Bundesamt für Sicherheit in der Informationstechnik

G 2.27 Fehlende oder unzureichende Dokumentation

Verschiedene Formen der Dokumentation können betrachtet werden: die Produktbeschreibung, die Administrator- und Benutzerdokumentation zur Anwendung des Produktes und die Systemdokumentation.

Eine fehlende oder unzureichende Dokumentation der eingesetzten IT -Komponenten kann sowohl im Auswahl- und Entscheidungsprozess für ein Produkt, als auch bei einem Schadensfall im Wirkbetrieb erhebliche Auswirkungen haben.

Bei einer unzureichenden Dokumentation kann sich im Schadensfall, beispielsweise durch den Ausfall von Hardware bzw. Fehlfunktionen von Programmen, die Fehlerdiagnose und -behebung erheblich verzögern oder völlig undurchführbar sein.

Dies gilt auch für die Dokumentation von Leitungswegen und Verkabelungen innerhalb der Gebäude-Infrastruktur. Ist aufgrund unzureichender Dokumentation die genaue Lage von Leitungen nicht bekannt, so kann es bei Bauarbeiten außerhalb oder innerhalb eines Gebäudes zu Beschädigungen von Leitungen kommen. Dabei kann es zu längeren Ausfallzeiten (Eintritt eines Notfalls) oder unter Umständen sogar zu lebensbedrohenden Gefahren, zum Beispiel durch Stromschlag, kommen.

Beispiele:

  • Wenn von einem Programm Arbeitsergebnisse in temporären Dateien zwischengespeichert werden, ohne dass dies ausreichend dokumentiert ist, kann dies dazu führen, dass die temporären Dateien nicht angemessen geschützt und vertrauliche Informationen offengelegt werden. Durch fehlenden Zugriffsschutz auf diese Dateien oder eine nicht korrekte physikalische Löschung der nur temporär genutzten Bereiche können Informationen Unbefugten zugänglich werden.
  • Bei Installation eines neuen Softwareproduktes werden bestehende Konfigurationen abgeändert. Andere, bislang fehlerfrei laufende Programme, sind danach falsch parametrisiert und stürzen gegebenenfalls ab. Durch eine detaillierte Dokumentation der Veränderung bei der Installation von Software ließe sich der Fehler schnell lokalisieren und beheben.
  • In einer größeren Behörde wurde die Verkabelung der IT durch eine externe Firma vorgenommen. Die Anfertigung einer Dokumentation war im Leistungsumfang nicht enthalten. Da nach Fertigstellung der Verkabelung mit der Firma kein Wartungsvertrag abgeschlossen wurde, verfügte die Behörde nicht über die notwendige Dokumentation. Erweiterungen des Netzes konnten nur mit erheblichen Verzögerungen vorgenommen werden (siehe auch G 2.12 Unzureichende Dokumentation der Verkabelung ).
  • In einer z/OS -Installation wurden jeden Abend automatisch Batch-Jobs zur Verarbeitung von Anwendungsdaten gestartet. Für die Verarbeitung war es wichtig, dass die Batch-Jobs in der richtigen Reihenfolge abliefen. Als eines Abends die Automation versagte, mussten die Jobs manuell gestartet werden. Aufgrund fehlender Dokumentation wurden die Batch-Jobs in der falschen Reihenfolge gestartet. Dies führte zu Abbrüchen in der Verarbeitung der Anwendungsdaten und zu Verzögerungen in der Produktion um mehrere Stunden.
  • Fehlende Datenblätter von (flüchtigen) Halbleiterspeichern wie SRAM (Static Random Access Memory) und DRAM (Dynamic Random Access Memory) können dazu führen, dass die Speicher nicht ordnungsgemäß gelöscht und damit vertrauliche Informationen bekannt werden können.
  • In einem Unternehmen sollten USB -Sticks (nichtflüchtige Speicher) ausgemustert werden. Die Produktbeschreibungen waren nicht aufzufinden. Die USB -Sticks wurden daher mit dem vorhandenen Löschtool behandelt. Auf herstellerspezifische Besonderheiten konnte jedoch nicht eingegangen werden, so dass nicht alle Daten ordnungsgemäß und sicher gelöscht wurden.

Stand: 11. EL Stand 2009