IT-Grundschutzhandbuch 2000 - Standardsoftware

9.1 Standardsoftware

Beschreibung

Unter Standardsoftware wird Software verstanden, die auf dem Markt angeboten wird und im allgemeinen über den Fachhandel, z. B. über Kataloge, erworben werden kann. Sie zeichnet sich dadurch aus, daß sie vom Anwender selbst installiert werden soll und daß nur geringer Aufwand für die anwenderspezifische Anpassung notwendig ist.

In diesem Kapitel wird eine Vorgehensweise für den Umgang mit Standardsoftware unter Sicherheitsgesichtspunkten dargestellt. Dabei wird der gesamte Lebenszyklus von Standardsoftware betrachtet: Erstellung eines Anforderungskataloges, Vorauswahl eines geeigneten Produktes, Test, Freigabe, Installation, Lizenzverwaltung und Deinstallation.

Das Qualitätsmanagementsystem des Entwicklers der Standardsoftware fällt nicht in den Anwendungsbereich dieses Kapitels. Es wird vorausgesetzt, daß die Entwicklung der Software unter Beachtung gängiger Qualitätsstandards erfolgte.

Die beschriebene Vorgehensweise dient der Orientierung, um einen Sicherheitsprozeß bezüglich Standardsoftware zu etablieren. Gegebenenfalls kann die hier aufgezeigte Vorgehensweise auch zum Vergleich mit einem bereits eingeführten Verfahren herangezogen werden.

Gefährdungslage

Für den IT-Grundschutz von "Standardsoftware" werden die folgenden typischen Gefährdungen betrachtet:

Organisatorische Mängel:

G 2.1 Fehlende oder unzureichende Regelungen
G 2.3 Fehlende, ungeeignete, inkompatible Betriebsmittel
G 2.26 Fehlendes oder unzureichendes Test- und Freigabeverfahren
G 2.27 Fehlende oder unzureichende Dokumentation
G 2.28 Verstöße gegen das Urheberrecht
G 2.29 Softwaretest mit Produktionsdaten

Menschliche Fehlhandlungen:

G 3.3 Nichtbeachtung von IT-Sicherheitsmaßnahmen
G 3.38 Konfigurations- und Bedienungsfehler

Technisches Versagen:

G 4.8 Bekanntwerden von Softwareschwachstellen
G 4.22 Software-Schwachstellen oder -Fehler

Vorsätzliche Handlungen:

G 5.21 Trojanische Pferde
G 5.23 Computer-Viren
G 5.43 Makro-Viren

Maßnahmenempfehlungen

Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Maßnahmenbündel ("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwählen.
Nachfolgend wird das Maßnahmenbündel für den Baustein "Standardsoftware" vorgestellt.
Je nach Art und Umfang der jeweiligen Standardsoftware muß erwogen werden, ob einzelne Maßnahmen nur reduziert umgesetzt werden. Die Maßnahmen M 2.79 bis M 2.89 stellen in der angegebenen Reihenfolge eine umfassende Beschreibung dar, wie der Lebenszyklus von Standardsoftware gestaltet werden kann. Sie werden durch die anderen genannten Maßnahmen ergänzt.

Organisation:

M 2.9 (2) Nutzungsverbot nicht freigegebener Software
M 2.10 (2) Überprüfung des Software-Bestandes
M 2.35 (1) Informationsbeschaffung über Sicherheitslücken des Systems
M 2.40 (2) Rechtzeitige Beteiligung des Personal-/Betriebsrates
M 2.66 (2) Beachtung des Beitrags der Zertifizierung für die Beschaffung
M 2.79 (1) Festlegung der Verantwortlichkeiten im Bereich Standardsoftware
M 2.80 (1) Erstellung eines Anforderungskataloges für Standardsoftware
M 2.81 (1) Vorauswahl eines geeigneten Standardsoftwareproduktes
M 2.82 (1) Entwicklung eines Testplans für Standardsoftware
M 2.83 (1) Testen von Standardsoftware
M 2.84 (1) Entscheidung und Entwicklung der Installationsanweisung für Standardsoftware
M 2.85 (1) Freigabe von Standardsoftware
M 2.86 (2) Sicherstellen der Integrität von Standardsoftware
M 2.87 (2) Installation und Konfiguration von Standardsoftware
M 2.88 (2) Lizenzverwaltung und Versionskontrolle von Standardsoftware
M 2.89 (3) Deinstallation von Standardsoftware
M 2.90 (2) Überprüfung der Lieferung

Personal:

M 3.4 (1) Schulung vor Programmnutzung

Hardware/Software:

M 4.34 (2) Einsatz von Verschlüsselung, Checksummen oder Digitalen Signaturen (optional)
M 4.78 (2) Sorgfältige Durchführung von Konfigurationsänderungen

Notfallvorsorge:

M 6.21 (3) Sicherungskopie der eingesetzten Software (optional)