G 2.27 Fehlende oder unzureichende Dokumentation

Verschiedene Formen der Dokumentation können betrachtet werden: die Produktbeschreibung, die Administrator- und Benutzerdokumentation zur Anwendung des Produktes und die Systemdokumentation.

Eine fehlende oder unzureichende Dokumentation der eingesetzten IT-Komponenten kann sowohl im Auswahl- und Entscheidungsprozeß für ein Produkt, als auch bei einem Schadensfall im Wirkbetrieb erhebliche Auswirkungen haben.

Bei einer unzureichenden Dokumentation kann sich im Schadensfall, beispielsweise durch den Ausfall von Hardware bzw. Fehlfunktionen von Programmen, die Fehlerdiagnose und -behebung erheblich verzögern oder völlig undurchführbar sein.

Beispiele:

• Wenn von einem Programm Arbeitsergebnisse in temporären Dateien zwischengespeichert werden, ohne daß dies ausreichend dokumentiert ist, kann dies dazu führen, daß die temporären Dateien nicht angemessen geschützt und vertrauliche Informationen offengelegt werden. Durch fehlenden Zugriffsschutz auf diese Dateien oder eine nicht korrekte physikalische Löschung der nur temporär genutzten Bereiche können Informationen Unbefugten zugänglich werden.
• Bei Installation eines neuen Softwareproduktes werden bestehende Konfigurationen abgeändert. Andere, bislang fehlerfrei laufende Programme sind danach falsch parametrisiert und stürzen ggf. ab. Durch eine detaillierte Dokumentation der Veränderung bei der Installation von Software ließe sich der Fehler schnell lokalisieren und beheben.

© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000