Bundesamt für Sicherheit in der Informationstechnik

M 4.42 Implementierung von Sicherheitsfunktionalitäten in der IT-Anwendung

Verantwortlich für Initiierung: Datenschutzbeauftragter, IT-Sicherheitsbeauftragter, Verantwortliche der einzelnen Anwendungen, Leiter IT

Verantwortlich für Umsetzung: Entwickler

Mehrere Gründe können zu der Notwendigkeit führen, dass innerhalb der Anwendungsprogramme selbst Sicherheitsfunktionalitäten wie eine Zugangskontrolle, eine Zugriffsrechteverwaltung und -prüfung oder eine Protokollierung implementiert werden müssen:

  • Reichen die Protokollierungsmöglichkeiten des IT-Systems einschließlich zusätzlich eingesetzter Sicherheitsprodukte nicht aus, um eine ausreichende Beweissicherung zu gewährleisten, so müssen diese Protokollelemente im Anwendungsprogramm implementiert werden. (Beispiel: BDSG , Anlage zum § 9, Eingabekontrolle: "zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben worden sind".)
  • Reicht die Granularität der Zugriffsrechte des IT-Systems einschließlich zusätzlich eingesetzter Sicherheitsprodukte nicht aus, um einen ordnungsgemäßen Betrieb zu gewährleisten, so muss eine Zugriffsrechteverwaltung und -kontrolle im Anwendungsprogramm implementiert werden. (Beispiel: eine Datenbank mit einer gemeinsamen Datenbasis. Vorausgesetzt sei, dass je nach Funktion des Benutzers nur Zugriffe auf bestimmte Felder zulässig sind.)
  • Ist es mit dem IT-System einschließlich zusätzlich eingesetzter Sicherheitsprodukte nicht möglich, den Administrator daran zu hindern, auf bestimmte Daten zuzugreifen oder zumindest diesen Zugriff zu protokollieren und zu kontrollieren, dann muss dies bei Bedarf durch zusätzliche Sicherheitsfunktionen im Anwendungsprogramm implementiert werden. Zum Beispiel kann mit einer Verschlüsselung der Daten verhindert werden, dass der Administrator diese Daten im Klartext liest, wenn er nicht im Besitz des zugehörigen Schlüssels ist.

Diese zusätzlichen Anforderungen an IT-Anwendungen müssen schon in der Planung und Entwicklung berücksichtigt werden, da eine nachträgliche Implementation meist aus Kostengründen nicht mehr möglich ist.

Prüffragen:

  • Unzureichende Protokollierung zur Beweissicherung: Sind zusätzliche Protokollierungselemente im Anwendungsprogramm implementiert?

  • Unzureichende Granularität der Zugriffsrechte: Ist eine zusätzliche Zugriffsrechteverwaltung und -kontrolle im Anwendungsprogramm implementiert?

  • Unzureichende Einschränkung der Zugriffsrechte von Administratoren: Sind im Anwendungsprogramm zusätzliche Sicherheitsfunktionen implementiert?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK