Bundesamt für Sicherheit in der Informationstechnik

M 4.464 Aufrechterhaltung der Sicherheit im laufenden Anwendungsbetrieb

Verantwortlich für Initiierung: Fachverantwortliche, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator, Fachverantwortliche, Leiter IT

Während des Betriebes einer Anwendung oder eines Fachverfahrens sollte sichergestellt sein, dass die Benutzer ausreichend bei Fragen und Problemen unterstützt werden. Dies kann beispielsweise über den IT-Betrieb, etwa über das Bereitstellen eines IT-Ansprechpartners oder einen sogenannten Service- oder User-Help-Desk (SD / UHD), erfolgen.

Darüber hinaus sollten die Benutzer auch bezogen auf fachliche Aspekte geeignet unterstützt werden. Dies kann etwa durch einen Key-User oder eine so genannte fachliche Leitstelle erfolgen. Diese organisieren die Einführung und Schulung neuer Benutzer, unterstützen bei der korrekten Bedienung der Anwendung und nehmen Anforderungen für kommende Versionen der Anwendung auf.

Ein wichtiger Aspekt der Sicherheit einer Anwendung im laufenden Betrieb ist die geeignete Vergabe von Zugriffsrechten (siehe M 2.8 Vergabe von Zugriffsrechten ) und die stets aktuelle Dokumentation von zugelassenen Benutzern und Rechteprofilen (siehe M 2.31 Dokumentation der zugelassenen Benutzer und Rechteprofile ). Die Korrektheit der vergebenen Berechtigungen sollte regelmäßig überprüft werden.

Es ist darauf zu achten, dass die Protokolldaten der Anwendung regelmäßig ausgewertet werden (siehe M 2.64 Kontrolle der Protokolldateien ). Hierbei sind die jeweils geltenden spezifischen gesetzlichen und vertraglichen Vorgaben zu Speicherfristen für Protokolldateien, deren Zugreifbarkeit durch Dritte ( z. B. Aufsichtsbehörden) und Vorgaben zur Auswertung zu beachten.

Typischerweise ergibt sich im laufenden Anwendungsbetrieb die Notwendigkeit, die Anwendung funktional anzupassen, Fehler zu beheben oder Sicherheitslücken zu schließen. Bei der Durchführung des Patch- und Änderungsmanagements sind die Vorgaben des Bausteins B 1.14 Patch- und Änderungsmanagement zu berücksichtigen. Insbesondere ist darauf zu achten, dass

Ferner ist sicherzustellen, dass Datensicherungen wie vorgesehen (siehe M 6.33 Entwicklung eines Datensicherungskonzepts ) durchgeführt werden und eine Wiederherstellung der Anwendung aus den vorhandenen Datensicherungen erfolgreich möglich ist (siehe M 6.41 Übungen zur Datenrekonstruktion ). Hierzu sind Art und Umfang der Datensicherungen festzulegen, dabei kann es für die verschiedenen Komponenten unterschiedliche Vorgehensweisen zur Datensicherung geben, beispielsweise für Quellcode, Konfigurationsdaten, Protokolldaten und Inhaltsdaten.

Bei von Dritten entwickelten Anwendungen ist unter Umständen, um Urheberrechtsverstößen vorzubeugen, eine Lizenzverwaltung erforderlich. Ebenso ist es zur Sicherstellung des störungsfreien Betriebes sinnvoll, dass auf allen Arbeitsplätzen einer Institution einheitliche Versionen der Anwendungen eingesetzt werden (siehe M 2.88 Lizenzverwaltung und Versionskontrolle von Standardsoftware ).

Prüffragen:

  • Werden die Benutzer im laufenden Anwendungsbetrieb ausreichend unterstützt?

  • Finden bei Anwendungen regelmäßige Protokollauswertungen und Überprüfungen der vergebenen Berechtigungen statt?

  • Ist sichergestellt, dass Sicherheitslücken in Anwendungen zeitnah geschlossen werden?

Stand: 14. EL Stand 2014