Bundesamt für Sicherheit in der Informationstechnik

M 2.10 Überprüfung des Hard- und Software-Bestandes

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Vorgesetzte, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter

Um Verstöße gegen das Verbot der Nutzung nicht freigegebener Hard- und Software feststellen zu können, ist eine regelmäßige Überprüfung des Hard- und Software-Bestandes notwendig. Ist die Zahl der IT-Systeme sehr groß, kann eine stichprobenartige Überprüfung durchgeführt werden. Die Ergebnisse der Überprüfung sind zu dokumentieren, um auch Wiederholungsfälle feststellen zu können.

Wird bei der Überprüfung nicht genehmigte Hardware gefunden, muss dafür gesorgt werden, dass die IT-Komponenten nicht weiter vorschriftswidrig betrieben werden. Es muss zudem ermittelt werden, wer für den Betrieb verantwortlich ist, um geeignete Konsequenzen ergreifen zu können. Bei konkreten Verdachtsfällen ist bei der Kontrolle der Hardware auf Manipulationen und Zusatzgeräte, die z. B. zur Aufzeichnung von Tastaturanschlägen verwendet werden, zu achten.

Sollte bei der Überprüfung nicht freigegebene Software gefunden werden, so ist die Entfernung zu veranlassen. Um diese Überprüfung durchführen zu können, muss der überprüfenden Instanz die entsprechende Befugnis durch die Unternehmens- bzw. Behördenleitung verliehen werden. Zusätzlich muss der prüfenden Instanz bekannt sein, welche Software auf welchem IT-System freigegeben ist (Software-Bestandsverzeichnis).

Um bei der Vielzahl der üblicherweise eingesetzten Software effizient ein Software-Bestandsverzeichnis führen zu können, sollte hierfür ein entsprechendes Tool eingesetzt werden. Für die typische Client-Server-Umgebung sollte es netzfähig sein.

Vor der Festlegung einer Regelung zur Überprüfung des Hard- und Software-Bestandes sollte der Betriebs- bzw. Personalrat hinzugezogen werden.

Für solche IT-Systeme, die für den Wirkbetrieb des IT-Verbunds nicht erforderlich sind wie z. B. Testsysteme, kann anstelle einer regelmäßigen Überprüfung eine anlassbezogene Überprüfung durchgeführt werden. Beispielsweise kann die Prüfung auf solchen IT-Systemen immer dann vorgenommen werden, wenn Änderungen an der Konfiguration vorgenommen werden oder wenn das IT-System nach längerer Pause wieder in Betrieb gesetzt wird. Voraussetzung ist jedoch, dass für alle IT-Systeme die Maßnahme M 2.9 Nutzungsverbot nicht freigegebener Hard- und Software in Kraft ist.

Prüffragen:

  • Findet eine regelmäßige, dokumentierte Überprüfung des Hard- und Software-Bestandes statt?

  • Existiert ein Software-Bestandsverzeichnis?

  • Bei Auffinden nicht genehmigter Hard- und Software: Wird der vorschriftswidrige Weiterbetrieb von Hard- und Software unverzüglich unterbunden?

  • Bei Auffinden nicht genehmigter Hard- und Software: Wird der Verantwortliche für den Betrieb der nicht genehmigten Hard- und Software ermittelt?

  • Bei Auffinden nicht genehmigter Hardware: Wird bei konkreten Verdachtsfällen eine weitergehende Kontrolle des IT -Systems auf weitere Manipulationen und Zusatzgeräte durchgeführt?

  • Bei Untersuchung auf nicht genehmigte Software: Wird der untersuchenden Instanz eine entsprechende Befugnis durch die Leitung der Organisation verliehen?

Stand: 13. EL Stand 2013