Bundesamt für Sicherheit in der Informationstechnik

G 2.210 Unzureichend gesicherter Einsatz von Entwicklungsumgebungen

Wenn die Entwicklungsumgebung unzureichend gesichert eingesetzt wird, kann nicht gewährleistet werden, dass die produzierte Software sicher implementiert wird, da sie möglicherweise manipuliert ist und dies nicht nachträglich entdeckt werden kann.

Wird die Entwicklungsumgebung nicht mit eingeschränktem Zugriff betrieben, wird die Software unkontrolliert entwickelt. Wenn nicht bekannt ist, welche Benutzer zu welchem Zeitpunkt auf die Entwicklungsumgebung zugreifen können und konnten, kann die Software anonym manipuliert werden. Sofern die manipulierten Teile der Software entdeckt werden, kann aufgrund der fehlenden Zugriffsbeschränkungen nicht nachvollzogen werden, welcher Mitarbeiter manipuliert hat.

Bei einer fehlenden oder unzureichenden Versionsverwaltung des Quellcodes ist es nicht möglich, vorherige und bereits funktionierende Versionen der Software wiederherzustellen.

Wenn Quellcodes unzureichend dagegen gesichert werden, dass sie versehentlich oder absichtlich verfälscht werden, besteht die Gefahr, dass Teile eines Projekts oder sogar das gesamte Projekt beschädigt werden und die bereits eingebrachte Arbeitsleistung verloren geht. Dies verzögert den Projektablauf und führt schlimmstenfalls zum Scheitern des Projekts.

Beispiele:

  • Ein Entwickler möchte spontan eine Software optimieren und verändert dabei wesentliche Kernkomponenten des komplexen Projekts. Die Optimierung erzielt nicht die gewünschten Resultate und der Entwickler entscheidet sich, die ursprüngliche Version wiederherzustellen. Nachdem der Quellcode wiederhergestellt wurde, stellt er fest, dass die nun vorhandene Version nicht dem vorher aktuellen Versionsstand entspricht und auch keine weitere Sicherung mehr zur Verfügung steht.
  • Im Jahr 2009 wurde ein Virus entdeckt, der gezielt die Entwicklungsumgebung Delphi befiel. Mit der infizierten Delphi-Entwicklungsumgebung erstellte Programme wurden dadurch automatisch mit Schadcode versehen.

Stand: 15. EL Stand 2016