IT-GSHB 2000 - Erstellung eines Anforderungskataloges für Standardsoftware

M 2.80 Erstellung eines Anforderungskataloges für Standardsoftware

Verantwortlich für Initiierung: Leiter Fachabteilung

Verantwortlich für Umsetzung: Fachabteilung, Leiter IT

Zur Lösung einer Aufgabe, die mit IT bearbeitet wird, bietet der Markt meist eine Vielzahl gleichartiger Standardsoftwareprodukte an. In ihrer Grundfunktionalität vergleichbar, unterscheiden sie sich jedoch in Kriterien wie Anschaffungs- und Betriebskosten, Zusatzfunktionalitäten, Kompatibilität, Administration, Ergonomie und IT-Sicherheit.

Anforderungskatalog

Für die Auswahl eines geeigneten Produktes muß daher zunächst ein Anforderungskatalog erstellt werden. Der Anforderungskatalog sollte u. a. zu den folgenden Punkten Aussagen enthalten:

Funktionale Anforderungen , die das Produkt zur Unterstützung der Aufgabenerfüllung der Fachabteilung erfüllen muß. Die für die Fachaufgabe relevanten Einzelfunktionalitäten sollten hervorgehoben werden.

Verkürzte Beispiele:

Textverarbeitung mit den Zusatzfunktionen Einbinden von Graphiken, Makroprogrammierung, Rechtschreibprüfung und Silbentrennung. Makroprogrammierung muß abschaltbar sein, Rechtschreibprüfung muß in Englisch, Französisch und Deutsch verfügbar sein. Die spezifizierten Textformate müssen im- und exportiert werden können.
Datenbank (Front-End und Back-End) für Multi-User-Betrieb mit Unterstützung der Standardabfragesprache SQL und graphischer Bedienoberfläche
Terminplaner zur Koordinierung und Kontrolle von Terminen der Abteilungsangehörigen mit integrierter Terminabstimmung, automatischem Versand von Einladungen und Aufgaben- und Prioritäten-Listen, Schnittstelle zum hausinternen Mailprogramm
IT-Einsatzumgebung , diese wird einerseits beschrieben durch die Rahmenbedingungen, die durch die vorhandene oder geplante IT-Einsatzumgebung vorgegeben werden, und andererseits durch die Leistungsanforderungen, die durch das Produkt an die Einsatzumgebung vorgegeben werden.

Verkürzte Beispiele:

Vorgegebene IT-Einsatzumgebung: Unter Novell 3.11 vernetzter PC, 80486-Prozessor, 8 MB Hauptspeicher, 500 MB Festplattenkapazität, Diskettenlaufwerk, CD-ROM-Laufwerk, MS-DOS 6.0, Produkt darf maximal 50 MB der Festplatte belegen, es muß unter Windows 3.11 laufen und netztauglich sein.
Leistungsanforderungen: Das Textverarbeitungsprogramm X benötigt 16 MB Festplattenplatz, läuft auf einem PC ab 80386-Prozessor, 8 MB Hauptspeicher, Windows 3.11.
Kompatibilitätsanforderungen zu anderen Programmen oder IT-Systemen, also Migrationsunterstützung und Aufwärts- und Abwärtskompatibilität.

Verkürzte Beispiele:

Datenbestände aus der vorhandenen Datenbank XYZ müssen übernommen werden können.
Die Funktionen A, B, C müssen bei Versionswechseln erhalten bleiben.
Der Datenaustausch mit dem Unix-System XYZ muß möglich sein.
Performanceanforderungen beschreiben die erforderlichen Leistungen hinsichtlich Durchsatz und Laufzeitverhalten. Für die geforderten Funktionen sollten möglichst genaue Angaben über die maximal zulässige Bearbeitungszeit getroffen werden.

Verkürzte Beispiele:

Die maximale Antwortzeit bei Ausführung von Funktion X darf 2 Sekunden nicht überschreiten.
Die Verschlüsselungsrate sollte auf einem 486 DX 33 mindestens 60 KB/sec betragen.
Andere gleichzeitig verarbeitete Prozesse dürfen durch das Produkt maximal um 30% verlangsamt werden.
Interoperabilitätsanforderungen , d. h. die Zusammenarbeit mit anderen Produkten über Plattformgrenzen hinweg muß möglich sein.

Verkürzte Beispiele:

Versionen des Textverarbeitungsprogramms sollen für Windows-, Unix- und Macintosh-Plattformen verfügbar sein. Dokumente sollen auf einem Betriebssystem erstellt und auf einem anderen weiterverarbeitet werden können.
Das Textverarbeitungsprogramm muß mit dem eingesetzten Mailprogramm zusammenarbeiten können.
Zuverlässigkeitsanforderungen betreffen die Stabilität des Produktes, also Fehlererkennung und Toleranz sowie Ausfall- und Betriebssicherheit.

Verkürzte Beispiele:

Fehleingaben des Benutzers müssen erkannt werden und dürfen nicht zum Programmabbruch oder Systemabsturz führen.
Die Datenbank muß über Mechanismen verfügen, die es erlauben, bei einem Systemabbruch mit Zerstörung der Datenbank alle Transaktionen zu rekonstruieren (Roll-Forward).
Konformität zu Standards , dies können internationale Normen, Defacto-Standards oder auch Hausstandards sein.

Verkürzte Beispiele:

Das Produkt muß der EU-Bildschirmrichtlinie 90/270/EWG entsprechen.
Die Implementation eines Token-Ring-LANs muß konform sein zur Norm ENV 41110.
Das Produkt muß dem X/Open-Standard entsprechen.
Einhaltung von internen Regelungen und gesetzlichen Vorschriften (z. B. ausreichender Datenschutz bei der Verarbeitung personenbezogener Daten)

Verkürzte Beispiele:

Das Produkt muß den Grundsätzen ordnungsmäßiger DV-gestützter Buchführungssysteme genügen.
Da personenbezogene Daten verarbeitet werden, müssen die Bestimmungen des Bundesdatenschutzgesetzes mit den implementierten Funktionen erfüllt werden können.
Anforderungen an die Benutzerfreundlichkeit , die durch die leichte Bedienbarkeit, Verständlichkeit und Erlernbarkeit gekennzeichnet ist, also insbesondere durch die Güte der Benutzeroberfläche sowie die Qualität der Benutzerdokumentation und der Hilfefunktionen.

Verkürzte Beispiele:

Eine Online-Hilfefunktion muß implementiert sein.
Die Benutzeroberfläche muß so gestaltet sein, daß ungelernte Kräfte innerhalb von zwei Stunden in die Benutzung eingewiesen werden können.
Die Benutzerdokumentation und die Benutzeroberfläche sollten in der Landessprache vorliegen.
Anforderungen an die Wartbarkeit ergeben sich für den Anwender hauptsächlich aus der Fehlerbehandlung des Produktes.

Verkürzte Beispiele:

Der Administrationsaufwand darf nicht zu hoch sein.
Der Anbieter muß eine Hotline für Fragen anbieten.
Das Produkt muß einfach zu installieren und zu konfigurieren sein.
Das Produkt muß einfach zu deinstallieren sein.
die Obergrenze der Kosten , die durch die Beschaffung dieses Produktes verursacht würden, werden vorgegeben. Dabei müssen nicht nur die unmittelbaren Beschaffungskosten für das Produkt selber einbezogen werden, sondern auch Folgekosten, wie z. B. eine Aufrüstung der Hardware, Personalkosten oder notwendige Schulungen.

Verkürzte Beispiele:

Das Produkt darf maximal 15000.- DM kosten.
Die Schulungskosten dürfen 2000.- DM nicht überschreiten
Aus den Anforderungen an die Dokumentation muß hervorgehen, welche Dokumente in welcher Güte (Vollständigkeit, Verständlichkeit) erforderlich sind.

Verkürzte Beispiele:

Die Benutzerdokumentation muß leicht nachvollziehbar und zum Selbststudium geeignet sein. Die gesamte Funktionalität des Produktes ist zu beschreiben.
Die Systemverwalterdokumentation muß Handlungsanweisungen für mögliche Fehler enthalten.
Bezüglich der Softwarequalität können Anforderungen gestellt werden, die von Herstellererklärungen über das eingesetzten Qualitätssicherungsverfahren, über ISO 9000 ff. Zertifikate bis hin zu unabhängigen Softwareprüfungen nach ISO 12119 reichen.

Verkürzte Beispiele:

Der Softwareerstellungsprozeß des Herstellers muß nach ISO 9000 zertifiziert sein.
Die Funktionalität des Produktes muß unabhängig gemäß ISO 12119 überprüft worden sein.
Sollen durch das Produkt IT-Sicherheitsfunktionen erfüllt werden, sind sie in Form von Sicherheitsanforderungen zu formulieren (vgl. M 4.42 Implementierung von Sicherheitsfunktionalitäten in der IT-Anwendung ). Dies wird nachfolgend noch ausführlich erläutert.

Sicherheitsanforderungen

Abhängig davon, ob das Produkt Sicherheitseigenschaften bereitstellen muß, können im Anforderungskatalog Sicherheitsfunktionen aufgeführt werden. Typische Sicherheitsfunktionen, die hier in Frage kommen, seien kurz erläutert. Weitere Ausführungen findet man in den ITSEC.

Identifizierung und Authentisierung

In vielen Produkten wird es Anforderungen geben, diejenigen Benutzer zu bestimmen und zu überwachen, die Zugriff auf Betriebsmittel haben, die vom Produkt kontrolliert werden. Dazu muß nicht nur die behauptete Identität des Benutzers festgestellt, sondern auch die Tatsache nachgeprüft werden, daß der Benutzer tatsächlich die Person ist, die er zu sein vorgibt. Dies geschieht, indem der Benutzer dem Produkt Informationen liefert, die fest mit dem betreffenden Benutzer verknüpft sind.

Zugriffskontrolle

Bei vielen Produkten wird es erforderlich sein sicherzustellen, daß Benutzer und Prozesse, die für diese Benutzer tätig sind, daran gehindert werden, Zugriff auf Informationen oder Betriebsmittel zu erhalten, für die sie kein Zugriffsrecht haben oder für die keine Notwendigkeit zu einem Zugriff besteht. Desgleichen wird es Anforderungen bezüglich der unbefugten Erzeugung oder Änderung (einschließlich Löschung) von Informationen geben.

Beweissicherung

Bei vielen Produkten wird es erforderlich sein sicherzustellen, daß über Handlungen, die von Benutzern bzw. von Prozessen im Namen solcher Benutzer ausgeführt werden, Informationen aufgezeichnet werden, damit die Folgen solcher Handlungen später dem betreffenden Benutzer zugeordnet werden können und der Benutzer für seine Handlungen verantwortlich gemacht werden kann.

Protokollauswertung

Bei vielen Produkten wird sicherzustellen sein, daß sowohl über gewöhnliche Vorgänge als auch über außergewöhnliche Vorfälle ausreichend Informationen aufgezeichnet werden, damit durch Nachprüfungen später festgestellt werden kann, ob tatsächlich Sicherheitsverletzungen vorgelegen haben und welche Informationen oder sonstigen Betriebsmittel davon betroffen waren.

Unverfälschbarkeit

Bei vielen Produkten wird es erforderlich sein sicherzustellen, daß bestimmte Beziehungen zwischen unterschiedlichen Daten korrekt bleiben und daß Daten zwischen einzelnen Prozessen ohne Änderungen übertragen werden.

Daneben müssen auch Funktionen bereitgestellt werden, die es bei der Übertragung von Daten zwischen einzelnen Prozessen, Benutzern und Objekten ermöglichen, Verluste, Ergänzungen oder Veränderungen zu entdecken bzw. zu verhindern, und die es unmöglich machen, die angebliche oder tatsächliche Herkunft bzw. Bestimmung der Datenübertragung zu ändern.

Zuverlässigkeit

Bei vielen Produkten wird es erforderlich sein sicherzustellen, daß zeitkritische Aufgaben genau zu dem Zeitpunkt durchgeführt werden, zu dem es erforderlich ist, also nicht früher oder später, und es wird sicherzustellen sein, daß zeitunkritische Aufgaben nicht in zeitkritische umgewandelt werden können. Desgleichen wird es bei vielen Produkten erforderlich sein sicherzustellen, daß ein Zugriff in dem erforderlichen Moment möglich ist und Betriebsmittel nicht unnötig angefordert oder zurückgehalten werden.

Übertragungssicherung

Dieser Begriff umfaßt alle Funktionen, die für den Schutz der Daten während der Übertragung über Kommunikationskanäle vorgesehen sind:

Authentisierung
Zugriffskontrolle
Datenvertraulichkeit
Datenintegrität
Sende- und Empfangsnachweis

Einige dieser Funktionen werden mittels kryptographischer Verfahren realisiert.

Über die ITSEC hinaus können weitere Sicherheitsanforderungen an Standardsoftware konkretisiert werden.

Datensicherung

An die Verfügbarkeit der mit dem Produkt verarbeiteten Daten werden hohe Anforderungen gestellt. Unter diesen Punkt fallen im Produkt integrierte Funktionen, die Datenverlusten vorbeugen sollen wie die automatische Speicherung von Zwischenergebnissen oder die automatische Erstellung von Sicherungskopien vor der Durchführung größerer Änderungen.

Verschlüsselung

Verschlüsselung dient der Wahrung der Vertraulichkeit von Daten. Bei vielen Produkten wird es erforderlich sein, Nutzdaten vor einer Übertragung oder nach der Bearbeitung zu verschlüsseln und sie nach Empfang oder vor der Weiterverarbeitung zu entschlüsseln. Hierzu ist ein anerkanntes Verschlüsselungsverfahren zu verwenden. Es ist sicherzustellen, daß die zur Entschlüsselung benötigten Parameter (z. B. Schlüssel) in der Weise geschützt sind, daß kein Unbefugter Zugang zu diesen Daten besitzt.

Funktionen zur Wahrung der Datenintegrität

Für Daten, deren Integritätsverlust zu Schäden führen kann, können Funktionen eingesetzt werden, die Fehler erkennen lassen oder sogar mittels Redundanz korrigieren können. Meist werden Verfahren zur Integritätsprüfung eingesetzt, die absichtliche Manipulationen am Produkt bzw. den damit erstellten Daten sowie ein unbefugtes Wiedereinspielen von Daten zuverlässig aufdecken können. Sie basieren auf kryptographischen Verfahren (siehe M 5.36 Verschlüsselung unter Unix und M 4.34 Einsatz von Verschlüsselung, Checksummen oder Digitalen Signaturen ).

Datenschutzrechtliche Anforderungen

Wenn mit dem Produkt personenbezogene Daten verarbeitet werden sollen, sind über die genannten Sicherheitsfunktionen hinaus zusätzliche spezielle technische Anforderungen zu stellen, um den Datenschutzbestimmungen genügen zu können.

Stärke der Mechanismen

Sicherheitsfunktionen werden durch Mechanismen umgesetzt. Je nach Einsatzzweck müssen diese Mechanismen eine unterschiedliche Stärke besitzen, mit der sie Angriffe abwehren können. Die erforderliche Stärke der Mechanismen ist im Anforderungskatalog anzugeben. Nach ITSEC unterscheidet man drei verschiedene Mechanismenstärken:

niedrig : bietet Schutz gegen zufällige unbeabsichtigte Angriffe, z. B. Bedienungsfehler.
mittel : bietet Schutz gegen Angreifer mit beschränkten Gelegenheiten oder Betriebsmitteln.
hoch : kann nur von Angreifern überwunden werden, die über sehr gute Fachkenntnisse, Gelegenheiten und Betriebsmitteln verfügen, wobei ein solcher erfolgreicher Angriff als normalerweise nicht durchführbar beurteilt wird.

Beispiele für Anforderungen zu Sicherheitseigenschaften

Nachfolgend werden für einige wichtige Sicherheitsfunktionen Beispiele genannt, aus denen typische Anforderungen an Sicherheitseigenschaften deutlich werden.

Soll das Produkt über einen Identifizierungs- und Authentisierungsmechanismus verfügen, können beispielsweise folgende Anforderungen gestellt werden:

Der Zugang darf ausschließlich über eine definierte Schnittstelle erfolgen. Dabei kann z. B. ein Anmeldemechanismus zum Einsatz kommen, der eine eindeutige Benutzerkennung und ein Paßwort verlangt. Wird beim Zugang zum IT-System bereits die Identität des Benutzers sichergestellt, ist eine anonyme Paßworteingabe ausreichend. Andere Möglichkeiten sind Verfahren, die auf dem Besitz bestimmter "Token" beruhen, wie z. B. einer Chipkarte.
Das Zugangsverfahren selbst muß die sicherheitskritischen Parameter, wie Paßwort, Benutzerkennung, usw., sicher verwalten. So dürfen aktuelle Paßwörter nie unverschlüsselt auf den entsprechenden IT-Systemen gespeichert werden.
Das Zugangsverfahren muß definiert auf Fehleingaben reagieren. Erfolgt zum Beispiel dreimal hintereinander eine fehlerhafte Authentisierung, ist der Zugang zum Produkt zu verwehren oder alternativ sind die zeitlichen Abstände, nach denen ein weiterer Zugangsversuch erlaubt wird, sukzessiv zu vergrößern.
Das Zugangsverfahren muß das Setzen bestimmter Minimalvorgaben für die sicherheitskritischen Parameter zulassen. So sollte die Mindestlänge eines Paßwortes sechs Zeichen, die Mindestlänge einer PIN drei Ziffern betragen. Ggf. ist auch die Syntax für Paßwörter vorzugeben.

Soll das Produkt über eine Zugriffskontrolle verfügen, können beispielsweise folgende Anforderungen gestellt werden:

Das Produkt muß verschiedene Benutzer unterscheiden können.
Das Produkt muß je nach Vorgabe Ressourcen einzelnen autorisierten Benutzer zuteilen können und Unberechtigten den Zugriff gänzlich verwehren.
Mittels einer differenzierten Rechtestruktur (lesen, schreiben, ausführen, ändern, ...) sollte der Zugriff geregelt werden können. Die für die Rechteverwaltung relevanten Daten sind manipulationssicher vom Produkt zu verwalten.

Soll das Produkt über eine Protokollierung verfügen, können folgende Anforderungen sinnvoll sein:

Der Mindestumfang, den das Produkt protokollieren können muß, sollte parametrisierbar sein. Beispielsweise sollten folgende Aktionen protokollierbar sein:
bei Authentisierung: Benutzerkennung, Datum und Uhrzeit, Erfolg, ...,
bei der Zugriffskontrolle: Benutzerkennung, Datum und Uhrzeit, Erfolg, Art des Zugriffs, was wurde wie geändert, gelesen, geschrieben, ...,
Durchführung von Administratortätigkeiten,
Auftreten von funktionalen Fehlern.
Die Protokollierung darf von Unberechtigten nicht deaktivierbar sein. Die Protokolle selbst dürfen für Unberechtigte weder lesbar noch modifizierbar sein.
Die Protokollierung muß übersichtlich, vollständig und korrekt sein.

Soll das Produkt über eine Protokollauswertung verfügen, können folgende Anforderungen sinnvoll sein:

Eine Auswertefunktion muß nach den bei der Protokollierung geforderten Datenarten unterscheiden können (z. B. "Filtern aller unberechtigten Zugriffe auf alle Ressourcen in einem vorgegebenen Zeitraum").

Die Auswertefunktion muß auswertbare ("lesbare") Berichte erzeugen, so daß keine sicherheitskritischen Aktivitäten übersehen werden.

Soll das Produkt über Funktionen zur Unverfälschbarkeit verfügen, könnte beispielsweise folgende Anforderung gestellt werden:

Ein Datenbank-Managementsystem muß über Möglichkeiten zur Beschreibung von Regeln bestimmter Beziehungen zwischen den gespeicherten Daten verfügen (z. B. referentielle Integrität). Außerdem müssen geeignete Mechanismen existieren, die verhindern, daß es durch Änderungen der Daten zu Verstößen gegen diese Regeln kommt.

Soll das Produkt über Funktionen zur Datensicherung verfügen, können beispielsweise folgende Anforderungen gestellt werden:

Es muß konfigurierbar sein, welche Daten wann gesichert werden.
Es muß eine Option zum Einspielen beliebiger Datensicherungen existieren.
Die Funktion muß das Sichern von mehreren Generationen ermöglichen.
Datensicherungen von Zwischenergebnissen aus der laufenden Anwendung sollen möglich sein.

Soll das Produkt über eine Verschlüsselungskomponente verfügen, sind folgende Anforderungen sinnvoll:

Der implementierte Verschlüsselungsalgorithmus sollte - beim Einsatz in Behörden - vom BSI anerkannt sein. Hier empfiehlt sich eine individuelle Beratung durch das BSI. Außerhalb der Behörden ist bei mittlerem Schutzbedarf der DES geeignet.
Das Schlüsselmanagement muß mit der Funktionalität des Produktes harmonieren. Dabei sind insbesondere grundsätzliche Unterschiede der Algorithmen zu berücksichtigen:
symmetrische Verfahren benutzen einen geheimzuhaltenden Schlüssel für die Ent- und Verschlüsselung,
asymmetrische Verfahren benutzen einen öffentlichen Schlüssel für die Verschlüsselung und einen privaten (geheimzuhaltenden) für die Entschlüsselung.
Das Produkt muß die sicherheitskritischen Parameter wie Schlüssel sicher verwalten. So dürfen Schlüssel (auch mittlerweile nicht mehr benutzte) nie ungeschützt, das heißt auslesbar, auf den entsprechenden IT-Systemen abgelegt werden.

Soll das Produkt über Mechanismen zur Integritätsprüfung verfügen, sind folgende Anforderungen sinnvoll:

Das Produkt führt bei jedem Programmaufruf einen Integritätscheck durch.
Bei der Datenübertragung müssen Mechanismen eingesetzt werden, mit denen absichtliche Manipulationen an den Adreßfeldern und den Nutzdaten erkannt werden können. Daneben darf die bloße Kenntnis der eingesetzten Algorithmen ohne spezielle Zusatzkenntnisse nicht ausreichen, unerkannte Manipulationen an den obengenannten Daten vorzunehmen.

Werden personenbezogene Daten mit dem Produkt verarbeitet, können beispielsweise folgende datenschutzrechtlichen Anforderungen gestellt werden:

Das Produkt darf keine freie Abfrage für Datenauswertungen zulassen. Die Auswertungen von Datensätzen müssen auf bestimmte Kriterien einschränkbar sein.
Es muß parametrisierbar sein, daß für bestimmte Dateien Änderungen, Löschungen oder Ausdrucke von personenbezogenen Daten nur nach dem Vier-Augen-Prinzip möglich sind.
Die Protokollierung muß parametrisierbar sein, so daß aufgezeichnet werden kann, wer wann an welchen personenbezogenen Daten welche Änderungen vorgenommen hat.
Die Übermittlung personenbezogener Daten muß durch geeignete Stichprobenverfahren festgestellt und überprüft werden können (BDSG, � 10). Die Art der Stichprobe muß sich individuell einstellen lassen.
Das Produkt muß das Löschen von personenbezogenen Daten ermöglichen. Ersatzweise muß das Sperren personenbezogener Daten möglich sein, um ihre weitere Verarbeitung oder Nutzung einzuschränken bzw. zu verhindern.

Bewertungsskala

Um einen Vergleich verschiedener Produkte im Sinne einer Nutzwertanalyse durchführen zu können, müssen Kriterien vorhanden sein, wie die Erfüllung der einzelnen Anforderungen gewertet wird. Dazu ist es erforderlich, vorab die Bedeutung der einzelnen Anforderungen für die angestrebte IT-gestützte Aufgabenerfüllung quantitativ oder qualitativ zu bewerten.

Diese Bewertung kann beispielsweise in drei Stufen vorgenommen werden. In der ersten Stufe wird festgelegt, welche im Anforderungskatalogs geforderten Eigenschaften notwendig und welche wünschenswert sind. Wenn eine notwendige Eigenschaft nicht erfüllt ist, wird das Produkt abgelehnt (sogenanntes K.O.-Kriterium). Das Fehlen einer wünschenswerten Eigenschaft wird zwar negativ gewertet, dennoch wird aber das Produkt aufgrund dessen nicht zwingend abgelehnt.

Als zweite Stufe wird die Bedeutung der geforderten wünschenswerte Eigenschaft für die Aufgabenerfüllung angegeben. Dies kann z. B. quantitativ mit Werten zwischen 1 für niedrig und 5 für hoch erfolgen. Notwendige Eigenschaften müssen nicht quantitativ bewertet werden. Ist dies aber aus rechnerischen Gründen erforderlich, müssen sie auf jeden Fall höher bewertet werden als jede wünschenswerte Eigenschaft (um die Bedeutung einer notwendigen Eigenschaft hervorzuheben, kann sie z. B. mit 10 bewertet werden).

In der dritten Stufe wird ein Vertrauensanspruch für die Korrektheit Aufgabenerfüllung der geforderten Eigenschaften angegeben (z. B. mit Werten zwischen 1 für niedrig und 5 für hoch). Anhand des Vertrauensanspruchs wird später entschieden, wie eingehend die Eigenschaft getestet wird. Der Vertrauensanspruch der Sicherheitsmechanismen muß entsprechend ihrer Mechanismenstärke bewertet werden, beispielsweise kombiniert man

Mechanismenstärke niedrig mit Vertrauensanspruch 1
Mechanismenstärke mittel mit Vertrauensanspruch 3
Mechanismenstärke hoch mit Vertrauensanspruch 5

Diese Orientierungswerte müssen im Einzelfall verifiziert werden.

Beispiele:

Auszugsweise sollen für einige typische Standardsoftwareprodukte Sicherheitsanforderungen erläutert werden:

Textverarbeitungsprogramm:

Notwendige Sicherheitseigenschaften:

Automatische Datensicherung im laufenden Betrieb von Zwischenergebnissen

Wünschenswerte Sicherheitseigenschaften:

Paßwortschutz einzelner Dateien
Verschlüsselung einzelner Dateien
Makroprogrammierung muß abschaltbar sein

Dateikompressionsprogramm:

Notwendige Sicherheitseigenschaften:

Im Sinne der Datensicherung dürfen nach Kompression zu löschende Dateien erst dann vom Kompressionsprogramm gelöscht werden, wenn die Kompression fehlerfrei abgeschlossen wurde.
Vor der Dekomprimierung einer Datei muß deren Integrität überprüft werden, damit z. B. Bitfehler in der komprimierten Datei erkannt werden.

Wünschenswerte Sicherheitseigenschaften:

Paßwortschutz komprimierter Dateien

Terminplaner:

Notwendige Sicherheitseigenschaften:

Eine sichere Identifikation und Authentisierung der einzelnen Benutzer muß erzwungen werden, z. B. über Paßwörter.
Eine Zugriffskontrolle für die Terminpläne der einzelnen Mitarbeiter ist erforderlich.
Zugriffsrechte müssen für Einzelne, Gruppen und Vorgesetzte getrennt vergeben werden können.
Eine Unterscheidung zwischen Lese- und Schreibrecht muß möglich sein.

Wünschenswerte Sicherheitseigenschaften:

Eine automatisierte Datensicherung in verschlüsselter Form ist vorzusehen.

Reisekostenabrechnungssystem:

Notwendige Sicherheitseigenschaften:

Eine sichere Identifikation und Authentisierung der einzelnen Benutzer muß erzwungen werden, z. B. über Paßw&ouml:rter.
Eine Zugriffskontrolle muß vorhanden und auch für einzelne Datensätze einsetzbar sein.
Zugriffsrechte müssen für Benutzer, Administrator, Revisor und Datenschutzbeauftragter getrennt vergeben werden können. Eine Rollentrennung zwischen Administrator und Revisor muß durchführbar sein.
Datensicherungen müssen so durchgeführt werden können, daß sie verschlüsselt abgelegt werden und nur von Berechtigten wiedereingespielt werden können.
Detaillierte Protokollierungsfunktionen müssen verfügbar sein.

Wünschenswerte Sicherheitseigenschaften:

Ein optionaler Integritätscheck für zahlungsrelevante Daten sollte angeboten werden.

Beispiel für eine Bewertungsskala:

Eine Fachabteilung will für Datensicherungszwecke ein Komprimierungsprogramm beschaffen. Nach der Erstellung eines Anforderungskataloges könnten die dort spezifizierten Eigenschaften wie folgt bewertet werden:

Ergänzende Kontrollfragen:

Wer wird bei der Erstellung des Anforderungskatalogs beteiligt?
Wer entscheidet, ob ein Produkt Sicherheitsfunktionen beinhalten muß?
Gibt es einheitliche Vorgaben, wie eine Nutzwertanalyse aufgebaut sein muß?