Bundesamt für Sicherheit in der Informationstechnik

M 2.548 Erstellung eines Lastenheftes

Verantwortlich für Initiierung: Fachverantwortliche

Verantwortlich für Umsetzung: Fachverantwortliche, IT-Sicherheitsbeauftragter, Leiter IT

Ein Lastenheft beschreibt die Anforderungen, die eine Anwendung im Rahmen des betrachteten Geschäftsprozesses oder Verwaltungsverfahrens erfüllen soll. Dabei sind nicht nur die fachlichen (funktionalen) Anforderungen an die Anwendung zu betrachten, sondern auch nicht-funktionale Anforderungen.

Neben den fachlichen und IT-betrieblichen Anforderungen sind dabei auch Sicherheitsanforderungen zu betrachten. Auch bei diesen sind funktionale und nicht-funktionale Sicherheitsanforderungen zu unterscheiden. Funktionale Sicherheitsanforderungen decken konkrete Funktionen der Anwendung ab wie beispielsweise:

  • Identitäts- und Berechtigungsmanagement
  • Passwort-Management
  • Kryptographische Absicherung der Daten

Die Art und Ausprägung von funktionalen Sicherheitsanforderungen wie beispielsweise zu der Integration einer Zwei-Faktor-Authentisierung, dem Aufbau einer PKI , die Nutzung von SAML oder WS-Security sind stark von dem jeweiligen Schutzbedarf der Anwendung abhängig.

Über nicht-funktionale Sicherheitsanforderungen wird beschrieben, welche Qualitätseigenschaften die Anwendung haben soll. Hierzu gehören Aspekte wie Softwarequalität, Zuverlässigkeit, Fehlertoleranz, Wartbarkeit und natürlich die Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit. Ein Beispiel einer nicht-funktionalen Anforderung ist es, die Anwendung resistent gegenüber bestimmten Angriffen zu machen.

Bei einem Lastenheft handelt es sich um das Grobkonzept aus Sicht des Auftraggebers, das die Art der Umsetzung in weiten Teilen noch offen lassen kann. Das Lastenheft ist die wesentliche Grundlage, um ein Entwicklungsprojekt zu starten, in ähnlicher Weise wie dies der Anforderungskatalog im Fall von Standardsoftware ist (siehe M 2.80 Erstellung eines Anforderungskatalogs für Standardsoftware ).

Bei der Erstellung des Lastenheftes müssen die folgenden Aspekte Berücksichtigung finden:

  • Schutzbedarf der im Geschäftsprozess oder Verwaltungsverfahren verarbeiteten Informationen (Daten)
  • Rechtsgrundlagen, die beim Betrieb und somit auch bereits bei der Konzeption der Anwendung zu beachten sind (siehe M 2.547 Ermittlung und Dokumentation der Rechtsgrundlagen für Anwendungen )
  • Vorgaben, Standards und Kriterienwerke, die zu berücksichtigen sind. Je nach Anwendungsgebiet können hierzu Sicherheitskriteriensysteme, technische Richtlinien oder Architekturempfehlungen gehören und auch Anforderungen hinsichtlich Barrierefreiheit

Beispiele für solche Vorgaben und Kriterienwerke sind:

  • Common Criteria for Information Technology Security Evaluation ( ISO 15408), insbesondere Teil 2 "Security functional requirements"
  • Technische Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik
  • Standards und Architekturen für eGovernment (SAGA)
  • Mindestanforderungen der Rechnungshöfe zum Einsatz der Informations- und Kommunikationstechnik
  • Best Practices wie "Die zehn goldenen Regeln der IT-Sicherheit" aus dem Secologic-Projekt des deutschen Bundesministeriums für Wirtschaft, die Guides des Open Web Application Security Projects (OWASP), der Leitfaden "Sicheres Programmieren, Einführung in die sichere Anwendungsentwicklung" der Sicherheitsinitiative Deutschland sicher im Netz und weitere Dokumente von Unternehmen (siehe Hilfsmittel)

Zur Vorbereitung des Lastenheftes, insbesondere um die benötigten Sicherheitsfunktionen herzuleiten und auszugestalten, hat es sich als zweckmäßig erwiesen, bei Bedarf ( d. h. insbesondere bei hohem oder sehr hohem Schutzbedarf) bereits eine erste Risikoanalyse, beispielsweise auf Grundlage der im BSI-Standard 100-3 beschriebenen Methode, durchzuführen. Diese erste Fassung der Risikoanalyse muss dann im Zuge der Erstellung des Pflichtenheftes (siehe M 2.552 Erstellung eines Pflichtenheftes ), bei der Fertigstellung der Anwendung und der Vorbereitung der Freigabe fortgeschrieben werden. In dieser ersten Runde der Risikoanalyse kann natürlich nur untersucht werden, gegen welche Gefährdungen die Anwendung widerstehen können soll und erste Sicherheitsziele gesetzt werden. Konkrete Sicherheitsmaßnahmen können erst im Pflichtenheft festgelegt werden.

Das Lastenheft sollte so detailliert, wie in dieser Phase möglich, über die funktionalen (fachlichen) Anforderungen hinaus Aussagen zu folgenden nicht-funktionalen Aspekten enthalten:

  • Qualitätsanforderungen (zum Beispiel Benutzerfreundlichkeit, Zuverlässigkeit, Performance),
  • Vorgaben hinsichtlich der Architektur und IT-Infrastruktur, für die die Anwendung ausgelegt wird (siehe M 2.214 Konzeption des IT-Betriebs ). Jede Institution sollte eine klar umrissene Vorgabe haben, wie IT in der Institution eingesetzt wird und zusammenspielt. Dies kann z. B. in einem IT-Rahmenplan und einem Architekturkonzept festgelegt sein. Bei der Planung neuer IT-Komponenten und Anwendungen ist sicherzustellen, dass diese in die Infrastruktur und die generellen Planungen passen.
  • Weitere technische Anforderungen (zum Beispiel Anwendungsarchitektur, Programmiersprache, Betriebssystem, Erweiterbarkeit),
  • Anforderungen an die Dokumentation (zum Beispiel Modellierung in UML ),
  • Vorgaben zur geplanten Einführung. Hier ist zu unterscheiden, ob es sich um eine Migration, bei der Daten und Bearbeitungsabläufe aus einer vorhandenen Anwendung übernommen werden oder um eine komplette Neuentwicklung handelt. Wichtig kann auch sein, ob die Einführung der neuen Anwendung mit einer Stichtagsumstellung oder durch schrittweise Einführung geplant ist. Wertvolle Hinweise zur Planung des Vorgehens bei der Migration von Anwendungen gibt in einem Phasenmodell der Migrationsleitfaden der Beauftragten der Bundesregierung für Informationstechnik.
  • Anforderungen an die Abnahme (Grundsätzliches zu Abnahmetests und Pilotbetrieb).
  • Vorgaben zu den benötigten Sicherheitsfunktionen

Diese Sicherheitsfunktionen können unter anderem beinhalten:

  • Vorgaben für die Verfügbarkeit des Verfahrens (tolerable Ausfallzeiten, Wiederherstellungszeiten etc. )
  • Anforderungen an die Mandantentrennung (siehe M 2.549 Erstellung eines Mandantenkonzeptes )
  • Anforderungen an die Datensicherung (siehe M 6.33 Entwicklung eines Datensicherungskonzepts ) und, falls erforderlich, zur Archivierung
  • Anforderungen an externe Schnittstellen und deren Absicherung
  • Anforderung an die Verschlüsselung der Datenhaltung und des Datentransports (siehe M 2.161 Entwicklung eines Kryptokonzepts )
  • Anforderungen an Authentisierung und Autorisierung
  • Anforderungen an die Datenhaltung und -strukturierung
  • Anforderungen zur effizienten und effektiven Löschung von Daten

Das Lastenheft sollte die Anforderungen an die Anwendung so ausreichend beschreiben, dass hierauf aufbauend die Anwendung so erstellt werden kann, dass sich mit ihr die erforderlichen Sicherheitsmaßnahmen umsetzen lassen und sich eine dem Schutzbedarf angemessene Gesamtsicherheit erreichen lässt.

Prüffragen:

  • Wurden bei der Erstellung des Lastenheftes fachliche Anforderungen, Vorgaben hinsichtlich der Architektur und IT-Infrastruktur, Vorgaben zur Einführung der Anwendungen und benötigte Sicherheitsfunktionen ausreichend berücksichtigt?

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK