Bundesamt für Sicherheit in der Informationstechnik

M 2.80 Erstellung eines Anforderungskatalogs für Standardsoftware

Verantwortlich für Initiierung: Leiter Fachabteilung

Verantwortlich für Umsetzung: Fachabteilung, Leiter IT

Zur Lösung einer Aufgabe, die mit IT bearbeitet wird, bietet der Markt meist eine Vielzahl gleichartiger Standardsoftwareprodukte an. In ihrer Grundfunktionalität vergleichbar, unterscheiden sie sich jedoch in Kriterien wie Anschaffungs- und Betriebskosten, Zusatzfunktionalitäten, Kompatibilität, Administration, Ergonomie und Informationssicherheit .

Anforderungskatalog

Für die Auswahl eines geeigneten Produktes muss daher zunächst ein Anforderungskatalog erstellt werden. Der Anforderungskatalog sollte unter anderem zu den folgenden Punkten Aussagen enthalten:

  • Funktionale Anforderungen, die das Produkt zur Unterstützung der Aufgabenerfüllung der Fachabteilung erfüllen muss. Die für die Fachaufgabe relevanten Einzelfunktionalitäten sollten hervorgehoben werden.
    Verkürzte Beispiele:
    • Textverarbeitung mit den Zusatzfunktionen Einbinden von Grafiken, Makro-Programmierung, Rechtschreibprüfung und Silbentrennung. Makro-Programmierung muss abschaltbar sein, Rechtschreibprüfung muss in Englisch, Französisch und Deutsch verfügbar sein. Die spezifizierten Textformate müssen im- und exportiert werden können.
    • Datenbank (Front-End und Back-End) für Multi-User-Betrieb mit Unterstützung der Standardabfragesprache SQL und grafischer Bedienoberfläche
    • Terminplaner zur Koordinierung und Kontrolle von Terminen der Abteilungsangehörigen mit integrierter Terminabstimmung, automatischem Versand von Einladungen und Aufgaben- und Prioritäten-Listen, Schnittstelle zum hausinternen Mailprogramm
  • IT-Einsatzumgebung, diese wird einerseits beschrieben durch die Rahmenbedingungen, die durch die vorhandene oder geplante IT-Einsatzumgebung vorgegeben werden, und andererseits durch die Leistungsanforderungen, die durch das Produkt an die Einsatzumgebung vorgegeben werden.
    Verkürztes Beispiel:
    • Erforderliche IT-Einsatzumgebung und Leistungsanforderungen: Betriebssystem, Prozessor, Hauptspeicher, Festplattenkapazität, Schnittstellen für externe Datenträger und für Vernetzung
  • Kompatibilitätsanforderungen zu anderen Programmen oder IT-Systemen, also Migrationsunterstützung und Aufwärts- und Abwärtskompatibilität.
    Verkürzte Beispiele:
    • Datenbestände aus der vorhandenen Datenbank XYZ müssen übernommen werden können.
    • Die Funktionen A, B, C müssen bei Versionswechseln erhalten bleiben.
    • Der Datenaustausch mit dem Unix-System XYZ muss möglich sein.
  • Performanceanforderungen beschreiben die erforderlichen Leistungen hinsichtlich Durchsatz und Laufzeitverhalten. Für die geforderten Funktionen sollten möglichst genaue Angaben über die maximal zulässige Bearbeitungszeit getroffen werden.
    Verkürzte Beispiele:
    • Die maximale Antwortzeit bei Ausführung von Funktion X darf 2 Sekunden nicht überschreiten.
    • Andere gleichzeitig verarbeitete Prozesse dürfen durch das Produkt maximal um 30% verlangsamt werden.
  • Interoperabilitätsanforderungen, d. h. die Zusammenarbeit mit anderen Produkten über Plattformgrenzen hinweg muss möglich sein.
    Verkürzte Beispiele:
    • Versionen des Textverarbeitungsprogramms sollen für Windows-, Unix- und MacOS-Plattformen verfügbar sein (in den zu benennenden Versionen). Dokumente sollen auf einem Betriebssystem erstellt und auf einem anderen weiterverarbeitet werden können.
    • Das Textverarbeitungsprogramm muss mit dem eingesetzten Mailprogramm zusammenarbeiten können.
  • Zuverlässigkeitsanforderungen betreffen die Stabilität des Produktes, also Fehlererkennung und Toleranz sowie Ausfall- und Betriebssicherheit.
    Verkürzte Beispiele:
    • Fehleingaben des Benutzers müssen erkannt werden und dürfen nicht zum Programmabbruch oder Systemabsturz führen.
    • Die Datenbank muss über Mechanismen verfügen, die es erlauben, bei einem Systemabbruch mit Zerstörung der Datenbank alle Transaktionen zu rekonstruieren (Roll-Forward).
  • Konformität zu Standards, dies können internationale Normen, De-facto-Standards oder auch Hausstandards sein.
    Verkürztes Beispiel:
    • Das Produkt muss der EU-Bildschirmrichtlinie 90/270/EWG entsprechen.
  • Einhaltung von internen Regelungen und gesetzlichen Vorschriften ( z. B. ausreichender Datenschutz bei der Verarbeitung personenbezogener Daten)
    Verkürzte Beispiele:
    • Das Produkt muss den Grundsätzen ordnungsmäßiger DV-gestützter Buchführungssysteme genügen.
    • Da personenbezogene Daten verarbeitet werden, müssen die Bestimmungen des Bundesdatenschutzgesetzes mit den implementierten Funktionen erfüllt werden können.
  • Anforderungen an die Benutzerfreundlichkeit, die durch die leichte Bedienbarkeit, Verständlichkeit und Erlernbarkeit gekennzeichnet ist, also insbesondere durch die Güte der Benutzeroberfläche sowie die Qualität der Benutzerdokumentation und der Hilfefunktionen.
    Verkürzte Beispiele:
    • Eine Online-Hilfefunktion muss implementiert sein.
    • Die Benutzeroberfläche muss so gestaltet sein, dass ungelernte Kräfte innerhalb von zwei Stunden in die Benutzung eingewiesen werden können.
    • Die Benutzerdokumentation und die Benutzeroberfläche sollten in der Landessprache vorliegen.
  • Anforderungen an die Wartbarkeit ergeben sich für den Anwender hauptsächlich aus der Fehlerbehandlung des Produktes.
    Verkürzte Beispiele:
    • Der Administrationsaufwand darf nicht zu hoch sein.
    • Der Anbieter muss eine Hotline für Fragen anbieten.
    • Das Produkt muss einfach zu installieren und zu konfigurieren sein.
    • Das Produkt muss einfach zu deinstallieren sein.
  • die Obergrenze der Kosten, die durch die Beschaffung dieses Produktes verursacht würden, werden vorgegeben. Dabei müssen nicht nur die unmittelbaren Beschaffungskosten für das Produkt selber einbezogen werden, sondern auch Folgekosten, wie z. B. eine Aufrüstung der Hardware, Personalkosten oder notwendige Schulungen.
    Verkürzte Beispiele:
    • Das Produkt darf maximal 15.000,- Euro kosten.
    • Die Schulungskosten dürfen 2.000,- Euro nicht überschreiten
  • Aus den Anforderungen an die Dokumentation muss hervorgehen, welche Dokumente in welcher Güte (Vollständigkeit, Verständlichkeit) erforderlich sind.
    Verkürzte Beispiele:
    • Die Benutzerdokumentation muss leicht nachvollziehbar und zum Selbststudium geeignet sein. Die gesamte Funktionalität des Produktes ist zu beschreiben.
    • Die Systemverwalterdokumentation muss Handlungsanweisungen für mögliche Fehler enthalten.
  • Bezüglich der Softwarequalität können Anforderungen gestellt werden, die von Herstellererklärungen zum eingesetzten Qualitätssicherungsverfahren, über ISO 9000 ff. Zertifikate bis hin zu unabhängigen Softwareprüfungen nach ISO/IEC 25051 reichen.
    Verkürzte Beispiele:
    • Der Software-Herstellungsprozess des Herstellers muss nach ISO 9000 zertifiziert sein.
    • Die Funktionalität des Produktes muss unabhängig gemäß ISO/ IEC 25051 überprüft worden sein.
  • Sollen durch das Produkt Sicherheitsfunktionen erfüllt werden, sind sie in Form von Sicherheitsanforderungen zu formulieren (siehe M 4.42 Implementierung von Sicherheitsfunktionalitäten in der IT-Anwendung ). Dies wird nachfolgend noch ausführlich erläutert.

Sicherheitsanforderungen

Abhängig davon, ob das Produkt Sicherheitseigenschaften bereitstellen muss, können im Anforderungskatalog Sicherheitsfunktionen aufgeführt werden. Typische Sicherheitsfunktionen, die hier in Frage kommen, seien kurz erläutert. Weitere Ausführungen findet man in den Common Criteria (den "Gemeinsamen Kriterien für die Prüfung und Bewertung der Sicherheit von Informationstechnik").

  • Identifizierung und Authentisierung
    In vielen Produkten wird es Anforderungen geben, diejenigen Benutzer zu bestimmen und zu überwachen, die Zugriff auf Betriebsmittel haben, die vom Produkt kontrolliert werden. Dazu muss nicht nur die behauptete Identität des Benutzers festgestellt, sondern auch die Tatsache nachgeprüft werden, dass der Benutzer tatsächlich die Person ist, die er zu sein vorgibt. Dies geschieht, indem der Benutzer dem Produkt Informationen liefert, die fest mit dem betreffenden Benutzer verknüpft sind.
  • Zugriffskontrolle
    Bei vielen Produkten wird es erforderlich sein sicherzustellen, dass Benutzer und Prozesse, die für diese Benutzer tätig sind, daran gehindert werden, Zugriff auf Informationen oder Betriebsmittel zu erhalten, für die sie kein Zugriffsrecht haben oder für die keine Notwendigkeit zu einem Zugriff besteht. Desgleichen wird es Anforderungen bezüglich der unbefugten Erzeugung oder Änderung (einschließlich Löschung) von Informationen geben.
  • Beweissicherung
    Bei vielen Produkten wird es erforderlich sein sicherzustellen, dass über Handlungen, die von Benutzern bzw. von Prozessen im Namen solcher Benutzer ausgeführt werden, Informationen aufgezeichnet werden, damit die Folgen solcher Handlungen später dem betreffenden Benutzer zugeordnet werden können und der Benutzer für seine Handlungen verantwortlich gemacht werden kann.
  • Protokollauswertung
    Bei vielen Produkten wird sicherzustellen sein, dass sowohl über gewöhnliche Vorgänge als auch über außergewöhnliche Vorfälle ausreichend Informationen aufgezeichnet werden, damit durch Nachprüfungen später festgestellt werden kann, ob tatsächlich Sicherheitsverletzungen vorgelegen haben und welche Informationen oder sonstigen Betriebsmittel davon betroffen waren.
  • Unverfälschbarkeit
    Bei vielen Produkten wird es erforderlich sein sicherzustellen, dass bestimmte Beziehungen zwischen unterschiedlichen Daten korrekt bleiben und dass Daten zwischen einzelnen Prozessen ohne Änderungen übertragen werden.
    Daneben müssen auch Funktionen bereitgestellt werden, die es bei der Übertragung von Daten zwischen einzelnen Prozessen, Benutzern und Objekten ermöglichen, Verluste, Ergänzungen oder Veränderungen zu entdecken bzw. zu verhindern, und die es unmöglich machen, die angebliche oder tatsächliche Herkunft bzw. Bestimmung der Datenübertragung zu ändern.
  • Zuverlässigkeit
    Bei vielen Produkten wird es erforderlich sein sicherzustellen, dass zeitkritische Aufgaben genau zu dem Zeitpunkt durchgeführt werden, zu dem es erforderlich ist, also nicht früher oder später, und es wird sicherzustellen sein, dass zeitunkritische Aufgaben nicht in zeitkritische umgewandelt werden können. Desgleichen wird es bei vielen Produkten erforderlich sein sicherzustellen, dass ein Zugriff in dem erforderlichen Moment möglich ist und Betriebsmittel nicht unnötig angefordert oder zurückgehalten werden.
  • Übertragungssicherung
    Dieser Begriff umfasst alle Funktionen, die für den Schutz der Daten während der Übertragung über Kommunikationskanäle vorgesehen sind:
    • Authentisierung
    • Zugriffskontrolle
    • Datenvertraulichkeit
    • Datenintegrität
    • Sende- und Empfangsnachweis
    Einige dieser Funktionen werden mittels kryptographischer Verfahren realisiert.

Darüber hinaus können weitere Sicherheitsanforderungen an Standardsoftware konkretisiert werden.

  • Datensicherung
    An die Verfügbarkeit der mit dem Produkt verarbeiteten Daten werden hohe Anforderungen gestellt. Unter diesen Punkt fallen im Produkt integrierte Funktionen, die Datenverlusten vorbeugen sollen wie die automatische Speicherung von Zwischenergebnissen oder die automatische Erstellung von Sicherungskopien vor der Durchführung größerer Änderungen.
  • Verschlüsselung
    Verschlüsselung dient der Wahrung der Vertraulichkeit von Daten. Bei vielen Produkten wird es erforderlich sein, Nutzdaten vor einer Übertragung oder nach der Bearbeitung zu verschlüsseln und sie nach Empfang oder vor der Weiterverarbeitung zu entschlüsseln. Hierzu ist ein anerkanntes Verschlüsselungsverfahren zu verwenden. Es ist sicherzustellen, dass die zur Entschlüsselung benötigten Parameter (z. B. Schlüssel) in der Weise geschützt sind, dass kein Unbefugter Zugang zu diesen Daten besitzt.
  • Funktionen zur Wahrung der Datenintegrität
    Für Daten, deren Integritätsverlust zu Schäden führen kann, können Funktionen eingesetzt werden, die Fehler erkennen lassen oder sogar mittels Redundanz korrigieren können. Meist werden Verfahren zur Integritätsprüfung eingesetzt, die absichtliche Manipulationen am Produkt bzw. den damit erstellten Daten sowie ein unbefugtes Wiedereinspielen von Daten zuverlässig aufdecken können. Sie basieren auf kryptographischen Verfahren (siehe M 4.34 Einsatz von Verschlüsselung, Checksummen oder Digitalen Signaturen ).
  • Datenschutzrechtliche Anforderungen
    Wenn mit dem Produkt personenbezogene Daten verarbeitet werden sollen, sind über die genannten Sicherheitsfunktionen hinaus zusätzliche spezielle technische Anforderungen zu stellen, um den Datenschutzbestimmungen genügen zu können.

Stärke der Mechanismen / Angriffsresistenz

Sicherheitsfunktionen werden durch Mechanismen umgesetzt. Je nach Einsatzzweck müssen diese Mechanismen eine unterschiedliche Stärke besitzen, mit der sie Angriffe abwehren können. Die erforderliche Stärke der Mechanismen ist im Anforderungskatalog anzugeben. Bei Anwendung der Common Criteria (CC) wird die Angriffsresistenz eines IT-Produktes, das in einer bestimmten Einsatzumgebung betrieben wird, an den in den Sicherheitsvorgaben oder gegebenenfalls in einem Schutzprofil definierten Bedrohungen der zu schützenden Datenobjekte und der für die Evaluierung angesetzten Prüftiefe bewertet. Die geforderte Prüftiefe beinhaltet die Festlegung der Angriffsresistenz und richtet sich nach dem Schutzbedarf und dem Einsatzzweck des Produktes. Die Prüftiefe wird anhand eines Kataloges (siehe CC, Teil 3) meist mittels vordefinierter Evaluierungsstufen (EAL 1 bis 7) festgelegt.

Für die Bewertung der Angriffsresistenz werden die für das Einsatzszenario relevanten Angriffe nach dem Stand der Technik bis zu einer bestimmten Stärke unter Berücksichtigung der erforderlichen Angriffszeit, technischen Expertise des Angreifers, Kenntnissen über das Produkt, Gelegenheit zum Angriff und benötigten Hilfsmittel analysiert. Die Bestätigung der Angriffsresistenz im Rahmen der Zertifizierung erfolgt dabei dann in den Abstufungen niedrig (basic), erweitert (enhanced basic), mittel (moderate) und hoch (high).

Basic bedeutet Schutz gegen öffentlich bekannte Angriffe und gegen Angreifer mit sehr begrenzten Fähigkeiten und Möglichkeiten. Hoch bedeutet, dass ein erfolgreicher Angriff sehr gute Fachkenntnisse, Produktkenntnisse, Gelegenheiten und Betriebsmittel erfordert, und damit insgesamt als extrem aufwändig gilt.

Beispiele für Anforderungen zu Sicherheitseigenschaften

Nachfolgend werden für einige wichtige Sicherheitsfunktionen Beispiele genannt, aus denen typische Anforderungen an Sicherheitseigenschaften deutlich werden.

Soll das Produkt über einen Identifizierungs- und Authentisierungsmechanismus verfügen, können beispielsweise folgende Anforderungen gestellt werden:

  • Der Zugang darf ausschließlich über eine definierte Schnittstelle erfolgen. Dabei kann z. B. ein Anmeldemechanismus zum Einsatz kommen, der eine eindeutige Benutzer-Kennung und ein Passwort verlangt. Wird beim Zugang zum IT-System bereits die Identität des Benutzers sichergestellt, ist eine anonyme Passworteingabe ausreichend. Andere Möglichkeiten sind Verfahren, die auf dem Besitz bestimmter "Token" beruhen, wie z. B. einer Chipkarte.
  • Das Zugangsverfahren selbst muss die sicherheitskritischen Parameter, wie Passwort, Benutzer-Kennung, usw., sicher verwalten. So dürfen aktuelle Passwörter nie unverschlüsselt auf den entsprechenden IT-Systemen gespeichert werden.
  • Das Zugangsverfahren muss definiert auf Fehleingaben reagieren. Erfolgt zum Beispiel dreimal hintereinander eine fehlerhafte Authentisierung, ist der Zugang zum Produkt zu verwehren oder alternativ sind die zeitlichen Abstände, nach denen ein weiterer Zugangsversuch erlaubt wird, sukzessiv zu vergrößern.
  • Das Zugangsverfahren muss das Setzen bestimmter Minimalvorgaben für die sicherheitskritischen Parameter zulassen. So sollte die Mindestlänge eines Passwortes acht Zeichen, die Mindestlänge einer PIN vier Ziffern betragen. Auch die Komplexität für Passwörter sollte vorgegeben werden.

Soll das Produkt über eine Zugriffskontrolle verfügen, können beispielsweise folgende Anforderungen gestellt werden:

  • Das Produkt muss verschiedene Benutzer unterscheiden können.
  • Das Produkt muss je nach Vorgabe Ressourcen einzelnen autorisierten Benutzer zuteilen können und Unberechtigten den Zugriff gänzlich verwehren
  • Mittels einer differenzierten Rechtestruktur (lesen, schreiben, ausführen, ändern, ...) sollte der Zugriff geregelt werden können. Die für die Rechteverwaltung relevanten Daten sind manipulationssicher vom Produkt zu verwalten.

Soll das Produkt über eine Protokollierung verfügen, können folgende Anforderungen sinnvoll sein:

  • Der Mindestumfang, den das Produkt protokollieren können muss, sollte parametrisierbar sein. Beispielsweise sollten folgende Aktionen protokollierbar sein:
    • bei Authentisierung: Benutzer-Kennung, Datum und Uhrzeit, Erfolg, ...,
    • bei der Zugriffskontrolle: Benutzer-Kennung, Datum und Uhrzeit, Erfolg, Art des Zugriffs, was wurde wie geändert, gelesen, geschrieben, ...
    • Durchführung von Administratortätigkeiten,
    • Auftreten von funktionalen Fehlern.
  • Die Protokollierung darf von Unberechtigten nicht deaktivierbar sein. Die Protokolle selbst dürfen für Unberechtigte weder lesbar noch modifizierbar sein.
  • Die Protokollierung muss übersichtlich, vollständig und korrekt sein.

Soll das Produkt über eine Protokollauswertung verfügen, können folgende Anforderungen sinnvoll sein:

  • Eine Auswertefunktion muss nach den bei der Protokollierung geforderten Datenarten unterscheiden können (z. B. "Filtern aller unberechtigten Zugriffe auf alle Ressourcen in einem vorgegebenen Zeitraum").
  • Die Auswertefunktion muss auswertbare ("lesbare") Berichte erzeugen, so dass keine sicherheitskritischen Aktivitäten übersehen werden.

Soll das Produkt über Funktionen zur Unverfälschbarkeit verfügen, könnte beispielsweise folgende Anforderung gestellt werden:

  • Ein Datenbank-Managementsystem muss über Möglichkeiten zur Beschreibung von Regeln bestimmter Beziehungen zwischen den gespeicherten Daten verfügen (z. B. referentielle Integrität). Außerdem müssen geeignete Mechanismen existieren, die verhindern, dass es durch Änderungen der Daten zu Verstößen gegen diese Regeln kommt.

Soll das Produkt über Funktionen zur Datensicherung verfügen, können beispielsweise folgende Anforderungen gestellt werden:

  • Es muss konfigurierbar sein, welche Daten wann gesichert werden.
  • Es muss eine Option zum Einspielen beliebiger Datensicherungen existieren.
  • Die Funktion muss das Sichern von mehreren Generationen ermöglichen.
  • Datensicherungen von Zwischenergebnissen aus der laufenden Anwendung sollen möglich sein.

Soll das Produkt über eine Verschlüsselungskomponente verfügen, sind folgende Anforderungen sinnvoll:

  • Der implementierte Verschlüsselungsalgorithmus sollte dem Schutzbedarf entsprechen und eine ausreichende Mechanismenstärke besitzen (siehe auch M 2.164 Auswahl eines geeigneten kryptographischen Verfahrens ).
  • Das Schlüsselmanagement muss mit der Funktionalität des Produktes harmonieren. Dabei sind insbesondere grundsätzliche Unterschiede der Algorithmen zu berücksichtigen:
    • symmetrische Verfahren benutzen einen geheim zu haltenden Schlüssel für die Ver- und Entschlüsselung,
    • asymmetrische Verfahren benutzen einen öffentlichen Schlüssel für die Verschlüsselung und einen privaten (geheim zu haltenden) für die Entschlüsselung.
  • Das Produkt muss die sicherheitskritischen Parameter wie Schlüssel sicher verwalten. So dürfen Schlüssel (auch mittlerweile nicht mehr benutzte) nie ungeschützt, das heißt auslesbar, auf den entsprechenden IT-Systemen abgelegt werden.

Soll das Produkt über Mechanismen zur Integritätsprüfung verfügen, sind folgende Anforderungen sinnvoll:

  • Das Produkt führt bei jedem Programmaufruf einen Integritätscheck durch.
  • Bei der Datenübertragung müssen Mechanismen eingesetzt werden, mit denen absichtliche Manipulationen an den Adressfeldern und den Nutzdaten erkannt werden können. Daneben darf die bloße Kenntnis der eingesetzten Algorithmen ohne spezielle Zusatzkenntnisse nicht ausreichen, unerkannte Manipulationen an den obengenannten Daten vorzunehmen.

Werden personenbezogene Daten mit dem Produkt verarbeitet, können beispielsweise folgende datenschutzrechtlichen Anforderungen gestellt werden:

  • Das Produkt darf keine freie Abfrage für Datenauswertungen zulassen. Die Auswertungen von Datensätzen müssen auf bestimmte Kriterien einschränkbar sein.
  • Es muss parametrisierbar sein, dass für bestimmte Dateien Änderungen, Löschungen oder Ausdrucke von personenbezogenen Daten nur nach dem Vier-Augen-Prinzip möglich sind.
  • Die Protokollierung muss parametrisierbar sein, so dass aufgezeichnet werden kann, wer wann an welchen personenbezogenen Daten welche Änderungen vorgenommen hat.
  • Die Übermittlung personenbezogener Daten muss durch geeignete Stichprobenverfahren festgestellt und überprüft werden können (BDSG, § 10). Die Art der Stichprobe muss sich individuell einstellen lassen.
  • Das Produkt muss das Löschen von personenbezogenen Daten ermöglichen. Ersatzweise muss das Sperren personenbezogener Daten möglich sein, um ihre weitere Verarbeitung oder Nutzung einzuschränken bzw. zu verhindern.

Bewertungsskala

Um einen Vergleich verschiedener Produkte im Sinne einer Nutzwertanalyse durchführen zu können, müssen Kriterien vorhanden sein, wie die Erfüllung der einzelnen Anforderungen gewertet wird. Dazu ist es erforderlich, vorab die Bedeutung der einzelnen Anforderungen für die angestrebte IT-gestützte Aufgabenerfüllung quantitativ oder qualitativ zu bewerten.

Diese Bewertung kann beispielsweise in drei Stufen vorgenommen werden. In der ersten Stufe wird festgelegt, welche im Anforderungskatalog geforderten Eigenschaften notwendig und welche wünschenswert sind. Wenn eine notwendige Eigenschaft nicht erfüllt ist, wird das Produkt abgelehnt (so genanntes K.O.-Kriterium). Das Fehlen einer wünschenswerten Eigenschaft wird zwar negativ gewertet, dennoch wird aber das Produkt aufgrund dessen nicht zwingend abgelehnt.

Als zweite Stufe wird die Bedeutung der geforderten wünschenswerten Eigenschaft für die Aufgabenerfüllung angegeben. Dies kann z. B. quantitativ mit Werten zwischen 1 für niedrig und 5 für hoch erfolgen. Notwendige Eigenschaften müssen nicht quantitativ bewertet werden. Ist dies aber aus rechnerischen Gründen erforderlich, müssen sie auf jeden Fall höher bewertet werden als jede wünschenswerte Eigenschaft (um die Bedeutung einer notwendigen Eigenschaft hervorzuheben, kann sie z. B. mit 10 bewertet werden).

In der dritten Stufe wird ein Vertrauensanspruch für die Korrektheit der geforderten Eigenschaften für die Aufgabenerfüllung angegeben (z. B. mit Werten zwischen 1 für niedrig und 5 für hoch). Anhand des Vertrauensanspruchs wird später entschieden, wie eingehend die Eigenschaft getestet wird. Der Vertrauensanspruch der Sicherheitsmechanismen muss entsprechend ihrer Mechanismenstärke bewertet werden, beispielsweise kombiniert man

  • Mechanismenstärke niedrig mit Vertrauensanspruch 1
  • Mechanismenstärke mittel mit Vertrauensanspruch 3
  • Mechanismenstärke hoch mit Vertrauensanspruch 5

Diese Orientierungswerte müssen im Einzelfall verifiziert werden.

Beispiele:

Auszugsweise sollen für einige typische Standardsoftwareprodukte Sicherheitsanforderungen erläutert werden:

Textverarbeitungsprogramm:

Notwendige Sicherheitseigenschaften:

  • Automatische Datensicherung von Zwischenergebnissen im laufenden Betrieb
Wünschenswerte Sicherheitseigenschaften:
  • Passwortschutz einzelner Dateien
  • Verschlüsselung einzelner Dateien
  • Makro-Programmierung muss abschaltbar sein

Dateikompressionsprogramm:

Notwendige Sicherheitseigenschaften:

  • Im Sinne der Datensicherung dürfen nach Kompression zu löschende Dateien erst dann vom Kompressionsprogramm gelöscht werden, wenn die Kompression fehlerfrei abgeschlossen wurde.
  • Vor der Dekomprimierung einer Datei muss deren Integrität überprüft werden, damit z. B. Bitfehler in der komprimierten Datei erkannt werden.

Wünschenswerte Sicherheitseigenschaften:

  • Passwortschutz komprimierter Dateien

Terminplaner:

Notwendige Sicherheitseigenschaften:

  • Eine sichere Identifikation und Authentisierung der einzelnen Benutzer muss erzwungen werden, z. B. über Passwörter.
  • Eine Zugriffskontrolle für die Terminpläne der einzelnen Mitarbeiter ist erforderlich.
  • Zugriffsrechte müssen für Einzelne, Gruppen und Vorgesetzte getrennt vergeben werden können.
  • Eine Unterscheidung zwischen Lese- und Schreibrecht muss möglich sein.

Wünschenswerte Sicherheitseigenschaften:

  • Eine automatisierte Datensicherung in verschlüsselter Form ist vorzusehen.

Reisekostenabrechnungssystem:

Notwendige Sicherheitseigenschaften:

  • Eine sichere Identifikation und Authentisierung der einzelnen Benutzer muss erzwungen werden, z. B. über Passwörter.
  • Eine Zugriffskontrolle muss vorhanden und auch für einzelne Datensätze einsetzbar sein.
  • Zugriffsrechte müssen für Benutzer, Administrator, Revisor und Datenschutzbeauftragten getrennt vergeben werden können. Eine Rollentrennung zwischen Administrator und Revisor muss durchführbar sein.
  • Datensicherungen müssen so durchgeführt werden können, dass sie verschlüsselt abgelegt werden und nur von Berechtigten wiedereingespielt werden können.
  • Detaillierte Protokollierungsfunktionen müssen verfügbar sein.

Wünschenswerte Sicherheitseigenschaften:

  • Ein optionaler Integritätscheck für zahlungsrelevante Daten sollte angeboten werden.

Beispiel für eine Bewertungsskala:

Eine Fachabteilung will für Datensicherungszwecke ein Komprimierungsprogramm beschaffen. Nach der Erstellung eines Anforderungskataloges könnten die dort spezifizierten Eigenschaften wie folgt bewertet werden:
Eigenschaft notwendig wünschenswert Bedeutung Vertrauensanspruch
korrekte Kompression und Dekompression X   10 5
Erkennen von Bitfehlern in einer komprimierten Datei X   10 2
Löschung von Dateien nur nach erfolgreicher Kompression X   10 3
Windows-PC, x86, 256 MB X   10 5
Linux-tauglich   X 2 1
Durchsatz bei 1 GHz über 10 MB/s   X 4 3
Kompressionsrate über 40% bei Textdateien des Programms XYZ   X 4 3
Online-Hilfefunktion   X 3 1
Maximale Kosten 50.- Euro pro Lizenz X   10 5
Passwortschutz für komprimierte Dateien (Mechanismenstärke hoch)   X 2 5

Prüffragen:

  • Wird für die Auswahl von einzusetzenden Software-Produkten ein Anforderungskatalog erstellt, der Sicherheitsanforderungen umfasst?

  • Wurde eine Bewertungsskala zu den einzelnen Anforderungen an Software-Produkte erstellt, um die Produkte vergleichen zu können?

Stand: 13. EL Stand 2013