Bundesamt für Sicherheit in der Informationstechnik

M 4.134 Wahl geeigneter Datenformate

Verantwortlich für Initiierung: Leiter IT

Verantwortlich für Umsetzung: Benutzer, Leiter IT

Es gibt eine Vielzahl von unterschiedlichen Datenformaten, die von den verschiedenen IT -Anwendungen unterstützt werden. Diese sind allerdings im Allgemeinen nicht kompatibel, also untereinander austauschbar. Leider können häufig nicht einmal IT-Anwendungen mit demselben Aufgabenfeld ( z. B. Textverarbeitungssysteme) mit den Datenformaten ähnlicher Produkte umgehen. Dieses Problem wird noch dadurch gesteigert, dass oft Anwendungsprogramme nach einem Versionswechsel die Datenformate ihrer Vorgänger nicht mehr verarbeiten können.

Daher muss bei der Beschaffung neuer Anwendungsprogramme untersucht werden, welche Datenformate unterstützt werden und wie verbreitet die unterstützten Datenformate sind. Da viele wichtige Vorgänge dauerhaft elektronisch gespeichert werden sollen, ist es ebenso wichtig zu hinterfragen, welche "Lebensdauer" von einem Datenformat erwartet wird. Generell sollte bei jedem Systemwechsel überprüft werden, ob alle gespeicherten Daten mit den neuen IT-Systemen oder Anwendungen noch verarbeitet werden können.

Ebenso muss aber auch bei jeder Nutzung eines Anwendungsprogramms überlegt werden, in welchem Format die bearbeiteten Daten gespeichert werden sollen. Dabei sollte immer berücksichtigt werden, wer und zu welchem Zeitpunkt diese Daten lesen können soll.

Bei der Wahl von Datenformaten für den Dateiaustausch sollte auch hinterfragt werden, ob diese Sicherheitsrisiken mit sich bringen können. Beispielsweise können bei bestimmten Datenformaten unerwünschte Zusatzinformationen in den Dateien enthalten sein (siehe auch M 4.64 Verifizieren der zu übertragenden Daten vor Weitergabe / Beseitigung von Restinformationen ). Dateien, die in bestimmten Datenformaten erstellt wurden, können auch andere sicherheitsrelevante Probleme wie Makros und damit die Gefahr von Makro-Viren mit sich bringen (siehe M 4.3 Einsatz von Viren-Schutzprogrammen ).

Die Überlegungen dazu, welche Datenformate für welche Zwecke geeignet sind und in der Institution unterstützt werden sollen, sollten geeignet dokumentiert und kommuniziert werden.

Prüffragen:

  • Wird bei der Beschaffung von Anwendungsprogrammen darauf geachtet, welche Datenformate unterstützt werden?

  • Wird bei der Beschaffung von Anwendungsprogrammen darauf geachtet, ob die unterstützten Datenformate die Anforderungen der Organisation hinsichtlich der Lebensdauer des Formates erfüllen?

  • Wird bei der Auswahl des Datenformats für den Dateiaustausch berücksichtigt, welche zusätzlichen Informationen gespeichert werden?

Stand: 13. EL Stand 2013