Bundesamt für Sicherheit in der Informationstechnik

M 2.85 Freigabe von Standardsoftware

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: Leiter Fachabteilung, Leiter IT

Vor der Übernahme der Standardsoftware in den Wirkbetrieb steht die formelle Freigabe. Verantwortlich für die Freigabe eines Produktes ist die Behörden- bzw. Unternehmensleitung, sie kann dies aber an die Leitung der Fachabteilung oder die Leitung des IT-Bereichs delegieren. Die Fachabteilung kann die durch Behörden- bzw. Unternehmensleitung vorgegebene Freigaberegelung durch eigene Restriktionen weiter einschränken. Der Einsatz nicht freigegebener Software ist zu untersagen (siehe M 2.9 Nutzungsverbot nicht freigegebener Hard- und Software ).

Der Freigabe geht immer der erfolgreiche Abschluss aller notwendigen Tests voraus (siehe M 2.83 Testen von Standardsoftware ). Eine Freigabe darf nicht erfolgen, wenn während der Tests nicht tolerierbare Fehler, z. B. erhebliche Sicherheitsmängel, festgestellt wurden.

Für die Freigabe sind Installations- bzw. Konfigurationsvorschriften zu erarbeiten, deren Detaillierungsgrad davon abhängig ist, ob die Installation durch die Systemadministration oder den Benutzer vorgenommen werden soll. Die Installations- bzw. Konfigurationsvorschriften sind Ergebnisse der im Rahmen der Beschaffung durchgeführten Tests (siehe M 2.83 Testen von Standardsoftware ). Wenn unterschiedliche Konfigurationen zulässig sind, muss die Auswirkung der einzelnen Konfigurationen auf die Sicherheit dargelegt werden. Insbesondere muss festgelegt werden, ob für alle oder nur einige Benutzer Einschränkungen der Produktfunktionalität oder der Zugriffsrechte vorzunehmen sind. Für die Festlegung dieser Randbedingungen sind der Personal- bzw. Betriebsrat, der Datenschutzbeauftragter sowie der IT-Sicherheitsbeauftragte rechtzeitig zu beteiligen.

Die Freigabe sollte in Form einer schriftlichen Freigabeerklärung erfolgen. In der Freigabeerklärung sollten Aussagen gemacht werden zu den folgenden Punkten:

  • Programmname und Versionsnummer,
  • Bezeichnung des IT-Verfahrens, in dem das Produkt eingesetzt werden soll,
  • Bestätigung, dass die eingesetzten IT-Komponenten den fachlichen Anforderungen entsprechen,
  • Datum der Freigabe, Unterschrift des Freigabe-Verantwortlichen,
  • Unbedenklichkeitserklärung seitens IT-Sicherheitsbeauftragter, Datenschutzbeauftragter, Personal- bzw. Betriebsrat,
  • vorgesehener Zeitpunkt des Einsatzes im Wirkbetrieb,
  • für welche Benutzer das Produkt freigegeben wird,
  • Installationsanweisung, insbesondere an welchen Arbeitsplätzen es mit welcher Konfiguration installiert wird,
  • wer berechtigt ist, es zu installieren,
  • wer Zugriff auf die Installationsdatenträger hat und
  • welche Schulungen vor Nutzung des Produktes vorzunehmen sind.

Die Freigabeerklärung muss allen Beteiligten zur Kenntnis gegeben werden, insbesondere sollten bei der Freigabeinstanz, dem IT-Bereich, der Fachabteilung und ggf. beim IT-Anwender Kopien vorhanden sein.

Darüber hinaus ist organisatorisch zu regeln, dass die Freigabe und ggf. die notwendigen Tests wiederholt werden, wenn sich durch Versionswechsel oder Patches grundlegende Eigenschaften, insbesondere im Bereich der Sicherheitsfunktionen, geändert haben. Änderungen der genannten Art sind dem für die Freigabe des Produktes Verantwortlichen mitzuteilen.

Weiterhin kann festgelegt werden, welche Standardsoftware-Produkte, abhängig vom Einsatzort und -zweck, generell freigegeben werden. Voraussetzung ist, dass sie zumindest auf Computer-Viren geprüft, dass die Lizenzfragen geklärt und dass sie registriert sind. Beispiele hierfür wären:

  • Demo-Versionen zu Testzwecken, die auf speziellen Rechnern zur Verfügung gestellt werden,
  • Public-Domain-Software, die auf speziellen Servern installiert werden,
  • Spielprogramme auf speziellen Rechnern, die in Pausenräumen aufgestellt werden.

Prüffragen:

  • Ist sichergestellt, dass Software erst nach formeller Freigabe in den Wirkbetrieb übernommen wird?

  • Ist festgelegt, dass die Freigabe von Software erst nach erfolgreichem Abschluss aller notwendigen Tests erfolgt?

  • Existiert eine schriftliche Freigabeerklärung und wurden alle Beteiligten in Kenntnis darüber gesetzt?

  • Wird der Freigabeprozess bei Versionswechseln und Patches von Software wiederholt?

Stand: 13. EL Stand 2013