannten Maßnahmen ergänzt.

Planung und Konzeption

M 2.79 (A) Festlegung der Verantwortlichkeiten im Bereich Standardsoftware
M 2.80 (A) Erstellung eines Anforderungskatalogs für Standardsoftware
M 2.82 (B) Entwicklung eines Testplans für Standardsoftware
M 2.378 (Z) System-Entwicklung
M 2.379 (Z) Software-Entwicklung durch Endbenutzer
M 4.34 (Z) Einsatz von Verschlüsselung, Checksummen oder Digitalen Signaturen

Beschaffung

M 2.66 (Z) Beachtung des Beitrags der Zertifizierung für die Beschaffung
M 2.81 (B) Vorauswahl eines geeigneten Standardsoftwareproduktes

Umsetzung

M 2.83 (B) Testen von Standardsoftware
M 2.84 (A) Entscheidung und Entwicklung der Installationsanweisung für Standardsoftware
M 2.85 (A) Freigabe von Standardsoftware
M 2.86 (B) Sicherstellen der Integrität von Standardsoftware
M 2.87 (A) Installation und Konfiguration von Standardsoftware
M 2.90 (A) Überprüfung der Lieferung
M 4.42 (Z) Implementierung von Sicherheitsfunktionalitäten in der IT-Anwendung

Betrieb

M 2.88 (A) Lizenzverwaltung und Versionskontrolle von Standardsoftware

Aussonderung

M 2.89 (C) Deinstallation von Standardsoftware

Stand: 11. EL Stand 2009

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK