Bundesamt für Sicherheit in der Informationstechnik

B 5.25 Allgemeine Anwendungen

Logo Baustein Allgemeine Anwendungen

Beschreibung

In Unternehmen und Behörden werden Geschäftsprozesse oder Fachverfahren betrieben, die durch spezialisierte Anwendungssoftware (kurz Anwendungen) unterstützt werden. Hierfür sind in den IT-Grundschutz-Katalogen keine spezifischen IT-Grundschutz-Bausteine, also keine spezifischen Gefährdungslagen und Maßnahmen, vorhanden. Gleichzeitig beschreiben aber zahlreiche Bausteine der Schicht 1 einen umfassenden Managementrahmen, also Prozesse und Vorgehensmodelle, die für alle Phasen des Lebenszyklus beim Einsatz von Anwendungen relevant sind. Insbesondere sind hier zu nennen:

Grundsätzlich:

Im Bedarfsfall:

Bis auf wenige Ausnahmen richten sich diese Bausteine und die darin enthaltenen Maßnahmen an das Informationssicherheitsmanagement und die IT-Betriebsleitung. Die Perspektive der Verantwortlichen für Auswahl, Inbetriebnahme, Betrieb und Aussonderung einer Anwendung tritt dabei in den Hintergrund.

Dieser Baustein fasst aus Sicht der Verantwortlichen für Anwendungen wesentliche Anforderungen an die Informationssicherheit zusammen. Er referenziert dabei wesentliche Maßnahmen aus den oben genannten Bausteinen und verweist somit auf die dort beschriebenen Prozesse. Führen diese Prozesse im jeweiligen ISMS zu Rahmenkonzepten, etwa für den Einsatz von Verschlüsselung, Datensicherung oder Notfallvorsorge, so ist es sinnvoll, diese Konzepte bezogen auf die jeweilige betrachtete Anwendung fortzuschreiben.

Dieser Baustein deckt die folgenden Typen von Anwendungen ab:

  • Individualsoftware, die durch interne oder externe Entwickler erstellt wurde,
  • Standardsoftware mit eigenen Anpassungen, zum Beispiel durch Programmänderungen oder durch Entwicklung spezifischer Module (Customizing) und
  • Standardsoftware, die wie vom Hersteller geliefert eingesetzt und nur entsprechend der Fachaufgaben und der Sicherheitsvorgaben konfiguriert wird.

Fokus dieses Bausteins sind komplexe Anwendungen, die für spezifische fachliche Aufgaben konzipiert sind, wie Personalverwaltungssoftware oder wie Verfahren zur Verwaltung von Sozialdaten oder Meldedaten. Fach- oder funktionsübergreifende Standardsoftware, die fachlich nicht fokussiert ist und wie Office-Anwendungen für viele Branchen nutzbar ist, wird in B 1.10 Standardsoftware behandelt.

Je nach Typ der Anwendung können dabei einige der in diesem Baustein vorgeschlagenen Maßnahmen entbehrlich sein.

Unabhängig vom Geschäftsprozess oder Verwaltungsverfahren, in dem die Anwendung eingesetzt wird, werden in diesem Baustein wesentliche, übergreifende Gefährdungen und Standardsicherheitsmaßnahmen beschrieben. Eine Ergänzung dieses Bausteins um spezifische Bausteine für bestimmte Anwendungen ist möglich, wie beispielsweise die bereits etablierten Bausteine B 5.13 SAP System und B 5.21 Webanwendungen .

Gefährdungslage

Für den IT-Grundschutz von Anwendungen werden die folgenden typischen Gefährdungen betrachtet:

Organisatorische Mängel

G 2.3 Fehlende, ungeeignete, inkompatible Betriebsmittel
G 2.5 Fehlende oder unzureichende Wartung
G 2.7 Unerlaubte Ausübung von Rechten
G 2.9 Mangelhafte Anpassung an Veränderungen beim IT-Einsatz
G 2.22 Fehlende oder unzureichende Auswertung von Protokolldaten
G 2.26 Fehlendes oder unzureichendes Test- und Freigabeverfahren
G 2.27 Fehlende oder unzureichende Dokumentation
G 2.61 Unberechtigte Sammlung personenbezogener Daten
G 2.67 Ungeeignete Verwaltung von Zutritts-, Zugangs- und Zugriffsrechten
G 2.84 Unzulängliche vertragliche Regelungen mit einem externen Dienstleister
G 2.105 Verstoß gegen gesetzliche Regelungen und vertragliche Vereinbarungen
G 2.151 Fehlende Herstellerunterstützung von Applikationen für den Einsatz auf virtuellen IT-Systemen
G 2.154 Ungeeignete Anwendungen für den Einsatz auf Terminalservern

Menschliche Fehlhandlungen

G 3.1 Vertraulichkeits- oder Integritätsverlust von Daten durch Fehlverhalten
G 3.2 Fahrlässige Zerstörung von Gerät oder Daten

Technisches Versagen

G 4.2 Ausfall interner Versorgungsnetze
G 4.13 Verlust gespeicherter Daten
G 4.22 Software-Schwachstellen oder -Fehler
G 4.39 Software-Konzeptionsfehler
G 4.43 Undokumentierte Funktionen
G 4.99 Fehlende oder unzureichende Sicherheitsmechanismen in Anwendungen

Vorsätzliche Handlungen

G 5.2 Manipulation an Informationen oder Software

Maßnahmenempfehlungen

Um den betrachteten Informationsverbund abzusichern, müssen, zusätzlich zu diesem Baustein, noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Für Anwendungen sind eine Reihe von Maßnahmen umzusetzen, beginnend mit der Planung des Einsatzes über die Beschaffung bis zu ihrer Außerbetriebnahme und der Notfallvorsorge. Die Schritte, die dabei durchlaufen werden sollten, sowie die Maßnahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im Folgenden aufgeführt.

Planung und Konzeption

Bevor eine neue Anwendung beschafft oder programmiert wird, müssen die Rahmenbedingungen für den Einsatz geklärt werden (siehe M 2.546 Analyse der Anforderungen an neue Anwendungen ). Dazu gehört M 2.547 Ermittlung und Dokumentation der Rechtsgrundlagen für Anwendungen .

Je nach Einsatzzweck kann eine Anwendung fertig eingekauft werden, die eventuell angepasst werden muss, oder es muss eine spezielle Anwendungssoftware entwickelt werden. Dafür sollte ein Anforderungskatalog (siehe M 2.80 Erstellung eines Anforderungskatalogs für Standardsoftware ) bzw. ein Lastenheft (siehe M 2.548 Erstellung eines Lastenheftes ) erstellt werden.

Beschaffung

Anhand der konkreten Vorgaben des Anforderungskatalogs kann geprüft werden, ob ein am Markt vorhandenes Produkt für den Einsatzzweck geeignet ist. Anderenfalls sollten andere Lösungen überlegt werden, beispielsweise könnten externe Dienstleister mit der Entwicklung einer passenden Anwendungssoftware beauftragt werden (siehe auch M 2.551 Durchführung eines geeigneten und rechtskonformen Vergabeverfahrens ).

Stützt sich die Institution bei Beschaffung, Entwicklung oder Betrieb der Anwendung auf Dienstleister ab, sollten geeignete vertragliche Rahmenbedingungen geschaffen werden (siehe M 2.554 Geeignete Vertragsgestaltung bei Beschaffung, Entwicklung und Betriebsunterstützung für Anwendungen ).

Umsetzung

Aufbauend auf dem Lastenheft ist zur Anwendungsentwicklung ein Pflichtenheft zu erstellen (siehe M 2.552 Erstellung eines Pflichtenheftes ). Im Rahmen des Pflichtenheftes sind auch eine Reihe von Teilkonzepten zu berücksichtigen. Diese sollten die Pflege der Anwendung (siehe M 2.553 Entwicklung eines Pflegekonzeptes für Anwendungen ), die geeignete Behandlung der Nutzerauthentisierung (siehe M 2.555 Entwicklung eines Authentisierungskonzeptes für Anwendungen ) und die Protokollierung (siehe M 2.500 Protokollierung von IT-Systemen ) beinhalten.

Bei der Inbetriebnahme der Anwendung sind Test und Freigabe (siehe M 2.556 Planung und Umsetzung von Test und Freigabe von Anwendungen ), die sichere Installation (siehe M 4.463 Sichere Installation einer Anwendung ) sowie die geeignete Schulung von Administratoren und Anwendern (siehe M 3.4 Schulung vor Programmnutzung ) zu berücksichtigen.

Betrieb

In der Phase des Betriebes einer Anwendung ist dafür Sorge zu tragen, dass die Sicherheit gewährleistet bleibt (siehe M 4.464 Aufrechterhaltung der Sicherheit im laufenden Anwendungsbetrieb ).

Aussonderung

Wird eine Anwendung auf eine neue betriebliche Infrastruktur migriert, oder wird die Anwendung endgültig außer Betrieb genommen, so sind in der abgelösten betrieblichen Umgebung die Deinstallation (siehe M 2.89 Deinstallation von Standardsoftware ), die Löschung und Vernichtung von nicht mehr benötigten Daten (siehe M 2.167 Auswahl geeigneter Verfahren zur Löschung oder Vernichtung von Daten ) und Außerbetriebnahme der bisherigen betrieblichen Infrastruktur (siehe M 4.234 Geregelte Außerbetriebnahme von IT-Systemen und Datenträgern ) zu planen und umzusetzen.

Notfallvorsorge

Hinweise zur anwendungsspezifischen Planung der Notfallvorsorge sind in der Maßnahme M 6.158 Notfallvorsorge für Anwendungen zusammengefasst. Wurde die Anwendung durch Dienstleister entwickelt und kann fehlende Unterstützung durch den Dienstleister, zum Beispiel durch Insolvenz, die Existenz der Institution gefährden, so ist eine Hinterlegung des Quellcodes zu empfehlen (siehe M 6.137 Treuhänderische Hinterlegung (Escrow) ). Bei hohem Schutzbedarf hinsichtlich der Verfügbarkeit ist die Erstellung eines Verfügbarkeitskonzeptes zu empfehlen (siehe M 6.157 Entwicklung eines Redundanzkonzeptes für Anwendungen ).

Planung und Konzeption

M 2.40 (A) Rechtzeitige Beteiligung des Personal-/Betriebsrates
M 2.546 (A) Analyse der Anforderungen an neue Anwendungen
M 2.547 (A) Ermittlung und Dokumentation der Rechtsgrundlagen für Anwendungen
M 2.548 (A) Erstellung eines Lastenheftes
M 2.549 (C) Erstellung eines Mandantenkonzeptes
M 2.550 (C) Geeignete Steuerung der Anwendungsentwicklung

Beschaffung

M 2.551 (Z) Durchführung eines geeigneten und rechtskonformen Vergabeverfahrens
M 2.554 (Z) Geeignete Vertragsgestaltung bei Beschaffung, Entwicklung und Betriebsunterstützung für Anwendungen

Umsetzung

M 2.552 (A) Erstellung eines Pflichtenheftes
M 2.553 (C) Entwicklung eines Pflegekonzeptes für Anwendungen
M 2.555 (A) Entwicklung eines Authentisierungskonzeptes für Anwendungen
M 2.556 (A) Planung und Umsetzung von Test und Freigabe von Anwendungen
M 4.463 (A) Sichere Installation einer Anwendung

Betrieb

M 3.4 (A) Schulung vor Programmnutzung
M 4.464 (B) Aufrechterhaltung der Sicherheit im laufenden Anwendungsbetrieb

Aussonderung

M 2.89 (C) Deinstallation von Standardsoftware
M 2.167 (B) Auswahl geeigneter Verfahren zur Löschung oder Vernichtung von Daten
M 4.234 (B) Geregelte Außerbetriebnahme von IT-Systemen und Datenträgern

Notfallvorsorge

M 6.137 (Z) Treuhänderische Hinterlegung (Escrow)
M 6.157 (Z) Entwicklung eines Redundanzkonzeptes für Anwendungen
M 6.158 (B) Notfallvorsorge für Anwendungen

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK