Bundesamt für Sicherheit in der Informationstechnik

M 2.379 Software-Entwicklung durch Endbenutzer

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Benutzer, Leiter IT

Viele Standardprogramme ermöglichen es den Benutzern, selbst Programme zu entwickeln, z. B. um sich Routinetätigkeiten zu erleichtern. Ein typisches Beispiel dazu ist die Makroprogrammierung unter Microsoft Word oder Access oder auch die Bereitstellung von Programmierschnittstellen bei Microsoft Outlook.

Die Kreativität und Einsatzbereitschaft, die Mitarbeiter hierbei an den Tag legen, ist grundsätzlich zu begrüßen, allerdings sollte trotzdem in jeder Institution überlegt werden, wie mit der Makro- bzw. Software-Entwicklung durch Endbenutzer umgegangen werden soll.

Es ist zu bedenken,

  • dass die Makro- bzw. Programmersteller im allgemeinen keine geschulten Programmierer sind,
  • dass die Sicherheitsrichtlinien des Hauses beachtet werden sollten,
  • wie andere Benutzer davon profitieren können (und wer dann die Benutzerbetreuung übernimmt) und
  • wie die meist spontan erstellten Programme gepflegt und dokumentiert werden.

Zunächst sollte in jeder Institution die Grundsatz-Entscheidung getroffen werden, ob solche Eigenentwicklungen erwünscht sind oder nicht. Dies ist in jedem Fall in den Sicherheitsrichtlinien zu dokumentieren.

Wenn Eigenentwicklungen unerwünscht sind, sollte sinnvollerweise bereits bei der Installation von Standardprogrammen die Möglichkeit dazu deaktiviert werden (soweit dies möglich ist).

Sind Eigenentwicklungen dagegen notwendig, sollten hierfür entsprechende Benutzerrichtlinien entwickelt werden, um Mindestanforderungen an Sicherheit, Dokumentation und Qualität sicherzustellen.

In einer solchen Richtlinie sollte insbesondere festgehalten werden, dass

  • die bestehenden Vorschriften zum Datenschutz und zur Informationssicherheit eingehalten werden,
  • die Eigenentwicklungen sorgfältig dokumentiert werden,
  • für Eigenentwicklungen nur die dafür freigegebenen Software-Produkte (z. B. die Makro-Funktionalität eines bestimmten Office Paketes) verwendet werden. Die Installation weiterer Anwendungen oder Entwicklungsumgebung ohne Genehmigung der IT-Abteilung ist nicht zulässig.

Auch in Eigenentwicklungen wird einiges an Arbeitszeit investiert. Deswegen sollte sichergestellt sein, dass Eigenentwicklungen auch anderen Benutzern zu Gute kommen und dann auch dauerhaft gepflegt werden. Weiterhin sollte ein Ansprechpartner für Probleme mit diesen Eigenentwicklungen vorhanden sein. Eigenentwicklungen sollten auch allen Benutzern in der aktuellen Version zur Verfügung stehen. Daher ist es sinnvoll, alle Eigenentwicklungen, die für weitere Mitarbeiter interessant sein könnten, an die IT -Abteilung weiterzuleiten. Diese kann dann prüfen, ob eine weitere Verbreitung sinnvoll ist, und kann im weiteren eventuell notwendige Anpassungen vornehmen und Benutzersupport anbieten.

Die Makro-Programmierungen müssen gegen unerlaubte Veränderung geschützt werden. Auch dürfen nur vertrauenswürdige Makros eingesetzt werden. Außerdem sollte die Weitergabe von Entwicklungsergebnissen an Unbefugte verhindert werden. Makro-Erweiterungen sollten erst dann im Produktivsystem verwendet werden, nachdem diese in einer isolierten Testumgebung getestet und für sicher erachtet wurden.

Prüffragen:

  • Gibt es ein Verfahren für den Umgang mit Software oder Makros, die durch Endbenutzer entwickelt wurde?

  • Ist sichergestellt, dass Eigenentwicklungen gut dokumentiert sind?

  • Ist sichergestellt, dass Eigenentwicklungen allen Benutzern in der aktuellen Version zur Verfügung stehen?

Stand: 13. EL Stand 2013