Bundesamt für Sicherheit in der Informationstechnik

M 2.572 Beschaffung von Werkzeugen zur Software-Entwicklung

Verantwortlich für Initiierung: Leiter Beschaffung, Leiter Entwicklung

Verantwortlich für Umsetzung: Beschaffer

Neben der Entwicklungsumgebung können weitere Werkzeuge zur Software-Entwicklung erforderlich sein, beispielsweise Grafikprogramme oder Management-Tools. Ebenso können zusätzliche Geräte benötigt werden, beispielsweise Chipkartenleser oder Grafiktabletts.

Werkzeuge, die eine aktive Komponente der Software-Entwicklung sind, sollten nach standardisierten, dokumentierten Vorgehensweisen beschafft werden, die unter anderem spezifizieren:

  • Richtlinien zur Auswahl von Hard- und Software
  • Methoden, um Sicherheitsmängel von beschaffter Hard- und Software zu identifizieren und damit umzugehen
  • Anforderungen an akzeptable Software-Lizenzbestimmungen
  • Review- und Freigabeverfahren für angeschaffte Hard- und Software

Bei der Beschaffung sollten die Anbieter überprüft und die bestehenden Sicherheitsanforderungen des jeweiligen Anwendungszwecks berücksichtigt werden. Die Verfügbarkeit ist vor allem bei spezieller Hardware ein wichtiges Auswahlkriterium.

Weiterhin muss berücksichtigt werden, ob die beschaffte Hard- und Software für die Software-Entwicklung verwendet werden darf und die Weitergabe von damit erstellten oder bearbeiteten Informationen keinen Konflikt mit den Lizenzbedingungen des Herstellers erzeugt.

Externe Sicherheitsüberprüfungen und -zertifizierungen von Hard- und Software reduzieren die Wahrscheinlichkeit von Sicherheitsmängeln. Die Beschaffungsentscheidung sollte einer Qualitätssicherung durch Mitarbeiter unterzogen werden, die die Sicherheitsanforderungen verstehen und beurteilen können, ob diese erfüllt werden.

Prüffragen:

  • Erfolgt die Beschaffung von Werkzeugen für die Software-Entwicklung nach standardisierten und dokumentierten Vorgehensweisen?

Stand: 15. EL Stand 2016